“Nenhum operador vai falar em uma sala de conferência e dizer ao CEO que ter que digitar uma senha é um problema.”
Um programa maduro de segurança cibernética estabeleceu liderança, formalizou políticas, procedimentos e processos. Promove a conscientização e está melhorando continuamente. Assim como o objetivo de um programa de segurança projetado para proteger os trabalhadores de lesões corporais, doenças ou mortes, um programa de segurança cibernética protege pessoas, ativos e dados de ameaças cibernéticas prejudiciais. Assim como os operadores sabem usar botas com biqueira de aço, capacetes e óculos de segurança no chão de fábrica, proteger sistemas e dados deve ser uma questão de hábito.
Infelizmente, muitas vezes tratamos a segurança cibernética como um problema autônomo, em vez de algo que precisa ser integrado ao fluxo de trabalho de um operador. Quando nosso pessoal já está sendo solicitado a fazer mais com menos e adicionamos outra camada com protocolos de segurança cibernética, criamos ineficiências e resistência a práticas seguras.
Os profissionais de segurança cibernética costumam dizer que a cultura da empresa precisa começar com a liderança. Isso é verdade, mas não é a liderança da empresa que fica olhando para a tela do sistema durante um turno de oito horas. Para realmente tornar a segurança cibernética parte da cultura da empresa, precisamos nos concentrar na experiência do usuário dos operadores no chão ao implementar ferramentas e controles de segurança. Se a ferramenta ou processo for muito difícil ou demorado para usar ou seguir, os operadores encontrarão métodos alternativos que podem criar mais riscos.
Reformule a perspectiva
As ferramentas e tecnologias de segurança cibernética geralmente são projetadas para atender a determinados requisitos de segurança ou executar uma função crítica. A forma como a ferramenta ou tecnologia deve ser usada por profissionais de segurança, funcionários etc. raramente é considerada.
Ao não considerar os fatores de usabilidade, a pessoa por trás do teclado pode criar um risco maior para uma organização ao contornar os controles se eles forem percebidos como dificultando suas tarefas ou impedindo-os de trabalhar com eficiência. Essa é uma ocorrência comum quando as proteções de segurança cibernética limitam o acesso ou as permissões de um usuário, o que pode afetar a capacidade de um operador de realizar seu trabalho.
Os funcionários representam tanto valor quanto riscos para uma organização. Ao focar na usabilidade, aumentamos o valor da organização ao permitir que os trabalhadores realizem seus trabalhos com segurança.
Precisamos lembrar que nosso povo também é nossa primeira e mais profunda linha de defesa. Em vez de restringi-los, precisamos encontrar maneiras de habilitá-los. Os usuários de ferramentas ou tecnologias de segurança cibernética devem ser uma parte ativa do processo ao projetar, selecionar e implementar soluções. Compreender como o desempenho do trabalho será afetado quando os controles forem implementados é fundamental para garantir que o novo controle funcione.
É importante entender o que os usuários precisam para fazer seu trabalho melhor, para que as medidas de segurança possam ser incorporadas ao fluxo de trabalho. Isso significa realmente entender os desafios que eles enfrentam ao longo de seus turnos.
Como exemplo, imaginemos que um operador de uma planta está no final de seu turno quando o sistema começa a acionar os alarmes. Com o alarme tocando, a operadora tenta fazer o login. As práticas de segurança exigem uma senha de 16 dígitos com caracteres especiais e, na pressa, nossa operadora digita a senha incorretamente. Então eles digitam errado novamente. Nesse ponto, ela está cansada, estressada porque o sistema está dando errado e ela não consegue fazer login para fazer seu trabalho.
Quando o operador é bloqueado do sistema por causa de várias senhas digitadas incorretamente, os esforços da organização para se proteger são contraproducentes. Sim, este é um exemplo extremo e simplificado, mas podemos ter certeza de que existem exemplos semelhantes no mundo real.
Use a tecnologia para viabilizar o processo
Nenhum operador vai falar em uma sala de conferência e dizer ao CEO que ter que digitar uma senha é um problema. No entanto, quando olhamos para situações do mundo real, vemos como a exigência de senhas fortes pode impedir que um operador trabalhe com eficiência.
Essa percepção pode permitir que a organização altere suas práticas de segurança para usar uma digitalização de impressão digital, PIN ou cartão inteligente para dar acesso ao usuário. Essas opções de autenticação são igualmente seguras, mas muito mais eficientes.
Também precisamos lembrar que a segurança cibernética vai além de senhas fortes e proteção contra links maliciosos em e-mails. A segurança cibernética é um processo de gerenciamento de riscos que ajuda a identificar – e mitigar – ameaças antes que elas se tornem problemas reais. Para fazer isso com sucesso, precisamos que toda a organização assuma a responsabilidade pela segurança cibernética, em vez de colocar o ônus sobre os operadores no chão.
Como outro exemplo, qualquer sistema de automação industrial pode ser programado para fornecer informações importantes de auto-solução de problemas e exibir logs de erros, o que permite que os técnicos entendam rapidamente se um erro é um ataque malicioso ou apenas uma peça defeituosa. A lógica sabe por que está ou não fazendo algo… por que isso não é comunicado ao operador também?
A maioria dos sistemas é programada como caixas pretas que exigem que alguém faça logon nos controladores e informe às operações por que algo não está funcionando. Todos os computadores e hardwares de rede possuem arquivos de status que podem ser facilmente expostos a uma tela HMI para que qualquer pessoa possa ver se há anomalias. Não precisamos de ferramentas caras baseadas em inteligência artificial; simplesmente precisamos desbloquear os dados que já existem em nossos sistemas de controle. A maioria das pessoas de operações não sabe que essas exibições podem existir porque o sistema não foi configurado para exibi-las.
Muitas vezes, a causa principal disso são os departamentos isolados nos quais há uma grande divisão entre os departamentos de TI e OT. Eles não estão trabalhando em conjunto para o bem da organização.
Os usuários são os principais interessados
É fundamental que permitamos que os departamentos se concentrem no que são bons. A TI é ótima em servidores, redes ethernet e bancos de dados. A OT deve aproveitar esse conhecimento e se livrar desse fardo para se concentrar em seus próprios desafios de melhoria operacional, manutenção e obsolescência de equipamentos, etc.
No entanto, quando se trata de segurança cibernética, devemos ser inclusivos; devemos ser bem orquestrados para equilibrar eficácia com mitigação de risco.
Não está claro para nós por que as pessoas mais afetadas pelas medidas de segurança cibernética raramente são incluídas como principais partes interessadas. O que sabemos é que, se você deseja um ambiente realmente bem gerenciado e seguro, os operadores devem estar à mesa desde o início. Descobrimos que a maioria dos operadores está ciente desses problemas simplesmente assistindo a notícias. Eles estão ansiosos para ajudar e querem ver suas organizações implementarem medidas de proteção. Eles devem estar à mesa para elaborar os planos mais eficazes.
Se se sabe que as nossas pessoas são o nosso maior risco, devemos incluí-las. Usabilidade considera quão bem um sistema ou processo pode ser usado ou adotado pelo usuário real. Se implementarmos a segurança cibernética de uma maneira que não leve em consideração a usabilidade, a adoção será lenta ou inexistente. Os usuários buscarão soluções alternativas que serão menos seguras e criarão mais riscos para as organizações.
Fonte: Smart industry
Notícias do setor industrial você encontra aqui no portal da indústria brasileira, Indústria S.A.
