El «déjà vu» de DSPM: por qué estamos reconstruyendo el escudo de papel de la TI en la sombra

Por Tony Frum, ingeniero destacado, Gestión de productos

19 de marzo de 2026 5 Tiempo de lectura: 5 minutos

La gestión del estado de seguridad de los datos (DSPM) es un misterio para mucha gente, yo incluido. A menudo me veo envuelto en debates un tanto teóricos sobre qué es, exactamentees realmente la DSPM. Tras muchos debates de este tipo, he llegado a la siguiente conclusión: la DSPM, en esencia, no es más que una solución de seguridad de datos que detecta datos que usted no le ha indicado que busque. No es necesario definir clasificaciones (que son la forma de determinar qué es sensible) ni políticas (que describen dónde buscar datos confidenciales y qué hacer cuando los encuentre). Solo tiene que ponerlo en marcha, y este encuentra datos confidenciales de los que quizá usted no tenía conocimiento, y cataloga todo lo que encuentra. Así de sencillo.

Hoy sigo manteniendo esta definición, pero uno de mis colegas, Suhaas Kodagali, la ha expresado de una manera mucho más perspicaz, y no puedo dejar de pensar en ello. Dijo: «El DSPM es, una vez más, la TI en la sombra», y esta afirmación me dejó boquiabierto. Permítanme explicarles lo que, en esencia, es una broma interna.

Si retrocedemos unos 10 años en el tiempo, el mercado de Secure Web Gateway SWG) ya estaba muy consolidado y, en esencia, era algo habitual.  Las soluciones SWG pueden ver todo su tráfico web, bloquear lo que usted desee y registrar cada una de las solicitudes HTTP procedentes de prácticamente cualquier dispositivo de su entorno. Se trata de una tecnología potente y, en general, se considera absolutamente imprescindible en cualquier conjunto completo de soluciones de seguridad. Luego llega el mercado Cloud Access Security Broker CASB), impulsado principalmente por Skyhigh Networks, una de nuestras empresas predecesoras, que desarrolló una solución que hoy en día seguimos denominando «Shadow IT».

¿En qué consiste el «Shadow IT»? Permítame explicárselo con una pregunta. ¿Sabe qué es el dominio twtimg.com ? Probablemente no, pero es la abreviatura de «Twitter images», uno de los muchos dominios asociados a X, anteriormente conocido como Twitter. Si lo viera en los datos de un informe de una solución SWG, probablemente no tendría ni idea de qué se trata. Tomemos otro ejemplo al azar, sanpdf.com. Si no está familiarizado con él, una rápida búsqueda en Google le dirá que SanPDF es un conjunto de herramientas para convertir documentos. El dominio está claro, pero ¿con qué facilidad podría responder a preguntas relacionadas con la seguridad sobre SanPDF? ¿Les otorgan sus términos legales el derecho a utilizar sus datos convertidos para sus propios fines? ¿Sabe si almacenan los datos de forma segura? En resumen, ¿sabe si debería permitir que sus usuarios lo utilicen? Lo más probable es que no lo sepa. Esto es lo que hace Shadow IT. Le ayuda a interpretar sus informes de SWG y a elaborar una política sensata basada en el riesgo empresarial.

Lo interesante aquí es que Skyhigh Networks, como proveedor de soluciones para la «TI en la sombra», no disponía de la capacidad básica para inspeccionar el tráfico web ni para bloquear nada. Importaban los datos de los registros del SWG y elaboraban informes valiosos para mostrarle dónde se encontraba el riesgo, y usted podía utilizar esa información para definir políticas. La «TI en la sombra» podía generar los componentes básicos de las políticas web al permitirle definir ciertos elementos de riesgo que eran inaceptables, lo que daba lugar a listas de aplicaciones que bloquear, junto con todos sus dominios asociados. Y aquí viene el remate del chiste: la TI en la sombra no podía aplicar sus propias políticas por sí misma. Se veían obligados a integrarse con un SWG que pudiera, o bien crear su propio proxy. Shadow IT se vio obligada a seguir dependiendo del SWG o a convertirse en un proxy redundante, y ninguna de las dos opciones resultaba atractiva para sus clientes.

