Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS

2024 Informe de Seguridad y Cumplimiento en las Comunicaciones de Contenido Confidencial de Kiteworks

La proliferación de herramientas de comunicación, los intercambios de datos con terceros y la falta de gobernanza aumentan el riesgo

DESCARGAR INFORME
Foreword

Prólogo

Nos complace presentarte el Informe de Privacidad y Cumplimiento en Comunicaciones de Contenido Confidencial de Kiteworks 2024. Este informe integral ofrece información valiosa sobre el estado actual de la protección de contenido confidencial y los desafíos que enfrentan las organizaciones para proteger sus activos de información crítica.

Hoy en día, la protección del contenido confidencial es más importante que nunca. A medida que las organizaciones dependen cada vez más de la comunicación y colaboración digital y sus ecosistemas de terceros se expanden, los riesgos asociados a las filtraciones de datos siguen aumentando. Nuestro informe destaca las tendencias y desafíos que las organizaciones deben sortear para garantizar la seguridad y el cumplimiento de su contenido confidencial.

LEER PRÓLOGO

Resumen Ejecutivo

Nuestro Informe sobre Privacidad y Cumplimiento en las Comunicaciones de Contenido Confidencial ofrece a líderes de TI, ciberseguridad y cumplimiento datos e información relevante de sus pares. El objetivo es ayudarte a garantizar que el contenido confidencial que envías y compartes a través de distintos canales de comunicación, como correo electrónico, uso compartido de archivos, Transferencia de Archivos Gestionada (MFT), transferencia segura de archivos (SFTP) y formularios web, esté protegido. Al mismo tiempo, esto contribuye a que tus intercambios y envíos de datos confidenciales cumplan con diversas regulaciones de privacidad de datos y, además, que tus sistemas de comunicación se ajusten a los estándares y validaciones de seguridad más exigentes.

La encuesta de este año fue realizada por Centiment entre febrero y marzo de 2024, y constó de 33 preguntas sobre diferentes temas relacionados con la seguridad de datos, privacidad y cumplimiento. Algunas preguntas son “recuerdos del pasado”, es decir, se repiten de encuestas realizadas en uno o ambos de los dos años anteriores, mientras que otras se agregaron para captar detalles sobre nuevas tendencias. Se recibieron un total de 572 respuestas de líderes de TI, ciberseguridad y cumplimiento en Norteamérica, Europa, Oriente Medio y África (EMEA), y la región de Asia-Pacífico.

Algunas de las preguntas que hicimos para identificar tendencias y facilitar el análisis incluyen:

  • Cómo el número de herramientas de comunicación influye en la administración de riesgos
  • El impacto continuo de las filtraciones de datos en los costos de litigio
  • Qué tipos de datos representan el mayor riesgo y por qué
  • De qué manera el cumplimiento normativo y los estándares de seguridad están impulsando una mejor protección de datos al establecer estándares de seguridad básicos y regulaciones de privacidad de datos más integrales
  • Cómo las capacidades de seguridad avanzadas en las herramientas de comunicación se traducen en menor riesgo
  • Por qué y cómo los métodos heredados e insuficientes para las comunicaciones de contenido confidencial generan ineficiencias y aumentan los riesgos de privacidad y cumplimiento

Hallazgos clave del informe

57%

No pueden rastrear, controlar ni informar sobre envíos y uso compartido de contenido externo

El 57% de los encuestados afirmó que no puede rastrear, controlar ni informar sobre envíos y uso compartido de contenido externo. Esto representa una brecha significativa en la gobernanza.

Dos tercios

de las organizaciones intercambian contenido confidencial con más de 1.000 terceros

El 66% de los encuestados indicó que intercambia contenido confidencial con más de 1.000 terceros. Una vez que los datos salen de la organización, la capacidad de rastrear y controlar el acceso se vuelve mucho más relevante.

3,55x

Mayor probabilidad de sufrir más de 10 filtraciones de datos al usar más de 7 herramientas de comunicación

Cuantas más herramientas de comunicación utiliza una organización, mayor es el riesgo. Los encuestados con más de siete herramientas de comunicación experimentaron más de 10 filtraciones de datos—3,55 veces más que el promedio (quienes tuvieron entre una y más de 10 filtraciones).

$5M

en costes anuales de litigios por filtraciones de datos que afectan a la mitad de las organizaciones

La mitad de los encuestados que intercambian contenido confidencial con 5.000 o más terceros gastaron más de $5M en costes anuales de litigios el año pasado.

89%

Reconocen que deben mejorar el cumplimiento en comunicaciones de contenido confidencial

Solo el 11% de los encuestados afirmó que no requiere mejoras en la medición y gestión del cumplimiento en comunicaciones de contenido confidencial.

62%

Dedican más de 1.500 horas de personal para completar informes de cumplimiento

El 62% de las organizaciones dedica más de 1.500 horas de personal al año para compilar y conciliar registros de herramientas de comunicación para informes de cumplimiento.

Introducción

¡Bienvenido al tercer Informe Anual de Comunicaciones de Contenido Confidencial de Kiteworks! Aquí realizamos una encuesta exhaustiva sobre cómo las organizaciones están protegiendo la privacidad y seguridad de su contenido confidencial y cumpliendo con las regulaciones de privacidad de datos y estándares de seguridad.

Usamos el término “contenido confidencial” para referirnos a una amplia variedad de tipos de información que son objetivo de actores maliciosos—y que representan un riesgo significativo para una organización legítima si estos actores logran acceder a ellos. Es lo que se ve comprometido cuando los titulares de noticias, cada vez más frecuentes, mencionan “violación de datos”. El contenido confidencial incluye los datos de clientes y empleados—información personal identificable (PII), información de salud protegida (PHI) y datos de la industria de tarjetas de pago (PCI). También abarca la propiedad intelectual (IP) de la organización, comunicaciones y documentos legales, información financiera, datos de fusiones y adquisiciones, y otros tipos de información privada y confidencial.

Riesgos de Seguridad

Desde una perspectiva de seguridad, el problema con el contenido confidencial es que no permanece en un solo lugar. Durante las operaciones diarias, se comparte entre empleados, pero también entre empleados y socios, proveedores, contratistas, asesores legales, contadores, auditores y más. Para que las organizaciones avancen, esta información debe moverse sin fricciones entre la organización y miles de terceros. Y como veremos, esto ocurre a través de múltiples canales de comunicación.

Por ello, las organizaciones deben proteger su contenido—no solo donde se almacena, sino también mientras viaja por diversos canales de comunicación hacia terceros. Desafortunadamente, en los últimos años, los ciberdelincuentes han descubierto vulnerabilidades en la cadena de suministro de software que les permiten acceder a cientos o incluso miles de organizaciones y millones de archivos de datos confidenciales. El Data Breach Investigations Report (DBIR) de Verizon de este año corrobora esta tendencia, revelando un aumento interanual del 180% en la explotación de vulnerabilidades de software y que las filtraciones de datos en la cadena de suministro de software aumentaron un 68% interanual—representando el 15% de todas las filtraciones de datos.1 Los ataques de ransomware Clop del año pasado contra las soluciones de transferencia de archivos gestionada (MFT) MOVEit de Progress Software2 y GoAnywhere de Forta3 demuestran el riesgo.

