Осведомленность о безопасности является важной составляющей разработки комплексной и эффективной политики безопасности. Тем не менее, чтобы сделать его продуктивным, крайне важно сосредоточиться на разработке хорошо продуманного и подробного плана повышения осведомленности. Таким образом, рассматриваемый документ направлен на разработку многомерной структуры, направленной на повышение осведомленности о безопасности в медицинском учреждении. За исключением устранения трех наиболее распространенных рисков безопасности, он будет включать подходы к реализации плана, включая целевых участников и методы обеспечения соблюдения стандартов и измерения эффективности предлагаемой стратегии.
Начнем с того, что существует несколько общих рисков, с которыми сталкиваются медицинские учреждения. Важно отметить, что большинство из них не связаны со слабой средой контроля безопасности. Напротив, они неотделимы от неправомерных действий персонала и всех, кто работает с информационной системой организации, а также от их бездействия (Совет по стандартам безопасности, 2014). Тем не менее, доступ к конфиденциальной информации без соблюдения заранее определенной процедуры авторизации, раскрытие личной информации пациента и взлом информационной системы — это три основных риска, которые будут устранены в рамках плана. В то же время важно отметить, что все они связаны с целым рядом рискованных видов поведения.
Например, первый из них обычно связан с игнорированием необходимости использования приемлемых паролей, допустимости общедоступных учетных записей, раскрытием данных авторизации без получения одобрения высшего руководства и несообщением о неправомерных действиях или необычных сбоях в системе (Совет по стандартам безопасности, 2014). . Что касается второго риска, то он связан как с нарушениями безопасности, так и с некомпетентностью персонала, то есть с продажей персональных данных (Мишра, Леоне, Капуто и Калабризи, 2011). Наконец, третий риск связан с конкретными пробелами в среде контроля, а также с широким использованием мобильных устройств для доступа к информации о пациентах, которые можно легко взломать из-за их мобильности и доступности (Storbrauck, 2015).
Обоснованием этого плана является критичность потенциальных последствий потери данных и нарушения информационной системы. Некоторые из последствий включают репутационный ущерб, финансовые потери, связанные со штрафами и судебными исками против медицинского учреждения, влияние подобных случаев на дальнейшую карьеру сотрудников и т. д. (Совет по стандартам безопасности, 2014). Более того, это объясняется массовым внедрением информационных систем и необходимостью уметь ими правильно пользоваться.
Таким образом, этот план нацелен на всех, кто имеет доступ к информационной системе организации. Это означает, что в плане будут упомянуты все сотрудники (студенты, программисты, контрактники и новые сотрудники), управленческий и организационный персонал, деловые партнеры, поставщики программного обеспечения и даже клиенты, хотя объем обучения будет различаться в зависимости от занимаемых должностей и выполнил обязанности. При этом не менее 90 процентов всех сотрудников и деловых партнеров должны будут проходить это обучение хотя бы один раз в год. Указание именно на эту цифру можно объяснить тем, что не все сотрудники имеют доступ к информационной системе. Например, эксплуатационный персонал и поставщики исключены из структуры по причине, указанной выше.
В целом этот план направлен на устранение рискованного поведения или, по крайней мере, на смягчение потенциальных негативных последствий неправомерного поведения. Для достижения этой цели необходимо упомянуть три аспекта плана – информационный, рекомендательный и регулятивный. Информационный элемент имеет решающее значение для гарантии того, что все участники осведомлены об обучении и основных требованиях безопасности. Консультативная составляющая связана с обменом лучшими практиками информационной безопасности с целевой аудиторией. Наконец, регулятивный аспект имеет жизненно важное значение для обеспечения соблюдения всех требований и борьбы с неправомерным поведением (Роудс-Оусли, 2013).
Как упоминалось выше, объем обучения будет различаться у разных людей. Например, все сотрудники будут проинформированы об общих стратегиях безопасности, таких как важность защиты от вирусов, управление паролями, вход в систему и т. д. Та же информация будет доставлена пациентам и деловым партнерам. Организационный и управленческий персонал будет обучен проводить проверки и тренировки по безопасности, а также выполнять процедуры мониторинга (Hjort, 2013). Для соответствия нормативным требованиям будет проведено необходимое обучение и отмечено его завершение (Mishra et al., 2013; Rhodes-Ousley, 2013). Здесь важно отметить, что обучение будет проводиться в группах, а в качестве показателя завершения будет выбрано присутствие отдельного человека.
Кроме того, важно указать на регулирование базового поведения. Например, будут своевременно оцениваться три показателя поведения: соответствие паролей (включая частоту их смены), общие учетные записи (использование одной учетной записи на разных устройствах) и защита от вирусов. Таким образом, желательно придумывать приемлемые пароли и менять их раз в месяц, избегать повторного входа в систему на разных мобильных устройствах и обеспечивать адекватную защиту от вирусов. Чтобы измерить их, организационный и управленческий персонал будет проводить периодические тренировки по безопасности и постоянные проверки осведомленности сотрудников о безопасности (Роудс-Оусли, 2013).
Тем не менее регулирование – не единственный вариант измерения поведения. Чтобы достичь высочайшего уровня осведомленности о безопасности, важно реализовать несколько мотивационных приемов. В этом случае как положительная, так и отрицательная мотивация будут полезны, поскольку они по-разному влияют на сотрудников. Например, вознаграждение за правильное соблюдение всех процедур безопасности, а также за сообщение о любых неправомерных действиях будет стимулировать интерес сотрудников к новой политике и обучению. С другой стороны, финансовая ответственность за игнорирование правил и обучение будет способствовать общей вовлеченности и желанию соблюдать требования (Роудс-Оусли, 2013). Эти инструменты будут использоваться после своевременных проверок безопасности и пересматриваться каждый раз при получении новых результатов мониторинга. В целом план будет считаться эффективным, если все сотрудники пройдут обучение и учения по обеспечению безопасности, а проверка покажет, что по крайней мере 80 процентов сотрудников правильно используют методы обеспечения безопасности.
Ссылки
Хьорт, Б. (2013). Обучение конфиденциальности и безопасности (обновление 2013 г.). Веб.
Мишра С., Леоне Дж.Дж., Капуто DJ и Калабризи Р.Р. (2011). Осведомленность о безопасности информационных систем здравоохранения: взгляд на соответствие требованиям HIPAA. Проблемы информационных систем, 12 (1), 224–236.
Родс-Оусли, М. (2013). Информационная безопасность: Полный справочник (2-е изд.). Нью-Йорк, штат Нью-Йорк: МакГроу-Хилл.
Совет по стандартам безопасности. (2014). Информационное приложение: Передовой опыт реализации программы повышения осведомленности о безопасности. Веб.
Сторбраук, Л. (2015). Использование мобильных устройств: повышение осведомленности практикующих медсестер о конфиденциальности и безопасности. Веб.
