11月/ 12月2019

嵌入IG优化网络安全
伊丽莎白·s·高尔著
郑重声明
第三十一卷第十页

不想让健康信息落入坏人之手?那么最好采用信息治理策略来管理数据。

2019年上半年,医疗保健组织遭受了216次数据泄露,影响了近1000万人。根据optimal Healthcare IT的数据,其中127起被归类为黑客攻击,62起被归类为未经授权的访问或披露事件。超过一半(163个)发生在提供者组织。

很久以前,数据泄露被归类为“如果而不是何时”的事件。因此,大多数医疗机构至少部署了一些网络安全保护措施。根据KLAS和医疗保健信息管理主管学院最近发布的一份白皮书,该白皮书检查了供应商组织与医疗行业网络安全实践(HICP)指南的一致程度,大多数组织通过部署电子邮件和端点保护系统,至少建立了针对内部和外部威胁的初始防御层。

HICP确定了医疗机构应该关注的10个总体网络安全实践,包括电子邮件和端点保护系统;网络、漏洞和访问管理;事件反应;数据保护和损失预防;医疗器械安全;以及网络安全政策。

在“网络安全政策”的保护伞下,许多人认为是优化网络安全战略的秘密武器:信息治理。

CISA、CISM、CRISC、CynergisTek战略创新执行副总裁大卫•芬恩表示:“我从信息安全中学到的一件事是,把东西锁起来很容易,但在医疗保健领域,坦率地说,在当今的任何行业,都不像把东西锁起来那么容易。”“谁拥有(这些信息)?谁访问它?它是如何分类的?你不能只让IT或安全人员来做这些决定,否则当他们需要的时候就没有人会拥有它。这就是为什么有一个治理机构和负责人如此重要的原因。”

Finn补充道:“数据治理非常重要。你必须正确处理安全问题。”

信息治理入门
根据AHIMA,信息治理是一种战略方法,用于最大化组织数据的价值,同时最小化与数据的创建、使用和交换相关的风险。它是一个组织范围的框架,用于管理信息的整个生命周期,并支持组织的战略、操作、法规、法律、风险和环境要求。

Dan Rode & Associates首席执行官、MBA、CHPS、FHFMA、FAHIMA表示,这对“任何网络安全系统的实施都至关重要”。“如果一个组织的网络安全计划要起作用,它必须是企业范围的,并适用于进出组织以及内部的所有数据和信息。然后必须解决这些固定和移动元素的安全风险。”

Rode更喜欢使用术语“企业信息治理”(EIG),以反映信息治理影响的不仅仅是临床数据和信息这一事实。他说,EIG项目应该识别组织内部的所有数据——纸质的和电子的——以及所有的交易路径,包括组织内部和外部的数据地图。

“一个利用EIG项目的组织应该建立一个EIG战略,来管理收购、修改等,随着组织的发展,在整个组织中整合技术。这为组织在未来几年整合企业范围的网络安全计划、政策和技术奠定了基础,”他补充说,“我应该注意到,EIG计划必须在计划中整合隐私和安全政策、程序和活动。”

为什么它很重要
信息治理在网络安全战略中扮演如此重要的角色的原因之一是,它允许组织确切地知道他们拥有什么数据资产,以及谁需要访问它们以及为什么需要访问它们。令人惊讶的是,许多组织对他们存储的数据类型(无论是管理数据还是临床数据)都没有这种程度的理解。

“因此,他们无法为自己的数据设计出适当的保护策略,”infcycle Group的创始人和所有者乔·庞德(Joe Ponder)说。“许多组织提供了一种一刀切的信息安全方法,而没有考虑到组织的皇冠上的宝石在哪里,以及在这些领域需要如何以不同的方式进行安全管理。”

当不可避免的数据泄露在这些组织中发生时,找出哪些数据被泄露的竞赛就开始了。庞德说:“这就是数据治理中数据映射总和的用武之地。“一个全面的IT战略必须对这些数据资产的位置有一个坚实的理解,这样你才能更快地回答这个问题,并为组织可能面临的未来风险做好准备。”

良好定义的信息治理框架也有利于参与任何需要交换数据的活动的医疗保健组织。芬恩说,当医疗保健组织参与诸如人口健康和健康的社会决定因素等必须在整个医疗范围内解决的倡议时,它还可以支持数据量的大量增加。

