Las amenazas internas le cuestan 11,44 millones de dólares al año a cada empresa
Un nuevo estudio publicado por Ponemon Institute, 2020 Cost of Insider Threats: Global, ha constatado un importante aumento tanto en el coste como en la frecuencia de las amenazas internas desde 2018.
Según el estudio, el coste medio de las amenazas internas aumentó un 31% en dos años, hasta alcanzar los 11,45 millones de dólares, y la frecuencia de incidentes aumentó un 47% durante el mismo periodo de tiempo.
La investigación se ha llevado a cabo entre 964 profesionales de TI y seguridad, pertenecientes a 204 organizaciones con plantillas superiores a los 1.000 empleados, y repartidas entre América del Norte, Europa, Oriente Medio, África y Asia-Pacífico. En total, en los últimos 12 meses se identificaron 4.716 incidentes provocados desde el interior de las organizaciones. El estudio de Ponemon Institute ha sido patrocinado por ObserveIT, una compañía de Proofpoint e IBM.
¿Quiénes son las amenazas internas en 2020?
Al igual que en el informe de 2018, este año, el Ponemon Institute ha estudiado tres tipos de perfiles que podríamos considerar amenazas internas:
● Usuarios negligentes, empleados o asesores externos que comenten errores que causan incidentes de forma no intencionada
● Criminales infiltrados, o aquellos que causan un daño desde dentro de la organización de manera intencionada
● Ladrones de credenciales, o aquellos que roban los datos de acceso de los infiltrados para obtener acceso no autorizado a aplicaciones y sistemas
De los tres perfiles, los ladrones de credenciales causaron el mayor daño por incidente, lo que costó a las organizaciones un promedio de 871.000 dólares por incidente, tres veces más por incidente que los infiltrados negligentes. Sin embargo, la frecuencia del robo de credenciales fue del 25% de todos los incidentes, lo que limitó el coste medio anual a 2,79 millones de dólares por año.
Por el contrario, los usuarios negligentes con información privilegiada representan el 62% de todos los incidentes, lo que supone un coste anual total más elevado para las organizaciones: una media de 4,58 millones de dólares. Aunque los criminales infiltrados suelen generar más titulares, su frecuencia de actuación es la más baja de los tres perfiles, representando sólo el 14% de todos los incidentes. Sin embargo, el coste de 756.000 dólares por incidente es difícil de obviar, ya que representa una media de 4,08 millones de dólares en pérdidas al año.
¿Cuáles son los costes de las amenazas internas?
El informe describe en detalle los costes primarios de las amenazas internas, así como las industrias, los tamaños de las empresas y las regiones más afectadas por las amenazas internas. Éstos son algunos de los aspectos más destacados:
● El coste más elevado para las organizaciones es la contención de las amenazas, con un promedio anual de 211.533 dólares por compañía. Las actividades de contención se centran en detener o disminuir el impacto de incidentes o ataques.
● El coste que crece más rápido es el de investigación, al que las organizaciones dedican un 86% más que hace solo tres años. La investigación ayuda a descubrir la fuente, el alcance y la magnitud de uno o más incidentes.
● Como en el informe de 2018, los datos de este año indican que cuanto más dura un incidente, más costoso se vuelve. Se tarda una media de 77 días en contener un incidente, y los que duran más de 90 días cuestan a las organizaciones una media de 13,71 millones de dólares al año.
● Por sectores, la industria de servicios financieros fue la que tuvo un coste medio anual más elevado, alcanzando los 14,5 millones de dólares, los que supone un aumento del 20.3% en dos años. Como era de esperar, el tamaño de la plantilla aumenta el coste de las amenazas internas: las organizaciones más grandes (más de 75.000 empleados) gastan de media 17,92 millones de dólares, mientras que las más pequeñas (menos de 500) gastan una media de 7,68 millones de dólares en amenazas internas.
Cómo gestionar activamente las amenazas internas
Los datos de este informe muestran que la mayoría de las organizaciones deben estar más atentas a los incidentes provocados por amenazas internas, que a menudo pasan desapercibidas hasta que es demasiado tarde. Muchas organizaciones creen que pueden abordar las amenazas internas con las soluciones de seguridad centradas en las amenazas externas, cuando una estrategia dedicada de administración de amenazas internas puede ser una mejor estrategia general. Estos son algunos consejos para abordar la gestión activa de las amenazas internas:
● Crear una cultura de concienciación sobre ciberseguridad: dado que la gran mayoría de los incidentes son accidentales, priorice la formación en concienciación sobre ciberseguridad para garantizar que los empleados y colaboradores estén al día sobre los requisitos de su política de seguridad. Y lo que es más importante, ayude a los empleados a entender cómo afectan a su trabajo diario las políticas de seguridad. Si se producen errores, tómelos como una oportunidad para cambiar comportamientos y ayudar a los empleados o colaboradores a conocer alternativas mejores.
● Obtener visibilidad sobre las amenazas internas: muchas organizaciones cometen el error de afrontar las amenazas internas simplemente rastreando la transferencia de datos. Sin embargo, ese enfoque ignora el hecho de que son las personas quienes mueven los datos (los datos no se mueven solos). Monitorizar conjuntamente la actividad del usuario y la de los datos puede proporcionar un contexto muy útil en los incidentes de amenazas internas y reducir el tiempo de investigación (y el coste general de los incidentes internos).
● Hacer de la gestión de amenazas internas un deporte de equipo: aunque el equipo de seguridad es pieza clave de cualquier programa de gestión de amenazas internas, otros departamentos, como los de RRHH, legal, cumplimiento normativo o comunicaciones, deben participar para que el proceso de investigación, contención y respuesta a incidentes sea lo más fluido posible. En casos de amenazas internas accidentales, se puede probar la falta de intención de forma detallada para exonerar a los empleados y darles la formación adecuada para el futuro.