Por: Natalia Godyla, gerente de mercadotecnia de producto en seguridad; y Leigh Honeywell, CEO y cofundadora de Tall Poppy
La comunidad de seguridad cambia, crece y aprende de manera continua, unos de otros, para posicionar mejor al mundo frente a las amenazas cibernéticas. En la última publicación de la serie de blogs Voice of the Community, la gerente de marketing de productos de Microsoft, Natalia Godyla, habla con Leigh Honeywell, directora ejecutiva y cofundadora de Tall Poppy, que crea herramientas y servicios para ayudar a las empresas a proteger a sus empleados del acoso y abuso en línea. En este blog, Leigh habla sobre las estrategias de la empresa para combatir el acoso en línea.
Natalia: ¿Cuáles son algunos ejemplos de acoso en línea experimentado en el lugar de trabajo?
Leigh: El acoso en línea se divide en dos tipos. El primero es el acoso relacionado con su trabajo. Un ejemplo de esto sería que un exempleado tiene un conflicto con la empresa y acose a excompañeros. En otros casos, tiene que ver con una decisión de política o una decisión de moderación que tomó la empresa, lo que resulta en personas dentro de la organización que sufren acoso.
El otro tipo de acoso no tiene nada que ver con el trabajo diario de alguien. Por ejemplo, un empleado tuvo una mala ruptura y su ex los molesta en el trabajo. No está relacionado de manera estricta con el trabajo diario del empleado, pero afectará su capacidad para estar presente en el trabajo y participar en la vida laboral. Muchas personas que lidian con el acoso, ya sea relacionado con el trabajo o no, experimentan pérdida de productividad, desgaste y agotamiento.
Descubran cómo el cumplimiento de las comunicaciones en Microsoft 365 puede ayudarlos a detectar lenguaje acosador o amenazante y tomar medidas para proteger a sus empleados.
Natalia: ¿Qué tan extendido es el problema del acoso en línea?
Leigh: El acoso en línea es un fenómeno significativo. En 2020, el 41 por ciento de los estadounidenses lo experimentó y el 28 por ciento experimentó los tipos más graves, como amenazas de violencia, acecho, acoso sexual y acoso persistente, según la Actualización de Acoso en Línea de Pew1. Esa es una gran cantidad de personas que experimentan estos problemas. Nos ha hecho priorizar la motivación de las personas para mejorar su higiene de seguridad en torno a las cuentas personales.
Las cuentas personales de sus empleados son parte de la superficie de ataque de la empresa. Los ataques de ingeniería social ocurren cuando los ciberdelincuentes utilizan la manipulación psicológica en sus objetivos. Si alguien sufre de extorsión en función de su vida personal, tiene el potencial de afectar a la empresa. En una estafa clásica de CEO, alguien irrumpe en la cuenta de correo electrónico personal de un ejecutivo, envía un correo electrónico a una persona en contabilidad que se hace pasar por el ejecutivo y le pide que envíe una transferencia bancaria a una cuenta bancaria controlada por el estafador.
Natalia: ¿Cuáles son las tendencias recientes en el acoso en línea?
Leigh: Según el estudio más reciente de Pew, el acoso en línea aumentó. Project Include acaba de publicar un estudio2 sobre el panorama del acoso interno de la empresa durante COVID-19, y ha habido un fuerte aumento en el acoso en el lugar de trabajo.
A pesar de que los números son estables en términos de cuántas personas experimentan acoso en línea, antes del COVID-19, si lidiabas con el acoso desde fuera de la empresa en el curso de tu trabajo, aún tenías que ir a casa y tener esa separación mental. Cuando las personas trabajan de forma remota, es una experiencia diferente y se siente mucho más personal y vulnerable para quienes se enfrentan a este tipo de acoso.
Natalia: ¿Qué deben entender las organizaciones sobre el acoso en línea?
Leigh: De acuerdo con las leyes de Estados Unidos y Canadá, las organizaciones tienen el deber de garantizar que los empleados no se acosen entre sí dentro de la organización. Cuando el acoso en el lugar de trabajo proviene de fuera de la empresa, como el acoso en Internet, no hay mucha claridad. Creo que es importante asegurarse de que los empleados tengan políticas claras y recursos internos.
En un escenario típico de acoso, un empleado dice algo controvertido en Twitter y la gente intenta que lo despidan de su empresa. A veces, las cosas que la gente dice, que hace que las despidan, son racistas u homofóbicas o sesgadas de alguna manera. Cuando la gente habla de la cultura de la cancelación, por lo general se refiere a las consecuencias. Dices algo y te apegas a esa palabra.
