Workshop de segurança cibernética com 45 especialistas mapeia os fatores humanos por trás das violações. Mapeamos o que os programas de segurança do sistema de saúde podem fazer para medi-los e gerenciá-los.
Tratar os funcionários como o elo mais fraco na segurança cibernética pode ser a suposição mais cara que um programa de segurança faz. Novo artigo c Segurança e privacidade IEEE explica por que o lado humano da defesa continua a ser subestimado. Baseia-se num workshop de 45 especialistas convocado por Instituto Nacional de Padrões e Tecnologia e instituições parceiras. Para as equipas de segurança do sistema de saúde, onde um clique errado pode expor os dados dos pacientes, as descobertas apontam para uma forma mais deliberada de gerir as pessoas envolvidas.
O workshop, denominado ConnectCon, reuniu pesquisadores e profissionais da academia, do governo e da indústria. Chegaram a um consenso sobre os desafios mais prementes da segurança cibernética centrada no ser humano. O grupo chamou o elemento humano de um reconhecido “problema cibernético difícil”, um rótulo reservado para questões críticas para o futuro da área. Seu principal argumento reformula um hábito antigo. Em vez de posicionar os colaboradores como vulnerabilidades a conter, a investigação trata as pessoas como parceiros activos cujos pontos fortes podem ser medidos e aproveitados.
Por que as taxas de conclusão escondem o risco real
A maioria dos programas de segurança mede o treinamento de conscientização pelo número de funcionários que o completam. A pesquisa identificou esse reflexo como uma grande fraqueza. As taxas de conclusão quase perfeitas parecem tranquilizadoras, mas revelam pouco sobre se o comportamento mudou. Os autores observam que as estruturas predominantes ainda se baseiam em métricas baseadas em atividades. Este foco desvia a atenção para os números de conformidade e afasta-a do resultado que importa: mudanças sustentáveis em atitudes e comportamentos.
Esta lacuna é difícil de colmatar sem uma linha de base. Muitas organizações não têm uma imagem clara de como a sua força de trabalho se comporta sob pressão. Como resultado, eles adotam como padrão quaisquer dados que sejam fáceis de capturar. A medida prática para um sistema de saúde é definir o que significa o sucesso antes de escolher uma métrica. A medição deve então acompanhar a mudança real em relação às taxas de conclusão do curso. Os sinais qualitativos pertencem a esta combinação junto com os gráficos quantitativos usuais.
A carga mental é uma variável de segurança
Os ambientes clínicos operam com constantes avisos, interrupções e pressão para permanecerem sempre ligados. A investigação liga esta realidade diretamente ao risco. O estresse psicológico e a sobrecarga cognitiva aumentam as taxas de erro, especialmente em tarefas que parecem desconectadas do trabalho principal da pessoa. Em particular, agravam a susceptibilidade ao phishing e a outros ataques baseados em fraude. A fadiga da segurança agrava o problema e atenua o efeito das mensagens baseadas no medo.
Os agentes de segurança não estão imunes. Cargas de trabalho pesadas e pressão sustentada prejudicam as decisões das próprias pessoas que protegem a empresa. Como resultado, é mais provável que os procedimentos padrão sejam ignorados. O workshop apontou as plataformas de envolvimento dos funcionários como uma forma de esclarecer como o estresse molda o comportamento de segurança. No entanto, as organizações devem proteger a privacidade e evitar o uso criminoso de dados. A segurança psicológica, a sensação de que os funcionários podem reportar um erro sem medo, também pode prever um compromisso genuíno com a segurança.
Construindo uma aprendizagem que ganha seu apoio
Os módulos comuns anuais têm atraído críticas específicas. Em vez disso, a investigação defende a aprendizagem contínua adaptada à cultura, às funções e aos estilos de aprendizagem. Para os sistemas de saúde, isso significa ajudar uma enfermeira, um funcionário de cobrança e um engenheiro de rede a ver como a segurança se relaciona com seu trabalho. O reforço da mensagem com frequência suficiente neutraliza o declínio na aprendizagem sem aumentar a fadiga. Convidar funcionários para ajudar a moldar o conteúdo também cria ciclos de feedback que mantêm o treinamento relevante.
Os autores também apelam a uma colaboração mais estreita entre investigadores e profissionais. Grande parte do trabalho relevante fica atrás de acessos pagos acadêmicos ou é considerado abstrato demais para o uso diário. Consequentemente, a transferência de conhecimentos para programas de segurança operacional é atrasada. Reduzir esta distância deve ser uma responsabilidade partilhada no terreno.
Leve embora
- Pare de equiparar a conclusão do treinamento com risco reduzido; mede se o comportamento realmente muda.
- Estabeleça uma linha de base comportamental antes de escolher as métricas e inclua sinais qualitativos junto com os quantitativos.
- Trate a carga cognitiva do médico e a fadiga de segurança como fatores de risco mensuráveis.
- Fique atento ao esgotamento entre o pessoal de segurança, cujas decisões erradas criam a sua própria exposição.
- Substitua módulos anuais únicos por treinamento contínuo e específico para funções, elaborado com base nas contribuições dos funcionários.
- Proteja todos os dados da força de trabalho coletados e mantenha-os protegidos contra uso criminoso para manter a confiança.
Os organizadores descrevem a ConnectCon como um primeiro passo. Muitas das questões mais difíceis sobre o financiamento e a divisão entre a prática e a prática da investigação vão além de qualquer instituição individual. Para os líderes da segurança dos sistemas de saúde, a investigação defende claramente a necessidade de medir o elemento humano tão cuidadosamente como o técnico, e de tratar a força de trabalho como uma defesa a fortalecer.