Riesgos Cibernéticos de la IA

Además de proteger los canales de comunicación de contenido, las empresas y entidades gubernamentales tienen otra prioridad cada vez más urgente que ha crecido en los últimos 18 meses. A medida que la inteligencia artificial (IA) avanza tanto técnicamente como en uso popular, es fundamental que mantengan su contenido confidencial fuera de los grandes modelos públicos de lenguaje (LLM) que ahora pueden ser utilizados habitualmente por empleados y socios.

Según Gartner, las tres principales preocupaciones relacionadas con riesgos sobre el uso de LLM GenAI incluyen el acceso a datos confidenciales por parte de terceros (casi la mitad de los líderes de ciberseguridad), filtraciones de datos y aplicaciones GenAI (40% de los encuestados) y la toma de decisiones errónea (más de un tercio).4 Los riesgos asociados a que empleados introduzcan datos confidenciales en herramientas GenAI son reales. Casi un tercio de los empleados en una encuesta realizada a finales del año pasado admitió haber introducido datos confidenciales en herramientas públicas de GenAI. No es de extrañar que el 39% de los encuestados en el mismo estudio mencionara la posible filtración de datos confidenciales como el principal riesgo del uso de herramientas públicas de GenAI en sus organizaciones.5

Al mismo tiempo, las barreras de entrada más bajas que han llevado la IA a las masas también han abierto puertas a ciberdelincuentes menos sofisticados para lanzar ataques cada vez más complejos.6 Esto refuerza la sensación de que los actores de amenazas de estados-nación y los ciberdelincuentes están en una “carrera armamentista” en aumento con las organizaciones legítimas—con posibles implicaciones existenciales.

Riesgos de Cumplimiento

A menos que tu empresa opere en una sola jurisdicción, lo difícil del cumplimiento normativo de privacidad de datos es el mosaico de requisitos de un lugar a otro—lo que añade complejidad y costes para cumplir—y documentar ese cumplimiento. El aumento de nuevas regulaciones y la evolución de las existentes llevó al 93% de las organizaciones a replantear su estrategia de ciberseguridad el año pasado.7 El Reglamento General de Protección de Datos (RGPD) de la Unión Europea, implementado en 2018, unificó a sus 27 estados miembros bajo un único estándar de privacidad de datos.

Para el resto del mundo, las cosas no son tan sencillas. Datos de Naciones Unidas muestran que 137 de los 194 países del mundo ya cuentan con leyes de privacidad de datos—pero naturalmente varían mucho.8 En Estados Unidos, la legislación federal más estricta es la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA)—que cubre PHI pero no PII. Como el Congreso no logra aprobar un estándar nacional, los estados han intervenido—comenzando con la aprobación de la Ley de Privacidad del Consumidor de California (CCPA) en 2018. Desde entonces, otros 17 estados han promulgado leyes integrales de privacidad de datos—y hay legislación en proceso en otros 10.9 Aunque es positivo que más ciudadanos y residentes de EE. UU. estén protegidos por estas leyes, esto aumenta la complejidad para quienes deben cumplirlas.

Los diferentes organismos que gestionan estas regulaciones de privacidad de datos siguen presionando a las organizaciones para que cumplan. Las multas y sanciones por incumplimiento del RGPD en 2023 alcanzaron los $2.269 millones (€2.100 millones)—superando las multas y sanciones emitidas en 2019, 2020 y 2021 juntas.10 El monto por multa y sanción también está aumentando rápidamente; $4.75 millones (€4.4 millones) por infracción el año pasado frente a $540,000 (€500,000) por infracción en 2019. Las multas y sanciones relacionadas con HIPAA son igual de abrumadoras, alcanzando los $4.176 millones el año pasado.11

Además de las regulaciones de privacidad de datos, los estándares y normativas de ciberseguridad han sido un área clave de enfoque para organismos gubernamentales y de supervisión. Algunas de las principales nuevas regulaciones de ciberseguridad introducidas en el último año incluyen las reglas de Administración de Riesgos de Ciberseguridad y divulgación de incidentes de la SEC para empresas públicas, la Ley de Notificación de Incidentes Cibernéticos para Infraestructura Crítica (CIRCIA), la Ley de Ciberresiliencia (CRA) y la Ley de Resiliencia Operativa Digital (DORA) en Europa, y el Marco de Ciberseguridad (CSF) 2.0 del Instituto Nacional de Estándares y Tecnología (NIST), entre otros.

Riesgos Humanos

El factor humano en la seguridad de datos y el cumplimiento sigue siendo un problema grave y la causa de muchas filtraciones de datos confidenciales. El DBIR determinó que los usuarios finales son responsables del 68% de los errores que provocan filtraciones.12 Esto ocurre de diversas formas, incluyendo empleados y terceros que envían información confidencial a destinatarios incorrectos, no aseguran adecuadamente los datos o caen en ataques de ingeniería social como el compromiso de correo electrónico empresarial y el phishing. La falta de visibilidad y gobernanza en las comunicaciones de contenido confidencial es un factor principal, junto con infraestructuras y controles de seguridad deficientes.

Casi la mitad de los líderes de ciberseguridad citan el acceso a datos confidenciales por parte de terceros como su principal preocupación relacionada con riesgos este año.

“2024 Gartner Technology Adoption Roadmap for Larger Enterprises Survey,” Gartner, febrero de 2024

Metodología de Este Estudio

El Informe de Comunicaciones de Contenido Confidencial de Kiteworks de este año se basa en una encuesta integral a 572 profesionales que trabajan en TI, ciberseguridad y administración de riesgos y cumplimiento en organizaciones con más de 1,000 empleados. Nuestro análisis informa sobre las respuestas del grupo general, las compara con los resultados de nuestras encuestas de 2023 y 2022, y las analiza cruzadamente según diversos detalles demográficos.

Diversidad de los Participantes

Los participantes provienen de ocho países a nivel global, con representación de Norteamérica (34%), Asia-Pacífico (18%) y las regiones de Europa-Oriente Medio-África (48%) (Figuras 1 y 2). Representan una amplia gama de tamaños de empresas a nivel corporativo, con un 54% que cuenta entre 1,000 y 10,000 empleados y un 46% con más de esa cantidad (Figura 3).

El grupo incluye una gran variedad de sectores, con organizaciones de seguridad y defensa (15%), manufactura (12%), salud (12%) y servicios financieros (12%) con la mayor representación (Figura 4). Más de dos de cada diez participantes (22%) trabajan en gobierno o educación, mientras que una cuarta parte trabaja en los sectores financiero, legal y profesional y el 10% en la industria energética.

En cuanto a la función laboral, la muestra incluye profesionales de diferentes niveles en sus organizaciones, con un 31% en puestos ejecutivos y un 69% en cargos de dirección media (Figura 5). Además, se dividen entre las áreas de riesgo y cumplimiento (26%), TI (42%) y seguridad (31%).

El 75% de la población mundial tendrá sus datos personales regulados por leyes modernas de privacidad para finales de 2024.

“Gartner Identifies Top Five Trends in Privacy Through 2024,” Gartner Press Release, 31 de mayo de 2022

Perspectivas sobre privacidad y cumplimiento en las comunicaciones de contenido confidencial

Ahora que presentamos a los encuestados, queremos compartir lo que hemos aprendido de los resultados de la encuesta que proporcionaron. Este año, descubrimos información relevante sobre cómo medir y gestionar los riesgos de ciberataques y filtraciones de datos, tipos y clasificación de datos, ciberseguridad, cumplimiento y procesos operativos.

