Mejor software de descubrimiento de datos sensibles

Cuando nuestro equipo apuntó Tenable al bucket de prueba de 500 GB, la primera sorpresa fue dónde puso la atención. En lugar de devolver una lista larga de archivos con coincidencias de PII, el escaneo terminó mostrando las siete rutas IAM capaces de alcanzar esos archivos y los dos principales cuyas credenciales habían tocado el bucket en los últimos 30 días. Para un ingeniero de privacidad que intenta responder a “quién pudo haber visto esto”, ese marco cambia por completo la conversación.

La plataforma se gana el primer puesto porque trata los datos sensibles como un activo expuesto más, no como un universo paralelo. El mismo escáner que detecta un servidor sin parchear señala un bucket con permisos abusivos que contiene columnas de tarjeta, y la misma puntuación de riesgo cubre ambos. Nuestra ejecución de prueba identificó el 94 por ciento de los registros de tarjeta plantados, recuperó todos los SSN sintéticos de la exportación de RR. HH. y sacó a la luz dos roles de AWS con permiso de lectura que nadie del equipo de prueba se había acordado de revocar.

Donde Tenable se queda corta es en los rincones más desestructurados del estado. La cobertura de SharePoint existe pero parece añadida a posteriori, y la biblioteca de clasificadores es superficial frente a BigID o Securiti cuando el dato sale de una base de datos hacia un contrato escaneado o un campo de texto libre. Para un equipo de privacidad cuya mayor exposición vive dentro de herramientas de colaboración, Tenable no será la única plataforma de la shortlist.

Para el resto, es la respuesta más creíble de la categoría. La pista de auditoría que produce aguanta las preguntas de un regulador porque el descubrimiento, la ruta de acceso y el responsable de la remediación viven en el mismo registro. Eso es poco habitual.

El arranque honesto con WorkWise Compliance es que no es el mismo tipo de producto que las otras nueve plataformas de esta lista. Nuestro equipo lo sometió al escenario pyme para el que fue construido: una empresa estadounidense con empleados en cuatro estados, una web que necesitaba un aviso CCPA opt-out y un equipo pequeño de RR. HH. que quería una postura de cumplimiento defendible sin contratar a abogados externos para cada consulta rutinaria. En ese carril funciona.

Lo que WorkWise reemplaza es el coste de la monitorización normativa continua. La plataforma envía pósteres obligatorios actualizados y refresca las guías digitales de cumplimiento cuando cambian las reglas estatales o federales, y las plantillas dentro de esas guías cubren el trabajo de privacidad que se le supone realmente a una pyme. Nuestra prueba produjo una política de privacidad, un aviso CCPA opt-out y un plan de prevención de robo de identidad en menos de una tarde; lo mismo en un despacho habría costado una semana.

La parte de descubrimiento es genuinamente flaca. WorkWise no escanea bases de datos, no clasifica datos no estructurados y no ejecuta flujos DSAR contra sistemas conectados. Si tu programa de privacidad necesita saber dónde viven los SSN dentro de un warehouse Snowflake, no es la plataforma. La posición en esta lista es una señal deliberada: para una pyme que necesita cumplimiento documentado antes que descubrimiento técnico, WorkWise resuelve el problema correcto a bajo coste. Para todo el que pase de 100 empleados, deja de ser suficiente muy rápido.

Si eres responsable de seguridad o de RR. HH. y quieres dar de alta a una lista de ejecutivos, periodistas o sencillamente ingenieros preocupados en un programa corporativo de eliminación de datos, Optery es el punto de partida evidente. Nuestro test cargó 50 registros sintéticos de empleados desde el panel del plan Business y vio cómo la plataforma localizaba coincidencias en Spokeo, Whitepages, BeenVerified y unos 70 brokers de nicho en una semana. Cada eliminación volvía con su captura de pantalla emparejada, el tipo de artefacto de auditoría que una revisión de seguridad cree de verdad.

El ángulo de descubrimiento que cubre Optery es el que las plataformas empresariales prefieren ignorar: la exposición de datos personales fuera del perímetro corporativo. Un DPO capaz de mapear todas las columnas PII de Snowflake pero incapaz de decir cuán expuesto está su CFO en los people-search sites sigue teniendo un problema de defensa. El plan Business engancha el flujo de eliminación con el aprovisionamiento SCIM, así que un empleado que sale se cae del escaneo activo el mismo día en que desaparece su token, y el panel central expone el estado por empleado a una revisión de seguridad.

Hay límites reales. Los Removal Reports, que son el sentido de la plataforma, no están disponibles en el plan Core más barato, y el precio Ultimate de 249 dólares por usuario y año está entre las suscripciones de eliminación más caras del mercado. Fuera de los cuatro países soportados, el servicio es prácticamente inútil, lo que cuenta para cualquier multinacional con plantilla europea o asiática. Algunos reseñistas también reportan estados de eliminación incorrectos: la entrada se marca como retirada pero el perfil sigue vivo, lo que obliga a verificación manual. Para protección de plantilla estadounidense, esas concesiones suelen ser asumibles. Para un despliegue global, son deal-breakers.

La profundidad de clasificación es lo que justifica la posición de BigID. Cuando nuestro equipo desencadenó sus escáneres sobre el estado de prueba, la plataforma recuperó el 97 por ciento de los registros de tarjeta plantados en S3, la totalidad de los SSN de la exportación de RR. HH. y una cola larga de PII en texto libre dentro de SharePoint que Tenable no había detectado. El catálogo de clasificadores preentrenados es el más amplio que hemos visto, y el constructor de clasificadores personalizados absorbió un patrón de residente UE escrito en aproximadamente una hora. Forrester puntuó a BigID como la más alta en el criterio de integraciones de su Wave de Sensitive Data Discovery and Classification, y la amplitud de conectores nativos aguanta en la práctica.

Lo que se paga a cambio de esa profundidad es peso operativo. El despliegue se mide en meses para cualquier estado serio, la plataforma espera una función de ingeniería de privacidad antes que un único operador, y la conversación de licencias se mueve rápido hacia las seis cifras una vez se añaden los módulos DSPM y DSR. El propio UI se siente lento, y un catálogo de clasificación funcional sin búsqueda por columna obliga a los analistas a hacer scroll donde deberían poder filtrar. Ninguno de esos problemas es letal a escala empresarial. Son letales a escala startup.

La fortaleza menos obvia es la capa DSPM. Una vez la clasificación corre, BigID puede mostrar qué identidad con permisos excesivos tiene acceso de lectura a qué tabla sensible, lo que convierte la conversación de remediación en algo concreto en lugar de abstracto. La plataforma también expone los hallazgos en un flujo DSAR documentado que aguanta una auditoría. Para una multinacional regulada con petabytes en cloud y on-prem mixtos, esta es la respuesta correcta. Para una pyme que busca time-to-value rápido, es la respuesta equivocada.

Securiti es más útil como alternativa directa a BigID cuando la velocidad importa más que la cobertura absoluta. Nuestro equipo de prueba ejecutó el mismo benchmark de 500 GB en S3 y recuperó el 91 por ciento de los registros plantados en tres días, frente a la semana que pidió BigID. La historia de despliegue también es dramáticamente más ligera: los conectores para AWS, Snowflake y Microsoft 365 entraron en línea en una tarde, mientras que el trabajo de catálogo de BigID seguía afinándose al final de la segunda semana.

Lo que diferencia a Securiti del resto de la categoría es la capa de IA que se monta sobre el descubrimiento. El asistente puede responder a preguntas como “muéstrame cada tabla con datos financieros de residentes UE fuera de la eurozona” en lenguaje natural y rastrea hasta los hits subyacentes del clasificador. Para un equipo de privacidad que tiene que informar a un interlocutor legal no técnico un viernes por la tarde, esa interfaz comprime horas de trabajo de reporting. También aborda el brief de gobierno de IA de forma creíble, mapeando los datasets de entrenamiento contra el mismo inventario de datos que el equipo de privacidad ya mantiene, un área donde la mayoría de proveedores de descubrimiento todavía simulan.

Donde Securiti es honestamente más débil que BigID es en la cola muy larga de fuentes. Un mainframe heredado o un stack on-prem oscuro estarán mejor servidos por la biblioteca de conectores más amplia de BigID. El enfoque AI-first también significa que algunas funciones se apoyan en comportamientos de modelo de lenguaje en lugar de determinismo basado en reglas, lo que incomoda a los equipos de auditoría que quieren justificar cada clasificación con una regla determinista. Para una organización que está modernizando de verdad su stack de datos y quiere que descubrimiento, DSR y gobierno de IA compartan tejido, Securiti es la plataforma más fluida de la categoría.

Si la mayor parte de tus datos sensibles vive en SharePoint Online, OneDrive for Business, chats de Teams y buzones de Exchange, Purview es la plataforma que ya sabe leerlos. Nuestro subescaneo de SharePoint recuperó el 95 por ciento de los contratos plantados con SSN sin un solo conector que configurar, y las etiquetas de sensibilidad que Purview aplicó siguieron a los documentos hasta los chats de Teams, bloquearon un intento de compartición externa y produjeron una entrada en el log de auditoría que nuestro administrador de prueba pudo consultar con un par de clics.

La historia cambia con fuerza en el borde del estado Microsoft. Descubrir sobre AWS, Snowflake o una SaaS no Microsoft es posible vía el nivel premium de Purview Data Map, pero la configuración es más pesada, el comportamiento del clasificador es menos maduro y las funciones de auditoría y etiquetado que hacen atractivo a Purview dentro de Microsoft no se trasladan del todo. Nuestro equipo dedicó casi un día a cablear Snowflake a través de una red virtual gestionada, donde Securiti necesitó una tarde.

La otra debilidad honesta es la superficie operativa. Purview abarca varios portales que comparten nombre pero parecen productos adquiridos pegados con cola, y un administrador de privacidad tiene que saber qué consola posee cada capacidad antes de rastrear un hallazgo hasta su política. Para una organización Microsoft-céntrica con licencias E5 ya en sitio, esa curva merece la pena por el descubrimiento que la plataforma entrega nativamente. Para una empresa que ha movido deliberadamente su warehouse y su stack analítico fuera de Microsoft, Purview se trata mejor como una de las dos plataformas, no como la respuesta completa.

La entrada honesta con Imperva es que esto es una plataforma de seguridad con una historia de descubrimiento de datos adjunta, no al revés. Para un equipo cuyo riesgo principal vive en la capa de base de datos, ese encuadre es exactamente el correcto. Nuestro despliegue de prueba contra una pareja sintética de Oracle y Postgres capturó cada lectura de las columnas SSN en el momento en que la consulta del insider simulado disparó, bloqueó una de ellas en línea según una política que escribimos por la mañana y exportó una traza forense que un analista de SOC podía reconstruir de verdad.

Lo que Imperva hace mal es todo lo que no vive dentro de una base de datos. Los escaneos de almacenamiento de objetos son posibles pero parecen un añadido tardío, la cobertura SharePoint y Teams que Purview maneja nativamente no está realmente en alcance, y la biblioteca de clasificadores para documentos no estructurados es superficial frente a BigID o Securiti. Los dashboards aún arrastran el aspecto de un producto on-prem, y la superficie de configuración asume un operador con perfil DBA cómodo con sintaxis de políticas, no a un analista de privacidad pulsando un asistente.

Para una organización regulada cuyos datos más sensibles viven en bases de datos consultadas tanto por analistas legítimos como por algún actor malicioso ocasional, Imperva es la herramienta adecuada. La combinación de monitorización en línea, bloqueo y captura forense no tiene rival en la capa de base de datos. Para un programa de privacidad cuya mayor exposición es la dispersión SaaS, esta plataforma es la mitad equivocada de la respuesta.

La función estrella aquí es el propio motor de enmascaramiento. Una vez identificada una columna sensible, Informatica puede interceptar las consultas contra ella y devolver un valor redactado, tokenizado o totalmente enmascarado según el rol del usuario que llama, sin tocar el registro subyacente. Nuestra política de prueba ocultó los últimos 12 dígitos de un número de tarjeta para el personal de soporte, expuso el valor completo a los analistas de fraude y rechazó la consulta por completo para un rol de reporting offshore, todo sin reescribir una sola aplicación. Para una organización que necesita mantener la analítica en marcha mientras se vacía un backlog de remediación, esa primitiva tiene valor real.

