醫療保健企業的BYOD趨勢

在過去的幾年中，已經有諸多關于移動設備和個人設備行業的爆炸性增長的討論了。事實上，預計全球手機營收將達到價值約1.6萬億美元；但即使如此的規模，較之美國醫療保健行業約3萬億美元的預計增長來說，仍可謂是相形見絀。而這兩大行業的并行發展，使得“自帶辦公設備”（BYOD）的趨勢在整個醫療保健機構越來越流行。

然而，醫療保險和醫療補助服務中心（CMS）在去年出臺的第二階段合規性指南介紹中重點強調在醫療衛生機構限制使用電子通訊 。BYOD趨勢一直是醫療行業IT專業人士關注的焦點，他們不斷地更新監管標準，以便能夠而更好的保護病人的隱私。為了確保這些規則都得到充分的貫徹和執行，美國衛生及公共服務部的民權辦公室（OCR）要進行比以往任何時候都更多的審查，這使得我們的患者和機構不禁要問：“醫療保健機構如何處理其員工攜帶自己的設備工作的問題？”

第二階段指南正是在約有85%的醫院都允許員工攜帶和使用個人設備工作的時候出臺的。之前那些隨意的做法確實會引起IT團隊的頭痛，因為他們再也不能確保患者的每一點敏感信息數據都是安全的。員工們可以用智能手機發送電子郵件，記錄也可以被存儲在iPad 中——如果沒有合適的管理程序或者技術不到位，這可能會產生非常嚴重的后果。

例如，在2012年9月，馬薩諸塞州的眼耳機構因一臺筆記本電腦被盜，導致病人數據泄露而被OCR罰款150萬美元。僅僅一臺設備被盜的罰金就如此高昂，想象一下每天有多少名醫療保健機構的員工依靠智能手機和筆記本電腦來存儲和訪問信息。單純只是采用個人的筆記本電腦在醫院的環境還比較好管理，但隨著員工們不斷的開始采用平板電腦和智能手機，這會使得我們的醫療保健機構突然增加了許多潛在的違約點。

既然如此，醫療保健機構要怎樣才能確保如此大量私人設備的涌入卻不會造成信息安全質量的下降呢？

承認并適應BYOD的發展大趨勢

在這一點上，禁止使用私人設備已經完全不是一種備選方案了。大約有70%的IT專家和醫生們都已經在使用移動設備來訪問電子健康記錄，而且，越來越多的醫療保健解決方案開始適用于無線和移動設備，我們可以期待未來BYOD將成為衛生服務項目的一部分。Gartner預測，到2014年，醫療保健行業的無線解決方案的年度市場將達17億美元，而到2015年，將會有5億人次使用健康保健的無線應用程序。

鑒于此，似乎在短短的幾年之后，醫療保健行業實際上將以個人設備取代機構專有的基礎設施。為了應對好這一發展趨勢，在設計到遵守HIPPA相關規定時，醫療保健機構首先要承認這是一個重大的改變。上文所提到的第二階段指南就是朝這個方向邁出的非常有意義的一步，但似乎大多數機構都還尚未跟進。由一家非盈利組織（ISC）進行的調查顯示，許多醫療保健行業的IT專業人士覺得沒有足夠人力去應對相關的IT威脅，而有59%的受訪者表示，對于隱私權的侵犯是他們最大的擔心。

他們的擔心是有道理的，因為可能僅僅是一臺放錯了地方的iPad就足以為我們敲響警鐘。但這僅僅只是IT團隊所要處理的相關問題的一個開始。醫療機構的敏感數據可以在移動設備上被遠程訪問嗎？相關的數據信息能夠自動同步到另一個平臺，并確保所有關鍵的信息不會丟失嗎？消費者也相當關注這些問題。普華永道健康研究所最近的一項研究表明：39%的消費者對于醫護人員自帶設備帶到工作場所并存儲敏感數據感到擔憂。這告訴我們確保BYOD的安全不僅僅只是避免罰款和維護病人的數據安全的問題；更涉及到的個人隱私問題。

醫療保健機構需要采取什么樣的措施呢？

乍一看，醫療保健行業似乎正卡在嚴格的規章制度和能帶來便捷與協作且不可避免的BYOD大趨勢之間不知所措。變化可能會很快發生，但這并不意味著IT部門都無能為力。如果他們遵循了如下這五個步驟，便能為未來幾年的BYOD安全做好準備：

1、實現移動設備管理（MDM）。第一步是允許員工們使用他們私人的設備到醫療保健機構網絡工作，這將有助于通過集中設備管理，降低監管風險。這樣，可以確保設備是通過檢查的，甚至是遵循了某些最細微的訪問細節與管理規定。

2、采用移動文件管理（MFM）確保數據安全。一旦一家機構進行了員工設備的集中管理，就需要仔細的評估數據是如何被訪問，存儲和使用的。任何數據輸入和輸出設備都需要高度加密，IT部門需要能夠控制文件是否可以刪除、恢復、修改或共享，無論這些數據信息是存在哪里的或如何被使用。

3、檢查安全問題。如果IT部門能夠定期審核自己的網絡，那么OCR的審核也不會出現什么狀況，同時他們還可以確保消除任何潛在的威脅，并更新安全基礎設施。

4、解決方案簡單易用，用戶友好。當您檢修網絡安全，涉及到訪問某些員工需要的數據時，必然會有一些混亂。而通過舉辦培訓班和使用直觀和界面友好的工具，醫療保健機構可以讓每位員工都能夠從容應對相關的更改，并確保順利過渡。

5、緊急預案策略，應對最壞情況。在培訓員工如何適當和安全的使用私人設備訪問機構網絡時，IT部門也應該創建一套如何報告任何潛在的破壞進程的流程步驟。這樣，IT部門能在個人數據暴露威脅產生時盡快做出回應。

隨著私人設備和Web應用在醫療保健行業中的廣泛應用，相關的機構提前制定好一套確保數據安全性的方案至關重要。否則，當威脅真的來臨，不僅會失去患者的信任，某些過程中還可能會產生一筆昂貴的罰金。