Det största hotet mot en organisations cybersäkerhet kommer inifrån, enligt a växande bevisuppgift. Anställda är ofta sätta sina företag i riskzonen av hacking genom att dela sina lösenord, använda offentliga WiFi-nätverk för att skicka känslig information eller inte skydda sekretessen för sociala mediekonton.
Men det finns ett annat hot som till en början verkar oskadligt och som vi förmodligen är skyldiga till, något som forskare har kallat "cyberloafing”. Min forskargrupp ny studie visar denna praxis med att använda arbetsdatorer för personlig surfning på internet kan bli ett allvarligt säkerhetshot för ett företag när det går för långt.
De flesta företag accepterar att deras anställda ibland kommer att kontrollera sociala medier eller skicka personliga e-postmeddelanden från arbetsdatorer. Men i vissa fall kan saker och ting bli mer allvarliga, med människor som spenderar betydande mängder tid på att uppdatera sina egna webbplatser, titta på videor eller till och med pornografi. Tidiga uppskattningar föreslog att 45% av de anställda ifrågasatte citerade att surfa på internet på jobbet för personliga ändamål som störande distraktion på jobbet.
Detta kan ha stor inverkan på ett företags produktivitet, med forskning som tyder på att anställda varje avfall i genomsnitt 2.09 timmar om dagen medan cyberloafing. Men vår nya studie visar också att ju fler anställda som bedriver seriös cyberloafing, desto mindre troligt är de att följa reglerna och protokollen för att skydda företagets IT-system och desto större hot blir de för cybersäkerhet.
Vi frågade 338 deltids- och heltidsarbetare i åldern 26-65 år om deras cyberloafingvanor, deras kunskap om informationssäkerhet och beteende som kan indikera internetberoende. De som cyberloafed oftare visste mindre om informationssäkerhet. Och de som engagerade sig i mer allvarlig cyberloafing (som att uppdatera personliga webbplatser, besöka dejtingwebbplatser eller ladda ner olagliga filer) hade betydligt sämre cybersäkerhetsmedvetenhet.
Vanligtvis var människor som utför allvarligare cyberloafing mindre medvetna om hur man kan vara säker online och hur man skyddar känslig information. En orsak till detta kan vara att de är så beslutna att komma online att de inte vill vara uppmärksamma på information om online-säkerhet och ignorera riskerna. Å andra sidan kan de tro att deras företag kan skydda sig mot allt som kan hända till följd av riskabelt beteende.
Komma online till varje pris. Shutterstock
De i vår undersökning som fick högre betyg för beteende på internetberoende var också mycket mer benägna att ha sämre medvetenhet om och följa säkerhetsprotokoll. Och de som var allvarliga cyberloafers och potentiella internetberoende var den största risken för alla.
Som jag förklarar i min senaste bok Cyberkognition, internet missbruk är en tvång att komma på nätet, ibland i syfte att driva andra beroenden till digitala aktiviteter som online-spel eller shopping. Kritiskt sett kan enheten för att komma online vara samma som alla fysiska beroende, så internet fungerar som ett läkemedel för vissa människor.
Detta innebär att personer som visar aspekter av internetberoende kan vara mer beslutsamma att komma online till varje pris och mer sannolikt att försöka komma runt säkerhetsprotokoll eller ignorera råd om säkerhet på nätet. De kanske tror att de vet bättre eftersom de tillbringar så mycket tid online. Eller så kanske de inte helt förstår riskerna eftersom de är så upptagna i onlinevärlden.
Hur man hanterar cyberloafing
Allt detta betyder inte att vi bör stänga av all internetanslutning för anställda. Att kunna surfa på internet är en viktig del av vissa människors arbete. Men överdriven användning av internettjänster och arbets-IT-system kan sätta företag i riskzonen, särskilt när människor får åtkomst till riskabla webbplatser eller laddar ner program från okända källor.
Det finns ett antal saker som företag kan göra för att minska riskerna från överdriven cyberloafing. Som vi föreslår i vår studie slutsats kan vissa organisationer tillämpa mycket strikta påföljder för allvarliga regelbrott. Men att tillhandahålla effektiv utbildning som ger anställda möjlighet att identifiera aspekter av internetmisbruk och söka hjälp kan vara ett effektivare förvaltningsverktyg. Att hjälpa arbetare att förstå riskerna med deras handlingar kan vara mer fördelaktigt, särskilt när dessa kommuniceras igenom fokusgrupper och samtal.
Men en sak som företag bör undvika (och alltför ofta inte) är att helt enkelt skicka ut en e-postpåminnelse. Forskning visar att meddelanden om potentiella risker för informationssäkerhet som skickas via e-post är de minst effektiva. Och om du är djupt in i en cyberloafing-session är ett e-postmeddelande bara ett företagsmeddelande förlorat i en överbelastad inkorg.
Om författaren
Lee Hadlington, universitetslektor i cyberpsychology, De Montfort University
Denna artikel publiceras från Avlyssningen under en Creative Commons licens. Läs ursprungliga artikeln.
böcker_säkerhet
