DSPM vs. CSPM: Conoce los riesgos de tus datos

Si un bucket de S3 está mal configurado para acceso público, ¿necesita tu atención inmediata?

Cloud Security Posture Management (CSPM) analiza tus entornos en la nube y compara sus hallazgos con una biblioteca de políticas de problemas conocidos para mostrarte qué partes de tu entorno carecen de controles de seguridad adecuados. De este modo, las herramientas de CSPM son una forma poderosa de obtener una vista general de las vulnerabilidades que afectan a tus almacenes de datos en la nube.

Aunque CSPM puede mostrarte qué está mal con la infraestructura, por sí solo también puede inundar a los equipos de seguridad con alertas inexactas (falsos positivos) y de baja prioridad. El aluvión de alertas puede provocar que los equipos de seguridad pasen por alto alertas realmente críticas que afectan tus datos más valiosos. Tampoco ayuda que las herramientas de CSPM sean una de las razones por las que los equipos de seguridad pasan buena parte del día persiguiendo las aproximadamente 500 alertas de seguridad en la nube que reciben en promedio, de las cuales casi la mitad (43%) son falsos positivos. 

Entonces, cuando necesitas averiguar si una mala configuración debe corregirse de inmediato, sigues enfrentándote a la misma pregunta existencialmente importante: ¿qué hay dentro del entorno? 

Para combatir la fatiga por alertas y conocer los datos internos, necesitas una solución de Data Security Posture Management (DSPM). 

Por qué necesitas un DSPM

Las herramientas de CSPM te ofrecen una vista panorámica de posibles rutas de acceso a diversos entornos en la nube a lo largo de tu panorama de datos. Las soluciones de DSPM pueden hacer lo mismo y, además, añadir la capacidad de acercar la vista a categorías de datos específicas, riesgos de datos y a los usuarios que acceden a los datos. Una solución de DSPM también proporciona visibilidad en todo tu panorama de datos, extendida a SaaS y almacenes de datos on‑premises, mientras que los CSPM se enfocan en IaaS y algunos DBaaS, creando visibilidad en silos.

Por ejemplo, las herramientas de CSPM son excelentes para informarte sobre el estado de tu bucket de S3, pero revelan poco sobre el contenido dentro de ese bucket, como archivos de datos sensibles que contienen credenciales expuestas en texto plano. Tampoco pueden indicar si los datos sensibles se están compartiendo de una manera que podría generar violaciones de privacidad, es decir, entre geografías con diferentes regulaciones.

DSPM te informa sobre los datos sensibles dentro del bucket y si los datos están almacenados en texto plano cuando deberían estar cifrados. Puede decirte el método de ofuscación utilizado, ya sea que estén con hash, redactados o tokenizados, por ejemplo. Una herramienta DSPM también brinda información sobre el acceso de los usuarios no solo a los almacenes de datos, sino también a los tipos de datos sensibles a los que pueden acceder.

¿Quieres saber quién tiene acceso a los datos de credenciales? DSPM te respalda.

DPSM proporciona contexto a los datos que puede ayudar a responder preguntas de cumplimiento difíciles de encontrar, como si los datos pertenecen o no a un residente de la Unión Europea, lo que somete los datos al GDPR, y qué controles de seguridad se han aplicado para protegerlos. 

Estas y otras capacidades de DSPM brindan a los equipos de seguridad conocimientos profundos sobre los datos que necesitan para comprender y priorizar los problemas de seguridad de datos.

Un software de DSPM va varios pasos más allá de lo que hace el CSPM para:

1. Detecta automáticamente los datos sensibles. DSPM busca crear visibilidad de los datos sensibles desde el principio. Los análisis de CSPM buscan vulnerabilidades de la infraestructura, lo que puede desencadenar posteriormente un escaneo de los propios datos. De ese modo, la visibilidad de los datos es, en el mejor de los casos, irregular cuando está impulsada por procesos de CSPM.
2. Ofrece una cobertura integral. DSPM encuentra datos en IaaS, SaaS y PaaS/DBaaS. CSPM, por otro lado, analiza principalmente IaaS y algo de DBaaS.
3. Clasifica los datos con precisión impulsada por IA. DSPM ofrece clasificaciones altamente precisas sin necesidad de ajuste. CSPM utiliza clasificadores basados en reglas que requieren que alguien cree las políticas de clasificación, las pruebe y luego valide los resultados una y otra vez.
4. Comprende el contexto de los datos. DSPM sabe qué representan los datos y cuándo están en riesgo. CSPM puede conocer la clasificación a alto nivel de algunos datos, pero carece de profundidad.
5. Aborda las obligaciones de cumplimiento relacionadas con los datos. Detecta problemas de privacidad con DPSM, como el rol del titular de los datos —ya sea paciente o médico—. Luego aplica los controles adecuados para cumplir con los requisitos de HIPAA. CSPM nos brinda información sobre el entorno, no sobre los datos.

Pero no todos los DSPM son iguales

Una solución típica de DSPM debería cubrir la mayoría de lo anterior, pero la plataforma con IA de Cyera va un paso más allá al también:

• Conectar a tus almacenes de datos con un solo rol de IAM. Esto es posible gracias al enfoque nativo en la nube de Cyera, que no requiere agentes, a diferencia de la arquitectura heredada, que exige conexiones manuales a cada almacén de datos. 
• Descubre continuamente todos tus datos en todos los entornos y los clasifica de forma autónoma con más del 95% de precisión, a diferencia de las herramientas de CSPM que, aunque cuentan con arquitecturas nativas de la nube, aún dependen de la coincidencia de patrones para clasificar datos, lo que produce baja precisión y requiere ajustes manuales.
• Usar ML y LLMs para aprender y obtener un contexto profundo sobre tus datos. Esto te ayuda a evaluar el riesgo de tus datos de forma holística y a priorizar los problemas con mayor eficacia. Cyera señala todos los lugares donde existe información sensible y resalta las exposiciones.
• Automatizar tareas de remediación como aplicar cifrado a los datos en reposo (configurar cifrado a nivel de columna en bases de datos relacionales), garantizar que el registro y la auditoría correctos estén configurados para los datos regulados, y aplicar las etiquetas del cloud apropiadas. Esto asegura que tus herramientas de protección de datos operen según lo previsto; por ejemplo, diversos DLP y herramientas de gobernanza que usan etiquetas para implementar controles.

DSPM versus CSPM

¿Qué sigue?

Las herramientas de CSPM han incorporado de forma apresurada funciones rudimentarias de descubrimiento y clasificación de datos que simplemente no pueden seguir el ritmo del crecimiento en volumen y tipos de datos. Pero no es una disyuntiva: muchas organizaciones usan DSPM para entender sus datos y enriquecer los hallazgos de una herramienta de CSPM existente. Agregar DSPM encima de CSPM puede ayudarte a reducir falsos positivos y obtener más contexto sobre los datos en tus entornos. ¿Te da curiosidad saber más sobre qué es DSPM?

Programa una demostración hoy para ver cómo DSPM se compara con CSPM y cómo, juntas, ambas tecnologías pueden fortalecer tu infraestructura en la nube y tu postura de seguridad de datos.