Ciberataques y filtraciones de datos

Perspectiva: Las comunicaciones de contenido confidencial sufren filtraciones con demasiada frecuencia

Los ciberataques maliciosos siguen representando un riesgo grave para el contenido confidencial en todos los sectores. De acuerdo con el Identify Theft Resource Center, se registraron públicamente 3,205 incidentes de compromiso de datos que afectaron a más de 353 millones de personas el año pasado, un aumento del 78% respecto a 2022.13 La buena noticia es que la situación es ligeramente mejor para los encuestados de 2024 en comparación con los de 2023. La mala noticia es que las organizaciones siguen experimentando filtraciones peligrosas con frecuencia. Casi un tercio de los encuestados (32%) reportó haber sufrido siete o más ataques externos maliciosos a contenido confidencial en el último año, frente al 36% del año anterior (Figura 6). Y aunque más empresas (36%) reportaron tres o menos filtraciones que el año pasado, incluso esas cifras siguen siendo superiores a lo ideal.

Se observaron grandes diferencias por sector en la cantidad de ataques sufridos (Figura 7). Educación superior, seguridad y defensa, y petróleo y gas experimentaron aún más filtraciones, con un 68% o más reportando cuatro o más incidentes, frente al 55% del total de la muestra. El sector gubernamental federal también mostró datos preocupantes: el 17% indicó haber tenido 10 o más y otro 10% reportó entre siete y nueve. Aún más alarmante, el 42% de las organizaciones de seguridad y defensa, que intercambian algunos de los contenidos más confidenciales de cualquier sector, admitieron haber sufrido siete o más filtraciones de datos. Por el lado positivo, las compañías farmacéuticas y de ciencias de la vida muestran mejores resultados, con solo el 28% de los encuestados reportando cuatro o más filtraciones.

Las organizaciones de la región Asia-Pacífico también sufrieron filtraciones de forma desproporcionada, con un 72% de los encuestados reportando cuatro o más incidentes (Figura 8). Como las organizaciones de Asia-Pacífico tienen un mayor número de terceros con quienes intercambian contenido confidencial (ver más abajo), es probable que un análisis adicional revele una conexión entre ambos factores. Finalmente, las empresas con entre 20,001 y 30,000 empleados tuvieron peores resultados que las demás, con un 75% o más reportando cuatro o más filtraciones, mientras que tanto los grupos de empresas más pequeñas como más grandes mantuvieron esa cifra por debajo del 60% (Figura 9).

El 32% de las organizaciones experimentó siete o más ataques externos maliciosos a contenido confidencial el año pasado.

Coste legal de las filtraciones de datos

Cuando se trata de filtraciones de datos, el coste puede ser muy amplio: incluye multas y sanciones por incumplimiento normativo, interrupciones operativas, menor productividad y pérdida de ingresos. El informe anual Cost of a Data Breach de IBM y Ponemon Institute del año pasado situó el coste de una filtración de datos en 4.45 millones de dólares estadounidenses, una cifra que sigue aumentando año tras año.14 Y esa cifra puede ser baja, ya que los costes legales asociados a las filtraciones de datos suelen pasarse por alto o subestimarse. Por ello, este año añadimos la pregunta sobre el coste legal a nuestra encuesta, lo que permitió obtener información accionable.

En ese sentido, seis de cada diez encuestados reportaron gastar más de 2 millones de dólares cada año para cubrir los costes legales tanto de incidentes internos como externos de pérdida de datos, mientras que el 45% gastó más de 3 millones y una cuarta parte invirtió más de 5 millones (Figura 10). Cuanto mayor es la organización, mayor es el coste legal: el 39% (17% experimentó entre siete y nueve y 22% más de diez) de las organizaciones con más de 30,001 empleados indicó que sus honorarios legales superaron los 7 millones de dólares, y más de la mitad de las que tienen más de 15,001 empleados gastaron más de 3 millones (Figura 11). Educación superior es el sector más afectado, con un 49% reportando haber pagado más de 5 millones el año pasado (Figura 12). Por ubicación, Norteamérica encabeza la lista con un 27% indicando que pagaron más de 5 millones. Una brecha preocupante en el informe es el 14% de los encuestados de EMEA que no sabe el coste legal de sus filtraciones de datos (Figura 13).

En el 45% de las organizaciones, los costes legales superan los 3 millones de dólares anuales y una cuarta parte invierte más de 5 millones.

Tipos de datos y clasificación

Perspectiva: Incapacidad para rastrear y controlar todos sus intercambios de datos

El crecimiento exponencial de los datos se aceleró aún más en los últimos 18 meses con la adopción de modelos de lenguaje de gran tamaño (LLMs) de generación IA (GenAI). Cuando el contenido sale de una aplicación como correo electrónico, uso compartido de archivos, SFTP, transferencia de archivos gestionada o formularios web, es fundamental que las organizaciones puedan rastrear y controlar el acceso a ese contenido.

Las organizaciones deben comprender sus tipos de datos, dónde residen y hacia dónde se envían y comparten. Para identificar qué datos no estructurados deben controlarse, es necesario contar con un sistema de clasificación. Al preguntar cuántos de sus datos no estructurados están etiquetados o clasificados, menos de la mitad de los encuestados (48%) afirma que esto ocurre en el 75% o más de sus datos (Figura 14). Por sectores, el 65% ha alcanzado este nivel en salud, el 56% en servicios financieros y el 55% en el sector legal (Figura 15).

Sin embargo, las organizaciones señalaron que no todos los datos no estructurados necesitan ser etiquetados y clasificados. El 40% de las organizaciones indicó que el 60% o más de los datos no estructurados deben ser etiquetados y clasificados. Además, cuanto mayor es la organización, mayor es la proporción de datos no estructurados que requiere etiquetado y clasificación. Por ejemplo, entre quienes tienen más de 30,001 empleados: el 15% indicó que todos los datos deben ser etiquetados y clasificados, y otro 20% señaló que más del 80% debe ser etiquetado y clasificado (Figura 16). Por regiones, más encuestados de Norteamérica afirmaron que los datos deben ser etiquetados y clasificados; el 10% dijo que todos los datos no estructurados deben ser etiquetados y clasificados y otro 16% indicó el 80% o más (Figura 17). Entre los encuestados del gobierno federal, el 24% dijo que todos los datos deben ser etiquetados y clasificados, siendo el porcentaje más alto, y un 17% adicional afirmó que el 80% o más debe ser etiquetado y clasificado (Figura 18).

El 41% de los encuestados del gobierno federal afirmó que el 80% o más de sus datos no estructurados deben ser etiquetados y clasificados.

Evaluación de los riesgos de los tipos de datos

Como se detalló anteriormente, el contenido sensible existe en diferentes formas dentro de las organizaciones. No todos representan el mismo nivel de riesgo de filtración de datos. Según el estudio anual de IBM sobre el costo de una filtración de datos, la información personal identificable (PII) es el registro más costoso y comúnmente comprometido. La PII también fue el tipo de registro más vulnerado en 2023, representando el 52% de todas las filtraciones, posición que mantuvo los dos años anteriores.15 Los hallazgos de IBM coinciden con los del último DBIR, donde el 50% de todas las filtraciones de datos estuvieron relacionadas con la PII.

