Los riesgos internos son cada vez más costosos para las compañías
El coste medio de este tipo de amenazas alcanza ya los 16.200 millones de dólares en 2023.
Las posibles pérdidas monetarias por incidentes de seguridad causados por actividades internas, ya sean intencionadas o accidentales, están aumentando drásticamente. Y, es que las empresas continúan malinterpretando la amenaza que representan. Según un informe de IA DTEX Systems, junto con Ponemon Institute, las compañías generalmente no financian sus programas de riesgo interno, gastando aproximadamente unos 200 dólares por empleado en este tipo de seguridad. Asimismo, el estudio asegura que el 58% de los encuestados cree que este dinero no es suficiente.
Las consecuencias de esto podrían ser graves. El coste medio total de un riesgo interno ha aumentado de 15,4 millones de dólares en 2022 a 16,2 millones en 2023, mientras que el número de días requeridos para contener una amenaza interna ha subido de 85 a 86 en el mismo período.
Ponemon clasifica las amenazas internas en tres categorías. Primero, las que surgen debido a trabajadores que buscan dañar a la organización, como gente descontenta. En segundo lugar, las que surgen porque un atacante externo engaña a un empleado vulnerable a través de, por ejemplo, un correo de phishing. Finalmente, y lo que supone más costes, el informe habla de personas negligentes o que cometen errores, que ignoran las advertencias de los sistemas de seguridad o los configuran mal.
El 55% del dinero invertido en la respuesta a incidentes se destina a problemas causados por negligencias, en comparación con el 20% para ataques novedosos que simplemente superan al personal de negocios o trabajadores de TI, y el 25% para aquellos causados por personas internas activamente maliciosos.
Esto significa que los equipos de seguridad podrían ahorrar mucho al centrarse en detección y prevención, en lugar de verse obligados a gastar sus fondos en la remediación. En la estimación final, el estudio encuentra que solo el 10% de los presupuestos de gestión de riesgos internos se destinan a cosas previas al incidente, aproximadamente 64.000 dólares por cada uno. Los 500.000 dólares restantes van a contención, remediación, investigación, respuesta a incidentes y escalamiento.
“La financiación está siendo inadvertidamente mal dirigida debido, en parte, a un malentendido generalizado de los riesgos internos y cómo se manifiestan en función de los comportamientos de alerta temprana”, según el documento. “Se requiere un enfoque de toda la industria para educar y encontrar un terreno común sobre cómo definimos y discutimos los riesgos internos con las empresas y las entidades públicas”.
