quinta-feira, dez 17, 2020

Entenda os comportamentos negativos no local de trabalho (e o que você pode fazer para evitá-los)

Photo by Anete Lusina from Pexels
Margaret Cunningham
Dr. Margaret Cunningham Principal Research Scientist

Parecia que cada dia de 2020 nos apresentava outra coisa que precisávamos mudar. Na verdade, simplesmente a mudança para trabalhar em casa foi suficiente para alterar completamente os nossos estilos de trabalho. E embora a migração para o trabalho remoto tenha nos concedido muitas vantagens, também contribuiu para um aumento significativo nos comportamentos negativos no local de trabalho.

O que são comportamentos negativos?

Em algum momento, todos agimos de formas que expõem as organizações a risco. Os comportamentos negativos no local de trabalho contribuem para o risco organizacional, porque esses comportamentos por definição infringem as normas e diretrizes de proteção. Na área de tecnologia e segurança digital, isso não apenas se refere a normas por escrito, mas também a normas implícitas que refletem as culturas das pessoas e das organizações. E embora nós naturalmente pensemos em riscos baseados em comportamento como tendo natureza maliciosa, os perfis comportamentais arriscados também incluem comportamentos não intencionais e que às vezes podem ser até elogiáveis. Você pode pensar nesses comportamentos como três perfis distintos, e cada um tem um efeito diferente na segurança da organização:

  • Relaxados: Todo mundo é relaxado em algum momento. Os comportamentos relaxados incluem navegar na Internet ou resolver questões pessoais na rede da empresa—parecem atividades secundárias, mas expõem a empresa a risco. Esses comportamentos contribuem para ameaças internas acidentais.
  • Empreendedores: Muito valorizados pela liderança da empresa, esses funcionários têm tanta obsessão com a produtividade que estão continuamente criando atalhos criativos (com frequência não aprovados) para concluir tarefas mais rápido. Isso pode significar o uso de Shadow IT ou aplicativos de nuvem pessoais, ou mesmo mídias removíveis não aprovadas, para facilitar o fluxo de trabalho.
  • Malfeitores: Essas pessoas internas maliciosas têm motivação para causar danos a uma organização. A motivação pode ser externa, como em espionagem corporativa, ou, em alguns casos, pode ser impulsionada por raiva ou vingança. As pessoas internas maliciosas são as ameaças internas mais mencionadas e associadas com mais frequência a riscos internos--embora sejam as menos comuns.

Photo by cottonbro from Pexels

A diferença entre as categorias é a motivação. Os Relaxados simplesmente não têm planejamento e atenção aos detalhes e os Empreendedores estão apenas tentando tomar decisões rápidas e adotar o caminho com menor resistência. É claro que os danos que Relaxados e Empreendedores podem causar para uma organização não são intencionais, mas ainda representam uma ameaça grave. Talvez ainda mais grave que os Malfeitores.

Conhecer as regras, tanto escritas como implícitas, e depois projetar métricas centradas em comportamentos para as regras, pode nos ajudar a mitigar o impacto desses comportamentos de risco.

Uma abordagem centrada nas pessoas para reforçar o bom comportamento

Mudar comportamentos não é fácil. As campanhas obrigatórias de treinamento e conscientização geralmente fracassam. Estimular o medo também é inútil e contraproducente, além de desautorizar as pessoas. Então, o que as empresas podem fazer para reforçar comportamentos que as mantenham longe de problemas?

A modelagem funciona. Quando as equipes de segurança e TI são modelos de bom comportamento, as outras pessoas com frequência imitam. Nosso desafio atual é garantir que os funcionários vejam esse bom comportamento quando não estão trabalhando no mesmo local.

Sem essa modelagem presencial, precisamos depender de avaliações contínuas e comunicação. Os líderes das empresas precisam testar periodicamente a organização quanto a vulnerabilidades e direcionar suas conversas para comportamentos de risco específicos que estejam ocorrendo. Em seguida, podem reforçar com comunicações sobre hábitos seguros e a importância de comportamentos que fomentem a segurança digital.

Além disso, podemos elogiar pessoas que adotam comportamentos de segurança positivos. As pessoas e a tecnologia são inseparáveis e, quando ignoramos os fatores humanos, estamos ignorando um componente imenso de entender os riscos e as vulnerabilidades.

Eu discuti esse tema recentemente em mais detalhes com um analista de segurança sênior do Information Security Forum o Daniel Norman. Assista o nosso webinário Slackers, Go-Getters, & Evildoers nesse link ou clicando no botão verde Assistir o Webinário, à direita.

About the Author

Margaret Cunningham

Dr. Margaret Cunningham

Principal Research Scientist

Dr. Margaret Cunningham is Principal Research Scientist for Human Behavior within our Global Government and Critical Infrastructure (G2CI) group, focused on establishing a human-centric model for improving cybersecurity. Previously, Cunningham supported technology acquisition, research and...