¿Es el DSPM una nueva versión de la «TI en la sombra»?

Por Tony Frum, ingeniero destacado, Gestión de productos

19 de marzo de 2026 5 Tiempo de lectura: 5 minutos

La gestión del estado de seguridad de los datos (DSPM) es un misterio para mucha gente, incluyéndome a mí. A menudo me veo envuelto en debates algo teóricos sobre qué es, exactamentees realmente la DSPM. Tras muchos debates de este tipo, he llegado a la siguiente conclusión: la DSPM, en esencia, no es más que una solución de seguridad de datos que detecta datos que usted no le ha indicado que busque. No es necesario definir clasificaciones (que son la forma de determinar qué es sensible) ni políticas (que describen dónde buscar datos confidenciales y qué hacer cuando los encuentre). Solo tiene que ponerlo en marcha, y este encuentra datos confidenciales de los que quizá usted no tenía conocimiento, y cataloga todo lo que encuentra. Así de sencillo.

Hoy sigo manteniendo esta definición, pero uno de mis colegas, Suhaas Kodagali, la ha expresado de una manera mucho más perspicaz, y no puedo dejar de pensar en ello. Dijo: «El DSPM es, una vez más, la TI en la sombra», y esta afirmación me dejó boquiabierto. Permítanme explicarles lo que, en esencia, es una broma interna.

Si retrocedemos unos 10 años en el tiempo, el mercado Secure Web Gateway SWG) ya estaba muy consolidado y, en esencia, era algo habitual. Las soluciones SWG pueden ver todo su tráfico web, bloquear lo que usted desee y registrar cada una de las solicitudes HTTP procedentes de prácticamente cualquier dispositivo de su entorno.  Se trata de una tecnología potente y, por lo general, se considera absolutamente imprescindible en cualquier infraestructura de seguridad completa. Luego llega el mercado de Cloud Access Security Broker CASB), impulsado principalmente por Skyhigh Networks, una de nuestras empresas predecesoras, que desarrolló una solución que hoy en día seguimos denominando «Shadow IT».

¿En qué consiste la «TI en la sombra»? Permítame explicarlo con una pregunta. ¿Sabe qué es el dominio twtimg.com ? Probablemente no, pero es la abreviatura de «Twitter images», uno de los muchos dominios asociados a X, anteriormente conocido como Twitter. Si lo viera en los datos de un informe de una solución SWG, probablemente no tendría ni idea de qué se trata. Tomemos otro ejemplo al azar: sanpdf.com. Si no está familiarizado con él, una rápida búsqueda en Google le dirá que SanPDF es un conjunto de herramientas para convertir documentos. El dominio está claro, pero ¿con qué facilidad podría responder a preguntas relacionadas con la seguridad sobre SanPDF? ¿Les otorga su jerga legal el derecho a utilizar sus datos convertidos para sus propios fines? ¿Sabe si almacenan los datos de forma segura? En resumen, ¿sabe si debería permitir que sus usuarios lo utilicen?  Lo más probable es que no lo sepa. Esto es lo que hace Shadow IT. Le ayuda a interpretar sus informes SWG y a elaborar una política sensata basada en el riesgo empresarial.

Lo interesante en este caso es que Skyhigh Networks, como proveedor de soluciones para la «TI en la sombra», carecía de la capacidad básica para inspeccionar el tráfico web o bloquear contenidos.  Importaban datos de registro de SWG y elaboraban informes valiosos para mostrarle dónde se encontraba el riesgo, y luego usted podía utilizar eso para definir la política. Shadow IT podía generar componentes básicos de políticas web al permitirle definir ciertos elementos de riesgo que eran inaceptables, lo que creaba listas de aplicaciones que bloquear, junto con todos sus dominios asociados. Y aquí está el remate del chiste: Shadow IT no podía aplicar sus propias políticas por sí misma. Se veían obligados a integrarse con un SWG que pudiera, o bien crear su propio proxy.  El Shadow IT se vio obligado a seguir dependiendo del SWG o a convertirse en un proxy redundante, y ninguna de las dos opciones resultaba atractiva para sus clientes.

Esta es una analogía perfecta para las soluciones DSPM especializadas actuales. Los proveedores Security Service Edge SSE) disponen hoy en día de toda la visibilidad y el control necesarios para proteger sus datos en sus aplicaciones en la nube autorizadas, su tráfico web, sus aplicaciones privadas, etc., así que, ¿qué le ofrece DSPM?  El DSPM le ayuda a utilizar su tecnología de seguridad de datos SSE de forma más eficaz , del mismo modo que la TI en la sombra ayudó a las organizaciones a utilizar su tecnología SWG de forma más eficaz. Con las carteras modernas de SSE, puede clasificar y proteger sus datos con precisión, pero haga lo que haga, se encontrará preguntándose: «¿Qué es lo que no sé?».  ¿A qué aplicaciones están enviando datos confidenciales sus usuarios sin que usted haya establecido una política para evitarlo? ¿Con qué tipos de datos confidenciales trabaja su empresa que nunca ha tenido en cuenta? ¿Está infringiendo alguna ley de la que desconoce por completo? DSPM tiene como objetivo responder a estas preguntas. Busca cualquier tipo de datos confidenciales dondequiera le permita buscar. Le informa de lo que desconoce para que pueda elaborar una política que le proteja, tal y como hizo Shadow IT.

El problema es que muchos proveedores de DSPM se encuentran ahora en la misma situación en la que se encontraba la «TI en la sombra»: se ven obligados a elegir entre seguir dependientes o convertirse en redundantes. La mayoría de las soluciones DSPM especializadas son estrictamente herramientas de detección que no protejan los datos. Ahora, esos proveedores deben recurrir a proveedores de SSE consolidados para aplicar protecciones a los datos detectados, o bien deben desarrollar un conjunto de capacidades para ofrecer las funciones de protección que muchos de sus clientes ya han implementado con sus inversiones en SSE. Parece que ya han tomado una decisión, ya que muchos proveedores han creado integraciones de API con aplicaciones IaaS y SaaS que son totalmente redundantes con la parte CASB de las soluciones SSE consolidadas.

Póngase en el lugar de una organización que ha implementado una solución de SSE sólida y que también ha invertido en un proveedor especializado en DSPM. La solución DSPM le ha mostrado dónde se encuentran sus datos confidenciales, pero tiene que utilizar la solución de SSE para proteger realmente lo que se ha detectado.  Dispone de dos soluciones independientes integradas, por ejemplo, con Microsoft 365, y es probable que estén llegando al límite de las tasas de la API de Microsoft mientras ambas herramientas intentan analizar los mismos datos. ¿Tiene sentido este enfoque? Y, si usted es el proveedor especializado en DSPM, ¿cómo resuelve este problema? ¿Se pone a crear una solución para un problema que el mercado de CASB ya resolvió hace aproximadamente una década?

No soy ningún oráculo del mercado, pero los paralelismos entre DSPM y la TI en la sombra son innegables. Creo que, como mínimo, resulta lógico pensar que DSPM podría seguir la misma trayectoria y acabar integrándose en la pila tecnológica a la que pretende complementar, principalmente la SSE. ¿Por qué deberían verse obligadas las organizaciones a implementar ambos un DSPM y una solución SSE para detectar y proteger sus datos? ¿No tendría sentido que el enfoque de detección automática del DSPM formara parte integral de la pila SSE, que es, en última instancia, la necesaria para proteger realmente los datos detectados? Sospecho que el mercado acabará llegando a la misma conclusión a la que llegó con la TI en la sombra: la detección y la aplicación de políticas deben pertenecer a la misma plataforma.

Volver a Blogs