Entenda os comportamentos negativos no local de trabalho (e o que você pode fazer para evitá-los)

O que são comportamentos negativos?

Em algum momento, todos agimos de formas que expõem as organizações a risco. Os comportamentos negativos no local de trabalho contribuem para o risco organizacional, porque esses comportamentos por definição infringem as normas e diretrizes de proteção. Na área de tecnologia e segurança digital, isso não apenas se refere a normas por escrito, mas também a normas implícitas que refletem as culturas das pessoas e das organizações. E embora nós naturalmente pensemos em riscos baseados em comportamento como tendo natureza maliciosa, os perfis comportamentais arriscados também incluem comportamentos não intencionais e que às vezes podem ser até elogiáveis. Você pode pensar nesses comportamentos como três perfis distintos, e cada um tem um efeito diferente na segurança da organização:

• Relaxados: Todo mundo é relaxado em algum momento. Os comportamentos relaxados incluem navegar na Internet ou resolver questões pessoais na rede da empresa—parecem atividades secundárias, mas expõem a empresa a risco. Esses comportamentos contribuem para ameaças internas acidentais.
• Empreendedores: Muito valorizados pela liderança da empresa, esses funcionários têm tanta obsessão com a produtividade que estão continuamente criando atalhos criativos (com frequência não aprovados) para concluir tarefas mais rápido. Isso pode significar o uso de Shadow IT ou aplicativos de nuvem pessoais, ou mesmo mídias removíveis não aprovadas, para facilitar o fluxo de trabalho.
• Malfeitores: Essas pessoas internas maliciosas têm motivação para causar danos a uma organização. A motivação pode ser externa, como em espionagem corporativa, ou, em alguns casos, pode ser impulsionada por raiva ou vingança. As pessoas internas maliciosas são as ameaças internas mais mencionadas e associadas com mais frequência a riscos internos--embora sejam as menos comuns.

A diferença entre as categorias é a motivação. Os Relaxados simplesmente não têm planejamento e atenção aos detalhes e os Empreendedores estão apenas tentando tomar decisões rápidas e adotar o caminho com menor resistência. É claro que os danos que Relaxados e Empreendedores podem causar para uma organização não são intencionais, mas ainda representam uma ameaça grave. Talvez ainda mais grave que os Malfeitores.

Conhecer as regras, tanto escritas como implícitas, e depois projetar métricas centradas em comportamentos para as regras, pode nos ajudar a mitigar o impacto desses comportamentos de risco.

Uma abordagem centrada nas pessoas para reforçar o bom comportamento

Mudar comportamentos não é fácil. As campanhas obrigatórias de treinamento e conscientização geralmente fracassam. Estimular o medo também é inútil e contraproducente, além de desautorizar as pessoas. Então, o que as empresas podem fazer para reforçar comportamentos que as mantenham longe de problemas?

A modelagem funciona. Quando as equipes de segurança e TI são modelos de bom comportamento, as outras pessoas com frequência imitam. Nosso desafio atual é garantir que os funcionários vejam esse bom comportamento quando não estão trabalhando no mesmo local.

Sem essa modelagem presencial, precisamos depender de avaliações contínuas e comunicação. Os líderes das empresas precisam testar periodicamente a organização quanto a vulnerabilidades e direcionar suas conversas para comportamentos de risco específicos que estejam ocorrendo. Em seguida, podem reforçar com comunicações sobre hábitos seguros e a importância de comportamentos que fomentem a segurança digital.

Além disso, podemos elogiar pessoas que adotam comportamentos de segurança positivos. As pessoas e a tecnologia são inseparáveis e, quando ignoramos os fatores humanos, estamos ignorando um componente imenso de entender os riscos e as vulnerabilidades.

Eu discuti esse tema recentemente em mais detalhes com um analista de segurança sênior do Information Security Forum o Daniel Norman. Assista o nosso webinário Slackers, Go-Getters, & Evildoers nesse link ou clicando no botão verde Assistir o Webinário, à direita.