El coste de las amenazas internas alcanza los 11 millones de dólares al año por empresa

Desde 2018 ha aumentado de forma considerable tanto el coste como la frecuencia de las amenazas internas en las empresas. El coste medio alcanza los 11,45 millones de dólares, suponiendo un aumento del 31% en dos años. Mientras que la frecuencia de estos incidentes aumentó un 47% durante el mismo periodo de tiempo.

amenazas internas

Estos datos son algunas de las conclusiones del último informe de Ponemon Institute, bajo el título ‘2020 Cost of Insider Threats: Global‘, en el que se detalle que, en los últimos 12 meses, se identificaron 4.716 incidentes provocados desde el interior de las organizaciones.

Esta investigación ha contado con la participación de 964 profesionales de TI y seguridad, pertenecientes a 204 organizaciones con plantillas superiores a los 1.000 empleados, repartidas entre América del Norte, Europa, Oriente Medio, África y Asia-Pacífico.

Al igual que en años anterior, el estudio detalla tres tipos de perfiles que se podrían considerar amenazas internas:

De estos tres perfiles, los ladrones de credenciales causaron el mayor daño por incidente, lo que costó a las organizaciones un promedio de 871.000 dólares por incidente, tres veces más por incidente que los infiltrados negligentes. Sin embargo, la frecuencia del robo de credenciales fue del 25% de todos los incidentes, lo que limitó el coste medio anual a 2,79 millones de dólares al año.

¿Cuáles son los costes de las amenazas internas?

El informe describe en detalle los costes primarios de las amenazas internas, así como las industrias, los tamaños de las empresas y las regiones más afectadas por las amenazas internas. Éstos son algunos de los aspectos más destacados:

  • El coste más elevado para las organizaciones es la contención de las amenazas, con un promedio anual de 211.533 dólares por compañía. Las actividades de contención se centran en detener o disminuir el impacto de incidentes o ataques.
  • El coste que crece más rápido es el de investigación, al que las organizaciones dedican un 86% más que hace solo tres años. La investigación ayuda a descubrir la fuente, el alcance y la magnitud de uno o más incidentes.
  • Como en el informe de 2018, los datos de este año indican que cuanto más dura un incidente, más costoso se vuelve. Se tarda una media de 77 días en contener un incidente, y los que duran más de 90 días cuestan a las organizaciones una media de 13,71 millones de dólares al año.
  • Por sectores, la industria de servicios financieros fue la que tuvo un coste medio anual más elevado, alcanzando los 14,5 millones de dólares, los que supone un aumento del 20.3% en dos años. Como era de esperar, el tamaño de la plantilla aumenta el coste de las amenazas internas: las organizaciones más grandes (más de 75.000 empleados) gastan de media 17,92 millones de dólares, mientras que las más pequeñas (menos de 500) gastan una media de 7,68 millones de dólares en amenazas internas.

¿Cómo gestionar activamente las amenazas internas? 

Los datos de este informe muestran que la mayoría de las organizaciones deben estar más atentas a los incidentes provocados por amenazas internas, que a menudo pasan desapercibidas hasta que es demasiado tarde.

Muchas organizaciones creen que pueden abordar las amenazas internas con las soluciones de seguridad centradas en las amenazas externas, cuando una estrategia dedicada de administración de amenazas internas puede ser una mejor estrategia general. Estos son algunos consejos para abordar la gestión activa de las amenazas internas:

  • Crear una cultura de concienciación sobre ciberseguridad: dado que la gran mayoría de los incidentes son accidentales, priorice la formación en concienciación sobre ciberseguridad para garantizar que los empleados y colaboradores estén al día sobre los requisitos de su política de seguridad. Y lo que es más importante, ayude a los empleados a entender cómo afectan a su trabajo diario las políticas de seguridad. Si se producen errores, tómelos como una oportunidad para cambiar comportamientos y ayudar a los empleados o colaboradores a conocer alternativas mejores.
  • Obtener visibilidad sobre las amenazas internas: muchas organizaciones cometen el error de afrontar las amenazas internas simplemente rastreando la transferencia de datos. Sin embargo, ese enfoque ignora el hecho de que son las personas quienes mueven los datos (los datos no se mueven solos). Monitorizar conjuntamente la actividad del usuario y la de los datos puede proporcionar un contexto muy útil en los incidentes de amenazas internas y reducir el tiempo de investigación (y el coste general de los incidentes internos).
  • Hacer de la gestión de amenazas internas un deporte de equipo: aunque el equipo de seguridad es pieza clave de cualquier programa de gestión de amenazas internas, otros departamentos, como los de RRHH, legal, cumplimiento normativo o comunicaciones, deben participar para que el proceso de investigación, contención y respuesta a incidentes sea lo más fluido posible. En casos de amenazas internas accidentales, se puede probar la falta de intención de forma detallada para exonerar a los empleados y darles la formación adecuada para el futuro.

Imágenes: Shutterstock / welcomia