他说,与这些类型的计划相关的数据越来越复杂,这促使人们对治理重新产生了兴趣。

芬恩说:“这不仅仅是我们内部产生的数据,还有患者、保险公司等外部组织和转诊医生产生的数据。”“我们往往会忘记所有这些数据来源,因此,随着我们看到更多的法规出台和更多的违规行为,数据治理在隐私方面将变得更加重要。数据治理可以解决所有这些问题。”

除了数据源和所有权之外,强大的治理还解决了控制和监视数据使用以及技术组件(包括访问控制的安装)的需求。罗德说,这些元素在阻止未经授权的访问方面特别有用。

治理平台可以深入到可以通过特定系统(如电子邮件)发布哪些数据或信息的级别。它还包括定期审计数据和信息使用的流程,这将提醒组织注意与网络安全相关的当前或潜在威胁,如何避免这些威胁,以及报告可疑活动的流程。

集成管理
创建信息治理框架并将其集成到网络安全战略中是一个复杂的过程,需要最高层的支持以及拥有或访问数据的每个部门的合作。芬恩说,这也需要在企业层面上进行,由那些“在高层上了解谁需要什么,以及如何根据他们所扮演的角色来获得这些需求”的人来完成。

最好的起点是看看那些拥有要管理的数据的人,包括财务、人力资源、AP/AR、医疗和临床研究。一点侦查工作可能是必要的。“关键是要找到那些关键的利益相关者。也许他们没有一直留在委员会,或者你有工作小组,”芬恩说。

Rode建议加入HIM,这将带来临床和收入周期数据、HIPAA和其他与数据和信息相关的联邦和州法规的重要知识。不要忘记邀请IT人员,他们将拥有数据地图和有关数据和信息的各种功能所涉及的所有系统的知识。

法律、风险管理、安全、质量保证、遵从性、隐私和安全人员应该构成核心团队。beplay最新备用网站

“然后,我们需要有不同的团队来处理组织的每个部门的数据和信息,”罗德说。“随着核心团队将EIG项目纳入整个项目,各个部门的个人需要接受培训,以解决与该部门有关的数据、信息、隐私和安全的各个方面。正如你所看到的,这是一项重大任务。”

Ponder建议至少将开发过程的一部分外包给具有专业知识的人,以确定信息治理目标,并以允许组织开始更快地实现价值的方式呈现它们。顾问可以帮助定义和管理范围,同时为项目的成功做好准备——如果一次尝试所有这些,这将是极具挑战性的。

此外,咨询师可以以公正的眼光看待问题,不会被之前存在的关系所阻碍,这种关系可能会让内部处理问题时感到不舒服。

“人们不愿意指责别人,告诉别人他们没有以一种一致或符合政策的方式管理数据。外界的观点也可以给它一个全新的视角,”庞德说。“这也是一堆需要解决的工作。如果您没有以一种干净利落的方法开始,以快速获得ROI(投资回报),那么它可能是一个危险的地方,因为信息治理可能会造成许多范围蔓延,并很快变得难以管理。

“我总是建议关注最敏感的领域,或者可能对风险状况贡献最大的领域。从这里开始。通常,当涉及到信息治理时,人们试图煮沸海洋,但这是不可行的。承认这些小小的胜利,然后继续前进。”

流体平台
正如网络威胁在不断发展一样,医疗机构的网络安全战略和嵌入其中的信息治理框架也必须不断发展。它们是动态的项目,不仅解决当今的问题,而且是持续不断的,因为数据和信息总是在形成和使用。

在问题和威胁不断变化的同时,新的数据类型及其使用方式也在不断被发现。因此,开发对信息治理的更多理解的需求正在增长。

“组织必须控制或‘管理’所有正在创建的新数据或信息。这意味着技术系统的实现也必须在整个企业中得到控制,因为数据和信息在整个组织中来回流动,进出也一样,”Rode说。“必须考虑使用智能手机等新技术。我们如何捕获正在创建的所有数据或信息?我们如何确保关键或私人信息不会通过智能手机或u盘离开公司?这些是信息治理必须解决的“正在进行的问题”。

- - - - - -Elizabeth S. Goar是威斯康星州的一名自由撰稿人。