首页 >新闻 > 科技 > 内容

如何在保证网络安全的同时鼓励BYOD的方法

科技 2019-12-02 13:23:34

将自己的设备(BYOD)引入医疗保健领域的趋势是基于效率的。能够在他们熟悉的设备上进行交流可以帮助医生、护士和护理团队更快地做出反应,这将为病人带来更好的体验。

事实上,很普遍的是,呼叫自带设备的趋势可能不再是准确的了。就在去年,SPK调查发现,71%的医疗保健组织允许员工在工作中携带和使用自己的设备。此外,63%的医生和41%的护士说他们甚至未经允许就使用他们的个人设备。

不管有没有批准,比亚迪都会发展壮大,因此应该有严格的规章制度和政策来指导它。人只是人,人容易犯错误。虽然您不能总是避免这些错误,但您可以消除它们可能影响组织整体安全性的方式。

规范BYOD政策

期望组织中的每个人停止使用自己的设备是不现实的。为每个员工支付购买和管理设备的成本是同样不现实的(尤其是如果您的组织规模更大的话)。然而,流动劳动力带来的生产力和效率的提高是不可否认的。

三星公司赞助的Frost&Sullivan调查显示,对于许多员工来说,仅仅是移动就能提高34%的生产率。在另一项研究中,实施良好的BYOD政策使公司平均每名员工每年节省350美元。

尽管有这些优势,保护数据一直是医疗隐私和安全法规的基石。当每个人都使用自己的设备时,这项任务几乎具有无限的挑战性。在应对这一挑战的多次尝试中,34个不同的州立法机构共通过了63项法案,旨在控制动员医疗保健的风险。

大多数法案有助于确定远程医疗和远程保健所涉及的问题,以及决定这两种方法何时合适的标准。例如,在阿肯色州,立法规定在校儿童只能从其初级保健医生或直接授权的临床医生那里获得远程保健服务。

从长远来看,这样的立法可能对医疗安全有益,也可能没有好处,但它强调了一个重要的问题:问题不在于你是否应该允许BYOD,而在于你如何使个人设备与你的组织网络一样安全。答案从以下三个提示开始:

1.将员工分组为角色,然后定义他们的访问权限。

首先,设置关于员工根据其定义角色需要多少访问权限的规则。您可以更轻松地使用基于角色的准则管理访问,而不是为每个单独的员工定义访问权限。这也有助于消除员工无意中创建漏洞并增加其组织内部违规风险的实例。

例如,善意的手势,如与同事共享密码,以便他们能够访问健康记录,可以通过限制根据角色的访问来控制。在凤凰城大学卫生专业学院的一项调查中,59%的护士和60%的管理人员指出,基于角色的访问是保护患者数据的最有效方法之一。

2.不允许不能妥善保管的设备。

除了内幕信息泄露之外,黑客和IT事件在2017年医疗数据泄露事件中占了37%。这些事件大多不是因为员工错误而发生的,而是因为网络中的每个设备都没有得到正确的安全保护。因此,下一步是通过确保设备被加密和锁定来保护员工的设备。

安全PIN可能是足够的,但是诸如指纹、脸部或虹膜扫描仪的生物统计访问可以提供高得多的安全性级别。模仿生物统计学的难度比猜测PIN的难度大,所以如果设备丢失或被盗,任何本地化数据都将得到更好的保护。这将要求将设备限制到能够支持更高安全措施的模型。

3.使用无代理软件保留数据关闭设备。

大多数现代智能手机和个人设备都配备了各种生物识别锁,以保护它们存储的数据。然而,如果设备被窃取,您可以保证某些数据是安全的,首先将数据与设备隔离开来。无代理软件允许设备访问程序和文件,而不必在本地存储它们。

无论什么设备访问数据,它都会在云中或组织的服务器中保持安全。IT安全管理员可以控制组织内的访问,包括限制对受影响的设备的访问。组织可以更轻松地了解他们的数据是安全的,员工不必在其设备上安装入侵软件。

4.如果应用程序需要代理,请将其封装起来。

有些应用程序和程序需要安装才能使用,因此不可能采用无代理的方法。对于这样的应用程序,集装箱化通常是次好的策略。容器化允许设备的操作系统实际上将与工作相关的应用程序与个人应用程序隔离开来。

包含的应用程序无法与操作系统上的任何其他文件或库通信,因此无法读取任何员工的个人数据。同样,员工只能在组织的网络中使用该设备来访问包含的应用程序。在工作之外,容器化使与工作相关的数据安全地无法访问。

5.在每个允许加密的应用程序中强制加密。

到目前为止,您已采取措施确保员工的个人设备尽可能安全。然而,在确保组织的网络时,人类行为和选择创造了一个不应该有的变量。使用允许您自动执行某些安全措施的软件和应用程序,以便用户不必记住或猜测。

例如,无论员工是否选择加密,从组织内部发送的电子邮件都可以强制加密。某些应用程序可以要求生物识别或PIN访问,即使员工在上次使用后没有正确注册。在可能的情况下,使加密和安全自动消除人为错误的变量。

6.随时向工作人员发出催复通知。

它可能不会说,但任何良好的BYOD策略都必须不断更新,以跟上不断推进的技术。声音政策是必不可少的,但很少有人记得他们在第一天被要求阅读的员工手册。同样,在没有常规提醒的情况下,自带设备策略很容易被遗忘。

您还可以通过文本和电子邮件推送更新和提醒,使员工头脑中的安全保持新鲜。定期评估员工设备,以确保安全措施仍然正常运行。此外,实现一个流程,使员工更容易添加和删除新设备,以避免任何安全问题,无论何时升级。

BYOD政策似乎是一个巨大的挑战,但有大量的技术选择可以帮助您的组织管理您的公司。与其把安全问题留给设备所有者,而是在网络中打开更多漏洞,而是让技术尽可能地保护您的数据,从而限制漏洞的风险。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。