Un nuevo estudio sugiere que algunos piratas informáticos no solo lo hacen por el dinero, sino que están motivados por su decepción por los intentos de una empresa de fingir responsabilidad social.
"Existe evidencia emergente de que la comunidad de piratas informáticos no es homogénea, y al menos algunos piratas informáticos parecen estar motivados por lo que no les gusta, en lugar de una ganancia exclusivamente financiera", dijo John D'Arcy, coautor y profesor de información de gestión. sistemas (MIS) en la Universidad de Delaware. "Los recientes ataques contra la Organización Mundial de la Salud, debido a sus acciones (o supuestas inacciones) relacionadas con la pandemia de COVID-19, son un buen ejemplo".
D'Arcy y sus coautores, interesados en explorar si el desempeño social corporativo (CSP) de una empresa afecta su probabilidad de ser violado, estudiaron un conjunto de datos único que incluía información sobre incidentes de violación de datos, evaluaciones externas del CSP de las empresas y otros factores. Los resultados, publicados el 18 de septiembre en el artículo de investigación de sistemas de información "Demasiado bueno para ser verdad: desempeño social de la empresa y el riesgo de violación de datos", fueron intrigantes.
La clave de estos resultados, explicó D'Arcy, radica en comprender la diferencia entre dos tipos diferentes de esfuerzos de responsabilidad social corporativa : aquellos que son más menores y periféricos (como programas de reciclaje o donaciones caritativas ) versus aquellos que involucran la responsabilidad social integrada el negocio principal y los procesos de la empresa (como iniciativas de diversidad y producción de productos ecológicos).
Las empresas que solo participan en esfuerzos periféricos y no más profundamente arraigados a veces se denominan "lavado verde", que intentan dar la apariencia de responsabilidad social sin infundir tales prácticas en toda su organización. Según la investigación de D'Arcy, las empresas que hacen esto tienen más probabilidades de enfrentar problemas de piratas informáticos.
"Un ejemplo de una empresa que ha sido acusada de lavado verde es Walmart", dijo D'Arcy. "Esto se debe a que Walmart ha promocionado sus inversiones en causas caritativas y programas ambientales, pero al mismo tiempo ha sido criticado por proporcionar bajos salarios y descuidar las inversiones en el entorno laboral físico y psicológico de los empleados".
El estudio encontró que los hackers de todo tipo, desde empleados internos descontentos hasta grupos externos de hacktivistas, pueden "olfatear" estas acciones que solo dan la apariencia de responsabilidad social. En mayor medida, cuando las empresas no solo intentan mejorar su imagen, sino que también utilizan estas acciones para enmascarar una CSP deficiente en general, es especialmente probable que se vulneren.
"En consecuencia, es más probable que estas empresas sean víctimas de una violación de datos maliciosa por estas razones", dijo D'Arcy. "Las empresas pueden estar colocando un objetivo proverbial en su espalda, en un sentido de seguridad de la información, al participar en esfuerzos de lavado verde".
Por el contrario, el estudio encontró que cuando las empresas que se involucran en formas más integradas y significativas de responsabilidad corporativa, es más probable que vean resultados únicamente positivos. En este caso, eso significa menos ataques y violaciones de datos.
"Es probable que estos mismos piratas informáticos internos y externos vean estos esfuerzos de CSP integrados como intentos genuinos de responsabilidad social (en otras palabras, la empresa está 'hablando con lo que habla' cuando se trata de responsabilidad social) y, por lo tanto, será menos probable que apunten estas empresas por un ataque informático que resulta en una infracción ", dijo D'Arcy.
¿Qué lecciones deben aprender las empresas de esta investigación? D'Arcy advirtió que las empresas deben ser cautelosas a la hora de promover los esfuerzos de CSP periféricos si tienen registros deficientes en temas sociales corporativos.
"Lo que alguna vez se aceptó como una actividad de CSP significativa puede que ya no apacigüe a ciertas partes interesadas", dijo. "Y en esta era de mayor transparencia de la información y mayores expectativas del papel de la empresa en la sociedad, participar solo en acciones periféricas puede resultar en una reacción violenta de las partes interesadas. Las empresas deben ser cautelosas al promover sus actividades de CSP a menos que puedan defender sus acciones como integradas en prácticas y auténticamente motivadas ".
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
