医疗保健行业如何应对BYOD趋势？

在过去的几年中，已经有诸多关于移动设备和个人设备行业的爆炸性增长的讨论了。事实上，预计全球手机营收将达到价值约1.6万亿美元；但即使如此的规模，较之美国医疗保健行业约3万亿美元的预计增长来说，仍可谓是相形见绌。而这两大行业的并行发展，使得“自带办公设备”（BYOD）的趋势在整个医疗保健机构越来越流行。

然而，医疗保险和医疗补助服务中心（CMS）在去年出台的第二阶段合规性指南介绍中重点强调在医疗卫生机构限制使用电子通讯。BYOD趋势一直是医疗行业IT专业人士关注的焦点，他们不断地更新监管标准，以便能够而更好的保护病人的隐私。为了确保这些规则都得到充分的贯彻和执行，美国卫生及公共服务部的民权办公室（OCR）要进行比以往任何时候都更多的审查，这使得我们的患者和机构不禁要问：“医疗保健机构如何处理其员工携带自己的设备工作的问题？”

第二阶段指南正是在约有85％的医院都允许员工携带和使用个人设备工作的时候出台的。之前那些随意的做法确实会引起IT团队的头痛，因为他们再也不能确保患者的每一点敏感信息数据都是安全的。员工们可以用智能手机发送电子邮件，记录也可以被存储在iPad中——如果没有合适的管理程序或者技术不到位，这可能会产生非常严重的后果。

例如，在2012年9月，马萨诸塞州的眼耳机构因一台笔记本电脑被盗，导致病人数据泄露而被OCR罚款150万美元。仅仅一台设备被盗的罚金就如此高昂，想象一下每天有多少名医疗保健机构的员工依靠智能手机和笔记本电脑来存储和访问信息。单纯只是采用个人的笔记本电脑在医院的环境还比较好管理，但随着员工们不断的开始采用平板电脑和智能手机，这会使得我们的医疗保健机构突然增加了许多潜在的违约点。

既然如此，医疗保健机构要怎样才能确保如此大量私人设备的涌入却不会造成信息安全质量的下降呢？

承认并适应BYOD的发展大趋势

在这一点上，禁止使用私人设备已经完全不是一种备选方案了。大约有70％的IT专家和医生们都已经在使用移动设备来访问电子健康记录，而且，越来越多的医疗保健解决方案开始适用于无线和移动设备，我们可以期待未来BYOD将成为卫生服务项目的一部分。Gartner预测，到2014年，医疗保健行业的无线解决方案的年度市场将达17亿美元，而到2015年，将会有5亿人次使用健康保健的无线应用程序。

鉴于此，似乎在短短的几年之后，医疗保健行业实际上将以个人设备取代机构专有的基础设施。为了应对好这一发展趋势，在设计到遵守HIPPA相关规定时，医疗保健机构首先要承认这是一个重大的改变。上文所提到的第二阶段指南就是朝这个方向迈出的非常有意义的一步，但似乎大多数机构都还尚未跟进。由一家非盈利组织（ISC）进行的调查显示，许多医疗保健行业的IT专业人士觉得没有足够人力去应对相关的IT威胁，而有59％的受访者表示，对于隐私权的侵犯是他们最大的担心。

他们的担心是有道理的，因为可能仅仅是一台放错了地方的iPad就足以为我们敲响警钟。但这仅仅只是IT团队所要处理的相关问题的一个开始。医疗机构的敏感数据可以在移动设备上被远程访问吗？相关的数据信息能够自动同步到另一个平台，并确保所有关键的信息不会丢失吗？消费者也相当关注这些问题。普华永道健康研究所最近的一项研究表明：39％的消费者对于医护人员自带设备带到工作场所并存储敏感数据感到担忧。这告诉我们确保BYOD的安全不仅仅只是避免罚款和维护病人的数据安全的问题；更涉及到的个人隐私问题。

医疗保健机构需要采取什么样的措施呢？

乍一看，医疗保健行业似乎正卡在严格的规章制度和能带来便捷与协作且不可避免的BYOD大趋势之间不知所措。变化可能会很快发生，但这并不意味着IT部门都无能为力。如果他们遵循了如下这五个步骤，便能为未来几年的BYOD安全做好准备：

1、实现移动设备管理（MDM）。第一步是允许员工们使用他们私人的设备到医疗保健机构网络工作，这将有助于通过集中设备管理，降低监管风险。这样，可以确保设备是通过检查的，甚至是遵循了某些最细微的访问细节与管理规定。

2、采用移动文件管理（MFM）确保数据安全。一旦一家机构进行了员工设备的集中管理，就需要仔细的评估数据是如何被访问，存储和使用的。任何数据输入和输出设备都需要高度加密，IT部门需要能够控制文件是否可以删除、恢复、修改或共享，无论这些数据信息是存在哪里的或如何被使用。

3、检查安全问题。如果IT部门能够定期审核自己的网络，那么OCR的审核也不会出现什么状况，同时他们还可以确保消除任何潜在的威胁，并更新安全基础设施。

4、解决方案简单易用，用户友好。当您检修网络安全，涉及到访问某些员工需要的数据时，必然会有一些混乱。而通过举办培训班和使用直观和界面友好的工具，医疗保健机构可以让每位员工都能够从容应对相关的更改，并确保顺利过渡。

5、紧急预案策略，应对最坏情况。在培训员工如何适当和安全的使用私人设备访问机构网络时，IT部门也应该创建一套如何报告任何潜在的破坏进程的流程步骤。这样，IT部门能在个人数据暴露威胁产生时尽快做出回应。

随着私人设备和Web应用在医疗保健行业中的广泛应用，相关的机构提前制定好一套确保数据安全性的方案至关重要。否则，当威胁真的来临，不仅会失去患者的信任，某些过程中还可能会产生一笔昂贵的罚金。