Entre en casi cualquier empresa mediana y encontrará la misma configuración de seguridad: Microsoft 365 con algún nivel de cobertura de Purview, tal vez Defender, y una casilla de verificación junto a "protección de datos" en el último cuestionario de auditoría.
Luego mire la huella real del SaaS.
Confluence. Salesforce. Box. GitHub. Jira. Slack. Workday. Notion. Zendesk. DocuSign. Asana. Un puñado de herramientas departamentales que nadie en TI recuerda haber aprobado.
Ahí es donde realmente viven ahora los datos sensibles. Y, para la mayoría de los equipos de seguridad de la mediana empresa, es un agujero negro.
Lo que Purview cubre realmente
Purview es una herramienta razonable para lo que es: una capa de gobierno de datos y DLP para Microsoft 365. Si tiene el nivel de licencia adecuado -normalmente E5 o el complemento de cumplimiento independiente- puede clasificar los datos en SharePoint, OneDrive, Exchange y Teams. Puede escribir políticas de DLP. Puede ver cómo se propagan algunas etiquetas de sensibilidad.
Purview no cubre su canalización de Salesforce. No puede decirle quién tiene acceso permanente a la carpeta de Box donde finanzas deposita las proyecciones trimestrales. No ve la herramienta de RR.HH., la herramienta de contratación, la herramienta de soporte ni la docena de otros lugares donde viven los datos sensibles.
Si sus datos sólo vivieran en Microsoft, esto estaría bien. Sus datos no sólo viven en Microsoft 365.
La verdadera pila del mercado medio
Una empresa típica de 500 a 3.000 personas ejecuta entre 50 y 200 aplicaciones SaaS. Una fracción significativa de ellas contiene datos confidenciales: información personal de clientes, datos financieros, código fuente, registros de recursos humanos, información sanitaria, contratos, credenciales.
La mayoría de esos datos son:
- Compartidos ampliamente por defecto (las aplicaciones SaaS se optimizan para la colaboración, no menos privilegio)
- Accesible a mucha más gente de lo que nadie cree
- Invisible para las herramientas de seguridad que ya posee la empresa
- Crece en volumen y sensibilidad cada trimestre
Nadie lo planeó. Ocurrió porque los equipos empresariales compraron herramientas más rápido de lo que la seguridad podía inventariarlas, y porque la historia de la gobernanza para el SaaS que no es de Microsoft siempre ha sido el problema de otro.
Por qué la GDS existente no lo resuelve
La respuesta obvia es la GDS. Estas plataformas existen específicamente para descubrir, clasificar y gobernar datos a través de SaaS, IaaS y almacenes no estructurados.
Aquí está el problema: ninguna de ellas fue construida para el mercado medio.
Se crearon para los compradores de Fortune 500 con presupuestos de seis cifras, equipos dedicados a la seguridad de los datos y suficiente margen de maniobra para llevar a cabo largas implantaciones. Pídale a una empresa de 400 personas que ponga en pie a un proveedor de DSPM empresarial y normalmente obtendrá tres reacciones en orden: el presupuesto, el silencio y el cortés no.
Las barreras específicas:
- Coste. La mayoría de las plataformas DSPM empiezan en las seis cifras anuales. Para los presupuestos de seguridad del mercado medio, eso supone toda la partida de herramientas.
- Complejidad del despliegue. Cada aplicación SaaS necesita una integración, cada integración necesita credenciales y alcances, y cada alcance necesita una revisión de seguridad. Un equipo esbelto no puede pasarse un trimestre cableando conectores.
- Gastos operativos generales El DSPM genera hallazgos. Los hallazgos requieren triaje. El triaje requiere analistas. Los equipos del mercado medio no tienen analistas: tienen una persona de seguridad que también se encarga de IAM, parchea los servidores y posee el programa de formación sobre phishing.
- Tipos empresariales integrados en el producto. La interfaz de usuario da por hecho que cuenta con un analista de seguridad de datos que la lee. Las políticas asumen que tiene un equipo para ajustarlas. Las alertas suponen que alguien tiene tiempo para investigar.
El resultado: las empresas medianas o bien pagan por herramientas empresariales que no pueden poner en funcionamiento, o bien se quedan sin ellas y esperan.
El riesgo no es teórico
He visto este patrón repetidamente:
- Un contratista mantiene el acceso a Salesforce 90 días después de ser dado de baja porque nadie posee la lista de comprobación de desaprovisionamiento para aplicaciones que no son de IdP.
- Un ingeniero exporta una lista de clientes de HubSpot a un Google Drive personal "sólo para trabajar sin conexión".
- Un representante de ventas que se marcha descarga tres años de datos de cuentas de Gong antes de su último día.
- Una carpeta de Box mal configurada que contiene pruebas SOC 2 se comparte con "cualquiera que tenga el enlace" durante 14 meses.
Ninguno de estos saldría a la superficie en Purview. Ninguno saldría a la superficie en un SIEM sin un trabajo personalizado que nadie tiene tiempo de hacer. Y la mayoría tampoco saldría a la superficie en el DSPM existente, porque el cliente no podría permitirse desplegarlo contra esa aplicación SaaS en primer lugar.
No se trata de ataques hipotéticos. Son los incidentes reales con los que las empresas del mercado medio se enfrentan en silencio: los que aparecen en una autopsia en lugar de en un cuadro de mandos.
Por qué sigue sin resolverse
La brecha persiste porque la economía no funciona con el modelo tradicional de DSPM. Construir un escáner para cada aplicación SaaS, mantener los conectores, manejar los límites de velocidad de la API, clasificar los datos a escala, es una ingeniería costosa, y los proveedores ponen el precio en consecuencia. Los compradores del mercado medio se quedan fuera del precio, y los vendedores se mueven hacia el mercado superior para perseguir acuerdos más grandes. El ciclo continúa.
Mientras tanto, la huella del SaaS sigue creciendo. Cada nueva herramienta de departamento, cada adquisición, cada compra de "sólo necesitamos esto para el equipo" añade otra bolsa de datos sensibles que nadie vigila. La brecha no se está cerrando. Se está ampliando.
Los equipos de seguridad del mercado medio lo saben. No son ingenuos. Están atrapados entre el precio de las herramientas para alguien más y un problema que sigue empeorando. La mayoría han hecho las paces con ello de la forma en que uno hace las paces con cualquier riesgo que no puede permitirse arreglar, documentarlo, esperar, seguir adelante.
Ese es el estado honesto de la gestión de la postura de seguridad de datos fuera de Microsoft 365 para la mayor parte del mercado medio. No está resuelto. Ni cerca. Y no es algo que Purview vaya a arreglar.
Obtenga las últimas novedades y actualizaciones
By submitting, I agree to the HYCU Acuerdo de suscripción , Terms of Usage , and Política de privacidad .
Gracias por enviar el formulario!
El archivo debería abrirse en una nueva pestaña. Si no es así, haga clic en el botón de abajo para descargarlo directamente.
You're all set!
Thanks for registering. The on-demand replay is ready to watch below.
Watch the replayThank you for subscribing!
You have successfully subscribed to our newsletter. You will receive a confirmation email shortly. Stay tuned for the latest insights and updates!