Bảo mật RFID cho bệnh viện: 6 cách để (hợp lý) triển khai an toàn

Chia sẻ

                                      

Bây giờ chúng ta đã tổng hợp tất cả các bước và quy trình làm cơ sở để giải quyết việc đưa RFID vào một tổ chức, chúng ta cần thảo luận về sáu bước để triển khai an toàn hợp lý và những lợi ích mà nó mang lại. Các bước này chủ yếu là phi kỹ thuật, tuy nhiên, chúng giải quyết sự thay đổi đột phá mà RFID mang lại – và có thể được sử dụng làm khuôn mẫu cho các công nghệ mới nổi khác, chẳng hạn như học máy, sẽ xâm nhập vào môi trường của chúng ta.

Các trường hợp sử dụng cho RFID
Bước đầu tiên là các ca sử dụng. Khi bạn triển khai RFID, hãy phát triển các trường hợp sử dụng được lập thành văn bản cho vòng đời dữ liệu hoàn chỉnh của thông tin được thu thập thông qua phương pháp đó. Lý do tại sao bạn muốn làm như vậy là để đảm bảo rằng bạn chỉ thu thập dữ liệu cần thiết tối thiểu và các quy trình của bạn giải quyết năm lĩnh vực quy trình chính mà chúng tôi đã thảo luận trong bài viết trước (Quản lý tài sản, Thiết kế hệ thống, Quản lý hệ thống, Quản lý lỗ hổng và Vật lý Bảo vệ). Đối với mỗi trường hợp sử dụng này, bạn muốn phát triển một kế hoạch bảo mật để giải quyết các quy trình chính này. Bảo mật mạng và vật lý là những yếu tố bắt buộc để bảo vệ dữ liệu này.

Thực hiện các chính sách và thủ tục
Tiếp theo, chúng ta cần thảo luận về các chính sách và thủ tục. Đây là những đường ray hướng dẫn phi kỹ thuật để triển khai các hệ thống tuân theo các quy tắc và hoạt động tốt. Bạn cần các chính sách cho quy trình tiếp nhận để quản lý quy trình mà hệ thống thông tin mới đi từ ý tưởng đến triển khai và đưa ra lộ trình đó cho cộng đồng người dùng của bạn để họ hiểu các quy tắc. Theo kinh nghiệm của chúng tôi, rất nhiều Shadow IT đến từ các thành viên trong nhóm không hiểu các quy trình, kỳ vọng hoặc các bước cần thiết để thực hiện một hệ thống.

Bạn cũng cần có các chính sách bao gồm quy trình quản trị và phê duyệt đối với các hệ thống cũng như các kỳ vọng của chúng. Điều này gắn liền với việc tiếp nhận và thảo luận về cách hệ thống được đánh giá về mức độ phù hợp của tổ chức và ai là người đưa ra các quyết định đó. Các chính sách bảo trì bao gồm những nhiệm vụ cần thiết để duy trì một hệ thống và ai được mong đợi sẽ thực hiện chúng. Những điều này cần giống nhau đối với các ứng dụng trong đám mây, do doanh nghiệp quản lý hoặc do bộ phận CNTT của bạn quản lý. Chính sách Bảo mật và Quản lý Truy cập xác định cách bạn cung cấp và hủy cung cấp quyền truy cập vào các hệ thống và điều này được thực hiện theo các tham số nào. Một lần nữa, những điều này cần phải giống nhau cho tất cả các ứng dụng, bất kể ai quản lý chúng.

Cuối cùng, và quan trọng nhất, bạn cần có một chính sách quản lý và xử lý tài sản tốt. Hệ thống như RFID chủ yếu được sử dụng để tăng cường quản lý tài sản có ích lợi gì nếu bạn không thể quản lý chính xác các tài sản được sử dụng để hỗ trợ nó? Điều này cần phải bằng ngôn ngữ rõ ràng và ghi lại các quy trình mà nội dung được giới thiệu, duy trì, ghi nhật ký, kiểm toán và cuối cùng là ngừng hoạt động.

