Los descuidos de empleados son la principal causa de pérdida de datos en empresas españolas, según un informe de Proofpoint

Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha publicado su primer informe Data Loss Landscape en el que analiza cómo los enfoques actuales de prevención de pérdida de datos (DLP) y amenazas internas están adaptándose a los grandes desafíos de hoy en día, como el incremento del volumen de datos, la sofisticación de la ciberdelincuencia y la inteligencia artificial (IA) generativa. Los resultados demuestran que la pérdida de datos es un problema derivado de la interacción entre humanos y máquinas: los usuarios “descuidados” son mucho más propensos a causar estos incidentes que los sistemas comprometidos o mal configurados.

Image description

Aunque las organizaciones están invirtiendo en soluciones de DLP, el informe de Proofpoint señala que esas inversiones son a menudo inadecuadas, ya que el 98% de las organizaciones españolas encuestadas sufrió pérdidas de datos el año pasado. Más de tres cuartos de los afectados (84%) se enfrentaron a consecuencias negativas, como daños reputacionales (49%), la interrupción del negocio y la pérdida de ingresos (ambas reportadas por el 38% de las empresas afectadas), infracciones de normativa o multas (31%). Sin embargo, sorprendentemente, los datos de la plataforma de protección de la información de Proofpoint revelan que sólo el 1% de los usuarios son responsables del 88% de las alertas.

“Esta investigación arroja luz sobre el aspecto más crucial del problema de la pérdida de datos: sus causas humanas”, explica Ryan Kalember, director de estrategia de Proofpoint. “Los usuarios descuidados, comprometidos o malintencionados son y seguirán siendo responsables de la gran mayoría de los incidentes. Además, las herramientas de IA generativa están asumiendo cada vez más tareas rutinarias y obteniendo acceso a datos confidenciales en el proceso. Las organizaciones necesitan replantearse sus estrategias de DLP para abordar el origen subyacente de la pérdida de datos: las acciones de las personas. De esta manera, podrán detectar, investigar y responder a las amenazas en todos los canales que sus empleados están utilizando, incluyendo la nube, endpoints, correos electrónicos y webs”.

El informe Data Loss Landscape 2024 examina las respuestas de una encuesta realizada por terceros a 600 profesionales de la seguridad de organizaciones con 1.000 o más empleados en 17 sectores de 12 países. Esta información se ha complementado con datos de la plataforma de protección de la información de Proofpoint y Tessian, adquirida por la compañía el pasado otoño, para reflejar la magnitud de la pérdida de datos y las amenazas internas a las que se enfrentan las organizaciones.

Entre las principales conclusiones referentes a España se incluyen:

·       La pérdida de datos es un problema muy extendido, pero que se puede prevenir: las organizaciones experimentaron el equivalente a más de un incidente al mes (una media de 15 incidentes de pérdida de datos por cada empresa española en el último año), y el 72% de los encuestados afirmó que la causa principal eran los usuarios descuidados. Entre estos descuidos se incluyen el desvío de correos electrónicos, la visita a sitios de phishing, la instalación de software no autorizado y el envío de datos confidenciales por correo electrónico a una cuenta personal. Todos ellos son comportamientos evitables que podrían mitigarse con prácticas como la implantación de reglas de política de DLP para el correo electrónico, las subidas a la web, la sincronización de archivos en la nube y otros métodos habituales de exfiltración de datos.

El correo electrónico mal dirigido es una de las causas más simples y significativas de la pérdida de datos: alrededor de un tercio de empleados envió uno o dos emails a un destinatario equivocado, según datos de 2023 aportados por Tessian. Esto significa que una empresa de 5.000 empleados tendrá que lidiar con unos 3.400 correos electrónicos mal dirigidos al año. Un email erróneo que contenga datos de empleados, clientes o pacientes podría desencadenar una multa importante por regulación de GDPR y otros marcos jurídicos.

·       Crece rápidamente la preocupación por la IA generativa: herramientas como ChatGPT, Grammarly, Bing Chat y Google Gemini están aumentando en potencia y utilidad, siendo cada vez más los usuarios que introducen datos confidenciales en estas aplicaciones. Navegar por sitios de IA generativa se ha convertido en una de las cinco reglas principales de alerta de DLP y amenazas internas configuradas por las organizaciones que utilizan la plataforma de protección de la información de Proofpoint.

Las acciones malintencionadas tienen caras consecuencias: el 17% de los encuestados en España afirmó que detrás de incidentes de pérdidas de datos había personas con información privilegiada, como empleados o proveedores, y malas intenciones. Este tipo de acciones, sumado al hecho de que existen empleados salientes que buscan hacer daño a una organización, puede tener implicaciones aún mayores que las que podrían darse con descuidos de cualquier intruso, ya que se trata de individuos cuya motivación es lucrarse personalmente.

·       Los empleados salientes fueron identificados como uno de los usuarios de mayor riesgo en España (39%): no siempre piensan que están actuando maliciosamente, pero algunos simplemente se sienten con el derecho de marcharse de la organización llevando consigo la información que han generado mientras pertenecían a ella. Proofpoint muestra que el 87% de las exfiltraciones anómalas de archivos entre inquilinos de la nube durante un periodo de nueve meses fue causado por empleados que se iban de una organización, lo que subraya la necesidad de estrategias preventivas como la implantación de un proceso de revisión de seguridad para esta categoría de usuarios.