Al comparar esto con las clasificaciones de los encuestados, existen diferencias. Por ejemplo, en base a los datos de IBM y Verizon, se podría suponer que los encuestados señalarían la PII como su principal preocupación en cuanto a tipo de contenido. Pero no fue así. En su lugar, mencionaron los documentos financieros (55%), la propiedad intelectual (44%) y las comunicaciones legales (44%) como sus tres principales preocupaciones (Figura 19).

Se encontró cierta corroboración de los datos de IBM y Verizon en nuestro análisis cruzado de la información de salud protegida (PHI), donde quienes la identificaron como una de sus tres principales preocupaciones experimentaron una mayor tasa de filtraciones de datos maliciosas que quienes priorizaron otros tipos de datos. Por ejemplo, el 43% de quienes ubicaron la PHI entre sus tres principales preocupaciones indicó haber experimentado más de siete filtraciones de datos (en comparación con el 32% del total de encuestados que reportaron siete o más filtraciones) (Figura 20). El segundo tipo de dato con mayor tasa de filtraciones fue la propiedad intelectual (IP) (el 35% reportó siete o más filtraciones de datos).

Llama la atención que la mitad de los encuestados de Norteamérica mencionó los LLMs de GenAI como una de sus tres principales preocupaciones, ubicándose detrás de los documentos financieros (Figura 21). Por sector, los LLMs son especialmente relevantes en petróleo y gas (62%), farmacéuticas (61%), gobierno federal (61%) y estatal (58%), y despachos jurídicos (58%).

Existe una variación considerable entre los tipos de datos y sectores respecto a cuál se considera de mayor riesgo:

  • Los LLMs de GenAI fueron seleccionados con mayor frecuencia por empresas de energía y servicios públicos y del sector de seguridad y defensa, con un 50%.
  • La PII fue citada con mayor frecuencia por instituciones de educación superior, con un 50%.
  • La PHI fue citada con mayor frecuencia por el sector salud, con un 58%.
  • CUI y FCI fueron mencionados con mayor frecuencia por fabricantes, con un 79%.
  • Las comunicaciones legales fueron citadas principalmente por empresas de petróleo y gas (62%) y agencias del gobierno federal (61%).
  • Los detalles de fusiones y adquisiciones fueron identificados principalmente por empresas farmacéuticas y de ciencias de la vida (40%).

Quienes incluyeron la PHI entre sus tres principales preocupaciones experimentaron una mayor tasa de filtraciones de datos maliciosas que quienes priorizaron otros tipos de datos.

Cumplimiento y administración de riesgos

Perspectiva: El cumplimiento y la administración de riesgos son una prioridad urgente

Hoy en día, parece que el riesgo de ciberseguridad representa una parte cada vez mayor del portafolio de riesgos general de las organizaciones. CrowdStrike, en su informe anual de amenazas, identificó un aumento interanual del 76% en víctimas mencionadas en sitios de filtraciones de eCrime dedicados.16 En su más reciente DBIR, Verizon analizó más de 30,000 incidentes de seguridad reales durante el año pasado y confirmó que alrededor de un tercio (10,626) fueron filtraciones de datos.17

Con los datos confidenciales en el centro de la mayoría de las filtraciones, las agencias gubernamentales y organismos de la industria han respondido con una serie de nuevas regulaciones y estándares, así como el endurecimiento de los existentes. Todo esto genera un mosaico geográfico que complica la respuesta a incidentes y las auditorías y reportes de cumplimiento, especialmente para empresas globales.

Como en años anteriores de nuestra encuesta, los participantes de 2024 reportaron dificultades continuas en torno al cumplimiento y la administración de riesgos. Esto quedó claro en las respuestas a una pregunta básica sobre qué tan bien están gestionando el riesgo de cumplimiento en herramientas de comunicación de contenido confidencial (Figura 22). Solo el 11% afirmó que no se necesita mejora en esta área, mucho menos que en los grupos de 2022 y 2023. La buena noticia es que menos encuestados (32%) reportan que se necesita una mejora significativa.

Las variaciones regionales en esta pregunta son pequeñas, pero el tamaño de la empresa es un factor. Específicamente, las empresas más grandes tienen más probabilidades de decir que se necesita una mejora significativa (Figura 23), con un tercio o más de las empresas en cada grupo por encima de 15,001 empleados dando esa respuesta. Aun así, hay cierta variación en la confianza respecto al cumplimiento normativo. El 29% de los encuestados franceses dijo que no se necesita mejora, una tasa mucho mayor que en otros países: por ejemplo, 5% en Alemania, 10% en Reino Unido y 13% en Arabia Saudita y los EAU (Figura 24). Curiosamente, y quizá preocupante, los encuestados del gobierno federal citaron que se necesita una mejora significativa en la administración y medición del cumplimiento en comunicaciones de contenido confidencial (41%), más que en cualquier otro sector (el siguiente más alto fue servicios profesionales con 36%) (Figura 25).

Solo el 11% de las organizaciones afirmó que no se necesita mejora en la medición y administración del cumplimiento en comunicaciones de contenido confidencial.

Áreas de enfoque para regulaciones

Para las empresas globales, existen muchas regulaciones de privacidad de datos y estándares de seguridad que deben atender. Hasta la fecha, se han promulgado más de 160 leyes de privacidad a nivel internacional, y siguen aprobándose más. No cumplir conlleva degradación de marca, pérdida de ingresos, multas y sanciones, y costos legales continuos. Como resultado, el 37% de los encuestados en el informe de privacidad de ISACA de este año dijo que solo tiene cierta confianza—y otro 13% dijo que no está tan seguro o nada seguro—en su capacidad para garantizar la privacidad de datos y lograr el cumplimiento con nuevas leyes y regulaciones de privacidad.18

Cuando se preguntó a los encuestados por sus dos principales áreas de enfoque en privacidad de datos y cumplimiento, dos opciones predominaron: el Reglamento General de Protección de Datos de la UE (GDPR) y las leyes de privacidad de datos estatales de EE. UU., como la Ley de Privacidad del Consumidor de California (CCPA). Ambas fueron citadas por el 41% de todos los encuestados (Figura 26).

Como era de esperarse, GDPR fue mucho más citado en EMEA (57%), mientras que las leyes estatales de EE. UU. fueron mencionadas por el 63% de los encuestados en Norteamérica (Figura 27). Entre los diferentes roles laborales, los líderes de riesgo y cumplimiento (52%) dan mayor importancia a GDPR que los líderes de TI (38%) y ciberseguridad (33%) (Figura 28). Los líderes de TI dan más énfasis a las leyes estatales de privacidad de datos de EE. UU. (52%) frente a riesgo y cumplimiento (25%) y ciberseguridad (40%). Al mismo tiempo, los líderes de ciberseguridad (35%) se enfocan más en CMMC 2.0 que sus pares de TI (22%) y riesgo y administración (18%). La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), específica de EE. UU., fue citada por el 38% de los encuestados en Norteamérica, aunque irónicamente por un porcentaje mayor (43%) en la región Asia-Pacífico.