Lập ngân sách cho hệ thống RFID
Trong khi các chính sách và thủ tục là quan trọng, chúng sẽ không tốt cho bạn nếu không có ngân sách, bước thứ ba. Khi bạn đặt một hệ thống RFID, bạn cần phải bố trí ngân sách cho nhân viên để đảm bảo và giám sát việc thực hiện. Một thất bại mà chúng tôi đã thấy với nhiều triển khai là các nhà cung cấp tuyên bố rằng không cần phải có sự Tham gia của CNTT. Đây là điều xa nhất so với sự thật mà bạn có thể nhận được. Thay vào đó, CNTT luôn cần được tham gia để liên tục cải thiện tính bảo mật và khả năng phục hồi trên tất cả các hệ thống.

Họ cần nhân viên để giải quyết các lỗ hổng và liên tục theo dõi các hành vi bất thường. Với RFID, bạn đang nói về các hệ thống được sử dụng để theo dõi tài sản sẽ kết thúc trên bảng cân đối kế toán hoặc báo cáo thu nhập. Bạn cần có ngân sách để đảm bảo rằng các hệ thống này luôn được giám sát, bảo vệ và bảo mật. Chúng cần được chăm sóc và cho ăn.

Tính minh bạch và kế hoạch giao tiếp với người dùng
Kế hoạch giao tiếp với người dùng của bạn là bước thứ tư. Mọi công nghệ mới sẽ có những lo ngại về quyền riêng tư và bảo mật. RFID, do báo chí tiêu cực và các hàm ý khác, không phải là ngoại lệ đối với quy tắc. Bạn cần phải tập trung vào các vấn đề bằng cách cởi mở về những gì bạn đang làm và tại sao. Điều này bao gồm việc giải quyết trực tiếp các mối quan tâm của khách hàng. Thảo luận về quyền riêng tư và các biện pháp bảo mật mà bạn đang sử dụng để giải quyết chúng. Thảo luận về các phương pháp bảo mật vật lý. Nói về các yếu tố dữ liệu bạn đang thu thập. Thể hiện cách bạn đang cách ly chúng khỏi dữ liệu bệnh nhân hoặc dữ liệu nhạy cảm và bảo vệ tổ chức. Đây là một trường hợp khi “vì bảo mật” sẽ không hoạt động. Chúng tôi cần giải quyết trực tiếp các mối quan tâm của mọi người.

Đối với kế hoạch của bạn, hãy đảm bảo có sự tham gia của nhân viên y tế. Tìm một nhà vô địch thầy thuốc. Thảo luận về cách RFID, được áp dụng với một kế hoạch bảo mật phù hợp, có thể tác động tích cực đến quy trình làm việc như thế nào. Thảo luận về các quy trình tiếp nhận và quản trị, đồng thời chỉ ra cách họ giải quyết các vấn đề an ninh khi bắt đầu. Giải quyết các mối quan tâm về an toàn bệnh nhân của họ.

Đối với bệnh nhân, hãy cởi mở và trao đổi với họ về những gì bạn đang làm. Các kế hoạch đào tạo của bạn cho nhân viên nên bao gồm phần quyền riêng tư và bảo mật giải thích các quy trình và dữ liệu cần thiết tối thiểu. Giải thích cách bạn đang bảo vệ thông tin bệnh nhân và hồ sơ y tế cũng như cách chúng sẽ không khả dụng qua RFID. Giải thích rằng bạn cũng đã thực hiện nhiều cấp độ của các biện pháp đối phó. Đảm bảo rằng các biểu mẫu chấp thuận bao gồm tiết lộ quét RFID khi cần thiết. Đảm bảo sử dụng ngôn ngữ rõ ràng, dễ hiểu và dễ hiểu.

Đầu tư vào đào tạo nhân viên
Nhân sự và đào tạo, bước số năm, là cực kỳ quan trọng. Tất cả nhân viên sử dụng các hệ thống này sẽ cần được đào tạo về quyền riêng tư và bảo mật rất tốt. Họ cũng sẽ cần được đào tạo toàn diện về cách sử dụng hệ thống. Lý do cho điều này là vì chúng tôi muốn tránh các giải pháp thay thế có thể ảnh hưởng đến bảo mật hệ thống hoặc dẫn đến vi phạm dữ liệu. Chúng tôi cần đào tạo để xây dựng sự gắn bó và mối quan hệ xung quanh việc cải tiến tổ chức. Bạn không thể quá đặt nặng vấn đề bảo mật hoặc sử dụng phương pháp tiếp cận bằng lửa và diêm sinh. Chiến thuật tốt nhất là coi bảo mật như một vấn đề kinh doanh và giải quyết việc cải thiện bảo mật như một phần của việc giải quyết các vấn đề về quy trình làm việc. Việc đào tạo nhân viên của bạn nên tuân theo kế hoạch giao tiếp với bệnh nhân và rõ ràng, sử dụng ngôn ngữ đơn giản, dễ hiểu và dễ khẳng định.

Giám sát hệ thống và dữ liệu RFID
Bước quan trọng cuối cùng, thứ sáu, là giám sát. Chúng tôi cần nhân viên giám sát các hệ thống này xử lý dữ liệu RFID. Để thu hút những người muốn làm việc với các công nghệ mới nổi và đổi mới, bạn cần có các chương trình đào tạo, phát triển sự nghiệp, gắn kết nhân viên và đào tạo xuất sắc. Họ cần thực hiện công việc của mình như một phần của bản mô tả công việc đã xác định, không phải là một thứ gì đó khác. Họ cần những báo cáo và dữ liệu tốt có thể cho thấy những điểm bất thường tiềm ẩn hoặc được trao quyền để tạo ra những báo cáo và dữ liệu của riêng họ. Nếu có bất cứ điều gì gần chạm đến dữ liệu bệnh nhân, đây là một yêu cầu. Bạn cũng cần có một cơ cấu tổ chức hỗ trợ tốt để báo cáo các lỗ hổng và vấn đề cho các nhóm phù hợp để giải quyết.

An ninh vật lý cũng rất quan trọng. Giống như máy thẻ tín dụng, luôn luôn kiểm tra và kiểm tra đầu đọc RFID của bạn để xem có giả mạo hay không. Có giám sát tốt, thiết kế vật lý và bảo vệ để giám sát các khu vực lưu trữ của bạn. Quan trọng nhất, biết phải gọi cho ai nếu bạn gặp vấn đề hoặc trường hợp, và thông báo rộng rãi vấn đề này. Điều này bao gồm việc thực thi pháp luật và an ninh địa phương.

Bây giờ chúng ta đã trải qua các bước này, chúng ta có thể xem xét việc triển khai đúng cách công nghệ này sẽ cho phép những gì. Vị trí và kiểm kê tài sản theo thời gian thực trở thành hiện thực. Có thể kiểm tra thiết bị và vật tư phẫu thuật để khử trùng hoặc bảo trì. Theo dõi các mặt hàng có giá trị cao như xe lăn, xe đẩy, giường, máy trạm di động hoặc các mặt hàng khác liên quan đến bệnh nhân trở nên dễ dàng hơn. Quan trọng nhất, điều này có thể giảm thất lạc và tăng hiệu quả, với ít công việc duy trì hàng tồn kho và vị trí của thiết bị hơn. Cũng có khả năng bao gồm các thiết bị nhỏ hơn, chẳng hạn như ổ đĩa flash, trong tương lai gần.

Quan trọng nhất, việc thực hiện có cấu trúc nghiêm ngặt có thể giúp bạn tuân thủ Quy tắc bảo mật HIPAA bằng cách cung cấp cho bạn một kế hoạch bảo mật có thể chứng minh được. Nó cũng có thể hỗ trợ các tiêu chuẩn bảo mật và quyền riêng tư hiện hành khác như GDPR. Cách tiếp cận này giúp loại bỏ sự cường điệu, tập trung vào các nhiệm vụ đã xác định để hoàn thành và giải quyết vấn đề bảo mật và quyền riêng tư chuyên sâu bằng các quy trình chứ không phải các giải pháp điểm.

Mục tiêu của loạt bài viết này là cung cấp một khung chương trình có cấu trúc mà bạn có thể sử dụng trong tổ chức của mình cho không chỉ RFID mà còn các công nghệ mới nổi khác để tránh phải phát minh lại bánh xe mỗi khi một công nghệ đột phá mới xuất hiện và có thể thích ứng nhanh chóng.

Tin tức liên quan

Liên hệ với chúng tôi