Las posibles pérdidas financieras derivadas de incidentes de seguridad causados ​​por personas internas (ya sean intencionales o accidentales) están aumentando considerablemente a medida que las empresas siguen malinterpretando esta amenaza. Según un Publicado el informe del Instituto Ponemon Según DTEX Systems, un proveedor de tecnologías de gestión de riesgos basadas en IA, las empresas suelen financiar insuficientemente sus programas de riesgo de intrusión y gastan alrededor de 200 dólares por empleado en este tipo de seguridad. "La financiación se desvía involuntariamente en parte debido a una mala comprensión generalizada de los riesgos que se originan internamente y cómo se manifiestan en función de comportamientos de alerta temprana", dice el estudio. "Se necesita un enfoque que abarque a toda la industria para educar y encontrar puntos en común sobre cómo definimos y discutimos los riesgos internos con empresas y entidades gubernamentales".

el informeque se basa en una encuesta realizada a más de 1.000 responsables de la toma de decisiones en el ámbito de las tecnologías de la información y la seguridad informática, revela que el 58% de los encuestados cree que esta cantidad no es suficiente. Según el informe, las consecuencias de esta subutilización de los presupuestos podrían ser graves. El costo total promedio de un riesgo inducido por información interna aumentó de $15,4 millones en 2022 a $16,2 millones en 2023, mientras que el número promedio de días necesarios para contener una amenaza a la seguridad por parte de un empleado interno pasó de 85 a 86 durante el mismo período.

Errores y negligencias que salen caras

Ponemon Institute ha clasificado las amenazas internas en tres categorías. Primero, amenazas de colaboradores malintencionados que buscan dañar el negocio, como empleados descontentos. En segundo lugar, las amenazas debidas a un atacante externo que ha comprometido a un empleado vulnerable, que ha sido engañado por una estafa de phishing o de otro tipo. Finalmente, en la categoría más costosa, el informe describe casos de negligencia o error por parte de empleados que ignoraron las advertencias de los sistemas de seguridad o que configuraron mal un sistema.

Más de la mitad, o el 55 por ciento, del dinero gastado en responder a incidentes internos se gastó en problemas causados ​​por negligencia o errores, en comparación con el 20 por ciento en nuevos ataques que simplemente frustraron los planes del personal interno. la empresa o departamentos de TI, y el 25% para aquellos causados ​​por empleados activamente maliciosos. Según los autores del informe, los equipos de seguridad podrían ahorrar mucho dinero centrándose en la detección y la prevención, en lugar de verse obligados a dedicar sus presupuestos a la remediación. En la estimación final, el estudio encontró que sólo el 10 por ciento de los presupuestos internos de gestión de riesgos del personal de las empresas se dedicaban a gastos previos al incidente, o alrededor de 64.000 dólares por incidente. Los $565,363 restantes por incidente se gastaron en contención, remediación, investigación, respuesta a incidentes y escalada.