认真对待医疗保健IT要求文化变革

医疗保健正在谨慎地转向云计算,虚拟化,BYOD和其他IT创新。并且有谨慎的充分理由。在组织的IT领导者采取有意义的步骤来改变通常被认为缺乏隐私的隐私和安全性文化之前,患者信息丢失的风险仍然很高且代价很高。

波士顿咨询公司首席执行官麦克麦克兰(Mac McMillan)表示,电子个人健康信息的使用日渐广泛,极大地改变了医疗行业的状况,但ePHI有一个缺点 CynergisTek。由于患者数据现在是电子数据,因此安全性已成为IT部门的唯一权限。

McMillan补充说,由于许多原因,这使得许多医疗保健组织难以建立隐私和安全性文化:

  • 尽管每个机构都存在安全问题,但很少在医院董事会会议上讨论安全问题。
  • 首席信息安全官(CISO)通常被埋在组织结构图中,离首席执行官几步之遥。
  • 不到50%的医疗保健IT安全专业人员拥有编制预算所需的凭据或经验。
  • 专门用于安全性的IT预算在医疗保健组织中通常不到1%,而在其他受管制行业中,这一比例为6%至12%。

McMillan说,最重要的是,医疗保健的安全文化还有很多不足之处,因为领导者并不认真对待安全性,而员工只是遵循这个榜样。

医疗保健领域的BYOD必须平衡生产力和移动安全性

麦克米兰在上周的演讲 隐私& Security Forum。该活动重点关注了医疗CIO所关注的几个现有和新兴领域。

移动安全在这些挑战中排名很高。医师和管理人员都容易接受“自带设备”(BYOD)现象,因为他们的个人设备很容易胜过许多医院中传统的有线客户端。尽管机构的回应各不相同,但大多数CIO承认,通过提高效率,可以实现BYOD投资的良好回报,而这种提高就像医生在自助餐厅排队等候时回答电子邮件那样简单。

缅因州 富兰克林社区卫生网络首席信息官拉尔夫·约翰逊(Ralph Johnson)表示,例如,BYOD在很大程度上接受了BYOD,因为它负担不起为员工购买移动设备的费用。

该机构的BYOD策略涵盖了可以登录访客网络的任何设备,该网络与候诊室中的人员使用的网络不同,但是限制了用户使用电子邮件,日历和门户网站应用程序。约翰逊说,用户必须授予IT远程擦除和加密权限,并且不能在本地存储ePHI。

加州中部儿童医院 副总裁兼首席信息官柯克·劳森(CIO Kirk Lawson)表示,BYOD的理念与此类似:“如果您可以下载客户端,那么您就可以使用BYOD。”尽管其向BYOD的转变与2011年先进的临床系统部署结合在一起。为了实现服务器虚拟化;如今,该设施已实现了85%的虚拟化,并避免了构建另一个数据中心的需求。

实例探究: 哈达萨大学医院实施BYOD移动战略iPad管理,尔湾医疗中心平板电脑的安全至关重要

用户可以通过其设备上的虚拟桌面访问新的临床系统。这降低了本地ePHI存储的风险。电子邮件中也不允许使用ePHI;实际上,儿童医院使用电子邮件过滤器来检测是否可能不经意间共享了个人健康信息,Lawson说。他补充说,IT支持仅限于连接。用户负责对其设备进行故障排除

永久皇帝同时,技术风险管理执行总监Jason Zellmer表示,不允许使用外部设备。该网络主要为加利福尼亚州的900万人服务,为员工提供了Apple设备。

特征: iPad改变医疗保健的12种方式

当前的政策对待笔记本电脑之类的移动设备,在将这些软件和安全控件提供给Kaiser员工之前,它们已经装有软件和安全控件。话虽如此,Zellmer并不认为移动战略是长期的。缺乏强大的虚拟化技术是Kaiser目前无法回头的原因。

缺乏业务合作伙伴协议阻碍了云的采用

缺乏技术并不能阻止医疗保健组织采用基于云的系统。相反,两名CISO表示,云服务提供商不愿意遵守医疗保健行业所需的安全和隐私标准。

1996年的《健康保险携带和责任法案》要求该法案所涵盖的实体与任何以纸质或电子形式处理PHI的组织签署HIPAA商业联系协议(BAA)。亚当·格林(Adam Greene),合伙人 戴维斯·赖特·特雷马因律师事务所 兼董事长 HIMSS云安全工作组,联邦法规明确要求软件即服务公司签署BAA,但就基础设施和平台即服务供应商而言,则要少得多。

合作伙伴医疗保健 CISO詹宁斯·阿斯克(Jennings Aske)表示,它曾经是首选的云存储供应商,但由于它不会签署BAA,因此该供应商转到了其他地方。该过程,再加上与云服务提供商的其他往来,使Aske知道,在CSP方面,透明度非常重要。

Aske说,医疗保健CIO需要知道CSP定期执行渗透,应用程序和PIN测试。他说:“他们想告诉我何时发生违规行为,但我想(我自己)做出决定。”

分析: 云中的安全性完全与可见性和控制有关

案例分析: 医生命令:云端医疗

达伦·莱西(Darren Lacey),CISO和 约翰·霍普金斯大学约翰霍普金斯大学医学,同意。他在审查云应用程序时的目标是检查其基础结构并研究其如何处理密钥管理。他说,两者都不容易找到,尽管他已经与同意将ePHI放在加密的,受密钥保护的存储设备上的供应商签订了合同。

两家CISO均表示,他们使用由云服务提供商建立的多种标准评估云服务提供商。 云安全联盟 和美国国家标准技术研究院 NIST特别出版物800-53 (PDF)。格林还提出了一个简单的标准:“如果他们拼错了HIPAA,那可能是一个警告信号。”

风险评估意味着表明您了解和关心

Greene说,围绕云安全性的不确定性意味着必须在医疗保健组织的企业风险分析中解决云风险。

鉴于风险分析(评估威胁和漏洞)以及风险评估(评估安全控制),对医疗保健CIO的重要性日益增加。 民权办公室HIPAA审核 试点计划始于2011年,随着该机构强调ePHI安全和 防止数据泄露.

如何: 强大的风险评估确保您的未来

风险评估归结为确保每个人都了解管理控制,例如管理纸质记录和电子设备以及处理有关可能发生的事件的通知,该公司的企业数据安全官Sharon Finney说 复临保健系统。她补充说,调查部门或业务经理了解常见的安全风险,并根据其应对方式制定补救措施。

Finney说,从某种意义上说,风险评估与灾难恢复计划类似,您需要一支成熟的技术和合规联络员团队,他们知道该怎么做。文档也很重要;它向审计人员表明您认真对待风险,并且一旦收到审计函便可以改善该过程,因为审计过程“在时间和资源上并不重要”。

但是,重要的是要记住,尽管风险评估是一次性过程,但评估风险却是日常工作,芬尼说。她说,此外,访问风险的关键是要知道是由人员,流程和技术造成风险的,尤其是驱动人员及其所使用的业务流程的技术交汇点。

医护人员必须认真对待安全和隐私

麦克米伦说,认真冒险意味着建立一种不怕挑战传统思维方式的隐私和安全文化。

采取“需要知道”的政策。麦克米伦(McMillan)在政府情报和安全部门工作了二十多年,他说“需要知道”不是信任的问题,而是保护信息的访问。隔壁办公室的员工有些事情是不需要知道的,因此他也不知道,因此组织的磨损情况也不差。按照这些思路,麦克米兰说,没有理由让首席执行官(或首席信息官)亲自进入数据中心。如果他是,那就有些可疑了。

麦克米兰认为,诸如2009年的HITECH法案之类的其他立法并未加强答案,HIPAA得到了加强。知道隐私和安全很重要将对组织有所作为。他说,知道纠正数据泄露(不包括可能的政府罚款)可能会使组织损失300万美元(将更多的钱用于改善患者护理),足以使领导层认真对待隐私和安全性。

但是,对于太多的医疗机构而言,只有在发生违规行为或被处以罚款之后,这一点才变得重要。麦克米兰说:“不幸的是,情况确实如此。” “我们如何改变这种心态?”

布莱恩·伊斯特伍德 是CIO.com的高级编辑。您可以在Twitter上与他联系 @Brian_Eastwood 或通过 电子邮件。在Twitter上关注CIO.com的所有内容 @CIOonline, 上 脸书,然后 Google +.

版权© 2012 IDG通讯,Inc.