Según un nuevo informe, el volumen de datos confidenciales que las empresas albergan en entornos no productivos, como desarrollo, pruebas, análisis e IA/ML, está aumentando. Los ejecutivos también están cada vez más preocupados por protegerlo, y su incorporación a nuevos productos de IA no ayuda.
El “Informe sobre el estado de seguridad y cumplimiento de datos de Delphix 2024” encontró que el 74% de las organizaciones que manejan datos confidenciales aumentaron el volumen mantenido en entornos de no producción, también conocidos como entornos inferiores, en el último año. Es más, el 91% está preocupado por la ampliación de su huella de exposición como resultado, lo que los pone en riesgo de sufrir infracciones y sanciones por incumplimiento.
La cantidad de datos de consumidores que poseen las empresas está aumentando en general debido al crecimiento del número de consumidores en línea y sus continuos esfuerzos de transformación digital. IDC pronostica que para 2025, la esfera de datos global crecerá a 163 zettabytes, diez veces los 16,1 zettabytes de datos generados en 2016.
Como resultado, también está aumentando la cantidad de datos confidenciales que se almacenan, como información de identificación personal, información de salud protegida y detalles financieros.
Los datos confidenciales a menudo se crean y almacenan en entornos de producción o en vivo, como CRM o ERP, que tienen controles estrictos y acceso limitado. Sin embargo, las operaciones de TI estándar a menudo resultan en que los datos se copien varias veces en entornos que no son de producción, lo que permite el acceso de más personal y aumenta el riesgo de vulneración.
Los hallazgos del informe fueron el resultado de una encuesta realizada a 250 empleados de alto nivel en organizaciones con al menos 5.000 empleados que manejan datos confidenciales de los consumidores. Fue realizado por el proveedor de software Perforce.
VER: Violación de datos públicos nacionales: 2.700 millones de registros filtrados en la Dark Web
Más de la mitad de las empresas ya han sufrido una filtración de datos
Más de la mitad de los encuestados dijeron que ya habían experimentado una filtración de datos confidenciales almacenados en entornos que no son de producción.
Otra evidencia respalda que el problema está empeorando: un estudio de Apple encontró que hubo un aumento del 20% en las filtraciones de datos entre 2022 y 2023. De hecho, el 61% de los estadounidenses se enteró de que sus datos personales habían sido violados o comprometidos en algún momento.
El informe de Perforce encontró que el 42% de las organizaciones encuestadas han experimentado ransomware. Este malware, en concreto, es una amenaza creciente a nivel mundial; Un estudio de Malwarebytes publicado este mes encontró que los ataques globales de ransomware aumentaron un 33% en el último año.
Parte del problema es que las cadenas de suministro globales se están volviendo más largas y complejas, lo que aumenta el número de posibles puntos de entrada para los atacantes. Un informe del Centro de recursos contra el robo de identidad encontró que el número de organizaciones afectadas por ataques a la cadena de suministro aumentó en más de 2600 puntos porcentuales entre 2018 y 2023. Además, los pagos superaron los mil millones de dólares (790 millones de libras esterlinas) por primera vez en 2023, lo que hace que Es un exploit cada vez más lucrativo para los atacantes.
La IA es la mayor culpable de la inseguridad de los datos de los consumidores
Ahora que las empresas están adoptando la IA en sus procesos de negocio, resulta cada vez más difícil mantener el control de qué datos van y dónde.
Los sistemas de IA a menudo requieren el uso de datos confidenciales de los consumidores para su capacitación y operación, y la complejidad de los algoritmos y la posible integración con sistemas externos pueden crear nuevos vectores de ataque que son difíciles de gestionar. De hecho, el informe encontró que la IA y el ML son las principales causas del crecimiento de datos confidenciales en entornos no productivos, según lo citado por el 60% de los encuestados.
“Los entornos de IA pueden estar menos gobernados y protegidos que los entornos de producción”, escribieron los autores del informe. “Como resultado, puede ser más fácil llegar a un acuerdo”.
Los responsables de la toma de decisiones empresariales son conscientes de este riesgo: el 85 % manifiesta su preocupación por el incumplimiento normativo en entornos de IA. Si bien muchas regulaciones específicas de IA están en su infancia, el GDPR requiere que los datos personales utilizados en los sistemas de IA se procesen de manera legal y transparente, y existen varias leyes estatales aplicables en los EE. UU.
VER: Orden ejecutiva de AI: la Casa Blanca publica el informe de progreso de 90 días
La Ley de IA de la UE entró en vigor en agosto y establece normas estrictas sobre el uso de IA para el reconocimiento facial y salvaguardias para sistemas de IA de uso general. Las empresas que no cumplan con la legislación se enfrentan a multas que van desde 35 millones de euros (38 millones de dólares) o el 7% de la facturación global hasta 7,5 millones de euros (8,1 millones de dólares) o el 1,5% de la facturación, dependiendo de la infracción y el tamaño de la empresa. . Se cree que en un futuro próximo surgirán más regulaciones similares específicas de IA en otras regiones.
Otras preocupaciones sobre los datos confidenciales en entornos de IA, citadas por más del 80% de los encuestados en el estudio de Perforce, incluyen el uso de datos de baja calidad como entrada en sus modelos de IA, la reidentificación de datos personales y el robo de datos de entrenamiento del modelo, que pueden incluir Propiedad intelectual y secretos comerciales.
Las empresas están preocupadas por el coste financiero de los datos inseguros
Otra razón principal por la que las grandes empresas están tan preocupadas por la inseguridad de los datos es la perspectiva de una fuerte multa por incumplimiento. Los datos de los consumidores están ampliamente sujetos a regulaciones en expansión, como GDPR e HIPAA, que pueden resultar confusas y cambiar con frecuencia.
Muchas regulaciones, como el GDPR, aplican sanciones basadas en la facturación anual, por lo que las empresas más grandes enfrentan cargos mayores. El informe de Perforce encontró que el 43% de los encuestados ya tuvo que pagar o ajustar los incumplimientos, y el 52% ha experimentado problemas de auditoría y fallas relacionadas con datos de no producción.
Pero el costo de una filtración de datos puede ir más allá de la multa, ya que una parte de los ingresos perdidos proviene de la interrupción de las operaciones. Un informe reciente de Splunk encontró que la principal causa de los incidentes de tiempo de inactividad eran los errores humanos relacionados con la ciberseguridad, como hacer clic en un enlace de phishing.
El tiempo de inactividad no planificado cuesta a las empresas más grandes del mundo 400 mil millones de dólares al año, y entre los factores que contribuyen se incluyen la pérdida directa de ingresos, la disminución del valor para los accionistas, el estancamiento de la productividad y el daño a la reputación. De hecho, se prevé que los costos de los daños causados por el ransomware superarán los 265 mil millones de dólares para 2031.
Según IBM, el costo promedio de una filtración de datos en 2024 es de 4,88 millones de dólares, un aumento del 10% con respecto a 2023. El informe del gigante tecnológico agregó que el 40% de las vulneraciones involucraron datos almacenados en múltiples entornos, como la nube pública y en las instalaciones, y estos cuestan más de $ 5 millones en promedio y fueron los que tomaron más tiempo para identificarlos y contenerlos. Esto demuestra que los líderes empresariales tienen razón al preocuparse por la dispersión de datos.
VER: Casi 10 mil millones de contraseñas filtradas en la compilación más grande de todos los tiempos
Tomar medidas para proteger los datos en entornos que no son de producción puede consumir muchos recursos
Hay formas de proteger los datos almacenados en entornos que no son de producción, como enmascarar los datos confidenciales. Sin embargo, el informe Perforce encontró que las empresas tienen varias razones por las que se muestran reacias a hacerlo, incluido el hecho de que a los encuestados les resulta difícil y requiere mucho tiempo, y porque puede ralentizar la organización.
- A casi un tercio le preocupa que pueda ralentizar el desarrollo de software, ya que replicar bases de datos de producción en entornos que no son de producción de forma segura puede llevar semanas.
- El 36% dice que los datos enmascarados pueden ser poco realistas y, por lo tanto, afectar la calidad del software.
- El 38% cree que los protocolos de seguridad pueden inhibir la capacidad de la empresa para rastrear y cumplir con las regulaciones.
El informe también encontró que el 86% de las organizaciones permiten excepciones de cumplimiento de datos en entornos que no son de producción para evitar la molestia de almacenarlos de forma segura. Estos incluyen el uso de un conjunto de datos limitado, la minimización de datos u obtener el consentimiento del interesado.
Recomendaciones para proteger datos confidenciales en entornos que no son de producción
El equipo de Perforce describió las cuatro formas principales en que las empresas pueden proteger sus datos confidenciales en entornos que no son de producción:
- Enmascaramiento de datos estáticos: Reemplazar permanentemente valores sensibles con equivalentes ficticios pero realistas.
- Prevención de pérdida de datos (DLP): Un enfoque de seguridad de defensa perimetral que detecta posibles violaciones y robos de datos e intenta prevenirlos.
- Cifrado de datos: Convierte temporalmente datos en código, permitiendo que solo los usuarios autorizados accedan a los datos.
- Control de acceso estricto: una política que clasifica a los usuarios por roles y otros atributos y configura el acceso de estos usuarios a conjuntos de datos en función de estas categorías.
Los autores escribieron: “Proteger datos confidenciales en general no es fácil de hacer. AI/ML aumenta esa complejidad.
“Las herramientas que se especializan en proteger datos confidenciales en otros entornos que no son de producción (desarrollo, pruebas y análisis, por ejemplo) están bien posicionadas para ayudarlo a proteger su entorno de IA”.
