O custo de um risco interno é o mais alto de sempre, uma vez que as organizações gastam mais tempo do que nunca a tentar conter incidentes internos, de acordo com a DTEX Systems.
O custo médio anual de um risco interno aumentou para 16,2 milhões de dólares – um aumento de 40% em quatro anos. Entretanto, o número médio de dias para conter um incidente interno aumentou para 86 dias.
Além de analisar os custos incorridos quando uma organização enfrenta um incidente de segurança interno , o estudo deste ano inclui insights inéditos sobre como as organizações estão financiando programas de risco interno. As conclusões mostram que 46% das organizações planeiam aumentar o seu investimento em programas de risco interno em 2024. O estudo também descobriu que 77% das organizações planeiam iniciar um programa de risco interno.
“Estamos encorajados pelo fato de as organizações planejarem aumentar os investimentos em programas de risco interno porque isso é exigido pelos clientes e pelas novas regulamentações do setor – e não apenas por causa de incidentes anteriores. Esta é uma mudança significativa que pressagia atenção e priorização há muito esperadas”, disse Rajan Koo , CTO da DTEX Systems .
Investimento inadequado na gestão de risco interno
O impulso em torno do gerenciamento de riscos internos ocorre em meio ao aumento dos custos, da frequência e do tempo necessário para conter incidentes de segurança relacionados a informações internas. De acordo com o analista de pesquisa Gartner, o gerenciamento de riscos internos refere-se às “ferramentas e capacidades para medir, detectar e conter comportamentos indesejáveis de contas confiáveis dentro da organização”.
Apesar do custo crescente dos riscos internos, 88% das organizações gastaram menos de 10% do seu orçamento total de segurança de TI na gestão de riscos internos. As organizações tinham um orçamento de segurança de TI de 2.437 dólares por funcionário, mas apenas 8,2% (equivalente a 200 dólares por funcionário) foram alocados especificamente para programas e políticas de risco interno.
Os restantes 91,8% do orçamento de segurança de TI foram gastos em ameaças externas, apesar de mais de metade das organizações atribuirem a engenharia social como a principal causa de todos os ataques externos.
Koo disse que as descobertas mostram que os orçamentos estão a ser desperdiçados na “gestão reativa dos sintomas”, apesar das evidências crescentes de que a causa raiz começa dentro de casa. “As descobertas demonstram que o ser humano, manifestado como um risco interno, é a principal causa de todas as violações de dados – incluindo as de engenharia social”, disse ele. “Isso destaca um mal-entendido generalizado sobre os tipos de riscos internos e a falha em proteger proativamente os dados e a propriedade intelectual dos clientes.”
Dr. Larry Ponemon , presidente do Ponemon Institute comentou: “Nosso objetivo ao conduzir esta pesquisa é conscientizar sobre os custos significativos incorridos quando os funcionários são negligentes, enganados ou maliciosos no tratamento de dados confidenciais de uma organização. Acreditamos que este estudo é único porque analisa os custos com base no tipo de insider, no tempo necessário para conter o incidente e nas tecnologias mais eficazes na redução dos custos. Essas informações são benéficas na criação de uma estratégia para lidar de forma mais eficaz com o risco interno e, ao mesmo tempo, reduzir os custos.”
Financiamento do programa de risco interno deve aumentar
O custo médio anual de um risco interno aumentou 40% ao longo de quatro anos, para 16,2 milhões de dólares – acima dos 15,4 milhões de dólares em 2022. O número médio de dias para conter um incidente interno em 2023 aumentou para 86 dias. Quanto mais tempo levar para responder, maior será o custo (US$ 18,33 milhões para incidentes que levam mais de 91 dias para serem contidos).
As organizações tinham um orçamento médio de segurança de TI de US$ 2.437 por funcionário, mas apenas 8,2% (equivalente a US$ 200 por funcionário) foram alocados especificamente para programas e políticas de gerenciamento de riscos internos.
Apenas 10% do orçamento de gerenciamento de riscos internos (com média de US$ 63.383 por incidente) foram gastos em atividades pré-incidentes: US$ 33.596 em monitoramento e vigilância e US$ 29.787 em análise ex-post (isso inclui atividades para minimizar potenciais futuros incidentes internos e medidas tomadas para comunicar recomendações com as principais partes interessadas).
Os 90% restantes (uma média de US$ 565.363 por incidente) foram gastos em centros de custos de atividades pós-incidente: US$ 179.209 em contenção, US$ 125.221 em remediação, US$ 117.504 em investigação, US$ 113.635 em resposta a incidentes e US$ 29.794 em escalonamento.
Apesar de a maioria das organizações atribuir uma média de 8,2% dos seus orçamentos de segurança de TI a programas de risco interno, 58% consideram os gastos actuais inadequados e 46% esperam que o financiamento aumente no próximo ano. 77% das organizações iniciaram ou estão planejando iniciar um programa de risco interno.
Pessoas internas não maliciosas causam a maioria dos incidentes internos
75% dos entrevistados afirmaram que a causa mais provável do risco interno não é mal-intencionada: uma pessoa interna negligente ou equivocada (55%) ou uma pessoa interna enganada que foi explorada por um ataque ou adversário externo (20%).
53% das organizações afirmaram que a engenharia social (incluindo phishing, pretextos e comprometimento de e-mails comerciais) foi uma das principais causas de ataques externos ou não internos.
O custo médio da actividade dos serviços financeiros é de 20,68 milhões de dólares e dos serviços (incluindo empresas de contabilidade, consultoria e serviços profissionais) é de 19,09 milhões de dólares.
Entre as organizações que têm ou planejam ter um programa dedicado ao risco interno, 52% relatam que o apoio e a defesa do programa de cima para baixo (por exemplo, um comitê gestor de risco interno) é uma característica fundamental. 51% têm uma equipe multifuncional dedicada de jurídico, recursos humanos, linha de negócios e segurança de TI.
Um terço das organizações considera a inteligência artificial e a aprendizagem automática essenciais para a prevenção, investigação, escalada, contenção e remediação de incidentes internos, enquanto 31% consideram-na muito importante.
FONTE: HELP NET SECURITY