0
0
As políticas de segurança da informação (ISP) que não estão fundamentadas na realidade das responsabilidades e prioridades de trabalho de um funcionário expõem as organizações a um maior risco de violações de dados,de acordo com uma pesquisa da Universidade binghamton, da Universidade Estadual de Nova York.
Os achados do estudo, de que as subculturas dentro de uma organização influenciam se os funcionários violam ou não o ISP, levaram os pesquisadores a recomendar uma revisão do projeto e implementação do ISP e a trabalhar com os funcionários para encontrar maneiras de encaixar perfeitamente a conformidade do ISP em suas tarefas diárias.
“A frequência, o escopo e o custo das violações de dados têm aumentado drasticamente nos últimos anos, e a maioria desses casos acontece porque os seres humanos são o elo mais fraco da cadeia de segurança. A não conformidade com o ISP pelos funcionários é um dos fatores importantes”, disse Sumantra Sarkar,professora associada de sistemas de informação gerencial na Escola de Gestão da Universidade de Binghamton.
“Queríamos entender por que certos funcionários eram mais propensos a cumprir as políticas de segurança da informação do que outros em uma organização.”
Como as subculturas influenciam a conformidade dentro das organizações de saúde
Sarkar, com uma equipe de pesquisa, procurou determinar como as subculturas influenciam a conformidade, especificamente dentro das organizações de saúde.
“Toda organização tem uma cultura que normalmente é definida pela alta gestão. Mas dentro disso, você tem subculturas entre diferentes grupos profissionais da organização”, disse Sarkar. “Cada um desses grupos é treinado de uma forma diferente e são responsáveis por tarefas diferentes.”
Sarkar e seus colegas pesquisadores se concentraram na conformidade com o ISP dentro de três subculturas encontradas em um ambiente hospitalar – médicos, enfermeiros e equipe de apoio.
O estudo expansivo levou anos para ser concluído, com um pesquisador incorporando em um hospital por mais de dois anos para observar e analisar atividades, bem como realizar entrevistas e pesquisas com vários funcionários.
Como os dados dos pacientes em um hospital são altamente confidenciais, uma área em que os pesquisadores se concentraram foi a exigência de que os funcionários do hospital bloqueassem seu registro eletrônico de saúde(EHR)quando não estavam presentes.
“Os médicos, que lidam com situações de emergência constantemente, eram mais propensos a deixar uma estação de trabalho destrancada. Eles estavam mais preocupados com o atendimento imediato de um paciente do que com o possível risco de violação de dados”, disse Sarkar.
“Na ponta oposta, a equipe de suporte raramente mantinha as estações de trabalho desbloqueadas quando estavam fora, pois sentiam que eram mais propensas a serem punidas ou demitidas caso ocorresse uma violação de dados.”
A conclusão
Os pesquisadores concluíram que cada subcultura dentro de uma organização responderá de forma diferente ao ISP em toda a organização, deixando as organizações abertas a uma maior possibilidade de violações de dados.
Sua recomendação – consulte cada subcultura durante o desenvolvimento do ISP.
“Os profissionais de segurança da informação devem ter uma melhor compreensão das tarefas diárias de cada grupo profissional e, em seguida, encontrar maneiras de integrar perfeitamente a conformidade com o ISP dentro dessas tarefas de trabalho”, disse Sarkar. “É fundamental que encontremos maneiras de redesenhar sistemas e processos isp, a fim de criar menos atrito.”
No contexto de um ambiente hospitalar, Sarkar recomenda mecanismos de autenticação sem toque, baseados em proximidade, que podem bloquear ou desbloquear estações de trabalho quando um funcionário se aproxima ou sai de uma estação de trabalho.
Os pesquisadores também descobriram que a maioria dos funcionários entende o valor da conformidade com o ISP e percebe o custo potencial de uma violação de dados. No entanto, Sarkar acredita que as medidas de conformidade das políticas de segurança da informação ultrapassadas têm o potencial de colocar os funcionários em um conflito de prioridades.
“Não deveria haver situações em que os médicos estejam colocando todo o hospital em risco por uma violação de dados porque estão lidando com um paciente que precisa de atendimento de emergência”, disse ele. “Precisamos encontrar maneiras de acomodar as responsabilidades de diferentes funcionários dentro de uma organização.”
FONTE: HELPNET SECURITY