Esta es una analogía perfecta para las soluciones DSPM especializadas actuales. Los proveedores Security Service Edge SSE) disponen hoy en día de toda la visibilidad y el control necesarios para proteger sus datos en sus aplicaciones en la nube autorizadas, su tráfico web, sus aplicaciones privadas, etc., así que, ¿qué le ofrece DSPM? El DSPM le ayuda a utilizar su tecnología de seguridad de datos SSE de forma más eficaz al igual que la TI en la sombra ayudó a las organizaciones a utilizar su tecnología SWG de forma más eficaz. Con las carteras modernas de SSE, puede clasificar y proteger sus datos con precisión, pero haga lo que haga, se encontrará preguntándose: «¿Qué es lo que no sé?». ¿A qué aplicaciones están enviando datos confidenciales sus usuarios sin que usted haya establecido una política para evitarlo? ¿Con qué tipos de datos confidenciales trabaja su empresa que nunca ha tenido en cuenta? ¿Está infringiendo alguna ley de la que desconoce por completo? DSPM tiene como objetivo responder a estas preguntas. Busca cualquier tipo de datos confidenciales dondequiera le permita buscar. Le informa de lo que desconoce para que pueda elaborar una política que le proteja, tal y como hizo Shadow IT.

El problema es que muchos proveedores de DSPM se encuentran ahora en la misma situación en la que se encontraba la «TI en la sombra»: se ven obligados a elegir entre seguir dependientes o convertirse en redundantes. La mayoría de las soluciones DSPM especializadas son estrictamente herramientas de detección que no protejan los datos. Ahora, esos proveedores deben recurrir a proveedores de SSE consolidados para aplicar protecciones en torno a los datos detectados, o bien deben desarrollar un conjunto de capacidades para ofrecer las funciones de protección que muchos de sus clientes ya han implementado con sus inversiones en SSE. Parece que ya han tomado una decisión, ya que muchos proveedores han creado integraciones de API con aplicaciones IaaS y SaaS que son totalmente redundantes con la parte CASB de las soluciones SSE consolidadas.

Póngase en el lugar de una organización que tiene implementada una solución sólida de SSE y que también ha invertido en un proveedor especializado en DSPM. La solución DSPM le ha mostrado dónde se encuentran los datos confidenciales, pero tiene que utilizar la solución SSE para proteger realmente lo que se ha detectado. Dispone de dos soluciones independientes integradas, por ejemplo, con Microsoft 365, y es probable que se topen con los límites de velocidad de la API de Microsoft mientras ambas herramientas intentan analizar los mismos datos. ¿Tiene sentido este enfoque? Y, si usted es el proveedor especializado en DSPM, ¿cómo resuelve este problema? ¿Se pone a desarrollar una solución para un problema que el mercado de CASB ya resolvió hace aproximadamente una década?

No soy ningún oráculo del mercado, pero los paralelismos entre el DSPM y la «TI en la sombra» son innegables. Creo que, como mínimo, resulta lógico pensar que el DSPM podría seguir la misma trayectoria y acabar integrándose en la pila tecnológica a la que pretende complementar, principalmente la SSE. ¿Por qué deberían verse obligadas las organizaciones a implementar ambos un DSPM y una solución SSE para detectar y proteger sus datos? ¿No tendría sentido que el enfoque de detección automática del DSPM formara parte integral de la pila SSE, que es, en última instancia, la necesaria para proteger realmente los datos detectados? Sospecho que el mercado acabará llegando a la misma conclusión a la que llegó con el Shadow IT: la detección y la aplicación de políticas deben pertenecer a la misma plataforma.

Volver a Blogs