Por que a geração Y não respeita a segurança?

A terceira e última parte do relatório mundial de tecnologia da Cisco apresenta um levantamento de 1400 entrevistados entre 18 e 24 anos com resultados que são um desafio assustador para o departamento de TI.

Dos entrevistados, quatro em cada cinco pensam na política da sua empresa ao usar as mídias sociais e os dispositivos, sete em cada 10 admitiram conscientemente quebrar as políticas de TI e três a cada cinco acreditam não ser responsáveis por proteger os dispositivos e as informações corporativas.

Sabemos por pesquisas anteriores da Cisco que a geração que participa da força de trabalho tem um nível elevado de expectativas para acesso à internet e mídias sociais. Esses jovens trabalhadores querem usar seus próprios dispositivos e muitas vezes estão dispostos a assumir posições com uma média salarial menor, caso sejam autorizados a trazer seus próprios dispositivos para o trabalho.

A mais recente pesquisa revela que esse mesmo grupo, chamado geração Y ou geração do milénio, que tem crescido com a internet é mais propício a compartilhar informações pessoais online, é a segurança muito menos consciente do que o necessário para a empresa. É a mentalidade ?internet a qualquer preço?.

De acordo com a Cisco, esse tipo de comportamento inclui o uso secreto da conexão wireless do vizinho, usuários do grupo costumam sentar em frente às empresas para acessar gratuitamente as redes sem fio sem supervisão. ?Essa é uma boa notícia para os bisbilhoteiros que montaram um Wi-Fi Honeypots para capturar dados de usuários involuntários?.

O que é mais perturbador, e talvez seja porque eu trabalho em TI, é como pode 36% ter respondido negativamente quando questionado se eles respeitam seu departamento de TI.

O estudo não abordou por que os usuários desconsideram as melhores práticas de segurança, mas sim a atitude de querer ter internet a qualquer custo, os riscos de ser alvo são superados pela sua necessidade de se conectar. Eles assumem que é um risco aceitável, sem apresentar nenhum senso de perigo.

Alguns roubos de dados não são anunciados. Por exemplo, nós todos experimentamos em algum momento o falso software de antivírus que diz que nossa máquina tem 30 cavalos de Tróia e se comprarmos o software por US $ 39, eles vão remediá-los. É claro que eles vão clonar o nosso cartão de crédito também. Software AV falso conta aproximadamente com 20% dos PCs malwares infectados. Mas os outros 80% estão escondidos como keyloggers ou robôs roubando muito mais do que apenas um cartão de crédito.

Keylogging não é exclusivo para PCs. O software CarrierIQ é instalado em mais de 141 milhões de celulares; localização de GPS, sites visitados, pesquisas e todas as teclas pressionadas. Em uma escala menor, um usuário pode instalar um keylogger no telefone de outro usuário.

Quão estranho seria dizer a um colega cuja bateria do telefone morreu que você não vai emprestar o seu telefone por alguns minutos? Mas naqueles poucos minutos um keylogger pode ser rapidamente instalado. Projetado para pais e cônjuges, ele funciona muito bem para espionagem industrial.

Portanto, há um choque de cultura entre os novos trabalhadores e a TI. Há um medo – real ou imaginário – entre gerentes de recursos humanos que se eles não fornecerem aos jovens recrutas as ferramentas que eles querem e do jeito que eles querem os melhores e mais brilhantes irão para outro lugar. Ao mesmo tempo, o departamento de TI está sob pressão interna e externa para garantir quantidades cada vez maiores de dados cada vez mais fluídos.

Não é de admirar porque novos usuários desrespeitam a TI. É o departamento de TI que está quebrando as promessas dos gerentes de contratação. A TI é a acompanhante na festa. No entanto, as consequências da perda de dados ainda é culpa da TI. Enquanto ainda estamos na fase de transição de dispositivos e serviços auto-provisionados, não estamos passando a responsabilidade para o usuário. Agora se os dados são perdidos, é frequentemente assumido que a TI não os protegeu adequadamente.

Então o que fazer? Parte da responsabilidade do administrador de consumerização da TI é educar o usuário e o RH sobre os riscos que vêm com maior consumerização. Se os departamentos de TI só agora estão se familiarizando com as tendências de consumerização, então os departamentos de RH estão completamente no escuro (pense no seu próprio departamento de RH).

O RH deve estar envolvido na elaboração da política de segurança da TI. Enquanto ele luta contra os métodos em constante mudança para proteger os dados, a TI deixa o RH gerenciar o lado humano dele, incluindo ações punitivas. Ele também prepara melhor o RH durante o processo de contratação para que eles e a TI trabalhem em conjunto.

Abraçar o consumo de TI (CoIT) está na moda, mas abraçar é mais fácil dizer do que fazer. As coisas ficam pegajosas no dia a dia das operações e da execução e é preciso ter em conta uma força de trabalho que não respeita as práticas básicas de segurança e não respeita o departamento de TI.