Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Completa tu estrategia DSPM con la aplicación automática de políticas para datos en movimiento

Completa tu estrategia DSPM con la aplicación automática de políticas para datos en movimiento

by Robert Dougherty updated diciembre 4, 2025 Gestión de Riesgos de Ciberseguridad
Reading Time: 8 minutes

Las organizaciones están invirtiendo grandes sumas en soluciones de Data Security Posture Management (DSPM), y con razón. Saber dónde reside tu información confidencial es fundamental para protegerla. Pero aquí está el problema que quita el sueño a los responsables de seguridad: DSPM te dice dónde está la información, pero no qué sucede cuando sale de tu entorno.

En este artículo analizamos la brecha crítica entre el descubrimiento y la protección de datos, por qué esa brecha representa un riesgo significativo y cómo la aplicación automatizada de políticas para datos en movimiento transforma tu inversión en DSPM de un costoso sistema de inventario a una estrategia integral de seguridad de datos.

Resumen Ejecutivo

Idea principal: Las soluciones DSPM destacan en el descubrimiento y clasificación de datos confidenciales en reposo, pero carecen de capacidades de aplicación cuando esa información sale de tu organización. La aplicación automatizada de políticas para datos en movimiento cierra esta brecha al asegurar que las clasificaciones DSPM activen protección en tiempo real cada vez que se comparte información confidencial externamente, ya sea por correo electrónico seguro, transferencias de archivos, APIs o colaboración con terceros.

Por qué te debe importar: Según Frost & Sullivan, el 40% de las filtraciones ahora involucran datos almacenados en múltiples entornos. Además, investigaciones de Secureframe muestran que el 61% de las organizaciones sufrió filtraciones de datos de terceros solo en los últimos 12 meses. Tu solución DSPM puede clasificar un documento como «Confidencial» todo el día, pero esa clasificación se vuelve irrelevante en el momento en que alguien lo envía por correo electrónico a un proveedor sin una capa de aplicación. La inversión que has hecho en descubrimiento solo es tan valiosa como tu capacidad de actuar sobre lo descubierto.

Confías en que tu organización es segura. Pero ¿puedes comprobarlo?

Leer ahora

Puntos Clave

  1. DSPM proporciona visibilidad, no protección. El descubrimiento y la clasificación de datos son pasos esenciales, pero las herramientas DSPM se detienen en el perímetro de tu red. Cuando los datos confidenciales salen al exterior, las clasificaciones no se mantienen sin una capa de aplicación.
  2. El intercambio con terceros es tu punto ciego de mayor riesgo. Con el 61% de las organizaciones experimentando filtraciones de terceros el año pasado y los ataques a la cadena de suministro tardando 267 días en ser contenidos, la colaboración externa representa la brecha más peligrosa en la mayoría de las estrategias de seguridad de datos.
  3. La IA en la sombra amplifica la brecha de aplicación. IBM informa que el 20% de las organizaciones ha sufrido filtraciones por uso no autorizado de IA, y el 97% carece de controles de acceso adecuados. Sin aplicación automatizada, los empleados pueden exponer inadvertidamente datos clasificados a herramientas de IA.
  4. La aplicación automatizada hace que las clasificaciones DSPM sean accionables. Al ingerir etiquetas MIP y aplicar políticas dinámicas según la sensibilidad de los datos y el contexto del destinatario, la aplicación asegura que la protección siga a la información dondequiera que viaje.
  5. La integración no requiere reemplazar tu inversión en DSPM. Las soluciones de aplicación funcionan con las plataformas DSPM existentes (Microsoft Purview, Cyera, Varonis, BigID, entre otras), ampliando su valor en lugar de competir con ellas.

Hasta Dónde Llega DSPM: El Punto Ciego de los Datos en Movimiento

DSPM se ha ganado su lugar en la tecnología de seguridad empresarial. Estas soluciones escanean repositorios, identifican información confidencial, aplican clasificaciones y brindan a los equipos de seguridad una visibilidad sin precedentes. El mercado lo refleja: Frost & Sullivan informa que el mercado DSPM alcanzó los 415 millones de dólares en 2024 y crece a un ritmo anual del 37,4%.

Pero existe una limitación arquitectónica fundamental que los proveedores de DSPM rara vez destacan en sus presentaciones comerciales.

DSPM Destaca en Datos en Reposo

Las herramientas DSPM están diseñadas para responder preguntas críticas: ¿Dónde reside la información confidencial? ¿Cómo está clasificada? ¿Quién tiene acceso? ¿Cumple con los requisitos de cumplimiento normativo? Escanean comparticiones de archivos, almacenamiento en la nube, bases de datos y aplicaciones SaaS para construir un mapa integral de tu panorama de datos.

Esta capacidad es realmente valiosa. No puedes proteger lo que no puedes ver, y la mayoría de las organizaciones ha pasado años acumulando información confidencial en docenas de repositorios sin ninguna visibilidad centralizada.

El Problema del Perímetro de Red

El reto surge cuando los datos deben moverse. El negocio no ocurre en aislamiento. Las organizaciones comparten archivos con proveedores, colaboran con socios, envían informes a auditores e intercambian información con clientes de forma constante.

¿Qué sucede cuando un archivo clasificado como «Confidencial» por tu DSPM se adjunta a un correo electrónico o se sube a un portal de socios? En la mayoría de los entornos, nada. La clasificación existe como metadato, pero ningún sistema aplica protección basada en esa clasificación una vez que los datos cruzan el límite de tu red.

Este es el punto ciego de los datos en movimiento. DSPM vigila los datos en reposo. Nadie vigila cuando se mueven.

Cómo se Ven Realmente los Datos en Movimiento

La información sale de las organizaciones por múltiples canales cada día:

  • Archivos adjuntos en correos electrónicos enviados a destinatarios externos mediante correo seguro o canales no seguros
  • Uso compartido seguro de archivos con proveedores, socios y clientes
  • Transferencia de archivos gestionada a socios comerciales
  • Integraciones API que intercambian datos con sistemas de terceros
  • Formularios web seguros para recopilar o distribuir información
  • Plataformas de colaboración que permiten trabajar con partes externas

Cada uno de estos canales representa una posible brecha donde existen clasificaciones DSPM pero no hay aplicación.

El Riesgo de la Brecha de Aplicación

La brecha entre el descubrimiento y la aplicación no es una preocupación teórica. Se refleja en estadísticas de filtraciones, hallazgos regulatorios y tiempos de respuesta a incidentes.

Exposición al Riesgo de Terceros

La colaboración externa se ha convertido en el punto débil de la seguridad empresarial. Investigaciones de Secureframe revelan que el 61% de las empresas sufrió filtraciones de datos de terceros en los últimos 12 meses, un aumento del 49% respecto a 2023. Aún más impactante: el 98% de las organizaciones tiene al menos un proveedor en su cadena de suministro que ha sufrido una filtración.

El informe de IBM sobre el Costo de una Filtración de Datos 2025 añade otra dimensión a este riesgo. Las filtraciones en la cadena de suministro ahora representan el 15% de todas las filtraciones y tardan en promedio 267 días en ser contenidas, el periodo más largo de cualquier vector de ataque. Cuando los datos confidenciales salen de tu organización sin aplicación, extiendes confianza sin verificación. Una administración eficaz de riesgos de terceros exige protección que acompañe a los datos más allá de tu perímetro.

Complejidad Multi-entorno

Las empresas modernas no almacenan datos en un solo lugar. Residen en sistemas locales, múltiples proveedores de nube, aplicaciones SaaS y entornos de socios. Frost & Sullivan encontró que el 40% de las filtraciones involucran datos distribuidos en múltiples entornos.

DSPM puede descubrir y clasificar datos en estos entornos. Pero cuando la información se mueve entre ellos, como ocurre constantemente, las clasificaciones no se traducen automáticamente en protección. Un archivo etiquetado como «Restringido» en tu entorno Azure no lleva esa protección cuando se transfiere a una instancia AWS de un socio. Las organizaciones con requisitos de soberanía de datos enfrentan aún mayor complejidad.

La IA en la Sombra Crea Nuevos Vectores de Exposición

La rápida adopción de herramientas de IA ha generado una nueva categoría de riesgo que muchas organizaciones aún intentan controlar. Según IBM, el 20% de las organizaciones ya ha sufrido filtraciones relacionadas con el uso no autorizado de IA. Estos incidentes suman aproximadamente $670,000 al costo promedio de una filtración.

Quizá lo más preocupante: el 97% de las organizaciones que experimentaron filtraciones relacionadas con IA carecían de controles de acceso adecuados. Los empleados suben documentos confidenciales a herramientas de IA para resumir, analizar o generar contenido, muchas veces sin darse cuenta de que están exponiendo datos clasificados a sistemas de terceros. Una gobernanza de datos de IA adecuada requiere aplicar políticas antes de que los datos lleguen a destinos no autorizados.

Sin una aplicación automatizada que intercepte y aplique políticas a los datos antes de que lleguen a estas herramientas, las clasificaciones DSPM son solo etiquetas en archivos que ya están siendo compartidos de forma inapropiada.

Cómo Funciona la Aplicación Automatizada de Políticas en la Práctica

Cerrar la brecha de aplicación requiere un sistema que consuma las clasificaciones DSPM y aplique protección en tiempo real cuando los datos se mueven externamente. No se trata de reemplazar DSPM, sino de volverlo accionable.

Cómo Funciona la Aplicación Basada en Clasificación

El proceso de aplicación conecta el descubrimiento DSPM con la protección en tiempo real a través de varios pasos:

Etapa Qué Sucede Ejemplo
Clasificación DSPM descubre y etiqueta datos confidenciales Documento etiquetado «Confidencial—PII/PHI«
Detección La capa de aplicación detecta la clasificación al compartir datos Usuario adjunta archivo a correo externo
Evaluación de Contexto El sistema evalúa remitente, destinatario y sensibilidad de los datos Empleado enviando a proveedor conocido vs. destinatario desconocido
Aplicación de Políticas Se aplica protección adecuada automáticamente Se requiere cifrado, descarga restringida, marca de agua aplicada
Registro de Auditoría Se crea un registro completo para cumplimiento Quién, qué, cuándo, dónde y cómo capturado en registros de auditoría

Aplicación Dinámica de Políticas

La aplicación efectiva no es binaria. En lugar de solo bloquear o permitir, los sistemas contextuales pueden aplicar protecciones graduales según la situación específica:

  • Cifrado de extremo a extremo para datos confidenciales enviados a destinatarios externos autorizados
  • Acceso solo de visualización para documentos altamente clasificados que no deben descargarse
  • Marcas de agua para disuadir la redistribución no autorizada mediante gestión de derechos digitales
  • Edición sin posesión que permite colaboración sin descargas de archivos
  • Bloqueo ante intentos de compartir datos restringidos con partes no autorizadas

Este enfoque matizado mantiene la productividad asegurando la protección. Los usuarios pueden seguir colaborando, solo que no pueden hacerlo de formas que violen las políticas de seguridad de datos.

Integración Sin Rehacer la Arquitectura

Las soluciones modernas de aplicación se integran con plataformas DSPM mediante etiquetas Microsoft Information Protection (MIP) o conexiones API directas. Esto permite que las organizaciones:

  • Sigan usando su inversión actual en DSPM
  • Aprovechen las clasificaciones ya aplicadas a los datos
  • Eviten volver a etiquetar o reclasificar contenido existente
  • Mantengan políticas coherentes entre descubrimiento y aplicación

DSPM se encarga del descubrimiento y la clasificación. La capa de aplicación se encarga de la protección. Cada uno hace lo que mejor sabe hacer.

De la Visibilidad al Control: Resultados y Beneficios

Cuando las organizaciones cierran la brecha de aplicación, DSPM pasa de ser una herramienta de reporte a un sistema de defensa activo.

Cumplimiento Automatizado en Distintas Regulaciones

Las clasificaciones DSPM pueden activar automáticamente controles específicos según la regulación:

  • Documentos etiquetados como CUI reciben protecciones de cumplimiento CMMC
  • Archivos clasificados como PHI activan salvaguardas de cumplimiento HIPAA
  • Datos personales aplican automáticamente requisitos de cumplimiento GDPR
  • Registros financieros aplican controles SOX y GLBA

Esto elimina el proceso manual de mapear clasificaciones a requisitos de cumplimiento. El motor de políticas lo gestiona automáticamente según las etiquetas que ya aplicó DSPM.

Mejoras Medibles en Seguridad

Las organizaciones que implementan aplicación automatizada junto con DSPM suelen observar:

  • 100% de aplicación de políticas para datos clasificados compartidos externamente
  • Registros de auditoría completos para cada interacción de datos externa
  • Reducción del tiempo de respuesta a incidentes gracias a controles automatizados
  • Reportes de cumplimiento simplificados con visibilidad unificada

Ganancias en Eficiencia Operativa

Más allá de las mejoras en seguridad, la automatización de la aplicación reduce la carga operativa:

  • Un solo sistema de clasificación impulsa todas las políticas de protección
  • No se requiere capacitación adicional para el cumplimiento de políticas
  • Menos tickets de soporte relacionados con el uso compartido seguro de archivos
  • Preparación de auditorías más rápida con registros completos

La investigación de IBM indica que las organizaciones que usan automatización de seguridad con IA ahorran en promedio $1,9 millones por filtración y detectan amenazas 80 días más rápido que quienes no la usan.

Kiteworks Private Data Network Cierra la Brecha Crítica de Aplicación DSPM

La brecha entre el descubrimiento DSPM y la protección de datos requiere una solución diseñada específicamente para asegurar los datos en movimiento. Kiteworks Private Data Network resuelve esta brecha con varias capacidades clave.

Aplicación Automatizada de Políticas vía Integración MIP. Kiteworks ingiere clasificaciones de cualquier solución DSPM mediante etiquetas Microsoft Information Protection, aplicando automáticamente políticas de protección cuando se comparte información clasificada externamente. No se requiere intervención manual.

Cifrado para Datos en Movimiento en Todos los Canales. A diferencia de soluciones puntuales que solo protegen un método de intercambio, Kiteworks aplica cifrado AES 256 en correo electrónico, uso compartido de archivos, transferencia de archivos gestionada, APIs y formularios web. Los datos confidenciales permanecen protegidos sin importar cómo salen de tu organización.

SafeEDIT Edición sin Posesión. Para documentos altamente sensibles, SafeEDIT permite colaboración externa sin descargas de archivos. Los destinatarios pueden ver y editar documentos sin tomar posesión del archivo, eliminando el riesgo de copias no controladas.

Arquitectura Zero Trust para Compartición Externa. Kiteworks extiende los principios de confianza cero más allá de tu perímetro, verificando cada solicitud de acceso y aplicando el menor privilegio incluso para destinatarios externos.

Registro de Auditoría Integral. Cada acceso, compartición, modificación y transferencia se registra con detalle completo, brindando la trazabilidad requerida para cumplimiento normativo e investigaciones de incidentes.

Las organizaciones que protegen información confidencial en colaboración externa no pueden conformarse solo con el descubrimiento. Kiteworks convierte las clasificaciones DSPM en protección aplicada, completando tu estrategia de seguridad de datos.

Para saber más sobre cómo cerrar esta brecha crítica en tu inversión DSPM, agenda una demo personalizada hoy mismo.

Preguntas Frecuentes

DSPM y la protección de datos en movimiento cubren diferentes fases del ciclo de vida de los datos. DSPM se enfoca en descubrir, clasificar y monitorear información confidencial en reposo en repositorios y entornos en la nube. La protección de datos en movimiento aplica políticas de seguridad cuando esa información se comparte externamente por correo electrónico, transferencias de archivos o herramientas de colaboración. Las organizaciones necesitan ambas para una cobertura completa: DSPM brinda visibilidad mientras la protección de datos en movimiento asegura que las clasificaciones se traduzcan en protección aplicada.

Las soluciones de aplicación automatizada de políticas pueden integrarse con plataformas DSPM existentes sin que las organizaciones tengan que reemplazar sus inversiones actuales. La integración suele realizarse mediante etiquetas Microsoft Information Protection (MIP), que funcionan como estándar universal de clasificación. Cuando una solución DSPM como Purview, Varonis, Cyera o BigID aplica una etiqueta MIP, la capa de aplicación lee esa etiqueta y aplica automáticamente las políticas de protección correspondientes.

La aplicación automatizada ayuda a las organizaciones a cumplir los requisitos de CMMC 2.0 para la Información No Clasificada Controlada asegurando que los documentos clasificados como CUI reciban automáticamente protecciones conforme al cumplimiento cuando se comparten externamente. Cuando DSPM etiqueta un documento como CUI, la capa de aplicación implementa los controles requeridos (cifrado, controles de acceso, registros de auditoría) sin intervención manual. Esto genera la protección documentada y consistente que buscan las evaluadoras CMMC.

Las organizaciones que necesitan colaboración externa sin descargas de archivos pueden usar tecnología de edición sin posesión como SafeEDIT. Este enfoque permite a los destinatarios externos ver y editar documentos confidenciales a través de una interfaz segura sin descargar el archivo real. El documento nunca sale del entorno protegido, eliminando riesgos de copias no controladas y manteniendo la colaboración completa.

Las organizaciones abordan los riesgos de IA en la sombra mediante la aplicación automatizada de políticas que intercepta los intentos de compartir datos antes de que lleguen a herramientas de IA no autorizadas. Cuando un empleado intenta subir un documento clasificado a un servicio de IA, la capa de aplicación detecta la clasificación DSPM y aplica los controles apropiados: bloquear la transferencia, requerir aprobación o permitirla con registro, según la política. Esto previene exposiciones accidentales sin que los empleados deban revisar manualmente las clasificaciones. Una estrategia sólida de gobernanza de datos de IA combina la visibilidad DSPM con la aplicación para cerrar esta brecha.

Recursos Adicionales

  • Artículo del Blog DSPM vs Seguridad de Datos Tradicional: Cerrando Brechas Críticas de Protección de Datos
  • Artículo del Blog DSPM para Firmas Legales: Confidencialidad del Cliente en la Era de la Nube
  • Artículo del Blog DSPM para Salud: Protección de PHI en Entornos Cloud e Híbridos
  • Artículo del Blog DSPM para Farmacéuticas: Protección de Datos de Ensayos Clínicos y Propiedad Intelectual
  • Artículo del Blog DSPM en Banca: Más Allá del Cumplimiento Normativo hacia una Protección Integral de Datos

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks