El desarrollo Low Code corporativo ha acelerado la creación de aplicaciones en las empresas, permitiendo innovar de forma ágil y cercana al negocio. Sin embargo, esta rapidez también introduce nuevos retos en seguridad y protección de datos, especialmente en entornos regulados por la LOPDGDD. En este artículo analizamos los principales riesgos del Low Code en el ámbito empresarial y las claves para proteger la información sensible sin renunciar a la agilidad ni al cumplimiento normativo.
¿Qué es Low Code y por qué importa la LOPDGDD?
El desarrollo ‘Low Code’ o ‘Vibe Coding’ está transformando el desarrollo de aplicaciones empresariales. Permite que profesionales con menos conocimientos técnicos, pero con una visión profunda del negocio y gran motivación innovadora, puedan crear soluciones digitales por sí solos.
Sin embargo, este avance trae consigo nuevos retos, especialmente en materia de seguridad y protección de datos. La correcta gestión de la privacidad y la seguridad de la información debe ser una prioridad para evitar problemas legales y deterioro de la reputación de la empresa.
Este artículo se centra en la protección de la información sensible dentro del entorno corporativo. En concreto, pone el foco en las pequeñas aplicaciones desarrolladas mediante ‘Low Code’ o ‘Vibe Coding’ por perfiles con menor experiencia técnica. La falta de conocimientos avanzados puede dar lugar a errores que comprometan la privacidad y la seguridad de los datos.
Caso práctico: Filtración de datos en campaña navideña
Durante la campaña navideña de uno de nuestros clientes, un responsable sin experiencia técnica creó una aplicación básica con Power Apps y Power Automate.
Durante las pruebas, se dio cuenta de que datos personales, como la dirección de los empleados, eran visibles para otras personas en listas de SharePoint Online. Este tipo de situación supone un riesgo de privacidad de la información.
Con algunos ajustes sencillos en la configuración de seguridad y permisos, conseguimos resolver el problema rápidamente. Gracias a estos cambios, la campaña navideña pudo desarrollarse sin complicaciones y con la seguridad necesaria para proteger los datos personales.
¿Por qué se produce este problema de seguridad?
Los problemas de seguridad en entornos Low Code surgen por varios motivos:
- Facilidad de creación de aplicaciones: cualquier empleado con nociones básicas de SharePoint Online puede generar listas o espacios para almacenar información.
- Integración de datos: al alojar aplicaciones y repositorios en la misma colección de sitios, es fácil que datos sensibles se compartan sin intencionalidad.
- Uso de inteligencia artificial: la automatización y generación de interfaces simplifica aún más la creación de aplicaciones, aumentando el riesgo de errores en permisos y roles.
No todas las aplicaciones creadas por empleados son iguales. Antes de tomar decisiones:
- Define qué información se necesita.
- Evalúa dónde almacenar los datos sensibles.
- Evita colocar toda la información en la misma colección de SharePoint.
¿Y cómo se accede a estos datos si no están en el sitio principal?
Esto depende de cómo esté hecha la aplicación. No es lo mismo usar Power Apps que una aplicación SPfx hecha directamente para SharePoint Online. Cada una tiene formas distintas de conectar con los datos, como hacerlo directamente al repositorio, usando una API Rest, o con flujos de Power Automate.
Definido la conectividad de la aplicación con la información, es fundamental crear diferentes tipos de roles:
- Crea roles específicos: solo lectura, edición, administración según necesidades.
- Desactiva el acceso a través del navegador web cuando sea posible.
- Aplica permisos a nivel de repositorio, nunca a nivel de colección de sitios.
Con estos ajustes, normalmente es suficiente para proteger información básica. Pero si los datos son muy sensibles (como las nóminas de la empresa):
- Usa un usuario de servicio exclusivo para la aplicación.
- Otorga permisos personalizados solo a quienes lo necesiten.
Recomendaciones adicionales para reforzar la seguridad y la privacidad
Aunque los consejos anteriores ya ayudan mucho a proteger la información, si los datos son especialmente sensibles, es recomendable seguir algunas medidas adicionales para aumentar la seguridad.
- No sincronices documentos importantes con PCs personales.
- Configura que los datos sensibles no aparezcan en los buscadores internos.
- Asegúrate de que solo los usuarios autorizados puedan acceder a ellos.
- Utiliza Microsoft Purview Information Protection para limitar acceso, imprimir o compartir información sensible.
- Evalúa futuras integraciones de agentes de IA con capacidades de privacidad suficientes.
Buenas prácticas finales para un Low Code corporativo seguro
Y, por último y más importante, comprueba siempre que la aplicación funciona bien según el perfil de cada usuario. Antes de ponerla en marcha, prueba que cada persona solo puede ver o modificar lo que le corresponde. Así te aseguras de que la información esté bien protegida y que no haya sorpresas inesperadas.
