Noticias Encuentros A Fondo Opinión Entrevistas Casos de éxito Vídeos Administración Pública Guía TIC Premios Computing

opinión

Lo que no se ve sigue importando: Cómo abordar los riesgos relacionados con los datos en ecosistemas de TI en expansión

Home Seguridad
Dirección copiada

Con el aumento de los datos y un número cada vez mayor de proveedores externos, las empresas tienen dificultades para mantenerse al día, lo que crea brechas en la resiliencia de sus datos. Pero con tanto por abordar, ¿por dónde deben empezar las organizaciones?

Publicado el 3 oct 2025
Dave Russel

vicepresidente de estrategia empresarial en Veeam

Datos

A medida que las organizaciones dependen cada vez más de redes informáticas complejas y proveedores externos, las vulnerabilidades ocultas ponen en creciente riesgo la resiliencia de los datos y la continuidad del negocio.

Con el aumento exponencial de los datos y un número cada vez mayor de proveedores externos, las organizaciones tienen dificultades para mantenerse al día, lo que sin querer ocasiona brechas en la resiliencia de sus datos que a su vez los actores maliciosos pueden aprovechar. Pero con tanto por abordar, ¿por dónde deben empezar las organizaciones?

Puede que no sea la respuesta que quieren oír, pero deben empezar desde cero. Dada la enorme magnitud de los conjuntos de datos y las redes de terceros, un enfoque fragmentado solo empeorará la situación. En lugar de responder de forma reactiva a las amenazas y los cambios en el cumplimiento normativo, las organizaciones deben abordar la resiliencia de los datos de forma holística. De lo contrario, las brechas no harán más que multiplicarse.

Los retos ante el crecimiento de los datos

No se puede saber lo que no se sabe, ¿verdad? Para las organizaciones que buscan abordar sus activos de datos, la primera prioridad es obtener una visión precisa de todo su entorno.

Los datos en su conjunto siguen una trayectoria de crecimiento exponencial. En 2010, todo el universo digital solo ocupaba 2 zetabytes, mientras que solo en 2024 generamos 147 zB. Los datos empresariales constituyen una parte importante de esto, ya que se han disparado en la última década. Con la inteligencia artificial ya firmemente implantada, esta tendencia no hará más que acelerarse, y se prevé que el mercado de la gestión de datos se duplique de nuevo en los próximos años, pasando de unos 111.000 millones de dólares en 2025 a 243.000 millones en 2032. Por lo tanto, si las organizaciones no actúan ahora, nunca podrán ponerse al día.

Para muchos, la implantación de la IA habrá requerido más que unos pocos cambios puntuales en su enfoque de los datos, cómo se almacenan y qué herramientas se utilizan con ellos. Además, el ritmo al que muchos han adoptado esta tecnología probablemente haya dado lugar a que se implementen cambios en las infraestructuras sin seguir los procesos más exhaustivos. Sin quererlo, esto ha creado silos, ya que los diferentes departamentos utilizan la IA de diferentes maneras, dejando una gran cantidad de datos fuera de la jurisdicción tradicional de la organización. Las organizaciones pueden pensar que lo ven todo, pero en realidad no tienen una visión completa.

Después de todo, no tiene mucho sentido aplicar nuevas prácticas de gestión de riesgos si se está pasando por alto gran parte de su infraestructura de TI o elementos completos de su estructura de TI únicamente porque no se sabe que están ahí.

Explorando el pensamiento “inside the box”

Desafortunadamente, la proliferación de datos empresariales no se limita en absoluto a la estructura de TI que posee y con la que opera la organización. El análisis de los activos de datos también debe incluir soluciones de terceros. Según un estudio de Cyber Risk Alliance, la organización utiliza una media de 88 terceros proveedores de TI, a menudo confiando plenamente en sus soluciones. Sin embargo, estas soluciones suelen ser “cajas negras” que ofrecen poca o ninguna transparencia, no solo sobre los datos que albergan, sino también sobre los métodos de resiliencia de datos utilizados para protegerlos.

A menudo se contrata a proveedores externos precisamente con este fin, para aliviar parte de la presión a la que se enfrentan las organizaciones mediante la implementación de sus soluciones. Sin embargo, esto suele llevar a centrarse demasiado en el resultado de la solución, en lugar de en la infraestructura real que la proporciona. Las organizaciones suelen dar por sentado que todo lo que necesitan está cubierto por los proveedores, pero sin la configuración de un modelo de responsabilidad compartida definido, podrían estar creando inadvertidamente importantes brechas en la resiliencia de sus datos.

Con normativas como NIS2 y DORA de la Unión Europea, que hacen especial hincapié en la gestión de riesgos de los datos almacenados o gestionados por terceros, las organizaciones deben examinar más detenidamente cómo sus proveedores prestan sus soluciones.

¿Es insuficiente la regulación?

A pesar de que se han introducido normativas en todo el mundo para intentar abordar la resiliencia de los datos, una investigación sobre la resiliencia de los datos de las grandes empresas realizada por McKinsey ha puesto de relieve que muchas organizaciones siguen sin estar a la altura. El 30% creen que son más resilientes de lo que realmente son según sus capacidades de referencia, y esta brecha de conocimiento se debe, en gran medida, a la falta de conciencia sobre el alcance real de los activos de datos y los proveedores externos.

Con la IA ya firmemente implantada, esta tendencia no hará más que acelerarse, y se prevé que el mercado de la gestión de datos se duplique de nuevo en los próximos años, pasando de unos 111.000 millones de dólares en 2025 a 243.000 millones en 2032

Aunque muchos habrán seguido estrictamente las normativas, los terceros y los rincones ocultos de los activos de datos suelen quedar fuera de la ecuación, lo que deja importantes brechas en la resiliencia de los datos. No es que las normativas no sean lo suficientemente exhaustivas, sino que las organizaciones simplemente no han analizado sus activos de datos o terceros con tanto detalle anteriormente.

Tomando como ejemplo la normativa DORA de la UE, dirigida específicamente a las organizaciones del sector de los servicios financieros, observamos cómo exigía prestar mayor atención a la resiliencia de los datos de terceros. Sin embargo, el 34% de las organizaciones consideró que ese elemento de la normativa era el más difícil de aplicar, probablemente debido a la magnitud, desconocida hasta entonces, de sus redes de terceros. Seis meses después de su aplicación, el 96% de las organizaciones de EMEA siguen considerando que deben mejorar la resiliencia de sus datos, lo que pone de manifiesto la realidad de esta normativa.

Abordarlo desde cero

Entonces, ¿qué se puede hacer? En lugar de esperar a que un actor malicioso aproveche alguna de estas brechas, puntos ciegos o puertas traseras, las organizaciones deben identificarlas y cerrarlas. No será una tarea fácil, pero es fundamental para que las organizaciones puedan abordar de manera eficaz sus deficiencias en materia de resiliencia de datos. Esto debe traducirse en evaluaciones críticas, no solo de las medidas internas de resiliencia de datos, sino también de las de los proveedores, con el fin de detectar vulnerabilidades y dependencias. Es necesario identificar y abordar los eslabones débiles de la cadena de suministro de terceros, los silos de datos ocultos y cualquier otra brecha antes de que un agente malicioso pueda aprovecharlos

Se trata de una tarea ambiciosa y compleja que no se puede realizar en solitario. Evaluar y mejorar la resiliencia de los datos a esta escala requiere la colaboración no solo de la empresa, sino también de proveedores externos. Al igual que con cualquier otra tarea de esta envergadura y complejidad, contar con el marco adecuado marca la diferencia. Por ejemplo, el Modelo de Madurez de la Resiliencia de los Datos (DRMM) es un estándar del sector independiente del proveedor que incluye una sólida autoevaluación y un marco para elaborar un plan destinado a reforzar la resiliencia a lo largo del tiempo. Siguiendo el enfoque multifuncional establecido por modelos como este, las organizaciones pueden elaborar un plan para mejorar la resiliencia de los datos, reuniendo a los equipos de TI, seguridad y cumplimiento normativo para garantizar que se cubren todas las áreas de su patrimonio de datos y de la red de terceros.

Es fundamental que, una vez introducidas estas nuevas medidas, las organizaciones sigan realizando pruebas. Madurar la resiliencia de los datos de una organización no es una tarea que se haga una sola vez, sino que se trata de un ciclo continuo de aprendizaje y adaptación a medida que evolucionan las amenazas. Las pruebas periódicas y exhaustivas pueden parecer una molestia, pero no son nada comparadas con el impacto de un ataque real.

Como se suele decir, cuando se cierra una puerta, se abre otra. Así que asegúrate de que no queden abiertas para que los actores maliciosos puedan atravesarlas.

@REPRODUCCIÓN CONFIDENCIAL

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

R
Dave Russel
vicepresidente de estrategia empresarial en Veeam
vicepresidente de estrategia empresarial en Veeam

Leer también:

Temas

Canales

Artículos relacionados

  • ia

  • A FONDO

    Tipos de inteligencia artificial y cómo funcionan

    06 May 2025

    por Rufino Contreras

    Compartir
  • Salarios

  • INFORMES

    ¿Cuánto cobra un CIO en 2025?

    12 May 2025

    por Rufino Contreras

    Compartir
  • Atlassian

  • noticias

    Atlassian continúa en su senda de adquisiciones: Ha cerrado el acuerdo de compra de The Browser Company of New York

    05 Sep 2025

    por Redacción Computing

    Compartir
  • Marketing mix

  • a fondo

    La evolución del marketing mix en la era digital

    04 Sep 2025

    por Redacción Computing

    Compartir