内部风险不断上升，但很多企业的预算却被浪费在了错误的地方_北京转创国际管理咨询有限公司广东分公司

内部风险的平均年成本已经增加到 1620 万美元 —— 在四年内增长了 40%，与此同时，遏制内部事件的平均天数已增加到 86 天。

除了分析企业经历内幕安全事件时产生的成本外，今年的研究还首次深入了解企业是如何为内幕风险计划提供资金的。调查结果显示，46% 的企业计划在 2024 年增加对内部风险计划的投资。研究还发现，77% 的企业计划启动内部风险计划。

我们感到鼓舞的是，企业计划增加对内部风险计划的投资，因为这是客户和新的行业法规的要求 —— 而不仅仅是因为以前的事件。这是一个重大的变化，预示着早就应该关注和优先考虑的问题。“Dtex Systems 的 CTORajan Koo 说。

对内部风险管理的投资不足

围绕内幕风险管理的势头出现之际，遏制与内幕相关的安全事件的成本、频率和时间都在飙升。根据研究分析师 Gartner 的说法，内部风险管理是指 “衡量、检测和遏制企业内受信任账户的不良行为的工具和能力”。

尽管内部风险的成本不断上升，88% 的企业在内部风险管理上的支出不到其 IT 安全预算总额的 10%。企业的 IT 安全预算为每名员工 2437 美元，但只有 8.2%(相当于每名员工 200 美元) 专门分配给内部风险计划和政策。

IT 安全预算的剩余 91.8% 花在了外部威胁上，尽管超过一半的企业将社会工程视为所有外部攻击的主要原因。

Koo 说，调查结果表明，尽管越来越多的证据表明根本原因是从内部开始的，但预算正在被浪费在被动的 “症状管理” 上。他说：“研究结果表明，表现为内部风险的人类是所有数据泄露的主要原因 -- 包括社会工程人员。”“这突显出对内幕风险类型的普遍误解，以及未能主动保护客户数据和知识产权。”

Ponemon 研究所主席 Larry Ponemon 博士评论说：“我们进行这项研究的目的是让人们意识到，当员工在处理企业的敏感数据时疏忽、智取或恶意时，会产生巨大的成本。” 我们认为这项研究是独一无二的，因为它根据内部人员的类型、控制事件所需的时间以及最有效地降低成本的技术来分析成本。这些信息有助于制定一项战略，以便在降低成本的同时更有效地应对内部风险“。

内幕风险计划资金将增加

四年来，内部风险的年平均成本上升了 40%，达到 1620 万美元，高于 2022 年的 1540 万美元。2023 年遏制内部事件的平均天数已增加到 86 天。响应时间越长，成本就越高 (需要 91 天以上才能遏制的事件为 1833 万美元)。

企业平均每位员工的 IT 安全预算为 2437 美元，但只有 8.2%(相当于每位员工 200 美元) 专门分配给内部风险管理计划和政策。

只有 10% 的内部风险管理预算 (每个事件平均 63383 美元) 用于事前活动：33596 美元用于监测和监督，29787 美元用于事后分析 (这包括将未来潜在的内部事件降至最低的活动，以及为与关键利益攸关方沟通建议而采取的步骤)。

其余 90%(每个事件平均为 565363 美元) 用于事件后活动成本中心：179209 美元用于遏制，125221 美元用于补救，117504 美元用于调查，113635 美元用于事件响应，29794 美元用于升级。

尽管大多数企业平均将 8.2% 的 IT 安全预算分配给内部风险计划，但 58% 的企业认为当前支出不足，46% 的企业预计明年资金将增加。77% 的企业已经开始或计划开始内部风险计划。

大多数内部事件都是由非恶意内部人士引起的

75% 的受访者表示，内部风险最有可能的原因是非恶意的：疏忽或错误的内部人员 (55%)，或被外部攻击或对手利用的聪明的内部人员 (20%)。

53% 的企业表示，社交工程 (包括网络钓鱼、托词和商业电子邮件泄露) 是非内部或外部攻击的主要原因。

金融服务业的平均活动成本为 2068 万美元，服务业 (包括会计、咨询和专业服务公司) 的平均活动成本为 1909 万美元。

在已经或计划拥有专门的内部风险计划的企业中，52% 的企业报告说，自上而下地支持和支持该计划 (例如，内部风险指导委员会) 是一个关键特征。51% 的受访者拥有来自法律、人力资源、业务线和 IT 安全的专职跨职能团队。

三分之一的企业认为 AI 和 ML 对于预防、调查、升级、遏制和补救内部事件至关重要，而 31% 的企业认为这非常重要。