Existen algunas brechas de riesgo preocupantes cuando se analiza el cumplimiento normativo desde la perspectiva de la industria. Por ejemplo, solo el 38% de los contratistas de seguridad y defensa incluyeron el cumplimiento CMMC como una de sus dos principales prioridades. Con la implementación gradual de CMMC 2.0 en marcha, esto representa un riesgo serio: los contratistas y subcontratistas de seguridad y defensa que no cumplan perderán negocios con el DoD.

Las dos principales regulaciones de cumplimiento citadas por los encuestados fueron GDPR y la aparición de nuevas leyes de privacidad de datos en EE. UU. (18 aprobadas hasta la fecha).

Áreas de enfoque para validaciones y certificaciones

En cuanto a validaciones y certificaciones, en contraste con las regulaciones, dos estándares fueron los más citados entre las dos principales prioridades de los encuestados (Figura 29): los estándares publicados por la Organización Internacional de Normalización (ISO; 53%) y el Instituto Nacional de Estándares y Tecnología (NIST 800-171; 42%). Como los 110 controles de NIST 800-171 son los mismos que los de CMMC 2.0 nivel 2, este alto nivel de prioridad es prometedor, especialmente con la implementación gradual de CMMC 2.0 en curso. Los estándares ISO 27001, 27017 y 27018 fueron los más citados en todas las geografías y la mayoría de las industrias; entre ellas, el 59% en EMEA, el 67% en la industria farmacéutica y el 69% en gobiernos locales mencionaron esas certificaciones (Figuras 30 y 31).

Con un porcentaje considerable de encuestados de Asia-Pacífico provenientes de Australia, tiene mucho sentido que el Programa de Evaluadores Registrados de Seguridad de la Información (IRAP) fuera seleccionado por más organizaciones de Asia-Pacífico que en las otras dos regiones (45%). Curiosamente, la directiva NIS 2 fue seleccionada como una o dos por solo el 20% de las organizaciones de EMEA (aunque más que en Norteamérica con 8% y Asia-Pacífico con 4%). Se podría suponer que el cumplimiento de NIS 2 sería una prioridad mayor con la fecha límite para la directiva entrando en vigor en las leyes nacionales el 17 de octubre de 2024. Entre nuestras tres principales responsabilidades laborales, NIS 2 recibió la menor atención de los líderes de riesgo y cumplimiento (19%) en comparación con TI (31%) y ciberseguridad (33%). Las organizaciones norteamericanas seleccionaron el cumplimiento SOC 2 Tipo II con más frecuencia que las de otras regiones (41%).

En cuanto a sectores industriales, SOC 2 Tipo II fue seleccionado principalmente por firmas de servicios profesionales (47%). ISO 27001, 27017 y 27018 fue seleccionado con mayor frecuencia por empresas farmacéuticas y de ciencias de la vida (67%). Las empresas de seguridad y defensa encabezaron la lista para FedRAMP Moderado con 44%. Las firmas legales encabezaron la lista para IRAP (50%).

Los estándares ISO 27001, 27017 y 27018 fueron citados con mayor frecuencia por los encuestados como el estándar de ciberseguridad más importante.

Retos con los reportes de cumplimiento

Independientemente de las regulaciones, validaciones y certificaciones específicas a las que deba ajustarse una empresa, documentar el cumplimiento sigue siendo un gran reto. Las organizaciones tienen dificultades con los envíos y comparticiones externas de datos confidenciales, y el 57% indica que no puede rastrear, controlar ni reportar esos intercambios (Figura 32). Una causa es el mosaico de requisitos que enfrentan las empresas, lo que genera complejidades y requiere recursos y tiempo significativos del personal. Cuando se preguntó con qué frecuencia deben generar registros de auditoría detallados para reportes de cumplimiento, el 72% de los encuestados indicó que debe hacerlo cinco o más veces al año (Figura 33). Para más de un tercio (34%), esa cifra es de ocho o más veces.

Las variaciones regionales y por tamaño de empresa en esta pregunta no fueron grandes (Figuras 34 y 35). Las empresas norteamericanas, así como las más pequeñas, tienden a tener requisitos de registros ligeramente menores. Las organizaciones con más de 30,001 empleados tienen más registros de auditoría (19% tienen 9x) que otros tamaños de organización. Los sectores con mayor número de registros de auditoría al año son servicios profesionales, seguridad y defensa, y gobierno federal, con 78%, 77% y 72%, respectivamente. Las firmas legales tienen el menor número, con 15% o menos generando cinco o más (Figura 36).

El reporte de cumplimiento requiere mucho tiempo del personal debido a la cantidad de veces que los registros detallados deben integrarse en los informes. Entre todos los encuestados, el 63% reportó que se requieren más de 1,500 horas de trabajo del personal al año para esta tarea (Figura 37). Para las empresas con más de 15,001 empleados, el número de horas aumenta considerablemente, con un tercio de las organizaciones de más de 30,001 empleados reportando que dedican más de 2,500 horas (Figura 38). La mitad de los encuestados del sector petrolero y casi la mitad de educación superior dedican más de 2,000 horas anuales, los segmentos industriales más altos por mucho (Figura 39).

El 57% de las organizaciones no puede rastrear, controlar ni reportar esos intercambios externos de contenido confidencial con terceros.

Ciberseguridad y administración de riesgos

Perspectiva: Proteger las comunicaciones de contenido confidencial sigue siendo un gran reto

Para el equipo de seguridad, el contenido confidencial es el núcleo de lo que necesitan proteger en sus sistemas de TI corporativos. Y los encuestados de 2024 son mucho menos propensos a afirmar que no necesitan mejorar la administración de la seguridad del contenido en comparación con los de 2023 (Figura 40). Solo el 11% lo afirmó este año, pero también disminuyó el porcentaje que considera necesaria una mejora significativa. Esto deja a más de la mitad (56%) que reconoce que se requiere cierta mejora. Podemos ver con optimismo que las organizaciones están avanzando, aunque con una visión más realista sobre la necesidad de seguir mejorando.

Sin embargo, estos porcentajes no fueron uniformes entre los distintos grupos. El 30% o más de los encuestados en Arabia Saudita, Emiratos Árabes Unidos, Norteamérica y Asia-Pacífico indicaron que se necesitan mejoras significativas (Figura 41). Lo mismo ocurre en servicios profesionales (47%), servicios financieros (43%), petróleo y gas (42%), gobierno federal (41%), manufactura (36%) y sector salud (34%) (Figuras 42 y 43).

El 56% de los encuestados dijo que se necesita cierta mejora en la seguridad de las comunicaciones de contenido confidencial.

