La mayor amenaza para la seguridad cibernética de una organización proviene de adentro, según un Creciente evidencia. Los empleados son frecuentemente poniendo en riesgo a sus empresas de piratear al compartir sus contraseñas, usar redes WiFi públicas para enviar información confidencial o no proteger la privacidad de las cuentas de redes sociales.
Pero hay otra amenaza que al principio parece inocua y de la que probablemente todos somos culpables, algo que los investigadores han denominado "cyberloafing". Mi grupo de investigación nuevo estudio muestra que esta práctica de usar computadoras de trabajo para la navegación personal en Internet puede convertirse en una seria amenaza de seguridad para una empresa cuando va demasiado lejos.
La mayoría de las compañías aceptan que sus empleados ocasionalmente verifiquen las redes sociales o envíen correos electrónicos personales desde las computadoras del trabajo. Pero en algunos casos, las cosas pueden ponerse más serias, ya que las personas pasan mucho tiempo actualizando sus propios sitios web, viendo videos o incluso pornografía. Primeras estimaciones sugirió que el 45% de los empleados encuestados mencionó que navegar por internet en el trabajo con fines personales es la principal distracción en el trabajo.
Esto puede tener un gran impacto en la productividad de una empresa, con investigaciones que sugieren que cada empleado desperdicia un promedio de 2.09 horas al día mientras cyberloafing. Pero nuestro nuevo estudio también muestra que cuanto más empleados se involucren en ataques cibernéticos graves, es menos probable que sigan las reglas y protocolos diseñados para proteger los sistemas de TI de la compañía, y la mayor amenaza que representan para la seguridad cibernética.
Le preguntamos a 338 trabajadores a tiempo parcial y a tiempo completo de entre 26 y 65 años sobre sus hábitos de ciberataque, su conocimiento de la seguridad de la información y el comportamiento que podría indicar adicción a Internet. Aquellos que usaron cyberloaf más a menudo sabían menos sobre la seguridad de la información. Y aquellos que se involucraron en ataques cibernéticos más serios (como actualizar sitios web personales, visitar sitios web de citas o descargar archivos ilegales) tenían una conciencia de seguridad cibernética significativamente más pobre.
Por lo general, las personas que realizan ciberataques más serios eran menos conscientes de cómo mantenerse seguros en línea y cómo proteger la información confidencial. Una razón para esto podría ser que están tan decididos a conectarse que no quieren prestar atención a la información sobre seguridad en línea e ignorar los riesgos. Por otro lado, pueden creer que sus compañías pueden protegerse de cualquier cosa que pueda ocurrir como resultado de un comportamiento riesgoso.
Ponerse en línea a cualquier costo. Shutterstock
Aquellos en nuestra encuesta que obtuvieron puntajes más altos en el comportamiento de adicción a Internet también tenían muchas más probabilidades de tener una conciencia más pobre y seguir protocolos de seguridad. Y aquellos que eran ciberloqueadores serios y potenciales adictos a Internet eran el mayor riesgo de todos.
Como explico en mi libro reciente Cibercognición, adicción a Internet es una compulsión conectarse a Internet, a veces con el objetivo de alimentar otras adicciones a las actividades digitales, como los juegos de azar o las compras en línea. Críticamente, el impulso para conectarse puede ser igual que cualquier adicción física, por lo que Internet actúa como una droga para algunas personas.
Esto significa que las personas que muestran aspectos de la adicción a Internet pueden estar más decididas a conectarse en línea a cualquier costo y más propensas a tratar de sortear los protocolos de seguridad o ignorar los consejos sobre seguridad en línea. Pueden pensar que saben mejor porque pasan mucho tiempo en línea. O tal vez no entiendan completamente los riesgos porque están tan absortos en el mundo en línea.
Cómo abordar el cyberloafing
Todo esto no significa que debamos cortar todo el acceso a Internet para los empleados. Poder navegar por Internet es una parte importante del trabajo de algunas personas. Pero el uso excesivo de los servicios de Internet y los sistemas informáticos del trabajo puede poner en riesgo a las empresas, especialmente cuando las personas acceden a sitios web riesgosos o descargan programas de fuentes desconocidas.
Hay varias cosas que las empresas pueden hacer para ayudar a mitigar los riesgos del exceso de ciberataque. Como sugerimos en la conclusión de nuestro estudio, algunas organizaciones pueden aplicar sanciones muy estrictas por incumplimiento grave de las normas. Pero proporcionar una capacitación efectiva que permita a los empleados identificar aspectos del abuso de Internet y buscar ayuda podría ser una herramienta de administración más efectiva. Ayudar a los trabajadores a comprender los riesgos de sus acciones podría ser más beneficioso, especialmente cuando se comunican a través de grupos focales y charlas.
Pero una cosa que las compañías deben evitar (y con demasiada frecuencia no lo hacen) es simplemente enviar un recordatorio por correo electrónico. La investigación muestra que los mensajes sobre los riesgos potenciales para la seguridad de la información enviados por correo electrónico son los menos efectivos. Y si está inmerso en una sesión de cyberloafing, un correo electrónico será solo otro mensaje corporativo perdido en una bandeja de entrada sobrecargada.
Sobre el Autor
Lee Hadlington, profesor titular de ciberpsicología, Universidad De Montfort
Este artículo se republica de La conversación bajo una licencia Creative Commons. Leer el articulo original.
libros_seguridad