Donde la plataforma deja de ser una respuesta completa es en el descubrimiento mismo. Informatica funciona mejor como back end de un flujo que empieza en otro sitio: el escaneo de descubrimiento sucede en BigID o Microsoft Purview, los hallazgos fluyen al catálogo de Informatica y luego Dynamic Data Masking aplica una política. Si se le pide encontrar las columnas sensibles por su cuenta, es competente pero no de primera, y el tiempo de configuración es lo bastante largo como para que los equipos pequeños pierdan la paciencia antes de que la primera política llegue a producción.

El otro contexto es el perfil de comprador. A Informatica la compran las mismas empresas que ya operan el resto del stack Informatica, y la conversación de licencias es una a la que un equipo mid-market le va a costar entrar. Para una empresa regulada que ya vive dentro de ese ecosistema y quiere enmascaramiento atado directamente a los hallazgos de descubrimiento, este es el módulo correcto. Para el resto, es demasiada plataforma para una sola capacidad.

Comparada con BigID, que lidera con el escáner, Collibra lidera con el catálogo. La historia de descubrimiento es genuina, pero está envuelta en una plataforma de gobierno del dato que espera una organización con stewards, políticas y tolerancia al workflow. Nuestro equipo construyó un pequeño glosario de negocio, mapeó un puñado de clases de datos sensibles contra él y trazó una columna de tarjeta desde una fuente Snowflake a través de tres mercados aguas abajo usando la vista de linaje. El artefacto resultante fue la historia de auditoría más limpia de cualquier plataforma de la lista.

La contrapartida cae donde uno esperaría. La puesta en marcha lleva meses o años, la licencia base son seis cifras antes de cualquier módulo adicional, y los activos no son buscables en el catálogo hasta que alcanzan el estado Accepted en el flujo, lo que obliga a los usuarios del primer día a esperar a que alguien pulse un botón antes de poder encontrar nada. Los clientes reportan que las nuevas versiones a veces introducen bugs que exigen soporte del fabricante, y las operaciones de borrado sobre grandes volúmenes de activos son lo bastante lentas como para planificarlas con antelación.

El problema oculto es la adopción. Collibra entrega su valor real cuando negocio y equipos técnicos comparten el glosario, y eso solo ocurre cuando el stewardship está bien dotado. Las organizaciones que compran Collibra y luego lo dejan en manos de un único ingeniero de datos acaban con un cementerio de metadatos caro. Para una empresa grande genuinamente comprometida con el gobierno del dato, esta es la plataforma de descubrimiento que produce la postura de auditoría más defendible. Para el resto, las plataformas más ligeras de arriba en la lista hacen más por menos.

La venta se cierra sola en una conversación de procurement. Un comprador que ya opera OneTrust para consentimiento de cookies y DSAR no quiere de verdad un proveedor de descubrimiento separado, y el atractivo de la plataforma aquí es que el módulo de descubrimiento vive dentro de la suite que el equipo de privacidad ya maneja. Nuestro equipo de prueba dio de alta el mismo bucket S3 y el mismo warehouse Snowflake a través de los conectores de OneTrust, y los hallazgos fluyeron directamente al módulo RoPA sin trabajo de pegamento. Para una empresa que valora la continuidad operativa, esa integración vale dinero real.

Donde la plataforma se queda corta es precisamente donde sus competidoras son más fuertes. Sobre el mismo benchmark de 500 GB, OneTrust recuperó alrededor del 82 por ciento de los registros plantados, frente al 94 por ciento de Tenable y al 97 por ciento de BigID, y las cifras de confianza del clasificador no encajaban limpiamente con nuestro ground truth. La suite es además sin disculpas empresarial, con precios bajo cotización que expulsan al mid-market y una UX que sigue mostrando las costuras del largo historial de adquisiciones de la compañía.

La forma correcta de pensar en OneTrust es como el centro de operaciones de privacidad que casualmente descubre datos, no como la plataforma de descubrimiento que casualmente hace privacidad. Para un DPO que dirige un programa global y necesita que RoPA, DSAR, evaluaciones, riesgo de proveedor, consentimiento y gobierno de IA compartan tejido, esa es exactamente la forma correcta. Para un ingeniero de seguridad o de privacidad que quiere el escáner más preciso apuntando a la mayor superficie posible, este es el extremo equivocado de la lista.