Una investigación encargada por la empresa de gestión de riesgos y privacidad de datos Egress Software Technologies ha revelado que una cuarta parte de los trabajadores del Reino Unido han compartido deliberadamente información comercial confidencial fuera de su organización.

Compartir información comercial confidencial

Los hallazgos de OnePoll en nombre de la investigación de Egress, que involucró a 2,000 trabajadores del Reino Unido que usan regularmente el correo electrónico como parte de sus trabajos, son una lectura preocupante para las empresas del Reino Unido y resaltan las vulnerabilidades de seguridad comunes, pero a menudo pasadas por alto, de "amenaza interna" y error humano. .

La investigación mostró que no solo el 24 % de los trabajadores compartió información deliberadamente con otras empresas, sino que casi el 50 % recibió un correo electrónico por error. Esto ha significado que casi la mitad (46%) de los encuestados en la investigación admitieron haber recibido una solicitud de retiro de correo electrónico por pánico.

Malicioso

En el caso de amenazas internas 'maliciosas', es preocupante que la investigación indique que el 24% de los trabajadores han compartido información deliberadamente con competidores o empleadores nuevos y anteriores y otras entidades. Esto equivale a una violación de datos de la que es difícil protegerse para las empresas. Este tipo de filtraciones e infracciones pueden socavar los esfuerzos de la empresa por cumplir con las leyes de protección de datos y proteger la ventaja competitiva, y pueden dejar a las empresas expuestas a enormes riesgos financieros, pérdida de clientes y daños a sus marcas.

Un ejemplo de amenaza interna que ha estado en las noticias (nuevamente) recientemente es el caso del ex empleado descontento de Morrisons que robó y filtró los datos personales de casi 100,000 empleados a periódicos nacionales y en sitios web de intercambio de datos. Esto resultó en una factura de limpieza de £ 2 millones en ese momento, y ahora 5,518 empleados actuales y anteriores de Morrisons están demandando a la empresa en el Tribunal Superior.

accidental

Sin embargo, la investigación de Egress parece mostrar que un riesgo más probable al que se enfrentan la mayoría de las empresas es el uso indebido accidental del correo electrónico. La investigación reveló que el factor humano más importante en el envío de correos electrónicos por error aparece como "apresurado" (68 %) y, mientras tanto, la tecnología de autocompletar provocó que casi la mitad (42 %) seleccionara el destinatario incorrecto en la lista.

El 8% de los trabajadores involucrados en la investigación incluso admitió que el alcohol estaba involucrado con correos electrónicos enviados incorrectamente.

Adjuntos sensibles

La investigación mostró que casi uno de cada diez (9%) del personal había filtrado accidentalmente archivos adjuntos confidenciales, por ejemplo, datos bancarios o información del cliente, poniendo así en riesgo a los clientes y a su propia empresa.

¿Qué significa esto para tu negocio?

El uso indebido accidental del correo electrónico representa claramente un riesgo real y frecuente para las empresas que podría exponerlas a una variedad de riesgos financieros, legales y de mercado potencialmente graves. Los entornos de negocios ocupados y de alta presión pueden dificultar que los empleados verifiquen siempre correctamente los correos electrónicos antes de presionar el botón de enviar, pero resaltar el problema y recordarles a las personas que tengan mucho cuidado con las verificaciones de correo electrónico puede ser un buen punto de partida.

La investigación también arroja una luz importante sobre la amenaza interna. Crowd Research Partners, por ejemplo, descubrió que el 74% de las organizaciones son vulnerables a las amenazas internas, y el 75% de los encuestados estimó que las amenazas internas costaron a sus empresas al menos $ 500,000 en 2016.

Hay muchos indicadores de comportamiento bien documentados (ver en línea) de amenazas internas, el más común es la falta de conciencia, por ejemplo, empleados con habilidades de TI inteligentes que crean soluciones a los desafíos tecnológicos, o empleados que usan dispositivos personales para acceder a los correos electrónicos del trabajo.

Las empresas pueden ayudar a protegerse adoptando un enfoque holístico y en capas para el análisis del comportamiento del usuario para ayudar a detectar riesgos potenciales. Las empresas deben prestar atención a las infraestructuras de seguridad y adoptar una estrategia de seguridad integral basada en el riesgo que incluya:

  • Concientización, educación y capacitación: cumplimiento de las mejores prácticas de seguridad, capacitación de empleados y monitoreo de seguridad.
  • Supervisión del comportamiento para detectar y mitigar amenazas internas.
  • Implementar procedimientos apropiados cuando los empleados terminan su empleo, por ejemplo, negándoles más acceso al sistema de TI.
  • Gobierno de la información para proporcionar la inteligencia que impulsa las políticas y los controles de seguridad.
  • Análisis basado en el usuario para proporcionar detección y medidas predictivas.
  • Desarrollo de un programa de respuesta a incidentes para considerar brechas internas y externas.
  • Ser claro en las consideraciones legales y reglamentarias.
  • Un esfuerzo entre organizaciones (personas, procesos y tecnología) para obtener una comprensión detallada de los activos y la postura de seguridad de la organización.