El coste real de la lucha contra ciberamenazas internas

Por Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal 

El fenómeno de las amenazas internas sigue en aumento; en concreto, un 47% más respecto al año anterior. Y desde las organizaciones empieza a pagarse un precio elevado por ello: el coste medio total alcanza los 11,45 millones de dólares, lo que significa una subida del 31% en los dos últimos años. 

Con respecto a las amenazas externas, los motivos y las tácticas del atacante son diferentes. Al contrario que los atacantes externos, no necesitan romper las defensas y muchos no son conscientes de ser tan siquiera una amenaza, por lo que resulta difícil caracterizarlos, aún más difícil de detectar y extremadamente difícil defenderse frente a ellos.

Independientemente de que haya una intención maliciosa o un error humano tras la amenaza, el resultado es el mismo. El coste medio anualizado para la organización de la amenaza por negligencia es de unos 4,58 millones de dólares, mientras que para la de origen malicioso es de unos 4,08 millones de dólares. Y, en el caso de que haya una pérdida o robo de credenciales, el coste medio anualizado para la organización es de unos 2,79 millones de dólares. 

Puede que estas cifras sean difíciles de relacionar, pero el impacto que tienen en una organización es realmente importante. Los costes se incrementan rápidamente debido a la mano de obra adicional, a la inversión en tecnología, no olvidando los causados por la disrupción del negocio y pérdida de ingresos. En el caso de que se produzca una sola amenaza por comportamiento negligente, el impacto económico se situaría de media en los 307.111 dólares; pero si el ataque es obra de un agente malicioso, el coste ascendería a los 755.760 dólares; o a los 871.686 dólares, si implica además la pérdida de credenciales.  

Las amenazas internas, intencionadas o no, no se pueden evitar del todo, pero no por ello las empresas deben aceptar sus consecuencias negativas. Si adoptan un enfoque proactivo, con herramientas tecnológicas y sistemas de formación rentables, pueden minimizar estos incidentes y controlar sus costes.  

El impacto económico de estos ciberataques

Si la defensa contra amenazas internas se caracteriza por ser amplia, variada y estratificada, sus costes también lo son. Desde la parte más proactiva, de monitorización y vigilancia, hasta la reactiva, de análisis posterior y reparación, una amenaza interna impacta en numerosas partes de la actividad de una organización. 

Las amenazas deben investigarse a fondo para determinar cuál es su origen y alcance. Asimismo se requiere mantener reuniones con las que informar a las partes que sean necesarias o en las que estos incidentes sean de interés, así como poner en marcha una estrategia de respuesta. Esto implica un desembolso sustancial: en una amenaza interna, las organizaciones gastan alrededor de 22.000 dólares en vigilancia y monitorización, además de otros 125.000 dólares en su investigación y escalado. Y todo ello, antes de abordar el punto más costoso de la operación: la contención. 

Contener un incidente interno supone un tercio del total de los gastos, es decir, aproximadamente unos 211.000 dólares. Le siguen de cerca los costes por la reparación (147.000 dólares) y los de respuesta de dicha amenaza (118.000 dólares).    

No sorprende que la tecnología y la mano de obra sean dos de las categorías con mayor desembolso, quedándose entre ambas con casi la mitad de los gastos. Esta partida cubre las horas de trabajo extra, personal adicional, así como el hardware y software necesario para resolver la situación.  

El alcance de incidentes que hayan quedado al descubierto nos da una fácil explicación de por qué las amenazas internas pueden llegar a ser tan destructivas. En los últimos años, empresas como Target y Capital One han visto cómo sus beneficios y valoraciones han caído como consecuencia de filtraciones de datos causados por agentes internos; y no son las únicas que lo han sufrido.

La forma más eficaz de evitar estas consecuencias económicas pasa por reducir al mínimo el riesgo de que se produzca una amenaza interna. Aunque las medidas proactivas conllevan también costes, en estos casos también es mejor prevenir que curar.   

Lamentablemente son muchas las organizaciones que carecen de estas medidas. Pese a que la formación a usuarios prevalece en estos casos, esta suele ser inadecuada y los métodos empleados rara vez son los más rentables. 

