Los usuarios “descuidados” son la primera causa de perdida de datos

El estudio elaborado por Proofpoint Data Loss Landscape analiza cómo los enfoques actuales de prevención de pérdida de datos (DLP) y amenazas internas están adaptándose a los grandes desafíos de hoy en día, como el incremento del volumen de datos, la sofisticación de la ciberdelincuencia y la inteligencia artificial generativa. Los resultados demuestran que la pérdida de datos es un problema derivado de la interacción entre humanos y máquinas: los usuarios “descuidados” son mucho más propensos a causar estos incidentes que los sistemas comprometidos o mal configurados.

Aunque las organizaciones están invirtiendo en soluciones de DLP, el informe de Proofpoint señala que esas inversiones son a menudo inadecuadas, ya que el 98% de las organizaciones españolas encuestadas sufrió pérdidas de datos el año pasado. De acuerdo con el estudio, más de tres cuartos de los afectados (84%) se enfrentaron a consecuencias negativas, como daños reputacionales (49%), la interrupción del negocio y la pérdida de ingresos (ambas reportadas por el 38% de las empresas afectadas), infracciones de normativa o multas (31%).

Sin embargo, sorprendentemente, los datos de la plataforma de protección de la información de Proofpoint revelan que sólo el 1% de los usuarios son responsables del 88% de las alertas. Entre las principales conclusiones referentes a España se incluyen:

La pérdida de datos es un problema muy extendido, pero que se puede prevenir: las organizaciones experimentaron el equivalente a más de un incidente al mes (una media de 15 incidentes de pérdida de datos por cada empresa española en el último año), y el 72% de los encuestados afirmó que la causa principal eran los usuarios descuidados. Entre estos descuidos se incluye el desvío de correos electrónicos, la visita a sitios de phishing, la instalación de software no autorizado y el envío de datos confidenciales por correo electrónico a una cuenta personal.

 El correo electrónico mal dirigido es una de las causas más simples y significativas de la pérdida de datos: alrededor de un tercio de los empleados envió uno o dos emails a un destinatario equivocado, según datos de 2023 aportados por Tessian. Esto significa que una empresa de 5.000 empleados tendrá que lidiar con unos 3.400 correos electrónicos mal dirigidos al año. Un email erróneo que contenga datos de empleados, clientes o pacientes podría desencadenar una multa importante por regulación de GDPR y otros marcos jurídicos.

Crece rápidamente la preocupación por la IA generativa: herramientas como ChatGPT, Grammarly, Bing Chat y Google Gemini están aumentando en potencia y utilidad, siendo cada vez más los usuarios que introducen datos confidenciales en estas aplicaciones. Navegar por sitios de IA generativa se ha convertido en una de las cinco reglas principales de alerta de DLP y amenazas internas configuradas por las organizaciones.

Las acciones malintencionadas tienen caras consecuencias: el 17% de los encuestados en España afirmó que detrás de incidentes de pérdidas de datos había personas con información privilegiada, como empleados o proveedores, y malas intenciones.

Los empleados salientes fueron identificados como uno de los usuarios de mayor riesgo en España (39%): no siempre piensan que estén actuando maliciosamente, pero algunos simplemente se sienten con el derecho de marcharse de la organización llevando consigo la información que han generado mientras pertenecían a ella. El estudio muestra que el 87% de las exfiltraciones anómalas de archivos entre inquilinos de la nube durante un periodo de nueve meses fue causado por empleados que se iban de una organización, lo que subraya la necesidad de estrategias preventivas como la implantación de un proceso de revisión de seguridad para esta categoría de usuarios.

Los usuarios con privilegios son los de mayor riesgo: más de la mitad (57%) de los encuestados españoles identificó a los empleados con acceso a datos sensibles, entre los que se encuentran profesionales de RRHH y finanzas, como los que presentan el mayor riesgo de pérdida de datos. Además, el 1% de los usuarios es responsable del 88% de los incidentes de pérdida de datos.

Los programas de prevención de pérdida de datos de las organizaciones españolas están madurando: España es uno de los países encuestados en los que la implementación de los programas de DLP no suele hacerse como respuesta a requerimientos legales, con menos de una quinta parte (18%) de los participantes citando el cumplimiento de normas reguladoras como la razón principal. Para las organizaciones españolas, la mayor motivación fue la protección de la reputación de la empresa (72%), seguida de la protección de la privacidad de empleados y clientes (54%).