ورشة عمل للأمن السيبراني تضم 45 خبيرًا تحدد العوامل البشرية المسببة للانتهاكات. نحن نحدد ما يمكن أن تفعله برامج أمان نظام الرعاية الصحية لقياسها وإدارتها.
إن معاملة الموظفين باعتبارهم الحلقة الأضعف في الأمن السيبراني يمكن أن يكون الافتراض الأكثر تكلفة الذي يقوم به برنامج الأمان. واحدة جديدة شرط في IEEE الأمن والخصوصية يشرح سبب استمرار ضعف الجانب الإنساني في الدفاع. ويستند إلى ورشة عمل مع 45 خبيرا نظمتها المعهد الوطني للمعايير والتكنولوجيا والمؤسسات الشريكة. بالنسبة لفرق أمان نظام الرعاية الصحية، حيث يمكن لنقرة واحدة في التوقيت الخاطئ أن تكشف عن بيانات المريض، تشير النتائج إلى طريقة أكثر تعمدًا لإبقاء الأشخاص على اطلاع.
جمعت ورشة العمل، التي أطلق عليها اسم ConnectCon، باحثين وممارسين من الأوساط الأكاديمية والحكومية والصناعية. وتوصلوا إلى توافق في الآراء بشأن التحديات الأكثر إلحاحا في مجال الأمن السيبراني الذي يركز على الإنسان. ووصفت المجموعة العنصر البشري بأنه “مشكلة سيبرانية صعبة”، وهي تسمية مخصصة للقضايا الحاسمة لمستقبل هذا المجال. حجتهم المركزية تعيد صياغة عادة طويلة الأمد. وبدلاً من اعتبار الموظفين نقطة ضعف يجب احتواؤها، يتعامل البحث مع الأشخاص كشركاء فاعلين يمكن قياس نقاط قوتهم والبناء عليها.
لماذا تخفي معدلات الإنجاز المخاطر الحقيقية
تقيس معظم برامج الأمان التدريب التوعوي بعدد الموظفين الذين يكملونه. يحدد البحث هذا المنعكس باعتباره نقطة ضعف أساسية. إن معدلات الإنجاز شبه المثالية مطمئنة، ولكنها لا تكشف إلا القليل عما إذا كان السلوك قد تغير. لاحظ المؤلفون أن الأطر السائدة لا تزال تعتمد على المقاييس القائمة على النشاط. ويعمل هذا التركيز على تحويل الانتباه نحو مقاييس الامتثال وبعيداً عن النتيجة المهمة: التحولات المستمرة في المواقف والسلوك.
ومن الصعب سد هذه الفجوة دون وجود خط أساس. ليس لدى العديد من المنظمات صورة واضحة عن كيفية تصرف موظفيها تحت الضغط. ونتيجة لذلك، فإنهم يلجأون افتراضيًا إلى البيانات التي يسهل التقاطها. الخطوة العملية لنظام الرعاية الصحية هي تحديد شكل النجاح قبل اختيار المقياس. يجب أن يتتبع القياس بعد ذلك التغيير الفعلي من معدلات إكمال الدورة التدريبية. تنتمي الإشارات النوعية إلى هذا المزيج بالإضافة إلى لوحات المعلومات الكمية المعتادة.
الحمل العقلي هو متغير السلامة
تواجه البيئات السريرية باستمرار التنبيهات والانقطاعات والضغط للبقاء دائمًا. ويربط البحث هذا الواقع بالمخاطر بشكل مباشر. يزيد الضغط النفسي والحمل المعرفي الزائد من معدلات الخطأ، خاصة في المهام التي تشعر بأنها منفصلة عن الوظيفة الأساسية للفرد. وعلى وجه الخصوص، فإنها تزيد من قابلية التعرض للتصيد الاحتيالي وغيره من الهجمات القائمة على الخداع. يؤدي الإرهاق الأمني إلى تفاقم المشكلة والتخفيف من تأثير الرسائل القائمة على الخوف.
أفراد الأمن ليسوا في مأمن. أعباء العمل العالية والضغط المستمر يؤديان إلى تفاقم قرارات الأشخاص الذين يدافعون عن الشركة. ونتيجة لذلك، من المرجح أن تتعثر الإجراءات القياسية. أشارت ورشة العمل إلى منصات مشاركة الموظفين كوسيلة للكشف عن كيفية تأثير التوتر على سلوكيات السلامة. ومع ذلك، يجب على المؤسسات حماية الخصوصية وتجنب الاستخدام العقابي للبيانات. فالسلامة النفسية، أي الشعور بأن الموظفين يمكنهم الإبلاغ عن الخطأ دون خوف، يمكن أن تنبئ أيضًا بالالتزام الحقيقي بالأمن.
بناء التعليم الذي يستحق أمواله
تلقت الوحدات العامة التي تُدرس مرة واحدة في العام انتقادات محددة. وبدلاً من ذلك، يدعو البحث إلى التعلم المستمر، المصمم خصيصًا للثقافة والأدوار وأساليب التعلم. بالنسبة لأنظمة الرعاية الصحية، يعني هذا مساعدة الممرضة وموظف الفواتير ومهندس الشبكة في معرفة مدى ارتباط الأمان بعملهم. ومن خلال تعزيز الرسالة في كثير من الأحيان، يتم منع فقدان التعلم دون زيادة التعب. كما أن دعوة الموظفين لتشكيل المحتوى تؤدي أيضًا إلى إنشاء حلقات تعليقات تجعل التدريب ملائمًا.
يدعو المؤلفون أيضًا إلى تعاون أوثق بين الباحثين والممارسين. الكثير من الأعمال ذات الصلة تقع خلف نظام حظر الاشتراك غير المدفوع الأكاديمي أو تُقرأ على أنها مجردة جدًا للاستخدام اليومي. ونتيجة لذلك، يتباطأ نقل المعرفة إلى برامج الأمان العاملة. وسد هذه المسافة يجب أن يكون مسؤولية مشتركة للمجال بأكمله.
خذها بعيدا
- توقف عن مساواة إكمال التمرين بتقليل المخاطر؛ قياس ما إذا كان السلوك يتغير بالفعل.
- قم بإنشاء خط أساس سلوكي قبل اختيار المقاييس، وقم بتضمين الإشارات النوعية بالإضافة إلى الإشارات الكمية.
- علاج الحمل المعرفي والتعب من سلامة الطبيب كعوامل خطر قابلة للقياس.
- انتبه للإرهاق بين موظفي الأمن، الذين تؤدي قراراتهم السيئة إلى تعرضهم للخطر.
- استبدل الوحدات السنوية لمرة واحدة بالتعلم المستمر القائم على الأدوار، المصمم بمدخلات الموظفين.
- قم بحماية جميع بيانات الموظفين التي تجمعها واحفظها بعيدًا عن الاستخدام العقابي للحفاظ على الثقة.
يصف المنظمون ConnectCon كخطوة أولى. العديد من الأسئلة الصعبة حول التمويل والفجوة بين البحث والممارسة تمتد إلى ما هو أبعد من أي مؤسسة منفردة. بالنسبة لقادة سلامة نظام الرعاية الصحية، يقدم البحث حجة واضحة لقياس العنصر البشري بعناية مثل العنصر الفني، ولمعاملة القوى العاملة كآلية دفاع تحتاج إلى تعزيز.
