内部风险的平均年成本已经增加到1620万美元——在四年内增长了40%,与此同时,遏制内部事件的平均天数已增加到86天。
除了分析企业经历内幕安全事件时产生的成本外,今年的研究还首次深入了解企业是如何为内幕风险计划提供资金的。调查结果显示,46%的企业计划在2024年增加对内部风险计划的投资。研究还发现,77%的企业计划启动内部风险计划。
我们感到鼓舞的是,企业计划增加对内部风险计划的投资,因为这是客户和新的行业法规的要求——而不仅仅是因为以前的事件。这是一个重大的变化,预示着早就应该关注和优先考虑的问题。“DtexSystems的CTORajanKoo说。
对内部风险管理的投资不足
围绕内幕风险管理的势头出现之际,遏制与内幕相关的安全事件的成本、频率和时间都在飙升。根据研究分析师Gartner的说法,内部风险管理是指“衡量、检测和遏制企业内受信任账户的不良行为的工具和能力”。
尽管内部风险的成本不断上升,88%的企业在内部风险管理上的支出不到其IT安全预算总额的10%。企业的IT安全预算为每名员工2437美元,但只有8.2%(相当于每名员工200美元)专门分配给内部风险计划和政策。
IT安全预算的剩余91.8%花在了外部威胁上,尽管超过一半的企业将社会工程视为所有外部攻击的主要原因。
Koo说,调查结果表明,尽管越来越多的证据表明根本原因是从内部开始的,但预算正在被浪费在被动的“症状管理”上。他说:“研究结果表明,表现为内部风险的人类是所有数据泄露的主要原因--包括社会工程人员。”“这突显出对内幕风险类型的普遍误解,以及未能主动保护客户数据和知识产权。”
Ponemon研究所主席LarryPonemon博士评论说:“我们进行这项研究的目的是让人们意识到,当员工在处理企业的敏感数据时疏忽、智取或恶意时,会产生巨大的成本。”我们认为这项研究是独一无二的,因为它根据内部人员的类型、控制事件所需的时间以及最有效地降低成本的技术来分析成本。这些信息有助于制定一项战略,以便在降低成本的同时更有效地应对内部风险。“。
内幕风险计划资金将增加
四年来,内部风险的年平均成本上升了40%,达到1620万美元,高于2022年的1540万美元。2023年遏制内部事件的平均天数已增加到86天。响应时间越长,成本就越高(需要91天以上才能遏制的事件为1833万美元)。
企业平均每位员工的IT安全预算为2437美元,但只有8.2%(相当于每位员工200美元)专门分配给内部风险管理计划和政策。
只有10%的内部风险管理预算(每个事件平均63383美元)用于事前活动:33596美元用于监测和监督,29787美元用于事后分析(这包括将未来潜在的内部事件降至最低的活动,以及为与关键利益攸关方沟通建议而采取的步骤)。
其余90%(每个事件平均为565363美元)用于事件后活动成本中心:179209美元用于遏制,125221美元用于补救,117504美元用于调查,113635美元用于事件响应,29794美元用于升级。
尽管大多数企业平均将8.2%的IT安全预算分配给内部风险计划,但58%的企业认为当前支出不足,46%的企业预计明年资金将增加。77%的企业已经开始或计划开始内部风险计划。
大多数内部事件都是由非恶意内部人士引起的
75%的受访者表示,内部风险最有可能的原因是非恶意的:疏忽或错误的内部人员(55%),或被外部攻击或对手利用的聪明的内部人员(20%)。
53%的企业表示,社交工程(包括网络钓鱼、托词和商业电子邮件泄露)是非内部或外部攻击的主要原因。
金融服务业的平均活动成本为2068万美元,服务业(包括会计、咨询和专业服务公司)的平均活动成本为1909万美元。
在已经或计划拥有专门的内部风险计划的企业中,52%的企业报告说,自上而下地支持和支持该计划(例如,内部风险指导委员会)是一个关键特征。51%的受访者拥有来自法律、人力资源、业务线和IT安全的专职跨职能团队。
三分之一的企业认为AI和ML对于预防、调查、升级、遏制和补救内部事件至关重要,而31%的企业认为这非常重要。