·       Los usuarios con privilegios son los de mayor riesgo: más de la mitad (57%) de los encuestados españoles identificó a los empleados con acceso a datos sensibles, entre los que se encuentran profesionales de RRHH y finanzas, como los que presentan el mayor riesgo de pérdida de datos. Además, los datos de Proofpoint muestran que el 1% de los usuarios es responsable del 88% de los incidentes de pérdida de datos. Estos resultados indican que las organizaciones deben dar prioridad a buenas prácticas, como la clasificación de datos para identificar y proteger los datos críticos para el negocio y otras “joyas de la corona”, así como la supervisión de personas con acceso a datos sensibles o privilegios de administrador.

·       Los programas de prevención de pérdida de datos de las organizaciones españolas están madurando: España es uno de los países encuestados en los que la implementación de los programas de DLP no suele hacerse como respuesta a requerimientos legales, con menos de una quinta parte (18%) de los participantes citando el cumplimiento de normas reguladoras como la razón principal. Para las organizaciones españolas, la mayor motivación fue la protección de la reputación de la empresa (72%), seguida de la protección de la privacidad de empleados y clientes (54%).

“Los canales emergentes subrayan la importancia de revisar periódicamente los programas de DLP, ya que son avances rápidos que cambian los comportamientos de los usuarios”, afirma Kalember. “Contar con estrategias como la implementación de plataformas DLP creadas específicamente puede ayudar a avanzar en los programas de seguridad, permitiendo a los equipos tener una visibilidad completa del usuario y de los datos en todos los incidentes, y abordar todo el espectro de escenarios de pérdida de datos centrados en el ser humano. Las personas son una variable crítica de la seguridad de los datos; y los programas de prevención de pérdida de datos así deben reconocerlo”.

“Para detectar, investigar y responder ante pérdidas de datos, es importante desplegar una estrategia que reconozca estos incidentes como un problema humano. En el caso de España, donde la incidencia de la pérdida de datos es ligeramente superior (98%) a la media global (85%), cobra mayor relevancia la necesidad de inversión y herramientas de DLP que mejoren la visibilidad sobre datos sensibles, comportamientos de usuarios y amenazas externas, así como una mayor integración con el ecosistema de TI y seguridad junto a personal cualificado”, añade Fernando Anaya, country manager en Iberia de Proofpoint.

Tu opinión enriquece este artículo:

Cumbre del G20: 15 tips para entender la Cumbre en Río de Janeiro

(Por Mary Molina) "Los líderes del G20 abrieron este lunes una cumbre en Río de Janeiro bajo presión para lograr un acuerdo en la COP29", destacó el presidente brasileño Luiz Inácio Lula da Silva, quien enfatizó la urgencia de combatir la inseguridad alimentaria. Este contexto se torna más complejo con el retorno de Donald Trump a la política estadounidense y las tensiones geopolíticas en aumento, lo que ha llevado a los mandatarios a buscar un consenso en temas críticos que trascienden fronteras.

Sicpa desarrolla para la UE una tecnología digital que sustituirá al dni, pasaporte y hasta billetes de avión (de forma ágil y segura)

La innovadora tecnología de SICPA lleva años dando pasos hacia la implantación del futuro European Digital Wallet, una “billetera” digital portátil para ciudadanos europeos, con total efectividad, seguridad y todas las garantías en lo relativo a la protección de sus datos confidenciales y su privacidad, con la UE como “guardián” de este modelo. Además, también se quiere conseguir que todos los documentos de cada ciudadano (tanto de identidad como sanitarios, de transporte u ocio, entre otros) estén unificados y en formato digital, permitiendo la interoperabilidad por toda Europa.

5 consejos clave para encontrar empleo en las campañas de Black Friday y Navidad

Con la llegada del periodo del año de mayor consumo, Black Friday y Navidad, el mercado laboral experimenta uno de sus picos de demanda más elevados del año. Así, en sectores como la logística, el comercio o el contact center se abren grandes oportunidades para quienes buscan empleo. Una tarea que no resulta sencilla ya que requiere dedicación, planificación y una estrategia de búsqueda clara. Por ello, es importante tener en cuenta los consejos que facilitan los expertos para que este proceso sea lo más eficaz posible.

El 90% de los abogados afirma que la IA generativa les ayuda en su trabajo de manera eficaz, según ELTA y Lefebvre Sarrut

Lefebvre Sarrut, líder europeo en conocimiento jurídico y fiscal, pionero en inteligencia artificial generativa para profesionales del derecho, se ha asociado una vez más a la Asociación Europea de Tecnología Jurídica (ELTA) para llevar a cabo su informe anual a nivel global sobre el uso de la Inteligencia Artificial (IA) generativa entre los profesionales legales.

Éste sitio web usa cookies, si permanece aquí acepta su uso. Puede leer más sobre el uso de cookies en nuestra política de cookies.