Amélioration de la formation sur la cybersécurité pour les professionnels de la santé
Pourquoi la nécessité d’une formation en sécurité est-elle basée sur les rôles?
Selon un rapport sur la preuve 2024, 71% des travailleurs ont admis des négociations d’une manière qui menace la sécurité, comme cliquer sur les liens de l’expéditeur inconnu ou le partage de données de connexion avec une source non confirmée.
Alors pourquoi ne pas seulement dire aux employés de réduire les actions de risque? Il est probable que ces risques doivent subir dans le cadre de leur travail, tels que le téléchargement des CV pour les RH, la confirmation du conseil d’aide de l’informatique ou l’accès aux données médicales en tant que chercheur.
“Ils ne font rien de mal”, explique Witt. “Cependant, ces formations doivent les soutenir pour jouer leurs rôles et avoir toujours une garantie. Après tout, ce sont ceux qui reçoivent la part des attaques du lion.”
Leurs rôles peuvent ne pas être bien connus en dehors de l’organisation, mais peuvent travailler vulnérables ou avoir accès aux données de vente qui sont souhaitables en tant que timbres.
“Si vous êtes une institution pour les soins de santé et que vous avez une composante de recherche dans le cadre de votre organisation, vous êtes attaqué de façon exponentielle”, explique Witt. “Nous avons vu de forts exemples dans lesquels les acteurs de l’État national essaient particulièrement d’accéder aux données, ce qui est précieux qu’ils peuvent monétiser.”
En savoir plus: Les tendances de l’exploitation soulignent la nécessité d’une cybersécurité convertie dans les soins de santé.
En particulier, les organisations devraient avoir une formation adaptée pour Help Desk, qui sont plus susceptibles de se concentrer sur les acteurs nuisibles, ajoute Witt. Il est courant qu’un conseil d’aide de recevoir des méthodes de vérification de réinitialisation, par exemple, quelqu’un achètera un nouveau téléphone. Comment cet employé d’assistance peut-il vérifier qu’il s’agit d’une demande légitime provenant de l’organisation?
“Ils sont obligés d’aider, et c’est un attribut que vous voulez vraiment voir dans le cadre de votre équipe, mais l’acteur de menace peut s’y préparer”, explique Witt.
Par exemple, considérez l’employé de Help Desk qui recevra une demande de modification du mot de passe pour quelqu’un qui prétend que l’oncologue est dans le service d’urgence de l’hôpital. Cet employé de Help Desk doit être prudent car les oncologues ne sont généralement pas à ED.
“C’est le niveau d’éducation, au niveau de l’industrie, au niveau du rôle que nous essayons maintenant d’intégrer dans notre propre programme”, explique Witt. “Quelqu’un qui a travaillé pendant longtemps dans une organisation médicale peut être en mesure d’établir cette connexion, mais ce que quelqu’un plus nouveau avec l’aide-desque et l’hôpital? Cela doit faire partie de la formation.”
La formation en matière de sécurité basée sur les rôles devrait également inclure celles qui ont des personnalités publiques ou des profils visibles, comme un chirurgien orthopédiste remarquable ou un médecin qui effectue de fréquents performances médiatiques.
“Les mauvais acteurs ont constaté que toutes les adresses électroniques ou toutes les personnes au sein de l’organisation sont traitées de la même manière ou ont le même niveau de vulnérabilité”, ajoute Witt. “Il y a certaines personnes et certains départements qui ont une vulnérabilité exponentielle plus élevée dans ces organisations.”
