John D'Arcy (sopra) dell'Università del Delaware ha lavorato con Paul Benjamin Lowry della City University di Hong Kong per sondare i professionisti nelle organizzazioni negli Stati Uniti. Credito:Università del Delaware
Poiché i professionisti tornano al lavoro dopo le vacanze, i loro stati d'animo sono indubbiamente influenzati dall'impatto emotivo delle loro esperienze di vacanza, ma questi stati d'animo potrebbero essere più critici per la sicurezza informatica sul posto di lavoro di quanto si pensasse in precedenza.
Nuova ricerca da John D'Arcy dell'Università del Delaware, imminente nel Giornale dei sistemi informativi , suggerisce che gli stati d'animo positivi o negativi delle persone possono influenzare la probabilità che si impegnino in comportamenti informatici insicuri sul posto di lavoro.
Il comportamento informatico non sicuro sul posto di lavoro include cose come l'uso di password deboli, accedere a software non approvato o non utilizzare l'autenticazione a due fattori, spiegò D'Arcy, professore associato presso l'Alfred Lerner College of Business and Economics di UD.
La maggior parte delle organizzazioni dispone di politiche formali che vietano tale comportamento. Per cercare di prevedere il motivo per cui le persone violano queste norme, D'Arcy ha collaborato con Paul Benjamin Lowry della City University di Hong Kong per sondare i professionisti delle organizzazioni negli Stati Uniti sul comportamento informatico sul posto di lavoro.
L'indagine longitudinale ha rilevato che "gli stati d'animo e le emozioni influenzano il comportamento delle persone legato alla sicurezza, " disse D'Arcy. "E queste cose variano di giorno in giorno, che può far variare il comportamento delle persone di giorno in giorno."
Secondo l'indagine, i dipendenti di umore migliore hanno maggiori probabilità di avere un atteggiamento positivo nei confronti della sicurezza e sono più propensi a seguire la politica.
"Il rovescio della medaglia, se sono di cattivo umore, quello che ottieni può cambiare di giorno in giorno, "D'Arcy ha detto. "Questo rende più probabile che violeranno la politica."
Questo ha senso per qualsiasi dipendente che si sia sentito particolarmente infastidito dalle misure di sicurezza sul posto di lavoro durante una brutta giornata:in un giorno in cui provavi emozioni più positive, lo sforzo extra probabilmente non sembrerebbe così fastidioso.
Il team si è concentrato sulle violazioni della sicurezza interne perché tali minacce sono "un grosso problema, "D'Arcy ha detto, con ricerche di settore che suggeriscono che fino all'80-90 percento di tutte le violazioni della sicurezza sono causate da comportamenti non conformi dei dipendenti.
"Ecco come il malware entra nel sistema, " ha detto. "È così che le aziende ottengono violazioni dei dati".
Questo studio è stato particolarmente unico, D'Arcy ha spiegato, perché la maggior parte degli studi precedenti su questo argomento hanno esaminato le caratteristiche dei dipendenti che rimangono stabili, come i tratti della personalità, invece di qualcosa che cambia ogni giorno.
"È transitorio, " ha detto. "Non puoi semplicemente dire 'Beh, è più probabile che questa persona segua sempre le politiche». C'è sempre stato questo presupposto che alcune persone siano predisposte a questo comportamento o altre no, mentre ora possiamo vedere che in base a questi cambiamenti di umore è difficile prevederlo".
Il team ha anche esaminato cosa potrebbe causare alcuni di questi cambiamenti di umore sul posto di lavoro, e ironicamente, a volte la causa del malumore dei dipendenti era la politica di sicurezza stessa. Il team di ricerca chiama questa politica di sicurezza "fallimento controproducente".
"A volte, se hanno a che fare con requisiti di sicurezza che ritengono troppo restrittivi o fastidiosi, che può avere un impatto negativo, "D'Arcy ha detto. "È come se troppa sicurezza mettesse i dipendenti di umore negativo, che poi li rende ancora meno propensi a seguire la politica."
Questa ricerca suggerisce che gli stati d'animo e le emozioni dei dipendenti potrebbero essere nuovi fattori critici da considerare per i professionisti IT e della sicurezza quando si individuano le cause delle violazioni della sicurezza e si prevengono comportamenti informatici non sicuri.
Oltre a considerare gli aspetti tecnici della sicurezza, D'Arcy ha detto "Devi anche pensare un po' di più ai problemi di queste persone, per iniziare a capire i tuoi dipendenti e creare un ambiente in cui le politiche di sicurezza non siano così restrittive in cui mettono le persone di cattivo umore."
"Le cose tecniche sono ancora importanti, " Egli ha detto, "ma anche questo".