Cibercrime e desvios entre funcionários

Por John W. Jones, PhD

Um local de trabalho cada vez mais digital oferece oportunidades de inovação e crescimento, mas também cria ameaças significativas às empresas, incluindo tipos devastadores de crimes cibernéticos e desvios motivados por funcionários. A Cybersecurity Ventures estima amplamente que os custos globais do crime cibernético crescerão 15% ao ano durante os próximos cinco anos, atingindo US$ 10,5 biliões anuais até 2025. Essa estimativa baseia-se em todas as fontes de ameaças cibernéticas, ameaças, crime organizado e ameaças internas.

No entanto, o propósito dessa coluna é focar mais especificamente nas ameaças aos funcionários e nos tipos de crimes no local de trabalho e atos contraproducentes que eles podem cometer ou ajudar inadvertidamente através de sua negligência. Portanto, os princípios da psicologia da prevenção de perdas (LPP) devem ser úteis para melhor compreender, prevenir e remediar uma maior percentagem de ameaças cibernéticas internas.

Crime cibernético: a pandemia digital

O crime cibernético conduzido por funcionários pode ser devastador para os resultados financeiros de uma empresa, para a reputação da marca e para a sobrevivência geral. Um caso singular de crime cibernético pode potencialmente paralisar uma organização, levando a perdas financeiras significativas, danos à reputação da empresa e impactos a longo prazo na confiança do consumidor. Tendo em conta esses riscos elevados, a LPP aplica uma abordagem integrativa e multifacetada para mitigar riscos do crime cibernético.

Ele enfatiza a importância de medidas técnicas (sistemas seguros e criptografia), humanas (educação dos funcionários sobre riscos cibernéticos e práticas seguras) e organizacionais (triagem pré-contratação com foco no risco, políticas e procedimentos robustos de RH e TI, e uma abordagem ética cultura que

dissuade o comportamento criminoso). Tipos comuns de crimes cibernéticos de funcionários inclui alguns pontos importantes, como segue:

• Roubo de dados: acesso não autorizado e extração de dados da empresa, dados confidenciais ou proprietários.
• Hacking de sistemas da empresa: intrusão não autorizada nos sistemas de computadores ou redes da empresa com intenção maliciosa.
• Negociação com informações privilegiadas: utilização de informações confidenciais da empresa para ganho financeiro pessoal.
• Sabotagem de TI: ações deliberadas para danificar, interromper ou desacelerar os sistemas de TI da empresa.
• Ataques de phishing contra colegas ou parceiros da empresa: tentativas enganosas de obter informações confidenciais fazendo-se passar por uma entidade confiável nos canais de comunicação da empresa.
• Instalação de ransomware: instalação de software malicioso concebido para bloquear o acesso ao sistema informático da empresa até que uma quantia em dinheiro seja paga.
• Pirataria de software: cópia, distribuição ou uso não autorizado de software protegido por direitos autorais utilizando recursos da empresa.
• Espionagem cibernética: acesso ilícito a informações confidenciais mantidas na empresa para ganho pessoal ou para beneficiar outra organização.
• Roubo de identidade: roubo e utilização de dados pessoais de um colega ou cliente para ganho pessoal.
• Cryptojacking: utilização dos recursos de TI da empresa para minerar criptomoedas sem autorização.

Desvio de funcionários no ciberespaço

O desvio dos funcionários é menos devastador do que o crime cibernético, mas o efeito cumulativo da má conduta cibernética de menor grau ainda pode impactar negativamente o sucesso financeiro e operacional de uma organização. O desvio dos funcionários no ciberespaço abrange comportamentos que violam as regras, normas ou expectativas da empresa, geralmente resultando em danos à organização ou aos seus membros.

Exemplos de desvios cibernéticos incluem o uso pessoal excessivo da internet durante o horário de trabalho, a disseminação de boatos ou o compartilhamento de conteúdo impróprio (por exemplo, pornografia online), o acesso não autorizado a informações confidenciais e o uso indevido de sistemas ou dados da empresa. Embora possam parecer aparentemente benignos ou triviais, esses comportamentos contraproducentes dos funcionários podem levar cumulativamente a perdas financeiras significativas e à deterioração da cultura organizacional, especialmente se os atos apoiarem inadvertidamente os cibercriminosos. Algumas formas comuns de desvio cibernético dos funcionários incluem o seguinte:

1. Acesso não autorizado: utilização de recursos da empresa para obter acesso a dados ou sistemas sem permissão.
2. Uso indevido de informações: utilização de informações confidenciais da empresa para ganho pessoal.
3. Uso inapropriado dos recursos de TI da empresa: utilização de redes ou equipamentos da empresa para atividades ou ganhos pessoais.
4. Comunicação online inadequada ou ofensiva: envio de mensagens inadequadas, ofensivas ou de assédio através de redes ou dispositivos da empresa.
5. Cyberloafing: gastar uma quantidade excessiva de tempo de trabalho em atividades não relacionadas ao trabalho na internet.
6. Cyberbullying no local de trabalho: utilização de ferramentas de comunicação digital para assediar ou intimidar colegas de trabalho.
7. Enganação de identidade: representar-se falsamente online, muitas vezes para obter acesso ou informações não autorizadas.
8. Acumulação de dados: acumulação e armazenamento de dados confidenciais da empresa por motivos de trabalho não legítimos.
9. Pirataria digital: cópia ou distribuição não autorizada de conteúdo digital protegido por direitos autorais utilizando recursos da empresa.
10. Criação ou disseminação de malware: desenvolver ou disseminar software malicioso através de redes ou dispositivos da empresa.

Rumo a um ciberespaço seguro

Na base da abordagem LPP para enfrentar as ameaças cibernéticas está o reconhecimento do papel central desempenhado pelo comportamento humano e pelas mentalidades psicológicas que impulsionam esse comportamento. Por exemplo, a LPP concentra-se em medidas proativas, como o uso de avaliações validadas de gestão de riscos e talentos para identificar possíveis ameaças cibernéticas internas.

Essas medidas relevantes para o trabalho ajudam a garantir que funcionários conscienciosos com elevada integridade, confiabilidade e inteligência emocional, que são menos propensos a se envolverem em comportamentos desviantes ou criminosos, sejam trazidos para a organização. Os funcionários atuais também podem ser pesquisados rotineiramente quanto ao status de suas atitudes e percepções relevantes para o trabalho.

Exemplos ilustrativos dos tipos de mentalidades atuais dos funcionários que podem levar ao crime cibernético e ao desvio podem ser resumidos como:

• Anonimato: os funcionários podem pensar que as suas ações online são indetectáveis ou anônimas, o que pode levar a uma maior assunção de riscos ou a um comportamento irresponsável. Essa ilusão de invisibilidade pode permitir que os funcionários ajam de maneiras que normalmente não agiriam se a sua identidade fosse conhecida.
• Direitos: os funcionários que sentem que são mal pagos ou não valorizados podem acreditar que têm justificativa para usar indevidamente os recursos da empresa. Isso pode incluir tudo, desde o uso indevido do tempo da empresa para tarefas pessoais (ou seja, cyberloafing) até ao roubo total de dados ou recursos de TI.
• Vingança: os funcionários que se sentem injustiçados pelo seu empregador podem recorrer ao crime cibernético ou ao desvio como forma de retaliação. Isso pode se manifestar de várias maneiras, incluindo roubo de dados, sabotagem ou disseminação de malware.
• Busca de emoções: alguns funcionários podem se envolver em crimes cibernéticos ou desvios pela emoção, encarando-os como um desafio ou um jogo. Isso pode levar a atividades de alto risco, como acesso não autorizado ou hacking.

Além disso, o LPP sublinha a necessidade de programas regulares e abrangentes de formação e desenvolvimento. Eles educam os funcionários sobre possíveis ameaças cibernéticas, o impacto e as consequências dos crimes e desvios dos funcionários e a importância de aderir aos princípios de higiene cibernética.

No entanto, também são necessários programas de formação para ensinar aos funcionários competências de gestão do stress baseadas em evidências e como aceder a um programa de assistência e aconselhamento aos funcionários, caso esses tenham quaisquer problemas de saúde mental. Ao concentrar-se na saúde mental e no bem-estar em geral, e na segurança cibernética em particular, os funcionários ficam mais capacitados para contribuir para um ambiente de trabalho digital seguro.

Por último, a LPP acentua a importância de uma cultura organizacional positiva na mitigação das ameaças cibernéticas. Uma organização que valoriza a integridade, respeita a privacidade e promove uma atmosfera de confiança e abertura reduz a probabilidade de crimes cibernéticos e desencoraja comportamentos desviantes no local de trabalho.

Em resumo, a abordagem LPP oferece um quadro abrangente para enfrentar frontalmente o crime cibernético cometido por funcionários, enfatizando a prevenção, a educação e uma cultura organizacional que incentiva o comportamento positivo dos funcionários no domínio cibernético. A LPP pode reforçar as soluções tradicionais de prevenção de perdas para fortalecer todos os esforços destinados a prevenir o crime cibernético e os desvios dos funcionários.

________________________________________________________________

John W. Jones, PhD, é vice-presidente executivo de pesquisa e desenvolvimento da FifthTheory, LLC (www.FifthTheory.com). Dr. Jones é um psicólogo licenciado em Illinois que atua como principal líder de pensamento da FifthTheory na pesquisa, desenvolvimento e fornecimento de soluções de avaliação de risco pessoal e gestão de talentos. Dr. Jones tem mais de trinta anos de experiência em psicologia de prevenção de perdas, recebeu seu doutorado em psicologia aplicada pela DePaul University e possui MBA pela Keller Graduate School of Management. As pesquisas incluem a psicologia da violência e incivilidade no local de trabalho, roubo e conluio por funcionários, uso de drogas ilícitas no trabalho, liderança informada sobre traumas e excelência em serviços. Dr. Jones foi o editor fundador do Journal of Business and Psychology.