Avances hacia la confianza cero

La confianza cero en las organizaciones refleja una adopción e integración significativa en varias capas de seguridad. Los principios de confianza cero en la capa de red se aplican mediante microsegmentación y estrictos controles de acceso para reducir el movimiento lateral de amenazas. La seguridad de los endpoints bajo confianza cero implica implementar protección avanzada contra amenazas y soluciones de detección y respuesta de endpoints (EDR) para asegurar que todos los dispositivos que acceden a la red sean autenticados y monitoreados de forma continua. En la gestión de identidades y accesos, la autenticación multifactor (MFA) y la administración de accesos privilegiados (PAM) son componentes clave, asegurando que el acceso de los usuarios esté estrictamente controlado y verificado de manera continua. En la capa de contenido, las organizaciones están implementando cifrado de datos y monitoreo en tiempo real para proteger información confidencial. A pesar de que las organizaciones priorizan la confianza cero, casi la mitad (48%) reporta dificultades para integrar este enfoque tanto en entornos locales como en la nube.19

Nuestro interés para este informe se centra, por supuesto, en la capa de seguridad del contenido (Figura 44). La primera observación es que un preocupante 45% de las empresas aún no ha alcanzado la confianza cero en la seguridad del contenido. En segundo lugar, hay áreas demográficas donde el desempeño es incluso peor. Solo el 35% de los encuestados en el Reino Unido alcanzó este estándar y el 39% tanto en Oriente Medio como en Asia-Pacífico (Figura 45). Por industria, el gobierno estatal (21%), petróleo y gas (33%), y farmacéutica y ciencias de la vida (39%) están rezagados en la protección de contenido bajo confianza cero (Figura 46).

El 45% de las organizaciones admite que aún no ha alcanzado la confianza cero en la seguridad del contenido.

Avanzando en la seguridad para proteger contenido confidencial

En las organizaciones que admitieron no usar capacidades de seguridad avanzadas para las comunicaciones de contenido confidencial, un porcentaje mucho mayor (36%) indicó que no sabe cuántas filtraciones de datos han afectado a su organización, en comparación con quienes dijeron emplear seguridad avanzada para algunas o todas las comunicaciones de contenido (8% respectivamente para ambos casos) (Figura 47). Esto revela una brecha de riesgo importante. En los diferentes segmentos de la industria, los resultados destacan los mayores retos en el sector legal (55% las usan para algunas o ninguna comunicación), gobiernos locales (50%), gobierno federal (48%) y sector salud (44%). Estos contrastan con el 41% del grupo global que hace lo mismo. Los sectores con mejor desempeño incluyen servicios profesionales (71% las usan para todas), gobierno estatal (71%) y educación superior (65%) (Figura 48).

Las organizaciones que no usan seguridad avanzada admiten en mayor proporción que no saben cuántas filtraciones de datos han experimentado.

Rastrear, clasificar y controlar el acceso a contenido confidencial

Cuando el contenido sale de una aplicación como correo electrónico, uso compartido de archivos, SFTP, transferencia de archivos gestionada o formularios web, es fundamental que las organizaciones puedan rastrear y controlar el acceso a ese contenido. Aunque solo el 16% de los encuestados puede hacerlo siempre, el 45% indicó que lo logra aproximadamente tres cuartas partes de las veces (Figura 49). Este porcentaje es mejor en ciertos segmentos: 70% en Norteamérica, 79% en manufactura y 73% en sector salud (Figuras 50 y 51). Por otro lado, educación superior (31%) y petróleo y gas (34%) obtuvieron peores resultados.

Para identificar qué datos no estructurados deben ser controlados, es necesario contar con un sistema de clasificación. Al preguntarles cuánto de sus datos no estructurados está etiquetado o clasificado, menos de la mitad de los encuestados (48%) afirma que esto ocurre en el 75% o más de sus datos (Figura 14). La situación es un poco mejor en Norteamérica, donde el 56% ha logrado este nivel (Figura 52). Entre las industrias, el 65% lo ha alcanzado en salud, 56% en servicios financieros y 55% en legal (Figura 53).

Solo el 16% de las organizaciones puede rastrear y controlar el acceso a todo el contenido cuando sale de una aplicación.

Uso de herramientas de seguridad para contenido confidencial

Todas las empresas cuentan con múltiples herramientas de seguridad que utilizan en sus redes, endpoints y aplicaciones en la nube. Sin embargo, si estas se emplean para proteger las comunicaciones internas y externas de contenido confidencial es otra cuestión.

Al preguntar si utilizan capacidades como autenticación multifactor, cifrado y controles y seguimiento de gobernanza para estas comunicaciones, los resultados son variados (Figura 54). Casi seis de cada diez (59%) afirman que estas protecciones siempre están presentes en las comunicaciones externas de contenido confidencial. Casi todos los demás dicen que están presentes parte del tiempo. Los encuestados de Norteamérica tienen la postura de seguridad más alta, con un 67% que indica que siempre lo hacen, frente al 57% en Asia-Pacífico y 53% en EMEA.

La madurez en la medición y administración de la seguridad de las comunicaciones de contenido confidencial sigue siendo un área clave de enfoque para las organizaciones: solo el 11% indicó que no se necesita mejora, en comparación con el 26% de la encuesta del año pasado (Figura 55). Un mayor porcentaje de organizaciones este año señaló que se requiere cierta mejora (56% frente al 37% del año anterior).

Aunque los números fueron los mismos para todo el grupo, hubo diferencias interesantes al analizar la pregunta por distintos grupos. Para las comunicaciones internas, el 71% tanto de gobiernos estatales como de servicios profesionales dijo que siempre usa estas herramientas (Figura 56). Dos tercios (67%) de los encuestados de Norteamérica dijeron lo mismo, mientras que solo el 53% lo hizo en EMEA (pero 63% en el Reino Unido) (Figura 57). Curiosamente, los despachos de abogados (45%) obtuvieron el peor resultado en comunicaciones internas. Para las comunicaciones externas, farmacéutica y ciencias de la vida (78%) y educación superior (72%) fueron los sectores con mejor desempeño, al igual que las organizaciones norteamericanas (69%) (Figura 56).

El 56% de las organizaciones dijo que la forma en que miden y administran la seguridad de las comunicaciones de contenido confidencial requiere cierta mejora—un 33% más que el porcentaje del año pasado.

Proceso Operativo

Perspectiva: Se Necesita una “Comunidad”—y Mucho Tiempo—para Gestionar la Seguridad de Datos y el Cumplimiento

Muchos de los desafíos que describimos arriba—filtraciones de datos, problemas de cumplimiento y seguridad—se agravan por la complejidad de los procesos operativos en la mayoría de las organizaciones. Entre la proliferación de herramientas de comunicación y la incapacidad de la mayoría de las empresas para eliminar procesos manuales, es inevitable que los problemas de seguridad y cumplimiento pasen desapercibidos.

Multiplicación de Terceros y Riesgo

En la mayoría de las organizaciones, se intercambian grandes volúmenes de datos confidenciales durante las operaciones diarias con cientos y, a menudo, miles de terceros. El riesgo de terceros nunca ha sido tan alto para las empresas de todos los sectores, y la necesidad de intercambiar contenido confidencial acentúa la amenaza.

Cuando preguntamos al grupo de 2024 que estimara cuántos individuos de terceros reciben contenido confidencial de sus empresas, dos tercios (66%) estimaron más de 1,000 (Figura 58). Entre las empresas más grandes, con más de 30,001 empleados, el 33% intercambia contenido con más de 5,000 terceros (Figura 59). El 77% de las organizaciones de Asia-Pacífico intercambia datos confidenciales con 1,000 terceros, 66% en Norteamérica y 63% en EMEA (Figura 60).

El gobierno federal intercambia contenido confidencial a un ritmo significativamente mayor que la mayoría de los demás sectores industriales (28% envía y comparte datos con más de 5,000 terceros) (Figura 61). También mantiene una alta tasa de intercambio de datos con terceros el sector de educación superior; el 47% de los encuestados afirmó hacerlo con más de 2,500 terceros.

