Las amenazas internas han estado detrás de los fuertes incrementos en los últimos 18 meses en el porcentaje de organizaciones que han experimentado la pérdida o el robo de datos de la empresa.

Según el Instituto Ponemon, tres de cada cuatro organizaciones (76%) se han visto afectadas en los últimos dos años, un aumento significativo de 67% de los encuestados de TI que dieron la misma respuesta en un estudio de 2014. Los resultados muestran que el aumento se debe en gran parte a cuentas internas comprometidas, fenómeno que sólo se ve agravado por un aumento en la proporción de empleados que tienen acceso innecesario a datos sensibles o confidenciales.

Los responsables de TI encuestados dicen que la negligencia tiene más del doble de probabilidad de ocasionar el compromiso de una cuenta interna que cualquier otra causa, entre ellos los atacantes externos, empleados maliciosos o contratistas.

"A pesar de toda la tecnología disponible y el gran aumento de publicidad sobre los ataques, las violaciones de datos siguen aumentando", dijo Larry Ponemon, presidente y fundador del Instituto Ponemon. "Los datos más valiosos en la mayoría de las violaciones son datos no estructurados como correos electrónicos y documentos. Cuando estos correos electrónicos y archivos salen a la luz, tienden a causar escándalo, haciendo que la violación tenga un efecto duradero en la reputación de la empresa".

Un total de 62% de usuarios finales dicen tener acceso a datos que probablemente no deberían y sólo 25% de la gente de TI dicen que sus empresas monitorean toda la actividad de correo electrónico y archivos de los empleados y contratistas. 88% de los usuarios finales dicen que su trabajo requiere acceder y utilizar información privada, como datos de clientes, listas de contactos, registros de empleados, informes financieros, documentos confidenciales de la empresa u otros activos de información sensible. Esto es considerablemente más alto que 76% registrado en el estudio de 2014.

Sólo 29% de los encuestados de TI informan que sus organizaciones hacen cumplir un estricto modelo de privilegios mínimos para garantizar que el personal interno tienen acceso a los datos de la empresa sobre la base de la necesidad de conocimiento (need-to-know). Sólo 25% de las organizaciones monitorean todo el correo electrónico de los empleados y de terceros y la actividad de archivos, mientras que el 38% no monitorea ninguna actividad de archivos y correo electrónico. Esta falta de gestión encaja con los hallazgos de otros estudios e investigaciones.