10 กลยุทธ์เพื่อปกป้องข้อมูลส่วนตัวของผู้ป่วยสำหรับโรงพยาบาล
นอกจากสถาบันทางการเงินแล้ว ในยุคที่เทคโนโลยีก้าวกระโดดอย่างรวดเร็วเช่นในปัจจุบัน
“โรงพยาบาล” ก็จัดเป็นสถาบันอีกประเภทหนึ่งที่ตกเป็นเป้าหมายยอดนิยมของการโจมตีโดยเหล่าแฮ็กเกอร์ทั้งหลาย
ข่าวการเจาะระบบฐานข้อมูลโรงพยาบาลหรือการโจรกรรมข้อมูลส่วนตัวของผู้ป่วยเริ่มมีให้เห็นถี่ขึ้นเรื่อยๆ
ดังนั้น โรงพยาบาลจึงจำเป็นที่จะต้องวางแผนกลยุทธ์เพื่อปกป้องข้อมูลสำคัญดังกล่าว
เมื่อไม่นานมานี้ เครือข่ายผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยและการบริหารความเสี่ยงโรงพยาบาล
(PHI Protection Network) ได้เผยแพร่คำแนะนำเพื่อการปกป้องข้อมูลสำคัญของผู้ป่วยและสถานพยาบาลที่จำเป็นสำหรับปี
2015 ซึ่งทีมที่ปรึกษา Destination One ได้สรุปสาระสำคัญ
เพื่อให้คุณสามารถนำแนวคิดที่เป็นประโยชน์ไปประยุกต์ใช้ได้สะดวกยิ่งขึ้นดังนี้
1. ผู้บริหารของโรงพยาลจะต้องแสดงความเป็นผู้นำ : แค่เพียงจัดตั้งทีมงานความมั่นคงปลอดภัยแล้วปล่อยให้พวกเขาทำงานกันเองนั้นยังไม่เพียงพอ
ผู้บริหารระดับสูงของโรงพยาบาลควรจะแสดงบทบาทความเป็นผู้นำอย่างจริงจัง
และกำหนดให้บุคลากรทุกคนต้องมีสำนึกในการรักษาความมั่นคงปลอดภัยของข้อมูล โดยถือเป็นส่วนหนึ่งของวัฒนธรรมองค์กร
2. รวบรวมและระบุข้อมูลทั้งหมดของโรงพยาบาล : คุณจะต้องรวบรวมและระบุอย่างชัดเจนได้ว่าภายในโรงพยาบาลนั้น
มีการใช้งานข้อมูลอะไรบ้าง มีการบริหารจัดการยังไง และถูกเก็บรักษาอย่างไร
3. กำหนดแนวทางปกป้องข้อมูลและจำกัดการเข้าถึงข้อมูล : คุณจะต้องกำหนดแนวทางควบคุมการใช้งานข้อมูลอย่างมั่นคงปลอดภัย
และสื่อสารทำความเข้าใจแนวทางดังกล่าวกับบุคลากรที่เกี่ยวข้องทั้งหมด นอกจากนั้น ยังจะต้องจำกัดการเข้าถึงข้อมูลให้สามารถใช้งานได้เฉพาะบุคคลที่มีความเกี่ยวข้องจำเป็นจริงๆ
เท่านั้น
4. ประเมินความเสี่ยง : โรงพยาบาลจะต้องกำหนดกระบวนการประเมินความเสี่ยงอย่างชัดเจน
เพื่อประเมินระบบ, เครื่องมือ, อุปกรณ์, บริการ และซัพพลายเออร์ที่จะจัดซื้อหรือจัดจ้างมาใหม่
เพื่อให้มั่นใจว่าสิ่งที่จัดหามาใหม่นั้นมีความมั่นคงปลอดภัยอย่างพอเพียง
5. การบริหารจัดการผู้ให้บริการภายนอก : คุณต้องมีกระบวนการบริหารจัดการผู้ให้บริการภายนอก
โดยตรวจสอบและทบทวนกระบวนการทำงานว่ามีความมั่นคงปลอดภัยเพียงพอหรือไม่ ข้อสังเกตอย่างหนึ่งก็คือผู้ให้บริการที่เป็นผู้ประกอบการรายย่อยมักจะมีจุดอ่อนและความเสี่ยงในการทำงานมากกว่า
เพราะข้อจำกัดด้านทรัพยากรที่ด้อยกว่าผู้ประกอบการรายใหญ่นั่นเอง
6. เน้นแผนการเชิงรุก : โรงพยาบาลจำเป็นที่จะต้องมีแผนกลยุทธ์เชิงรุกในการปกป้องความมั่นคงปลอดภัยของข้อมูลผู้ป่วย
เพราะหากโรงพยาลใดที่สามารถสร้างผลงานได้สูงกว่าค่าเฉลี่ยมาตรฐานทั่วไป
จะทำให้มีภาพลักษณ์ของความเป็นผู้นำในกลุ่มธุรกิจทันที
7. สนับสนุนให้การรักษาความเป็นส่วนตัวของข้อมูลเป็นหนึ่งในเกณฑ์การพัฒนาเทคโนโลยี
: เทคโนโลยีและอุปกรณ์ที่ออกแบบมาเพื่อสนับสนุนฟังก์ชั่นการใช้งานด้านสุขภาพนั้นมีเพิ่มสูงขึ้น
อาทิ Apple Watch หรือ Internet of Things แต่ยังมีหลักฐานน้อยมากว่าผู้พัฒนาเทคโนโลยีนั้นใส่ใจในการรักษาความลับให้กับข้อมูลส่วนตัวของผู้ใช้งาน
8. การวัดผลและการปรับปรุง : คุณจำเป็นต้องออกแบบกระบวนการต่างๆ
ให้สามารถวัดผลได้ เพราะคุณจะไม่สามารถบริหารจัดการและปรับปรุงสิ่งใดๆ ได้เลย
หากสิ่งนั้นไม่สามารถวัดผลได้
9. ลองมองหาระบบอื่นๆ เพิ่มเติมที่อาจจะเกี่ยวข้องกับข้อมูลผู้ป่วย :
ในโรงพยาบาลมีการใช้งานระบบต่างๆ
อยู่มากมาย ซึ่งอาจจะยังมีระบบอื่นๆ ที่อยู่นอกเหนือจากการควบคุมในปัจจุบัน อาทิ
ระบบวอยซ์เมล์, ระบบบันทึกเสียงสนทนาโทรศัพท์ หรือ ระบบกล้องวงจรปิด เป็นต้น
ซึ่งอาจจะมีส่วนเกี่ยวข้องกับข้อมูลผู้ป่วย ดังนั้น
โรงพยาลจึงต้องขยายการควบคุมไปยังระบบเหล่านี้เพิ่มเติมด้วย
10. ตอกย้ำวัฒนธรรมในการปกป้องข้อมูลของผู้ป่วย : บุคลากรของโรงพยาบาลทุกคนจะต้องให้ความสำคัญในการปกป้องข้อมูลส่วนตัวของผู้ป่วยและสถานพยาบาลเป็นสำคัญ
ที่มา : www.net-security.org
เรียบเรียง : DestinationOne Counselor
ภาพประกอบ : MediaPal
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.