Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > La brecha en el descubrimiento de datos que toma por sorpresa a las empresas — y cómo cerrarla

La brecha en el descubrimiento de datos que toma por sorpresa a las empresas — y cómo cerrarla

by Bob Ertl updated junio 5, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 7 minutes

El shadow data no es principalmente un problema técnico. Es un reto de gestión del cambio organizacional que se manifiesta como un asunto técnico. Las migraciones a la nube dejan datos atrás. Los entornos de desarrollo se crean con copias de datos de producción para pruebas y nunca se limpian. Los buckets de almacenamiento en la nube se habilitan para un proyecto, se llenan y se olvidan cuando el proyecto termina. Las aplicaciones SaaS se reemplazan, pero los archivos exportados de la transición quedan en carpetas compartidas que nadie gestiona porque la persona que los creó ya no está en la empresa.

Nada de esto es inusual. Son eventos organizacionales rutinarios. El problema es que los procesos de gobernanza de datos en la mayoría de las organizaciones no están diseñados para responder a estos eventos en tiempo real. Los marcos de gobernanza de datos que dependen de auditorías periódicas y actualizaciones manuales de catálogos van por detrás de la realidad operativa. Cuando la próxima auditoría detecta el bucket abandonado o la exportación heredada, los datos han estado ahí durante meses.

Las herramientas DSPM ayudan mediante el descubrimiento automatizado, pero el descubrimiento sin aplicación de políticas es insuficiente. Encontrar shadow data te muestra dónde ya existe el problema. No evita que el próximo proyecto genere el mismo problema en otro lugar. La arquitectura de gobernanza debe abordar ambos aspectos: es necesario que la política esté integrada en los procesos que crean y mueven datos, no solo en los procesos que los escanean después.

5 conclusiones clave

1. Los escaneos de descubrimiento suelen revelar datos que las organizaciones creían eliminados.

Buckets de almacenamiento en la nube abandonados, entornos de desarrollo antiguos y exportaciones SaaS heredadas suelen contener datos confidenciales de clientes que la organización pensaba que ya no existían. Avani Desai, CEO de Schellman, lo ha visto de forma constante: las organizaciones sobrestiman lo completas que son sus cartografías de datos y subestiman la rapidez con la que el cambio operativo supera a la gobernanza. Cada migración a la nube, adquisición, retiro de SaaS o reorganización de infraestructura genera una cartografía de datos que ya no refleja la realidad.

2. Los escenarios de fusiones y adquisiciones generan una concentración de responsabilidad sobre datos que los compradores suelen subestimar.

Cuando un comprador adquiere una empresa, adquiere todo lo que esa empresa haya creado, recopilado o almacenado, incluyendo datos de adquisiciones previas, sistemas heredados que nadie ha tocado en años y datos de clientes sin una política de retención documentada. Los escaneos de descubrimiento posteriores a la adquisición revelan conjuntos de datos que el vendedor desconocía. La consecuencia: posibles obligaciones de notificación de brechas según GDPR, leyes estatales de privacidad de datos o HIPAA, además de retrasos en la integración que el comprador no contempló en la debida diligencia.

3. La brecha de responsabilidad es donde se acumula el shadow data.

¿Quién es responsable de validar tu cartografía de datos tras un cambio operativo? La mayoría de las organizaciones no puede identificar un responsable claro. La responsabilidad recae entre TI, legal, cumplimiento y seguridad, todos con funciones relacionadas, pero ninguno encargado específicamente de reconciliar la cartografía de datos con la infraestructura actual tras cada cambio importante. Justo ahí es donde se acumula el shadow data: en el espacio entre el cambio operativo y la próxima revisión de gobernanza.

4. La gobernanza superpuesta a la arquitectura no puede seguir el ritmo.

Los ejercicios de cumplimiento puntuales generan cartografías de datos precisas que se vuelven inexactas en cuanto ocurre la siguiente migración, adquisición o retiro de sistema. Las herramientas DSPM ayudan con el descubrimiento automatizado, pero el descubrimiento sin aplicación de políticas es incompleto: encontrar shadow data te muestra dónde ya está el problema; no evita que el próximo proyecto lo genere en otro lugar.

5. La gobernanza integrada en la arquitectura resuelve lo que la gobernanza retroactiva no puede.

Cuando la política se aplica en el punto de intercambio de datos, cada transacción ya queda documentada. La cartografía de datos es un subproducto de las operaciones, no un ejercicio aparte. Los principios de protección de datos de confianza cero exigen que cada solicitud para acceder, mover o compartir datos sea verificada, autorizada y registrada, generando así una cartografía de datos continua como efecto estructural.

Confías en que tu organización es segura. Pero ¿puedes comprobarlo?

Lee ahora

El problema de datos en fusiones y adquisiciones es, en realidad, un problema de notificación de brechas

Las fusiones y adquisiciones son el escenario donde los fallos de gobernanza de datos se convierten de forma más directa en responsabilidad legal y financiera. Cuando un comprador adquiere una empresa, adquiere todo lo que esa empresa haya creado, recopilado o almacenado, incluyendo datos de adquisiciones previas de la propia empresa adquirida, sistemas heredados en infraestructuras que nadie ha tocado en años y datos de clientes en ubicaciones sin una política de retención documentada.

Los escaneos de descubrimiento realizados tras el cierre revelan conjuntos de datos que el vendedor desconocía, y que contienen datos de clientes que ahora el comprador posee legalmente. Si esos datos estuvieron accesibles para personas no autorizadas en algún momento —y en sistemas dados de baja que nadie monitoreaba, eso suele ser imposible de descartar— el comprador puede enfrentar obligaciones de notificación de brechas según GDPR, leyes estatales de privacidad de datos o ambas. El coste no es solo la notificación. Es el retraso en la integración, el escrutinio regulatorio y el impacto en la reputación del acuerdo cuando se debe revelar una brecha heredada.

La clasificación de datos y los flujos de datos documentados son elementos de diligencia previos al cierre que reducen este riesgo. Las organizaciones que pueden presentar una cartografía de datos completa y actualizada presentan un riesgo de fusiones y adquisiciones significativamente menor que aquellas que no pueden. Las salas de datos virtuales seguras con registros de auditoría completos ofrecen a ambas partes un historial claro de lo que se compartió, bajo qué condiciones y con quién, lo cual es relevante tanto durante la diligencia como después del cierre.

¿Quién es responsable de validar tu cartografía de datos tras un cambio operativo?

La pregunta de Desai apunta a una realidad operativa que la mayoría de los marcos de gobernanza de datos evita. Las cartografías de datos se generan mediante ejercicios de catalogación. Esos ejercicios son precisos cuando se realizan. Luego, la organización cambia. Se habilita un nuevo entorno en la nube. Se retira una aplicación SaaS. Se cierra una adquisición. Un equipo se reorganiza. Cada uno de estos eventos puede invalidar partes de la cartografía de datos sin activar ningún proceso automático de actualización.

Validar las cartografías de datos tras un cambio operativo no es tarea explícita de nadie en la mayoría de las organizaciones. La responsabilidad recae entre TI, legal, cumplimiento y seguridad, todos con funciones relacionadas, pero ninguno encargado específicamente de la tarea. Justo ahí es donde se acumula el shadow data.

Los marcos de cumplimiento de datos como GDPR exigen registros precisos de las actividades de procesamiento de datos personales, pero no especifican cómo deben mantenerse actualizados esos registros. Las organizaciones que cumplen de manera más eficaz han incorporado el seguimiento de datos en sus procesos operativos en lugar de tratarlo como una limpieza periódica. La documentación de cadena de custodia generada automáticamente como subproducto del intercambio de datos gobernado está actualizada por definición: no necesita un ejercicio de reconciliación porque nunca estuvo desactualizada.

Gobernanza integrada en la arquitectura, no superpuesta

GDPR estableció que la protección de datos desde el diseño produce mejores resultados que la protección por adaptación posterior. La gobernanza de datos sigue la misma lógica. Las organizaciones que integran la gobernanza en su arquitectura de intercambio de datos no enfrentan la brecha entre la cartografía de datos y la realidad operativa porque esa brecha no existe. La cartografía es el registro.

Cuando las organizaciones usan Kiteworks para el intercambio de contenido confidencial, los registros de auditoría son un historial continuo de qué se movió, dónde, cuándo y bajo qué política. No hay un ejercicio de cartografía de datos separado porque la cartografía se genera como subproducto de las operaciones. Cuando un regulador, auditor o contraparte de fusiones y adquisiciones solicita evidencia de las prácticas de manejo de datos, la respuesta es un informe, no un proyecto de reconstrucción. La Red de Contenido Privado de Kiteworks gobierna correo electrónico, uso compartido de archivos, MFT, SFTP, formularios web y APIs bajo un solo motor de políticas y un registro de auditoría consolidado.

Shadow data en exportaciones SaaS heredadas y sistemas dados de baja

Cuando una organización reemplaza una aplicación SaaS, el proceso de transición genera archivos de exportación: grandes CSV o volcados de bases de datos que contienen registros completos de clientes, historiales de transacciones o datos de empleados. Algunos se importan al nuevo sistema. Otros quedan en una unidad compartida por el equipo que gestionó la migración, y como ese equipo ya se reorganizó o se fue, nadie los busca.

Esos archivos son shadow data. Contienen la misma información confidencial que el sistema de producción, sin controles de acceso alineados con la estructura organizacional actual, sin políticas de retención y sin nadie monitoreándolos. Y como la transición puede haber ocurrido hace años, nadie recuerda que existen hasta que un escaneo de descubrimiento los detecta o hasta que una consulta regulatoria obliga a buscarlos.

La transferencia segura de archivos administrada con cadena de custodia documentada resuelve esto en el origen. Cuando las migraciones y exportaciones de datos pasan por una plataforma gobernada, cada archivo que se mueve queda registrado, es atribuible y está sujeto a una política de retención definida desde el momento de su creación.

¿Qué implica realmente una «cartografía de datos tras un cambio operativo»?

Cerrar la brecha de responsabilidad exige tratar la validación de la cartografía de datos como un proceso operativo, no como una actividad de ciclo de auditoría. Eso implica integrar la aplicación de políticas en la infraestructura de intercambio de datos para que la cartografía se actualice de forma continua y establecer una titularidad explícita para la validación posterior al cambio cuando la infraestructura cambia fuera de esa capa gobernada.

La clasificación de datos que acompaña a la información mantiene los niveles de sensibilidad consistentes en toda la cartografía, sin importar en qué sistema resida actualmente. Los procesos de evaluación de riesgos en organizaciones que usan intercambio de datos gobernado parten de una visión actual de los flujos de datos, no de una cartografía que era precisa en el pasado. Cuando se activa un proceso de respuesta a incidentes, el alcance se conoce rápidamente, en lugar de requerir semanas para reconstruir qué datos estuvieron involucrados.

Para saber más sobre gobernanza de datos cuando el shadow data se descontrola, agenda una demo personalizada hoy mismo.

Preguntas frecuentes

El shadow data es información confidencial que existe fuera de los controles activos de gobernanza: buckets de almacenamiento en la nube abandonados, exportaciones SaaS olvidadas, copias de seguridad heredadas y entornos de desarrollo con copias de datos de producción. El shadow IT es la infraestructura no aprobada que suele generar shadow data, pero este también puede acumularse en infraestructura aprobada. Los riesgos de gobernanza de datos de ambos se agravan por los escaneos solo periódicos: las herramientas DSPM y la clasificación continua de datos reducen el periodo en el que el shadow data puede acumularse sin ser detectado.

Cuando se cierra una adquisición, el comprador hereda la responsabilidad legal de todos los datos que poseía la empresa adquirida. Si los escaneos de descubrimiento posteriores al cierre revelan datos de clientes en sistemas dados de baja o insuficientemente protegidos, y no se puede descartar el acceso no autorizado, pueden surgir obligaciones de notificación según GDPR, leyes estatales de privacidad de datos o HIPAA. La diligencia previa al cierre, mapeando dónde residen los datos de clientes, confirmando controles de acceso y documentando políticas de retención, reduce esta exposición, al igual que realizar la diligencia a través de una plataforma gobernada con registros de auditoría completos.

Significa que los controles de manejo de datos están integrados en los sistemas por los que circula la información, en vez de aplicarse como una capa de cumplimiento separada después. Cada transferencia queda registrada, cada evento de uso compartido es atribuible y cada decisión de acceso se documenta como parte de la transacción. La cartografía de datos está actualizada por definición porque se genera continuamente a partir de las operaciones. La protección de datos desde el diseño y la protección de datos de confianza cero apuntan a este modelo como generador de cumplimiento duradero, no solo hasta el próximo cambio operativo.

Los archivos de exportación deben crearse mediante un proceso que registre qué se exportó, dónde se almacena y qué política de retención aplica. Las organizaciones que omiten esto generan el shadow data que los escaneos de descubrimiento encuentran años después: archivos de exportación con registros completos de clientes, sin controles de acceso ni calendario de retención. La transferencia segura de archivos administrada con cadena de custodia documentada garantiza que el registro de la transición sea completo y que las políticas de retención se apliquen desde el momento de la creación.

Kiteworks genera un registro de auditoría continuo de cada transferencia de archivos, evento de uso compartido y decisión de acceso que circula por la plataforma, por lo que la cartografía de datos es un informe de las operaciones reales, no una reconstrucción. Cuando ocurren cambios operativos —nuevo entorno en la nube, retiro de sistema, adquisición— el registro del intercambio gobernado captura qué datos se movieron durante la transición. Los principios de protección de datos de confianza cero hacen que esta cartografía continua sea una característica estructural de la infraestructura, no un programa aparte que requiera financiación y personal.

Recursos adicionales

  • Artículo del Blog Cómo proteger los datos de ensayos clínicos en investigaciones internacionales
  • Artículo del Blog La CLOUD Act y la protección de datos en el Reino Unido: por qué la jurisdicción importa
  • Artículo del Blog Protección de datos de confianza cero: estrategias de implementación para mayor seguridad
  • Artículo del Blog Protección de datos desde el diseño: cómo incorporar controles GDPR en tu programa MFT
  • Artículo del Blog Cómo prevenir brechas de datos con uso compartido seguro de archivos a través de fronteras

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks