Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > DSPM te dice dónde están los datos. ¿Y ahora qué?

DSPM te dice dónde están los datos. ¿Y ahora qué?

by Patrick Spencer updated mayo 13, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 9 minutes

DSPM ha pasado de ser una categoría emergente a una inversión de seguridad principal en solo dieciocho meses. Coberturas recientes del sector indican que aproximadamente el 30% de los CISOs en Reino Unido están adquiriendo soluciones DSPM en 2026 para reducir la exposición de datos en entornos cloud, SaaS y on-premises. Esa cifra coincide con pronósticos de analistas y con lo que observan los gobiernos estatales y locales.

Conclusiones clave

  1. La adopción de DSPM está acelerándose rápidamente. Aproximadamente el 30% de los CISOs en Reino Unido están comprando soluciones DSPM en 2026, y los gobiernos estatales y locales siguen la misma tendencia.
  2. El descubrimiento crea una obligación documentada. Una vez que un escaneo DSPM señala una exposición, la organización tiene conocimiento real — y comienza un reloj de remediación que será medido por demandantes, reguladores y auditores.
  3. La brecha de gobernanza es más amplia que la de descubrimiento. El 33% de las organizaciones carecen de registros auditables de calidad y el 61% tienen logs fragmentados. La mayoría no puede demostrar qué hicieron con los datos que DSPM identificó.
  4. Visibilidad no es lo mismo que control. Solo el 33% de las organizaciones conocen completamente dónde se almacenan sus datos. Aún menos pueden gobernar cómo fluyen a través de correo electrónico, uso compartido de archivos, SFTP, MFT, formularios web, APIs y IA.
  5. La respuesta es una capa de control, no otro escáner. DSPM identifica el riesgo. Una capa de intercambio de datos gobernada es lo que lo cierra — sin ella, los informes DSPM se convierten en documentos de responsabilidad.

StateTech Magazine informó en abril de 2026 que DSPM se ha vuelto esencial para agencias estatales y locales que navegan entornos híbridos en la nube y una presión regulatoria creciente. El artículo presenta DSPM como una «capa de control centrada en los datos» que descubre, clasifica y monitorea de forma continua los datos sensibles en toda la empresa. Esta perspectiva es relevante porque captura con precisión la propuesta de valor central de DSPM — y expone su principal limitación con la misma claridad.

DSPM te dice qué tienes, dónde está, quién puede acceder y dónde está protegido de forma inadecuada. No mueve los datos a un estado gobernado. No aplica políticas cuando esos datos se envían a un socio, se suben a una aplicación SaaS o los consulta un agente de IA. No produce registros auditables de calidad probatoria sobre lo que ocurrió después. El mercado ha reconocido correctamente que las organizaciones necesitan visibilidad de datos. La siguiente pregunta — la que la mayoría de los programas de seguridad aún no han respondido — es qué hacer una vez que la tienes.

Esta es la brecha. DSPM ha resuelto el descubrimiento. La mayoría de las organizaciones no ha resuelto la gobernanza.

La paradoja de DSPM: el descubrimiento crea obligación

Un escaneo DSPM es, en términos legales, un evento de creación de conocimiento. Antes del escaneo, una organización podía mantener una postura defendible de «no sabíamos que esos datos estaban ahí». Después del escaneo, esa defensa desaparece. La organización sabía exactamente dónde estaban los datos, sabía que no estaban protegidos adecuadamente y — si no hubo remediación — no actuó sobre un conocimiento documentado.

Esta es la tesis central detrás del enfoque legal que se aplica cada vez más a incidentes de seguridad de datos. El argumento tiene tres pilares. Conocimiento real. DSPM lo proporciona. La obligación de proteger se activa de inmediato. Ceguera voluntaria rechazada. Los tribunales rechazan cada vez más la defensa de «elegimos no mirar» cuando existían herramientas adecuadas que no se implementaron. El reloj de remediación comienza. El descubrimiento activa una obligación de actuar en «tiempo razonable» — días o semanas para datos de alto riesgo, meses para categorías de menor riesgo.

El patrón de litigios ya está tomando forma. Imagina el escenario: un escaneo DSPM en el primer trimestre señala una base de datos como de alto riesgo, sin cifrar y que contiene información personal identificable. No se realiza ninguna remediación. En el cuarto trimestre, esa base de datos es vulnerada. Durante el proceso, los demandantes solicitan todos los informes de escaneo DSPM y los planes de remediación. La pregunta en la declaración es obvia: «Sabías en enero que esta base de datos no estaba cifrada. ¿Qué hiciste?» La brecha de nueve meses entre el conocimiento documentado y la filtración se convierte en la prueba central del juicio.

Etiquetar es admitir conocimiento. Si los datos etiquetados no están protegidos adecuadamente cuando ocurre una filtración, la organización ha documentado su propia negligencia.

La brecha de gobernanza es más amplia que la de descubrimiento

El problema del descubrimiento se está resolviendo. El problema de gobernanza, no.

El informe Kiteworks Data Security and Compliance Risk: 2026 Forecast Report, que encuestó a organizaciones de diferentes sectores sobre su madurez en gobernanza de datos, encontró que el 33% carece de registros auditables de calidad probatoria y el 61% tiene logs fragmentados y no accionables. El informe también reveló que el 78% de las organizaciones no puede validar los datos que ingresan a los pipelines de entrenamiento de IA, el 63% no puede imponer limitaciones de propósito a los agentes de IA y el 60% no puede terminar rápidamente un agente de IA que se comporta de forma incorrecta. Estas no son brechas de descubrimiento. Son brechas de gobernanza.

El 2026 Thales Data Threat Report llega a una conclusión paralela desde otra perspectiva. Solo el 33% de las organizaciones tiene conocimiento completo de dónde se almacenan sus datos. Apenas el 39% puede clasificar todos sus datos. De los datos en la nube clasificados como sensibles, solo el 47% está cifrado. El error humano, no las amenazas avanzadas, es la principal causa de filtraciones con un 28%. Incluso las organizaciones que saben dónde están sus datos a menudo no pueden demostrar qué controles se aplicaron.

El informe 2026 Forecast Report resalta el impacto operativo. Solo el 28% de las organizaciones ha alcanzado una madurez de gobernanza de datos «Gestionada» — métricas definidas, ejecución consistente, cierta automatización. El veinticinco por ciento aún depende de procesos manuales o periódicos de cumplimiento como su enfoque principal. En un entorno regulatorio que cada vez espera evidencia continua, el cumplimiento periódico es una responsabilidad latente.

El patrón se repite en todas las industrias y regiones. Las organizaciones pueden describir los riesgos de datos que enfrentan. No han construido los controles para gestionarlos.

Por qué los programas solo de descubrimiento generan responsabilidad sin reducir el riesgo

Un programa de seguridad de datos solo con DSPM crea un modo de falla específico: conocimiento documentado de exposición sin remediación documentada. Esta es la peor postura que puede tener una organización. Antes de DSPM, las organizaciones podían argumentar plausiblemente que no sabían. Las organizaciones solo con DSPM han reemplazado la ignorancia por evidencia de riesgo no atendido.

El patrón va más allá del litigio y llega al entorno regulatorio. El 2026 Thales Data Threat Report documenta que los ecosistemas SaaS interconectados y las herramientas de IA que operan sobre repositorios de código y datos corporativos están difuminando los límites jurisdiccionales y exigiendo una aplicación dinámica y continua de la soberanía de datos, en lugar de evaluaciones estáticas por aplicación. Los reguladores ya no se conforman con documentación puntual. Esperan que las organizaciones demuestren control continuo sobre cómo fluyen los datos — no solo dónde se almacenan.

La dimensión de terceros amplía aún más la brecha. El 2026 Forecast Report encontró que el 89% de las organizaciones nunca ha practicado respuesta a incidentes con proveedores externos y el 87% carece de manuales conjuntos de respuesta a incidentes. Cuando un socio sufre una filtración — y los socios sufren filtraciones — casi nueve de cada diez organizaciones improvisarán su respuesta. DSPM puede indicarles qué datos sensibles se expusieron a través de esa relación. No les dirá qué controles se aplicaron cuando se intercambiaron los datos, qué registro de auditoría existe o qué evidencia pueden presentar ante una investigación regulatoria.

Esta es la realidad operativa que DSPM no puede resolver por sí solo. El descubrimiento sin gobernanza es solo media solución. La otra mitad — la que cierra el riesgo — es lo que ocurre con los datos después del escaneo.

Cómo se ve una postura defendible: del descubrimiento a la gobernanza y la evidencia

Un programa de seguridad de datos defendible trata DSPM como la parte inicial de una arquitectura de cuatro etapas. Descubrir. Identifica dónde viven los datos sensibles, cómo se clasifican y dónde existe exposición. Gobernar. Mueve los datos a un entorno controlado donde la política se aplica de forma consistente sin importar el canal — correo electrónico, uso compartido de archivos, SFTP, transferencia de archivos gestionada, formularios web, APIs, integraciones de IA. Rastrear. Genera registros auditables de calidad probatoria y resistentes a manipulaciones de cada acceso, cada transferencia y cada decisión de política. Demostrar. Produce evidencia lista para reguladores y evaluadores que demuestre que la organización actuó sobre lo que reveló el descubrimiento.

Las cuatro etapas deben operar como una sola arquitectura, no como un conjunto de herramientas desconectadas. El 2026 Forecast Report encontró que el 61% de las organizaciones tiene una infraestructura de intercambio de datos fragmentada, lo que explica por qué sus registros de auditoría también están fragmentados. No puedes generar un registro de evidencia unificado desde cinco sistemas separados con cinco motores de políticas distintos y cinco formatos de logs diferentes.

La capa de gobernanza también debe extenderse a la gobernanza de datos de IA, no solo al acceso humano. El 2026 Forecast Report documenta que solo el 36% de las organizaciones tiene alguna visibilidad sobre cómo los socios gestionan datos en sistemas de IA, y el 29% cita la gestión de proveedores de IA transfronterizos como una de las principales exposiciones de privacidad de datos. Los agentes de IA ahora consumen los mismos datos sensibles que identifica DSPM — a menudo mediante integraciones no gobernadas — y los controles que rigen el acceso humano a archivos frecuentemente no se extienden a la capa de IA.

El patrón es consistente en las investigaciones más citadas. El Global Threat Report 2026 de CrowdStrike documenta un aumento del 89% interanual en ataques por adversarios habilitados por IA y un 82% de detecciones sin malware, con adversarios pivotando a través de la nube, SaaS y sistemas de identidad en lugar de desplegar código malicioso. Los atacantes se están moviendo hacia los datos, y lo hacen a través de los mismos canales — correo electrónico, SaaS, plataformas de colaboración, integraciones de IA — que las herramientas DSPM observan pero no gobiernan.

Enfoque Kiteworks: la capa operativa posterior a DSPM

Kiteworks no es una herramienta DSPM. Kiteworks es lo que viene después de DSPM — la capa de intercambio de datos gobernada que convierte el descubrimiento en acción defendible. DSPM le indica a una organización dónde están los datos sensibles y dónde existe exposición. Kiteworks proporciona el entorno controlado para mover esos datos, aplicar políticas consistentes y generar la evidencia de que la organización actuó.

La arquitectura es clave porque determina cómo los hallazgos DSPM se traducen en acción. Cuando una plataforma DSPM clasifica un conjunto de datos como que contiene información de salud protegida, datos financieros regulados o CUI, esas clasificaciones pueden fluir a Kiteworks como entradas de política. El Motor de Políticas de Datos de Kiteworks luego aplica los controles correspondientes en cada interacción con esos datos — cifrado en reposo y en tránsito, control de acceso basado en roles y atributos, política de retención, restricciones geográficas de procesamiento — en correo electrónico, uso compartido de archivos, SFTP, transferencia de archivos gestionada, formularios web, APIs e integraciones de IA a través de Kiteworks Secure MCP Server y Kiteworks AI Data Gateway.

Tres propiedades arquitectónicas son clave para cerrar la brecha entre DSPM y gobernanza. Aplicación unificada de políticas. Un solo motor de políticas gobierna cada canal de intercambio de datos, eliminando la fragmentación que vuelve incoherentes los registros de auditoría de la mayoría de las organizaciones. Registros auditables resistentes a manipulaciones y de calidad probatoria. Cada operación se registra en un registro de auditoría consolidado que alimenta SIEM en tiempo real, abordando la brecha del 33% en registros de auditoría y la brecha del 61% en fragmentación que documenta el 2026 Forecast Report. Paneles de cumplimiento. Informes preconfigurados mapean los controles a marcos regulatorios específicos — HIPAA, GDPR, CMMC, FedRAMP, SOX, PCI DSS, FISMA, ITAR y otros — generando evidencia lista para evaluadores bajo demanda.

El resultado es el cierre de la paradoja DSPM. El informe DSPM que señaló datos sensibles sin protección se acompaña de un registro de remediación que muestra cuándo esos datos se migraron a almacenamiento gobernado, qué cifrado se aplicó, quién puede acceder y qué política de retención los rige ahora. El informe de escaneo DSPM deja de ser el documento más perjudicial en un litigio y se convierte en la primera mitad de una respuesta defendible — junto con el registro de auditoría que demuestra que la organización actuó sobre lo que reveló el descubrimiento.

Qué deben hacer las organizaciones ahora — sin bloquearlo todo

Las organizaciones en la curva de adopción de DSPM — o evaluando su próximo paso — deben tratar lo siguiente como un programa secuenciado, no una simple lista de verificación.

Primero, trata el informe de escaneo DSPM como un documento legal en cuanto se complete. Todo lo que DSPM haya señalado ahora es conocimiento real. Construye una línea de tiempo de remediación ligada a la clasificación de riesgo — días para datos de alto riesgo, semanas para riesgo medio, meses para categorías de menor riesgo — y documenta cada acción de remediación en esa línea de tiempo. La lógica legal es sencilla: conocimiento del riesgo sin remediación es la definición clásica de negligencia.

Segundo, audita la brecha entre descubrimiento y gobernanza. Identifica qué hallazgos DSPM fluyen hacia la aplicación automatizada de políticas y cuáles se gestionan mediante procesos manuales basados en tickets. El 2026 Forecast Report encontró que el 25% de las organizaciones aún depende de procesos manuales o periódicos de cumplimiento — un entorno de evidencia continua considera esto una brecha crítica.

Tercero, consolida la superficie de intercambio de datos. El 61% de las organizaciones tiene infraestructura de intercambio de datos fragmentada entre correo electrónico, uso compartido de archivos, SFTP, MFT, formularios web y APIs. Cada fragmento es un dominio de políticas y un formato de log distinto. Consolidar esta superficie en una sola capa de gobernanza es el requisito previo para registros auditables de calidad probatoria.

Cuarto, extiende la capa de gobernanza al acceso de datos por IA. Los agentes de IA son ahora los consumidores de datos sensibles empresariales que más crecen. Según el 2026 Forecast Report, el 78% de las organizaciones no puede validar los datos que ingresan a pipelines de entrenamiento de IA y el 60% no puede terminar rápidamente un agente de IA que se comporta de forma incorrecta. El descubrimiento sin gobernanza consciente de IA deja al consumidor de datos más activo de la empresa fuera de la capa de control.

Quinto, integra los registros de auditoría con SIEM y reportes de cumplimiento en tiempo real. El 2026 Thales Data Threat Report documenta que solo el 33% de las organizaciones tiene conocimiento completo de dónde se almacenan sus datos. Los registros auditables en tiempo real y resistentes a manipulaciones que alimentan SIEM directamente son el mecanismo operativo para pasar de evidencia periódica a continua.

Sexto, trata el intercambio de datos con terceros como una superficie de gobernanza de primera clase. El Kiteworks 2026 Forecast Report encontró que el 89% de las organizaciones nunca ha practicado respuesta a incidentes con sus proveedores externos. DSPM puede identificar qué socios tienen qué datos sensibles; solo los canales de intercambio gobernados y los manuales conjuntos de respuesta a incidentes aseguran que ese intercambio sea defendible cuando esos socios se ven comprometidos.

La ventana para actuar sobre esto se está cerrando. Los reguladores, abogados de los demandantes y auditores avanzan hacia la misma expectativa: control continuo y evidencia de calidad sobre datos sensibles, no solo instantáneas periódicas. Las organizaciones que trataron DSPM como el destino descubrirán que el destino ha cambiado.

Preguntas frecuentes

Un programa DSPM solo reduce el riesgo cuando el descubrimiento alimenta la gobernanza, el rastreo y la generación de evidencia. Combina DSPM con una capa de control unificada de intercambio de datos que aplique políticas en correo electrónico, uso compartido de archivos, SFTP, MFT, formularios web, APIs e integraciones de IA, y asegúrate de que cada acción genere un registro de auditoría resistente a manipulaciones. El informe Kiteworks Data Security and Compliance Risk: 2026 Forecast Report describe toda la arquitectura.

Esta preocupación está bien fundamentada. Una vez que un escaneo DSPM documenta una exposición, la organización tiene conocimiento real bajo la ley de responsabilidad civil. Gestiona el riesgo acompañando cada hallazgo DSPM con un registro documentado de remediación — qué se hizo, cuándo, por quién y con qué controles. El informe Kiteworks Data Security and Compliance Risk: 2026 Forecast Report documenta que el 33% de las organizaciones carece de los registros auditables de calidad que requiere este registro de remediación. Cerrar esa brecha es el núcleo de un programa DSPM defendible.

DSPM ayuda a los gobiernos estatales y locales a inventariar datos sensibles de ciudadanos en entornos híbridos, pero las obligaciones de cumplimiento requieren evidencia de control, no solo visibilidad. StateTech Magazine documentó en abril de 2026 que DSPM se ha vuelto esencial para la seguridad de datos en el sector público. Las organizaciones públicas deben combinar DSPM con plataformas de intercambio de datos gobernadas que generen evidencia lista para evaluadores alineada a FedRAMP, CJIS y los marcos estatales de privacidad aplicables.

DSPM identifica datos sensibles, pero los agentes de IA acceden a esos datos por canales que DSPM no gobierna. El 2026 Forecast Report encontró que el 78% de las organizaciones no puede validar los datos que ingresan a pipelines de entrenamiento de IA y el 60% no puede terminar un agente de IA que se comporta de forma incorrecta. Cierra la brecha con una puerta de enlace de datos IA que aplique políticas de acceso de confianza cero en cada solicitud de datos por IA.

Mide cuatro etapas: cobertura de descubrimiento, aplicación de gobernanza, completitud de auditoría y preparación de evidencia. Según el informe Kiteworks Data Security and Compliance Risk: 2026 Forecast Report, solo el 28% de las organizaciones ha alcanzado madurez «Gestionada». El punto de referencia es la evidencia continua, no periódica — si la evidencia se genera trimestralmente en vez de de forma continua, el programa está un nivel por detrás de las expectativas regulatorias.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks