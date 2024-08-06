Los líderes de seguridad están acostumbrados a pensar en la defensa en profundidad y a garantizar que su pila de seguridad y su arquitectura general proporcionen resiliencia y protección. Aunque este paradigma sigue siendo válido hoy en día, puede ser el momento de pensar en pasar a una seguridad centrada en los datos. Esto significa una gestión de datos que se corresponda con los casos de uso actuales, y donde los datos sean el activo central que requiere protección durante todo su ciclo de vida, uso y eliminación. Un cambio de paradigma en la seguridad de los datos está bien respaldado por las pruebas de la edición de 2024 del informe "Cost of a Data Breach".
El informe presenta una investigación que estudia las causas, el impacto en los costes y la recuperación de las infracciones reales en 604 organizaciones de todo el mundo y en 17 sectores. Los resultados muestran algunas tendencias interesantes que pueden ayudar a resolver el rompecabezas de los datos, incluidos los impactos en la seguridad, la privacidad, el gobierno y la regulación. Todos estos aspectos ya hacen que aumenten los riesgos debido a la prisa por implementar nuevas iniciativas de IA generativa y llevarlas rápidamente al mercado, dejando atrás las consideraciones de seguridad. De manera alarmante, una reciente encuesta ejecutiva sobre la seguridad de la IA generativa reveló que solo el 24 % de las nuevas iniciativas incluyen un componente de seguridad.
Los datos se han convertido en el principal activo en el que confían las empresas hoy en día. Pero aunque los datos son los reyes, todavía no se gestionan o protegen lo suficiente como para estar a la altura de su importancia y del impacto potencial de su pérdida. Veamos algunas formas en las que los datos, el recorrido de los datos y los paradigmas de protección que rodean sus ciclos de vida fueron los principales factores que contribuyeron al coste de las vulneraciones de datos.
En primer lugar, los datos hoy en día están a una escala que obliga a las organizaciones a ir más allá de sus antiguas infraestructuras de nube local y privada. Los controladores aquí son la escalabilidad del volumen de datos, pero también las demandas de tráfico y la carga de trabajo que solo crecen con el tiempo. Con los datos viajando a través de entornos de multinube, el informe "Cost of a Data Breach" señala significativamente que el 40 % de las vulneraciones implicaron datos almacenados en múltiples tipos de entornos. Cuando se vulneraron, los entornos de nube pública incurrieron en el coste medio de vulneración más alto con 5,17 millones de dólares.
¿Por qué ocurre esto? La naturaleza descentralizada de la multinube es un factor complejo a la hora de visualizar y controlar los datos, y en caso de vulneración, simplemente se tarda más en recopilar información, investigar y activar el soporte del proveedor de servicios en la nube para contener la vulneración. Las nubes también alojan más datos, y la escala significa que se vulneran más datos de una vez, lo que puede aumentar el impacto en los clientes y los costes de recuperación.
Los datos están dispersos en más lugares que nunca, y el 35 % de las vulneraciones de este año afectaron a datos almacenados en almacén de datos no gestionados, también conocidos como "datos invisibles". Esto provocó que los datos no se clasificaran correctamente o no se clasificaran en absoluto, que no se protegieran adecuadamente y que no se gestionaran según su ciclo de vida a medida que se incorporaban a la organización y circulaban por ella. Teniendo en cuenta que el 25 % de las vulneraciones relacionadas con datos invisibles se produjeron exclusivamente en el entorno local, esta situación probablemente pone de manifiesto la existencia de riesgos no gestionados en forma de deficiencias en el gobierno de datos, problemas de protección de datos y un inminente impacto normativo.
Las vulneraciones relacionadas con datos invisibles también tardaron un 26,2 % más en identificarse y un 20,2 % más en contenerse, con una media de 291 días. Esto provocó inevitablemente un aumento de los costes por vulneración, con un promedio de 5,27 millones de dólares estadounidenses cuando se vieron afectados datos invisibles, pero eso es solo la punta del iceberg, ya que hay que tener en cuenta el efecto dominó de las vulneraciones en otros miembros del ecosistema, los posibles problemas contractuales y las demandas judiciales, que forman parte de una larga lista de costes que siguen acumulándose durante dos o tres años después de la vulneración.
Cuando los datos no se inventarían y catalogan de manera eficaz, no se clasifican adecuadamente y, por lo tanto, tampoco se protegen de forma adecuada. Podrían ser fácilmente datos que deberían haberse etiquetado como restringidos o confidenciales, lo que lleva a la siguiente estadística del informe. Los atacantes pudieron acceder a datos mucho más confidenciales durante las vulneraciones, lo que provocó un aumento del 26,5 % en el robo de IP. El coste de la propiedad intelectual perdida por registro fue considerablemente mayor que el año pasado, pasando de 156 dólares estadounidenses en 2023 a 173 dólares estadounidenses en 2024, lo que supone un aumento del 11 %.
Pero dejemos de lado ese coste por un momento. El impacto del robo de IP puede implicar que la organización pierda su ventaja competitiva. Puede perder una parte considerable del mercado y los ingresos que esperaba generar a partir de la propiedad intelectual estratégica. ¿Qué accionista no se alarmaría ante esta estadística, teniendo en cuenta que la mayoría de las organizaciones se están embarcando activamente en el desarrollo de aplicaciones innovadoras de IA generativa que esperan monetizar en exclusiva?
Un efecto secundario costoso de una protección de datos deficiente es la pérdida de negocios y daños a la reputación, por un promedio de 1,47 millones de dólares y la mayor parte del aumento en el costo promedio de una vulneración en 2024.
Con la IA generativa como la nueva fiebre del oro, diversas partes interesadas de la organización pueden exponerla fácilmente a riesgos no gestionados relacionados con datos no autorizados, modelos y el uso general de la IA. Estos usos pueden pasar desapercibidos para los equipos de TI y seguridad, lo que puede dar lugar a incidentes con graves consecuencias en el futuro.
Otro factor de riesgo son los conjuntos de datos destinados a su uso en la implementación de la IA, que provienen de varios proveedores externos. Si el equipo de seguridad no las gestiona, estas fuentes externas pueden añadir riesgos, como intoxicaciones y vulnerabilidades. Sin embargo, los riesgos más insidiosos son los modelos ocultos y las grandes cantidades de datos de entrenamiento sin cifrar que entran y salen de los entornos en la nube.
Imaginemos, por ejemplo, el siguiente escenario: una organización sanitaria utiliza IA generativa para detectar anomalías en radiografías de tórax. Envían las imágenes a un modelo en la nube para recibir los resultados, pero las imágenes viajan y se utilizan sin cifrar. Un atacante accede a las imágenes y luego extorsiona al proveedor de asistencia sanitaria para que pague un rescate. Lo mismo puede ocurrir con el texto sin formato o con cualquier otro dato desprotegido que debería protegerse mejor. No se sorprenda al ver rápidamente una demanda presentada por los interesados afectados.
La mayoría de las organizaciones perderán casi toda la productividad si pierden el acceso a los datos. Desde la forma más simple de productividad de los empleados hasta la complejidad de las empresas basadas en datos, las empresas no consideran los datos un subproducto de su negocio. Los datos son el principal activo con el que las organizaciones alinean su cultura, organización y tecnología, para una innovación sostenida y un crecimiento empresarial sostenible. Lo lógico es que los datos se gestionen y protejan en la medida adecuada a su clasificación, y que se utilicen las tecnologías adecuadas para lograrlo.
Identifique, clasifique y cifre. Cuanto mejor estén protegidos los datos, menor será el aprovechamiento que tendrán los atacantes en caso de una vulneración de datos. Esto también supondrá un menor impacto para los titulares de los datos y las posibilidades de que las multas reglamentarias disminuyan. Por tanto, debería cifrar de manera inteligente. No todos los datos son iguales. Si su organización utiliza imágenes u otro tipo de datos, obtenga información sobre mejores formas de cifrarlos para que pueda usarlos de forma segura y disfrutar de sus beneficios.
Cuanto más innovadora sea su organización, cuanto más utilice los datos, más importante será el cifrado. Considere la computación confidencial para tus casos de uso, así como el cifrado poscuántico para asegurar que los datos protegidos sigan protegidos en el futuro.
Dado que los datos están evidentemente dispersos en todos los entornos y permanecen expuestos en muchos casos, una forma de recuperar el control es a través de la gestión de la posición de seguridad de datos (DSPM). La DSPM es una tecnología de ciberseguridad que identifica datos confidenciales en múltiples entornos y servicios en la nube, y evalúa su vulnerabilidad a las amenazas de seguridad y el riesgo de incumplimiento normativo. En lugar de proteger los dispositivos, sistemas y aplicaciones que alojan, mover o procesan datos, los equipos de seguridad pueden utilizar la DSPM para centrarse en proteger los datos directamente.
Con la escala y los escenarios de uso de los datos en soluciones de IA generativa, las organizaciones deben replantear su ciclo de vida de datos y cómo protegerlos a escala, en todos sus estados. Piense en proteger los datos de entrenamiento para evitar su robo y manipulación. Las organizaciones pueden utilizar la detección y la clasificación de datos para detectar los datos confidenciales utilizados en el entrenamiento o el ajuste. También pueden implementar controles de seguridad de los datos mediante el cifrado, la gestión del acceso y la monitorización del cumplimiento. Amplíe la gestión de la postura a los modelos de IA para proteger los datos confidenciales de entrenamiento de IA, obtener visibilidad sobre el uso de modelos de IA en la sombra no autorizados, detectar desviaciones maliciosas, uso indebido de IA o fuga de datos.
El uso de los datos ya implica amplios requisitos por parte de los reguladores de privacidad de datos. Estas demandas se están volviendo más elaboradas y matizadas en lo que respecta a los datos utilizados en soluciones y escenarios habilitados por IA. Esto significa que las capacidades tradicionales de protección de datos pueden no ser suficientes y requerir mecanismos mejorados de clasificación, protección y monitorización, así como controles mejorados para la auditabilidad y la supervisión.
En su 19a edición este año, el informe "Cost of a Data Breach" proporciona a los responsables de TI, gestión de riesgos y seguridad pruebas oportunas y cuantificables para orientarles en su toma de decisiones estratégicas. También les ayuda a gestionar mejor sus perfiles de riesgo y sus inversiones en seguridad. Este año, las estadísticas proporcionan conocimientos de las experiencias de 604 organizaciones y 3556 líderes empresariales y de ciberseguridad que se enfrentaron a una vulneración de datos. Descargue una copia del informe para obtener ejemplos reales y recomendaciones de expertos sobre cómo mitigar los riesgos.