Una vez que el contenido confidencial sale de una organización, el 39% de las empresas indicó que solo puede rastrear y controlar el acceso al 50% o menos. La región EMEA enfrenta el mayor reto, con un 46% admitiendo que pierde la capacidad de rastrear y controlar el acceso al 50% o menos del contenido confidencial una vez que sale de la organización (Figura 62). Los sectores con mayor riesgo son educación superior y petróleo y gas—69% y 66% respectivamente dijeron que solo pueden rastrear y controlar el acceso al contenido confidencial el 50% o menos del tiempo cuando sale de la organización (Figura 63). Por otro lado, el gobierno estatal es el que mejor lo hace, con un 38% indicando que puede rastrear y controlar el acceso al contenido confidencial todo el tiempo.

La comparación de la ocurrencia de filtraciones de datos con el número de terceros con los que las organizaciones intercambian contenido confidencial muestra un riesgo significativamente mayor (Figura 64). Por ejemplo, el 35% de quienes reportaron intercambiar contenido confidencial con más de 5,000 terceros experimentaron más de 10 filtraciones de datos el año pasado. El 50% de quienes intercambian contenido confidencial con entre 2,500 y 4,999 terceros experimentaron más de siete filtraciones de datos. Lo mismo ocurre en cuanto a los costes de litigio (Figura 65). Para quienes intercambian datos confidenciales con 5,000 o más terceros, la mitad gastó más de 5 millones de dólares en costes de litigio. El 44% de quienes intercambian contenido confidencial con entre 2,500 y 4,999 terceros también gastaron más de 5 millones.

Dos tercios de las organizaciones intercambian contenido confidencial con más de 1,000 terceros. El 35% de quienes reportan intercambiar contenido confidencial con más de 5,000 terceros experimentaron más de 10 filtraciones de datos el año pasado.

Proliferación de Herramientas de Comunicación y Riesgo

Existe una proliferación de herramientas de comunicación para enviar y compartir contenido confidencial: correo electrónico, uso compartido de archivos, transferencia de archivos gestionada, SFTP, formularios web, entre otros. Las acciones para minimizar riesgos, reducir costes y mejorar la eficiencia operativa parecen haber impulsado la consolidación de herramientas de comunicación de contenido: la mitad de los encuestados en 2023 indicó que tenía seis o más herramientas de comunicación de contenido, en comparación con el 32% este año (Figura 66). Norteamérica tiene la mayor proliferación de herramientas, con un 59% usando cinco o más, frente al 50% en EMEA y 52% en APAC (Figura 67). Sorprendentemente, el 77% en Norteamérica emplea cuatro o más herramientas, y esa cifra es del 80% o más en servicios financieros, legales, servicios profesionales y petróleo y gas (Figura 68).

El análisis cruzado de lo anterior revela que las organizaciones con mayor tasa de filtraciones de datos tienen más herramientas de comunicación (Figura 69). Por ejemplo, el 32% de las organizaciones con 10 o más filtraciones de datos tienen más de siete herramientas de comunicación, y el 42% de quienes tienen seis herramientas experimentaron entre siete y nueve filtraciones de datos. Estas cifras son mucho más altas que el promedio de filtraciones de datos entre todos los encuestados: solo el 9% reportó 10 filtraciones de datos (comparado con el 32% con siete o más herramientas) y solo el 23% reportó entre siete y nueve filtraciones (Figura 6). Esto equivale a una tasa 3.55 veces mayor para quienes tienen 10 o más herramientas de comunicación y el doble para quienes tienen entre siete y nueve. Lo mismo ocurre con la cantidad que las organizaciones pagan en costes de litigio por filtraciones de datos: el 26% de quienes reportaron pagar más de 7 millones de dólares el año pasado tienen más de siete herramientas de comunicación (3.25 veces más que el promedio del 8%) (Figura 70).

El 32% de las organizaciones con 10 o más filtraciones de datos tienen más de siete herramientas de comunicación.

Conciliación de Registros que Suma

La conciliación de registros de comunicación de contenido confidencial para informes de auditoría es una tarea que consume mucho tiempo para muchos encuestados; el 48% dijo que debe consolidar más de 11 registros, y el 14% necesita consolidar más de 20. No saber qué registros deben conciliarse es un riesgo en sí mismo; el 8% dijo que no sabe cuántos tiene (Figura 71). Las organizaciones más grandes indicaron que deben consolidar mayores cantidades de registros de auditoría; por ejemplo, el 34% de quienes tienen más de 30,001 empleados consolidan más de 20 (comparado con el 14% de organizaciones con 20,001 a 25,000 empleados y el 11% de quienes tienen entre 25,001 y 30,000 empleados) (Figura 72).

Toda esta conciliación de registros consume tiempo y recursos valiosos; el 20% de los encuestados dijo que les toma más de 40 horas de trabajo del personal al mes, y otro 40% indicó que les toma más de 25 horas mensuales (Figura 73). A medida que aumenta el tamaño de la organización, también lo hace la dificultad para agregar registros; el 24% de las empresas con más de 30,001 empleados indicó que dedica más de 40 horas al mes (Figura 74). Otro 9% de las organizaciones con más de 30,001 empleados señaló que no es factible agregar sus registros, lo que revela un riesgo importante de seguridad y cumplimiento. En el sector industrial (Figura 75), las firmas legales son el segmento que más admite que es imposible conciliar sus registros (10%). Las instituciones de educación superior lideran en tiempo dedicado a consolidar registros—con un 30% dedicando 40 o más horas cada mes.

Entre los segmentos industriales, más encuestados del gobierno federal (34%) dijeron que deben consolidar más de 20 registros de canales de comunicación.

Límites de Tamaño de Archivos y Riesgo

Los límites de tamaño de archivo son un desafío presente en muchas herramientas de comunicación de contenido. La frustración de los empleados que solo intentan cumplir con su trabajo puede llevar al uso no autorizado de servicios de uso compartido de archivos de consumo para evitar estas limitaciones. Pero incluso para quienes siguen las reglas, las soluciones alternativas pueden implicar un gasto considerable de tiempo del personal.

Exceptuando SFTP (con un 27%), más de tres de cada diez organizaciones necesitan implementar soluciones alternativas por límites de tamaño de archivo para correo electrónico, uso compartido de archivos y transferencia de archivos gestionada más de 50 veces al mes (Figura 76). Alrededor del 10% dijo que debe hacerlo más de 100 veces al mes (10% para correo electrónico, 11% para uso compartido de archivos, 8% para SFTP y 11% para transferencia de archivos gestionada). Más de la mitad lo hace más de 25 veces al mes en estos cuatro canales de comunicación. Por regiones, la frecuencia es mayor en Norteamérica que en EMEA y Asia-Pacífico; quienes necesitan hacerlo más de 100 veces al mes duplican la cifra en cada uno de los canales de comunicación (Figura 77).

Más del 30% de las organizaciones deben implementar soluciones alternativas por tamaño de archivo 50 veces al mes para correo electrónico, uso compartido de archivos, transferencia de archivos gestionada y SFTP.