El actual campo de batalla

Un reciente informe sobre phishing revela que el 95% de las organizaciones globales cuenta con iniciativas de formación en ciberseguridad para sus empleados. Sin embargo, al analizarlas en profundidad, se pudo comprobar que el contenido, la frecuencia y los métodos resultan deficientes.  

Para la mayoría de las personas que componen una organización, estos recursos educativos se resumen en un curso al año de apenas tres horas de duración. En muchas empresas este tipo de formación está disponible solo para algunos trabajadores, y no se contemplan sesiones de carácter presencial ni se realizan actividades prácticas como simulaciones de ataques.

El resultado es que gran parte de la fuerza de trabajo no está formada para reconocer amenazas comunes. Según el mismo estudio, solo el 61% de usuarios podría definir correctamente qué es el phishing, el 31% reconocería el ransomware y el 66% estaría familiarizado con el malware. En este escenario el aumento de trabajadores negligentes tiene todo el sentido.  

A la hora de prevenir las amenazas internas, muchas organizaciones optan por concienciar en ciberseguridad, establecer medidas de prevención de pérdida de datos, además de analizar el comportamiento de los usuarios para educar y equipar a todo el personal en consecuencia. 

Tanto la formación como el análisis del comportamiento de los usuarios resultan muy rentables. Las compañías que llevan a cabo estas acciones ahorran unos 3,42 y 3,1 millones de dólares, respectivamente. En el caso de la prevención de pérdida de datos, aunque también es importante, hay menos margen de ahorro: unos 1,88 millones de dólares de media.

Sin duda, la fórmula más ventajosa con la que minimizar y gestionar las amenazas internas consiste en combinar la formación de concienciación a los usuarios, con un análisis de sus comportamientos y la implementación de herramientas de gestión de acceso privilegiado (PAM). Estas últimas permiten ahorrar por sí mismas una media de 3,1 millones de dólares, aunque su despliegue solo se da en el 39% de las organizaciones. Si estas herramientas se emplean junto con otras soluciones proactivas y preventivas, las organizaciones darán con la clave para reducir el impacto económico de las amenazas internas y, al mismo tiempo, disminuir su frecuencia y sus posibilidades de éxito.

Conocimiento y contención ante posibles incidentes

Las amenazas internas, ya tengan una intención maliciosa o no, requieren de unas formas de disuasión propias, puesto que se escapan del ámbito de actuación de las ciberdefensas estándar. 

En todas las organizaciones se necesita implementar un programa para la gestión de amenazas internas que sea completo y eficaz a fin de poder disuadir, detectar y defenderse contra este tipo de ataques cuya incidencia no hace más que aumentar. Al respecto, sería primordial la puesta en marcha de sistemas de supervisión y vigilancia de la red, junto con el despliegue de soluciones PAM. La manera más eficaz de evitar posibles datos por amenazas internas pasa por prevenir las mismas cuanto sea posible. Para ello, resulta imprescindible utilizar todos los instrumentos disponibles para reportar acciones sospechosas, bloquear solicitudes de acceso inusuales, así como preservar información confidencial y credenciales con privilegios.  

La formación y la educación en ciberseguridad son igual de importantes, ya que los usuarios necesitan comprender su papel en la defensa contra posibles amenazas. Las organizaciones de hoy deben asegurarse de que sus empleados son conscientes no solo de los riesgos más comunes, sino de que su comportamiento puede aumentar tanto la probabilidad como el éxito de ciberataques. 

La contención es clave en el caso de que se produzca algún incidente. Cuanto más rápido se contenga, menor será su coste, por lo que conviene que existan protocolos y sistemas de protección que consigan identificar y rectificar cualquier amenaza lo antes posible.   

Es vital contar con capacidades de vigilancia y respuesta antes, durante y después de una amenaza interna. Conocer a sus empleados, entorno y sistemas permitirá a las organizaciones protegerse de la mejor manera frente a amenazas, tanto si llaman a su puerta como si están ya dentro.  

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba