Un estudio de IDC alerta que los Mayores Incidentes en la Seguridad de las Empresas son provocados accidentalmente por los propios empleados

 Los incidentes involuntarios en la seguridad de una compañía provocados por los propios trabajadores de la empresa ocurren con más frecuencia y provocan impactos mucho más dañinos que los ataques internos provocados de forma intencionada. Esto es lo que se desprende de un nuevo estudio de IDC patrocinado por RSA, la división de seguridad de EMC. Este informe también destaca el desconocimiento de los asuntos relativos a la seguridad empresarial por gran parte de los directores de las compañías. Estos priorizan protegerse contra los ataques internos malintencionados en vez de invertir para prevenir los cada vez más frecuentes y dañinos incidentes internos fortuitos que afectan a la seguridad de la compañía.

El nuevo documento de investigación de IDC, “Insider Risk Management: A Framework Approach to Internal Security” subraya las potenciales amenazas a las que una organización está expuesta por sus trabajadores, al tener éstos acceso tanto a los sistemas críticos como a la información privilegiada. Mientras los empleados originan riesgos en la seguridad de la información dentro de su compañía, las amenazas externas a menudo eclipsan la importancia de protegerse contra los riesgos internos. Este nuevo estudio revela, una descoordinación de los máximos responsables en materia de seguridad frente al cada vez mayor número de infracciones internas y la amenaza que representa para el centro neurálgico de una compañía las rupturas fortuitas en seguridad, el acceso inapropiado a los datos y el mal uso de la información por parte de los empleados.

Entre los responsables de TI de Europa y Estados Unidos que participaron en el estudio, la mayoría indicó que no tenían claro las fuentes y las intenciones de estos riesgos internos y que estaban luchando por cuantificar las posibles consecuencias financieras. El 52% de las organizaciones encuestadas calificaba sus amenazas internas en seguridad como accidentales, sólo el 19% cree que son intencionadas y el 26% restante piensa que pueden darse ambos casos, mientras que un 3% se mostraban indecisos. Sin embargo, ante la pregunta de que clasificaran sus principales amenazas, casi el 82% de los encuestados dudaban si los incidentes en el área de seguridad provenientes de su personal eran accidentales o intencionados.
"Los responsables ven su relación con sus trabajadores como una unión de confianza y reconocen que su plantilla es su mayor activo” afirma Chris

Christiansen,Vicepresidente de productos de seguridad de IDC.. “Pero la enorme naturaleza de la infraestructura de una organización junto con empleados dispersos por todo el mundo y una mezcla compleja de trabajadores internos, consultores, socios de negocios y personal subcontratado, provocan que los riesgos originados por este personal interno sean actualmente el mayor reto en materia de seguridad al que se enfrenta una compañía. Independientemente de si el riesgo es intencionado o no, el riesgo es real."

Este estudio también indica el volumen de los incidentes internos que las organizaciones están experimentando. En los pasados 12 meses, los 400 directores que respondieron al estudio admitieron 6.330 incidentes de pérdida de datos involuntaria mediante negligencias de los propios trabajadores, 5.907 ataques de malware/spyware dentro de la empresa, y 5.831 incidentes creados por privilegios excesivos y/o derechos de control de accesos. En total, el número de incidentes fue de 58.097 en un año. Los resultados del informe también señalan que casi el 40% de las organizaciones planea aumentar el gasto en iniciativas para reducir los riesgos internos en seguridad en los próximos doce meses y solamente un 6% lo disminuirá.

 Estos resultados indican que no existe una única solución para controlar los riesgos internos en seguridad, pero es necesario tener un exhaustivo acercamiento a la gestión del riesgo para comprender mejor el tipo de riesgo al que se exponen las organizaciones y dónde se deben colocar los controles.

“La seguridad es responsabilidad de todos, no sólo es el trabajo del departamento de seguridad” afirma Christopher Young, Vicepresidente Senior de RSA. “Los riesgos internos son crecientes y para ser competitivos, los directivos deben cambiar el modo en el que defienden su empresa y ampliar las prioridades en materia de seguridad para hacer frente a las cada vez mayores necesidades de protección de los riesgos internos, tanto accidentales como intencionados. Se debe adoptar una estrategia integral que mitigue los riesgos internos para centrarse en la protección del mal uso, las fugas y la pérdida de información crítica, debido al uso interno tanto accidental, como deliberado”.

Aunque cada vez es mayor la sofisticación de las infracciones en el manejo de información por parte de los que cometen el delito, este nuevo estudio pone de relieve que los errores involuntarios, los fallos del sistema y una pobre atención en las prácticas de TI, afectan a la integridad operativa de una organización para tener más niveles de ataques intencionados o maliciosos.