Principales Impulsores para Atender el Riesgo en las Comunicaciones de Contenido Confidencial

A estas alturas, probablemente los lectores ya perciben algunos de los problemas derivados de tener muchas herramientas de comunicación de contenido confidencial—los riesgos y desafíos de seguridad y cumplimiento, la falta de visibilidad transparente entre tipos de datos y los procesos manuales ineficientes. Para medir cómo los participantes de la encuesta enfrentan esta complejidad, les pedimos que eligieran sus dos principales impulsores para unificar y proteger sus comunicaciones de contenido confidencial (Figura 78). La respuesta más citada (56%) fue proteger la propiedad intelectual y los secretos corporativos. Muy cerca estuvieron la reducción de litigios (51%) y evitar infracciones normativas (48%).

Hubo diferencias interesantes en la importancia del litigio según el rol laboral (Figura 79). Fue citado por el 79% de los profesionales de TI y el 61% de los miembros de equipos de seguridad, pero solo por el 39% de los empleados de riesgo y cumplimiento. Los encuestados de los sectores legal (75%), petróleo y gas (75%) y gobierno federal (69%) estaban especialmente preocupados por la filtración de propiedad intelectual (Figura 80).

Por regiones, también hubo variaciones interesantes (Figura 81). En Asia-Pacífico, la principal motivación fue evitar un impacto negativo en la marca (79%), seguida por la reducción de litigios largos y costosos (61%). En EMEA, el principal impulsor fue prevenir la filtración de propiedad intelectual confidencial y secretos corporativos (62%), seguido por la reducción de litigios largos y costosos (51%). Los encuestados de Norteamérica citaron evitar interrupciones operativas y pérdida de ingresos como su prioridad (57%), seguido de prevenir la filtración de propiedad intelectual confidencial y secretos corporativos (51%).

Los principales impulsores para unificar y proteger las comunicaciones de contenido confidencial fueron la protección de la propiedad intelectual y secretos corporativos (56%), la reducción de litigios (51%) y evitar infracciones normativas (48%).

Conclusión

Los hallazgos del Informe de Privacidad y Cumplimiento en Comunicaciones de Contenido Confidencial de este año resaltan la necesidad crítica de que las organizaciones tomen medidas proactivas para la protección de su contenido confidencial. Una recomendación clave es consolidar las herramientas de comunicación en una sola plataforma. Al reducir la cantidad de herramientas diferentes utilizadas para la comunicación de contenido, las organizaciones pueden disminuir considerablemente el riesgo de filtraciones de datos y mejorar la eficiencia operativa. En concreto, las organizaciones que utilizan menos herramientas de comunicación sufren menos filtraciones, lo que indica una relación directa entre la consolidación de herramientas y una mayor seguridad.

El informe también destaca los riesgos importantes asociados con los datos sin etiquetar ni clasificar. Las organizaciones que no implementan sistemas sólidos de etiquetado y clasificación de datos están más expuestas a filtraciones, ya que carecen de la visibilidad y el control necesarios sobre su contenido confidencial. El crecimiento exponencial de los datos, impulsado aún más por la adopción de GenAI, hace imprescindible que las organizaciones prioricen la clasificación de datos para reducir estos riesgos de manera efectiva.

La implementación de principios de confianza cero y capacidades de seguridad avanzadas es esencial para fortalecer la seguridad en las comunicaciones de contenido confidencial. Los resultados del informe evidencian brechas de seguridad significativas y la necesidad de una confianza cero definida por el contenido, que incluya controles de acceso basados en atributos, cifrado integral, monitoreo en tiempo real y prevención de pérdida de datos. Como muestran nuestros hallazgos, ciertos sectores industriales, regiones y países presentan brechas mayores que otros.

Los datos también ponen de manifiesto riesgos relevantes asociados al intercambio de contenido confidencial con terceros: cuantos más terceros reciben y comparten contenido confidencial, más filtraciones y mayores costes legales experimentan los encuestados. Por ello, las organizaciones deben asegurarse de contar con un seguimiento de gobernanza integral, controles efectivos y capacidades de seguridad avanzadas para reducir los riesgos relacionados con terceros.

En este sentido, es importante comentar el coste de las filtraciones de datos, especialmente el vinculado a litigios. La encuesta de este año reveló que muchas organizaciones asumen costes legales significativos que a menudo no se contemplan en las estimaciones tradicionales de costes por filtración. El daño a la reputación de la marca, la pérdida de ingresos y la interrupción de operaciones son solo una parte de las consecuencias de una filtración. Las multas y sanciones por incumplimiento, junto con los costes legales prolongados, suelen tener un efecto duradero a lo largo del tiempo. Esto resalta la importancia de evaluar y seleccionar herramientas de comunicación de contenido confidencial que cumplan con estándares de seguridad como FedRAMP, ISO 27001, SOC 2 Tipo II, NIST CSF 2.0, entre otros.

Referencias

  1. “Informe de Investigaciones de Filtraciones de Datos 2024”, Verizon, abril de 2024.
  2. Matt Kapko, “El colapso de MOVEit de Progress Software: descubriendo las consecuencias”, Cybersecurity Dive, 16 de enero de 2024.
  3. Bill Toulas, “Fortra comparte hallazgos sobre ataques zero-day a GoAnywhere MFT”, BleepingComputer, 1 de abril de 2023.
  4. “Hoja de ruta de adopción tecnológica de Gartner 2024 para grandes empresas – Encuesta”, febrero de 2024.
  5. Eileen Yu, “Empleados introducen datos confidenciales en herramientas de IA generativa a pesar de los riesgos”, ZDNet, 22 de febrero de 2024.
  6. “Informe Global de Amenazas 2024”, CrowdStrike, febrero de 2024.
  7. “A pesar de presupuestos mayores, las organizaciones tienen dificultades con el cumplimiento”, Help Net Security, 24 de mayo de 2024.
  8. “Legislación mundial sobre protección de datos y privacidad”, U.N. Trade & Development, consultado el 7 de junio de 2024.
  9. “Seguimiento de la legislación estatal de privacidad en EE. UU.”, IAPP, última actualización 28 de mayo de 2024.
  10. Martin Armstrong, “Las multas por protección de datos en la UE alcanzan un récord en 2023”, Statistica, 8 de enero de 2024.
  11. “Privacidad de la información de salud: aspectos destacados de la aplicación”, U.S. Health and Human Services, consultado el 30 de abril de 2024.
  12. “Informe de Investigaciones de Filtraciones de Datos 2024”, Verizon, abril de 2024.
  13. “Informe de Filtraciones de Datos 2023”, ID Theft Center, enero de 2024.
  14. “Informe sobre el costo de una filtración de datos 2023”, IBM Security, julio de 2023.
  15. “Costo de una filtración de datos 2023”, IBM Security, julio de 2023.
  16. “Informe Global de Amenazas 2024”, CrowdStrike, febrero de 2024.
  17. “Informe de Investigaciones de Filtraciones de Datos 2024”, Verizon, mayo de 2024.
  18. “Privacidad en la práctica 2024”, ISACA, enero de 2024.
  19. “El informe global sobre Zero Trust de Fortinet revela que la mayoría de las organizaciones están implementando Zero Trust activamente, pero muchas aún enfrentan retos de integración”, Comunicado de prensa de Fortinet, 20 de junio de 2023.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo
Compartir
Twittear
Compartir
Explore Kiteworks