Los descuidos de empleados son la principal causa de pérdida de datos en empresas españolas

Proofpoint ha publicado su primer informe Data Loss Landscape en el que analiza cómo los enfoques actuales de prevención de pérdida de datos (DLP) y amenazas internas están adaptándose a los grandes desafíos de hoy en día, como el incremento del volumen de datos, la sofisticación de la ciberdelincuencia y la inteligencia artificial (IA) generativa. Los resultados demuestran que la pérdida de datos es un problema derivado de la interacción entre humanos y máquinas: los usuarios “descuidados” son mucho más propensos a causar estos incidentes que los sistemas comprometidos o mal configurados.

Aunque las organizaciones están invirtiendo en soluciones de DLP, el informe de Proofpoint señala que esas inversiones son a menudo inadecuadas, ya que el 98% de las organizaciones españolas encuestadas sufrió pérdidas de datos el año pasado. Más de tres cuartos de los afectados (84%) se enfrentaron a consecuencias negativas, como daños reputacionales (49%), la interrupción del negocio y la pérdida de ingresos (ambas reportadas por el 38% de las empresas afectadas), infracciones de normativa o multas (31%). Sin embargo, sorprendentemente, los datos de la plataforma de protección de la información de Proofpoint revelan que sólo el 1% de los usuarios son responsables del 88% de las alertas.

“Esta investigación arroja luz sobre el aspecto más crucial del problema de la pérdida de datos: sus causas humanas”, explica Ryan Kalember, director de estrategia de Proofpoint. “Los usuarios descuidados, comprometidos o malintencionados son y seguirán siendo responsables de la gran mayoría de los incidentes. Además, las herramientas de IA generativa están asumiendo cada vez más tareas rutinarias y obteniendo acceso a datos confidenciales en el proceso. Las organizaciones necesitan replantearse sus estrategias de DLP para abordar el origen subyacente de la pérdida de datos: las acciones de las personas. De esta manera, podrán detectar, investigar y responder a las amenazas en todos los canales que sus empleados están utilizando, incluyendo la nube, endpoints, correos electrónicos y webs”.

El informe Data Loss Landscape 2024 examina las respuestas de una encuesta realizada por terceros a 600 profesionales de la seguridad de organizaciones con 1.000 o más empleados en 17 sectores de 12 países. Esta información se ha complementado con datos de la plataforma de protección de la información de Proofpoint y Tessian, adquirida por la compañía el pasado otoño, para reflejar la magnitud de la pérdida de datos y las amenazas internas a las que se enfrentan las organizaciones.

Entre las principales conclusiones referentes a España se incluyen:

La pérdida de datos es un problema muy extendido, pero que se puede prevenir: las organizaciones experimentaron el equivalente a más de un incidente al mes (una media de 15 incidentes de pérdida de datos por cada empresa española en el último año), y el 72% de los encuestados afirmó que la causa principal eran los usuarios descuidados. Entre estos descuidos se incluyen el desvío de correos electrónicos, la visita a sitios de phishing, la instalación de software no autorizado y el envío de datos confidenciales por correo electrónico a una cuenta personal. Todos ellos son comportamientos evitables que podrían mitigarse con prácticas como la implantación de reglas de política de DLP para el correo electrónico, las subidas a la web, la sincronización de archivos en la nube y otros métodos habituales de exfiltración de datos.

El correo electrónico mal dirigido es una de las causas más simples y significativas de la pérdida de datos: alrededor de un tercio de empleados envió uno o dos emails a un destinatario equivocado, según datos de 2023 aportados por Tessian. Esto significa que una empresa de 5.000 empleados tendrá que lidiar con unos 3.400 correos electrónicos mal dirigidos al año. Un email erróneo que contenga datos de empleados, clientes o pacientes podría desencadenar una multa importante por regulación de GDPR y otros marcos jurídicos.

Crece rápidamente la preocupación por la IA generativa: herramientas como ChatGPT, Grammarly, Bing Chat y Google Gemini están aumentando en potencia y utilidad, siendo cada vez más los usuarios que introducen datos confidenciales en estas aplicaciones. Navegar por sitios de IA generativa se ha convertido en una de las cinco reglas principales de alerta de DLP y amenazas internas configuradas por las organizaciones que utilizan la plataforma de protección de la información de Proofpoint.

Las acciones malintencionadas tienen caras consecuencias: el 17% de los encuestados en España afirmó que detrás de incidentes de pérdidas de datos había personas con información privilegiada, como empleados o proveedores, y malas intenciones. Este tipo de acciones, sumado al hecho de que existen empleados salientes que buscan hacer daño a una organización, puede tener implicaciones aún mayores que las que podrían darse con descuidos de cualquier intruso, ya que se trata de individuos cuya motivación es lucrarse personalmente.

Los empleados salientes fueron identificados como uno de los usuarios de mayor riesgo en España (39%): no siempre piensan que están actuando maliciosamente, pero algunos simplemente se sienten con el derecho de marcharse de la organización llevando consigo la información que han generado mientras pertenecían a ella. Proofpoint muestra que el 87% de las exfiltraciones anómalas de archivos entre inquilinos de la nube durante un periodo de nueve meses fue causado por empleados que se iban de una organización, lo que subraya la necesidad de estrategias preventivas como la implantación de un proceso de revisión de seguridad para esta categoría de usuarios.

Los usuarios con privilegios son los de mayor riesgo: más de la mitad (57%) de los encuestados españoles identificó a los empleados con acceso a datos sensibles, entre los que se encuentran profesionales de RRHH y finanzas, como los que presentan el mayor riesgo de pérdida de datos. Además, los datos de Proofpoint muestran que el 1% de los usuarios es responsable del 88% de los incidentes de pérdida de datos. Estos resultados indican que las organizaciones deben dar prioridad a buenas prácticas, como la clasificación de datos para identificar y proteger los datos críticos para el negocio y otras “joyas de la corona”, así como la supervisión de personas con acceso a datos sensibles o privilegios de administrador.

Los programas de prevención de pérdida de datos de las organizaciones españolas están madurando: España es uno de los países encuestados en los que la implementación de los programas de DLP no suele hacerse como respuesta a requerimientos legales, con menos de una quinta parte (18%) de los participantes citando el cumplimiento de normas reguladoras como la razón principal. Para las organizaciones españolas, la mayor motivación fue la protección de la reputación de la empresa (72%), seguida de la protección de la privacidad de empleados y clientes (54%).

“Los canales emergentes subrayan la importancia de revisar periódicamente los programas de DLP, ya que son avances rápidos que cambian los comportamientos de los usuarios”, afirma Kalember. “Contar con estrategias como la implementación de plataformas DLP creadas específicamente puede ayudar a avanzar en los programas de seguridad, permitiendo a los equipos tener una visibilidad completa del usuario y de los datos en todos los incidentes, y abordar todo el espectro de escenarios de pérdida de datos centrados en el ser humano. Las personas son una variable crítica de la seguridad de los datos; y los programas de prevención de pérdida de datos así deben reconocerlo”.

“Para detectar, investigar y responder ante pérdidas de datos, es importante desplegar una estrategia que reconozca estos incidentes como un problema humano. En el caso de España, donde la incidencia de la pérdida de datos es ligeramente superior (98%) a la media global (85%), cobra mayor relevancia la necesidad de inversión y herramientas de DLP que mejoren la visibilidad sobre datos sensibles, comportamientos de usuarios y amenazas externas, así como una mayor integración con el ecosistema de TI y seguridad junto a personal cualificado”, añade Fernando Anaya, country manager en Iberia de Proofpoint.