De grootste bedreiging voor de cybersecurity van een organisatie komt van binnenuit, aldus een groeiende hoeveelheid bewijsmateriaal. Medewerkers zijn vaak hun bedrijven in gevaar brengen van hacken door hun wachtwoorden te delen, openbare wifi-netwerken te gebruiken om gevoelige informatie te verzenden of de privacy van sociale media-accounts niet te beschermen.
Maar er is nog een bedreiging die in eerste instantie onschadelijk lijkt en waar we ons waarschijnlijk allemaal schuldig aan maken, iets dat onderzoekers hebben genoemd "cyberloafing”. Mijn onderzoeksgroep nieuwe studie laat zien dat deze praktijk van het gebruik van werkcomputers voor persoonlijk surfen op internet een ernstige bedreiging kan vormen voor een bedrijf wanneer het te ver gaat.
De meeste bedrijven accepteren dat hun werknemers af en toe sociale media controleren of persoonlijke e-mails verzenden vanaf werkcomputers. Maar in sommige gevallen kan het serieuzer worden, met mensen die veel tijd besteden aan het bijwerken van hun eigen websites, het bekijken van video's of zelfs pornografie. Vroege schattingen suggereerde dat 45% van de ondervraagde werknemers het surfen op internet op het werk voor persoonlijke doeleinden noemde als de belangrijkste afleiding op het werk.
Dit kan een grote impact hebben op de productiviteit van een bedrijf, waarbij uit onderzoek blijkt dat werknemers elk gemiddeld 2.09 uur per dag verspillen tijdens cyberloafing. Maar onze nieuwe studie toont ook aan dat hoe meer werknemers zich bezighouden met ernstig cyberloafen, hoe kleiner de kans is dat ze de regels en protocollen volgen die zijn ontworpen om de IT-systemen van het bedrijf te beschermen, en hoe groter de bedreiging voor cyberbeveiliging wordt.
We vroegen 338 deeltijdse en voltijdse werknemers van 26 tot 65 jaar naar hun gewoonten op het gebied van cyberloaften, hun kennis van informatiebeveiliging en gedrag dat op internetverslaving zou kunnen duiden. Degenen die vaker cyberloafden, wisten minder van informatiebeveiliging. En degenen die zich bezighielden met serieuzere cyberloafing (zoals het bijwerken van persoonlijke websites, het bezoeken van datingsites of het downloaden van illegale bestanden) hadden een aanzienlijk slechter bewustzijn van cyberveiligheid.
Doorgaans wisten mensen die serieuzer cyberloaften waren zich minder bewust van hoe ze online veilig konden blijven en hoe ze gevoelige informatie konden beschermen. Een reden hiervoor kan zijn dat ze zo vastbesloten zijn om online te gaan dat ze geen aandacht willen besteden aan informatie over online veiligheid en de risico's willen negeren. Aan de andere kant denken ze misschien dat hun bedrijven zichzelf kunnen beschermen tegen alles wat kan gebeuren als gevolg van risicovol gedrag.
Online gaan tegen elke prijs. Shutterstock
Degenen in onze enquête die hoger scoorden op internetverslavingsgedrag, hadden ook een veel grotere kans op een slechtere kennis van en het volgen van veiligheidsprotocollen. En degenen die serieuze cyberloafers en potentiële internetverslaafden waren, vormden het grootste risico van allemaal.
Zoals ik uitleg in mijn recente boek Cybercognitie, internet verslaving is een dwang om online te gaan, soms met als doel andere verslavingen aan digitale activiteiten zoals online gokken of winkelen aan te wakkeren. Het is van cruciaal belang dat de drang om online te gaan hetzelfde is als elke fysieke verslaving, dus internet gedraagt zich voor sommige mensen als een medicijn.
Dit betekent dat mensen die aspecten van internetverslaving vertonen, meer vastbesloten zijn om tegen elke prijs online te gaan en eerder geneigd zijn om beveiligingsprotocollen te omzeilen of advies over online veiligheid te negeren. Ze denken misschien dat ze het beter weten omdat ze zoveel tijd online doorbrengen. Of misschien begrijpen ze de risico's niet volledig omdat ze zo opgaan in de online wereld.
Hoe cyberloafing aan te pakken
Dit alles betekent niet dat we alle internettoegang voor werknemers moeten afsluiten. Op internet kunnen surfen is een belangrijk onderdeel van het werk van sommige mensen. Maar overmatig gebruik van internetdiensten en IT-werksystemen kunnen bedrijven in gevaar brengen, vooral wanneer mensen toegang krijgen tot risicovolle websites of programma's downloaden van onbekende bronnen.
Bedrijven kunnen een aantal dingen doen om de risico's van overmatig cyberloafen te verminderen. Zoals we in de conclusie van ons onderzoek suggereren, kunnen sommige organisaties zeer strikte sancties opleggen voor het ernstig overtreden van regels. Maar het bieden van effectieve training die werknemers in staat stelt aspecten van internetmisbruik te identificeren en hulp te zoeken, zou een effectiever managementinstrument kunnen zijn. Werknemers helpen de risico's van hun acties te begrijpen, kan gunstiger zijn, vooral wanneer deze worden gecommuniceerd focusgroepen en gesprekken.
Maar één ding dat bedrijven moeten vermijden (en al te vaak niet), is simpelweg een e-mailherinnering sturen. Onderzoek toont aan dat berichten over de potentiële risico's voor informatiebeveiliging die via e-mail worden verzonden, het minst effectief zijn. En als je diep in een cyberloafsessie zit, is een e-mail gewoon een ander zakelijk bericht dat verloren gaat in een overbelaste inbox.
Over de auteur
Lee Hadlington, hoofddocent cyberpsychologie, De Montfort University
Dit artikel is opnieuw gepubliceerd vanaf The Conversation onder een Creative Commons-licentie. Lees de originele artikel.
boeken_beveiliging
