Análise do risco em cibersegurança num Laboratório de Patologia Clínica de um Hospital em Portugal

Projetos de investigação
Unidades organizacionais
Fascículo
Resumo
Atualmente, a tecnologia permite realizar tarefas do dia-a-dia, tal como pagar contas ou consultar um médico, sem precisar de se deslocar. Devido ao avanço da tecnologia e das capacidades desta, o potencial de fragilidades associadas aumentou também e, portanto, a probabilidade de ciberataques. Como resultado, a necessidade de cibersegurança nasceu. Foram criados modelos de defesa, com níveis de criticidade bem definidos, com o objetivo de mitigar do risco e as suas consequências. Estes são baseados em medidas qualitativas de matrizes de risco definidos como alto, médio, baixo, e são considerados pela literatura mais recente como modelos de quantificação de risco pouco adequadas, uma vez que fornecem resultados altamente subjetivos. A alternativa à análise qualitativa do risco e a análise quantitativa do mesmo. A quantificação dos riscos permite aos líderes de gestão de risco em organizações, agregar, comparar, priorizar e decidir sustentadamente através da priorização de problemas garantindo que cada investimento é feito com base em parâmetros quantitativos. Quando o foco são serviços cujo objetivo é assegurar o bem-estar da sociedade, como ´e o caso do setor da saúde, a ciberresiliência e a cibersegurança tornam-se ainda mais pertinentes. Os ataques a organizações de saúde causam transtornos que vão desde o comprometimento da confidencialidade de dados pessoais até à impossibilidade de realização de consultas, cirurgias e exames médicos, o que representa um risco crítico para a salvaguarda dos direitos à saúde e privacidade dos pacientes A aplicação de métodos quantitativos na avaliação de risco nos serviços de saúde pode permitir uma melhor gestão financeira nos recursos afetos à cibersegurança e uma proteção mais eficaz da confidencialidade, integridade e disponibilidade da informação. Nesta dissertação foi aplicado um método quantitativo de avaliação do risco baseado na framework FAIR a um Serviço de Patologia Clínica de um Hospital de Portugal.
In the current days, technology makes it possible to perform everyday tasks, such as paying bills or consulting a doctor, without having to leave the premises. With the increase in technological functionalities, the potential for weaknesses associated with them and, consequently, the possibility of cyberattacks, has also increased, giving rise to the urgency of protecting victims and their assets, and the need for cybersecurity. Defense models were created, with well-defined levels of criticality, with the purpose of mitigating the risk and its consequences. These are based on qualitative measures of risk matrices defined as high, medium, low, and are considered by the most recent literature as inadequate risk quantification models, since they provide highly subjective results. The alternative to qualitative risk analysis is quantitative risk analysis. Quantifying risk enables risk management leaders in organizations to aggregate, compare, prioritize and decide sustainably by prioritizing problems ensuring that each investment is made based on quantitative parameters. When the focus is on services whose purpose is to ensure the well-being of society, as is the case in the healthcare sector, cyber resilience and cyber security become even more pertinent. Attacks on health organizations cause disruptions ranging from compromising the confidentiality of personal data to the impossibility of carrying out consultations, surgeries and medical examinations, which represents a critical risk for safeguarding the rights to health and privacy of patients. The application of quantitative methods in risk assessment in health services can allow a better financial management in the resources allocated to cybersecurity and a more effective protection of confidentiality, integrity, and availability of information. In this dissertation, a quantitative risk assessment method based on the FAIR framework was applied to a Clinical Pathology Service of a Portuguese hospital.
Descrição
Dissertação submetida à UNIVERSIDADE DE TRAS-OS-MONTES E ALTO DOURO para obtenção do grau de MESTRE
Palavras-chave
Cibersegurança , Patologia Clínica
Citação