在一个由Health Technology Transformation举办的在线网络会议上,与会者认为无论是健康保险携带方案(HIPAA)还是HITECH 法案,都需要做风险评估,然而在实际操作中,很多企业涉及到医疗的举措要么没有风险评估,要么消极应对。
在这次讨论会上,来自伯克希尔健康系统的高级工程师Paul Doucette认为,安全问题应该首先从风险评估开始,在医疗行业,有三大防御措施针对数据安全和管理。这个风险评估过程可以让企业了解数据都存放在哪里、数据的形式是什么、那些数据是有价值的。随着便携式设备越来越多的应用于医疗行业,风险评估这项工作不再简单,但倘若忽视这个,是不可能确保安全的。
Doucette 介绍说:“我们首先需要做的就是确定那些数据存放的地方。我们的确不知道它们会在人们的笔记本电脑上或者手机上。一旦你允许BYOD,你会对那些数据如何涌现出来感到吃惊。”
Doucette 表示,伯克希尔健康系统一旦确认员工在哪些地方存储了数据,那么这数据将会加密保存在移动设备里。系统也允许安全人员通过查看系统日志追踪数据的移动。如果数据遗失或者被窃取,这些举措对之后配合法律调查非常重要。它可以非常准确的发现有多少个文件丢失,这些文件上的数据是什么等等,这些都可以让系统对损失进行评估。
McAfee营销技术部总监Kim Singletary称,即使在公司之间,对于风险评估也有很多误解。比如,很多人觉得应该每两年做一次风险评估,而一些人认为只需对电子数据做评估。
无论是健康保险携带方案还是HITECH 法案,都没有确定多久进行一次风险评估。他们表示一个公司只需要一次“现在时”的安全评估。大多数安全专家认为,风险评估每年需要实施一次或者公司内部调整涉及到公司安全环境时,比如在健康机构里,电子健康记录更新时也需要进行评估。还有一些人觉得风险评估是个持续的过程,没有明确的开始时间和结束时间,也不是一次性的工作。
Singletary 说:“HIPAA的重要一点就是以风险评估开始,我们从OCR(Office of Civil Rights)了解到,风险评估绝不仅仅是一次工作,它必然是一个过程”。她又补充道,一旦一家企业做了充分的风险评估,企业可以取长补短,制定出更加完善的政策和技术方案。这可能大大减少数据泄露的可能,要知道拯救数据泄露是一件多么昂贵的事情。联邦执法部门数据泄露的打击力度不断加强。医疗机构的数据泄露带来的成本巨大,比如需要对被影响的病人信用卡记录做监控,再花费巨资进行市场营销活动为医院挽回颜面。
当然,完成安全评估并不能一下子解决存在的安全漏洞。 提供IT咨询和云计算服务的DynTek公司销售总监Brian Zeno认为,安全风险评估可以帮助企业识别哪些漏洞是最危险的,同时使企业明白如何在现有的人力和物力情况下去解决这些致命漏洞。
Zeno将可用的安全控制措施分成四个方面:物理控制、设备和媒体控制、加密控制和销毁控制。他说大多数公司对物理设备接入系统都有较好的安全控制政策。很多设备制造商基于安全的考虑,会在设备里安装各种杀毒软件和防火墙软件。但这还不够,尤其是当特殊情况安全人员不使用这些软件的时候。
企业们对加密和销毁的控制还是很纠结。 Zeno说他曾经有过一些案例,这些公司就是不会加密任何数据,即使加密数据的过程很简单、成本很低。这个问题正在加剧,因为很多供应商并没有制定处置废旧电脑和设备的政策。而不当的销毁设备上加密的病人数据则会导致安全风险。
实行安全风险评估可以有效地确定这些控制政策是否运作正常。相反而言,没有采取评估则会供应商及监管者遇到麻烦。OCR表示将继续推进HIPAA和HITECH法案中涉及安全和隐私的条款,而那些没有筹备安全条例的企业有可能在实施行动中承担恶果。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
未来企业数据安全威胁及保护措施
Raluca Ada Popa是加州大学伯克利分校电子工程和计算机科学系助理教授,也是该学院RISELab的联 […]
-
安全、带宽、云计算:那些CIO必须不得不接受的IT现实
IT的快速发展在很多领域都超过了预期,IT技术人员开始感觉有些失控,例如,自以为很安全的系统,却轻松被黑;不管 […]
-
用脆弱性评估流程击败黑客
无论IT的风险是什么,查找、修复并保护组织的数据、应用、网络、系统等组件中常见或不常见的漏洞都有一套基本的最佳实践。本提示将就如何创建一个脆弱性评估流程提供建议。
-
联网设备的激增:物联网数据安全极其脆弱
联网的消费产品数量已经以十亿为单位计数,分析师预测,今年全球的数量将达到64亿。在这些不断增长的设备中,存在大量的商业潜力,但也有巨大的危机。