ReadWrite

终止已终止团队成员阻止未经授权的PHI访问的3个步骤

2017年2月,转化自闭症治疗中心获悉,其一名前行为分析师曾破坏其安全性。根据他的起诉书,Jeffrey Luke非法访问了TACT Google云端硬盘帐户并偷了 受保护的健康信息 从超过 300名现任和前任患者.

TACT的网络违规尤其令人担忧,因为Luke已经被终止。根据协议,在Luke终止后,TACT会将密码更改为其所有帐户。但是,一个月后,TACT的员工注意到该组织的Google云端硬盘帐户中的文件已被移动。司法部将用于破坏帐户的IP地址追溯到Luke,并能够在他的计算机上找到患者记录,模板和表格,以及Luke的其他前任雇主之一的记录。

此事件也令人担忧,因为这只是医疗机构终止后其自身和数据容易受到攻击的众多示例之一。当员工或其他团队成员离开时,对于涵盖实体和员工而言, 完全地 终止前团队成员对组织网络的访问。

这三个步骤可帮助组织确保他们覆盖所有基础:

1.创建基于用户的角色或基于角色的访问控制。

控制访问是 医疗保健IT安全,并使访问基于角色是控制它的最有效方法。对于可以在组织网络外部访问的基于Internet的应用程序来说尤其如此。您可以授权每个员工的角色和适当的访问级别,也可以为特定部门创建角色组。一旦员工解雇,这将使立即删除和/或重新分配访问权限变得更加容易。尽量避免使用共享帐户,但是,如果有必要,请在员工离开公司后更新所有登录信息。

大多数医疗保健应用程序都配备了基于角色的安全措施,尽管只有通过适当的文档才能有效。虽然集成可以将您的系统捆绑在一起以简化访问,但是没有自动数据库来控制跨平台的访问。强大的文档将帮助您跟踪何时授予员工访问权限;他们能够控制多少;以及何时需要升级,降级或撤消该访问权限。

2.诚实透明地监控员工的访问权限。

由于Internet集成,异地数据访问以及团队成员之间越来越多地使用个人设备,因此严格保护医疗数据已成为一个更大的挑战。这意味着要明确定义每个员工的角色以及该角色需要保证的访问级别。随后必须诚实和透明地了解您的组织将如何监视和强制执行基于角色的系统访问。

什么时候 员工使用个人设备,保护他们的个人信息的需求同样重要。因此,对于IT部门将监视多少设备,组织将如何保护员工的个人信息以及什么构成合理使用所讨论的设备,有明确的政策。例如,员工不能使用个人设备全天候访问数据,这样做的后果必须清楚。您还应该能够远程擦除员工设备上的数据文件。 Google的G Suite是提供此功能的一种工作环境。

3.保持有关公司和个人设备的详细清单。

员工使用个人设备还是严格遵守公司分配的笔记本电脑和 智能设备,跟踪所有内容非常重要。作为组织全面的外部程序的一部分,这将使收集所有公司拥有的设备以及清除任何个人设备的访问权限和文件变得更加容易。请务必重新格式化您检索到的所有设备,以确保它仍然不容易受到破坏。

正如TACT去年了解到的那样,以前的员工和团队成员不再实际控制设备或知道新密码这一事实并不意味着他们无法访问网络。在再次使网络安全之前,请检查分配给已终止员工的清单中的所有设备,并更新系统中为该员工分配的所有角色。即使您打算处置旧设备,也请确保先将其彻底擦拭干净。

可以通过适当的访问控制和针对离职的离职员工的全面策略来避免许多数据泄露。正是由于这个原因,才明显违反了TACT,但这并不是唯一的例子。 John Muir 健康的前雇员也被控以 窃取信息 从超过5,000名Muir的患者那里转移到新雇主手中。

谨慎与专制之间有一条很好的界限。处理PHI时,组织必须尽可能地跨过这条线,而不必越过它。技术将有助于根据团队成员的角色控制对组织的访问。透明度将使每个人都在同一页面上了解问责制。并保持大量的授权设备清单将使终止访问更容易,更有效。