Sin embargo, es difícil arbitrar. ¿La controvertida declaración es motivo de despido o es controvertida porque son miembros de un grupo subrepresentado y son atacados por defenderse? Ese es uno de los objetivos que utilizo para analizar estas situaciones.
Natalia: ¿Cómo puede el acoso online conducir al hackeo?
Leigh: Después del abuso en los canales sociales y los correos electrónicos no deseados, el acoso en línea a veces se vuelve más agresivo. Verás intentos de restablecimiento de contraseña que no has solicitado. El siguiente nivel es el relleno de credenciales, donde un atacante obtiene la combinación de correo electrónico y contraseña de una persona a partir de infracciones antiguas y prueba las credenciales en diferentes cuentas. Otra posible escalada es el intercambio de SIM, que implica que el atacante se haga pasar por la víctima a una compañía telefónica y transfiera su número de teléfono a una nueva tarjeta SIM. Este ataque por lo general se dirige a personas de alto perfil y es menos común en situaciones de acoso.
Natalia: ¿Cómo es el proceso de respuesta a incidentes cuando un empleado es atacado?
Leigh: Cuando se trata de un incidente urgente en un lugar de trabajo, como cuando alguien hackea una impresora en una sucursal, existen guías de juego conocidas para responder a diferentes ataques. Del mismo modo, tenemos diferentes manuales de estrategias basados en el tipo de situación de acoso con la que se enfrenta un empleado, por ejemplo, el acoso por parte de un ex empleado o un empleado que es atacado debido a una decisión política de la empresa.
También prestamos mucha atención a los adversarios. Por lo general, nos aseguraremos de que la persona tenga dispositivos seguros y nos aseguraremos de que el adversario no tenga acceso a sus cuentas personales. Los guiaremos para cambiar las contraseñas relevantes y verificar las aplicaciones autorizadas. A partir de ahí, se trata de asegurarse de que la persona esté bien, y eso incluye asegurarse de que conozca los recursos internos, como un programa de asistencia al empleado para los servicios de asesoramiento.
Natalia: ¿Cuáles son las mejores prácticas que puede implementar una empresa para mitigar el acoso en línea o ayudar a las personas afectadas por él?
Leigh: Primero, tener políticas internas claras y puntos de escala en torno al uso aceptable de las redes sociales. Hay algunas industrias en las que es comprensible que no desee que los empleados tengan presencia en las redes sociales, pero esas son raras en estos días. En general, no es realista decirles a los empleados que no existan en línea en público, por lo que lo importante es dejar claros los límites, las expectativas y las barreras a través de una política de redes sociales por escrito. Los empleados quieren tener carreras de larga duración y construir sus marcas personales; tratar de cerrar eso al por mayor terminará con una aplicación injusta y no es realista.
La segunda mejor práctica es asegurarse de que las personas tengan herramientas y recursos disponibles para proteger sus vidas personales, ya sea una llave de seguridad de hardware como una Yubikey o un administrador de contraseñas de calidad. Todas esas herramientas del día a día son tan importantes en el lugar de trabajo como en la vida personal de las personas. La capacitación en línea sobre acoso les enseña a los empleados cómo mantener a los atacantes fuera de sus cuentas personales, como correo electrónico, cuentas bancarias y redes sociales. Puede ser abrumador tratar de comprender toda la información disponible sobre cómo mantenerse seguro en línea. Y se puede argumentar que no debería tener que convertirse en un experto en ciberseguridad personal para poder vivir su vida con presencia en Internet en el mundo moderno.
La tercera sería asegurar que haya recursos disponibles dentro de la organización que sean claros y accesibles, de modo que se entienda dónde están las rutas de escalamiento, ya sea a través de brindar capacitación a la gerencia y hacer que la gerencia se comunique con el personal de primera línea o utilizar herramientas de comunicación interna para informar a los empleados sobre los recursos.
Ayudar a los empleados a mejorar su ciberseguridad personal puede ayudarlos a sentirse seguros de que su infraestructura digital personal es segura y ayuda a garantizar que el acoso en línea no se convierta en un incidente como la toma de control de una cuenta.
Conozcan más
Descubran cómo el cumplimiento de las comunicaciones en Microsoft 365 puede ayudarlos a detectar lenguaje acosador o amenazante y tomar medidas para fomentar una cultura de seguridad.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen el blog de Seguridad a sus Favoritos para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1The State of Online Harassment, Emily A. Vogels, Pew Research Center, 13 de enero de 2021.
2Remote work since COVID-19 is exacerbating harm: What companies need to know and do, Yang Hong, McKensie Mack, Ellen Pao, Caroline Sinders, Project Include, marzo 2021.