信息化觀察網(wǎng)

根據(jù)風險管理專家在HIMSS醫(yī)療安全論壇上的發(fā)言，網(wǎng)絡安全專家需要突破技術領域，進入醫(yī)院領導層，從而實現(xiàn)文化和溝通的轉變。

從事醫(yī)療隱私和安全咨詢的醫(yī)療服務公司Meditology Services的合伙人Brian Selfridge說，“人們需要以商業(yè)眼光看待網(wǎng)絡安全，網(wǎng)絡安全作為機構整體風險的一部分，意味著應該從一家醫(yī)院可能損失多少錢的角度來考慮如何保護的必要性。IT安全不代表網(wǎng)絡安全，這其實是風險。”

Christiana醫(yī)療系統(tǒng)首席信息安全官Anah Santiago說：“這與了解一個組織機構的文化有很大關系。”

而H-ISAC總裁兼首席執(zhí)行官Denise Anderson表示，如果一個系統(tǒng)中的首席信息安全官站在反對立場，從風險大局出發(fā)來看待網(wǎng)絡安全，整個領導層的對話將從技術層面轉向財務層面。網(wǎng)絡安全應該是促進商業(yè)發(fā)展的因素。”

“能夠彌合這些差距是巨大的。”Denise Anderson說，“網(wǎng)絡安全應該成為業(yè)務推動者。醫(yī)院的財務部門聘請首席風險官，他們將網(wǎng)絡安全作為醫(yī)院整體風險的一部分。從根本上來說，這是一個溝通問題。”

HM Health Solutions醫(yī)療解決方案公司副總裁兼首席信息安全官Omar Khawaja說：“負責安全的專業(yè)人員的溝通能力有待提高，整個醫(yī)療行業(yè)都需要實現(xiàn)技術向商業(yè)價值的轉化，只有當它被用作降低風險時，才真正顯現(xiàn)出價值。”

Khawaja 認為，人們都喜歡嶄新的產品，但在技術剛上線時，并未實現(xiàn)任何價值。這與技術本身無關，他本人使用Excel、Tableau和PowerPoint以及FAIR模型等工具，這些工具都不復雜。其中的FAIR模型（因素分析信息風險模型），是一個風險管理框架，它著眼于對風險產生的因素及其相互影響。所有的模型都是有問題的，但有一些是有用的。Khawaja補充說：“但如果使用你自己開發(fā)的模型，總會有人來挑刺。”

Khawaja表示作為管理中層，如何感知風險，需在哪進行風險管控不是他能掌控的。歸根結底，領導層必須定義風險承受的能力。