Sağlık hizmetlerinde çalışanların tükenmişlik yaşaması, güvenlik liderlerinin genellikle endişelendiği bir şey değildir; tabii bundan zarar gören güvenlik ekibinin kendisi değilse. Sağlık hizmeti CISO'ları ve gizlilik görevlileri, korunan sağlık bilgilerinin (PHI) gizliliği ve bütünlüğü ve özellikle de hayati tıbbi kayıtlar, yaşam destek sistemleri ve faturalandırma söz konusu olduğunda bunların kullanılabilirliği konusunda daha fazla endişe duyuyor.
HIPAA Gizlilik ve Güvenlik kuralları ihlal edilmezse ve bir fidye yazılımı saldırısının kurbanı olma yönündeki talihsiz tehdit önlenirse, “her şey yolundadır”. Ancak, güvenlik ekibinin, güvenlik mekanizmaları ve süreçlerine ilişkin kullanıcı deneyimine odaklanarak, işi sağlık ekosistemindeki tükenmişlik konusunda endişelenmek olan kişiler için bir müttefik olabileceği ortaya çıktı.
EHR sistemlerinin sağlık profesyonelleri üzerindeki yükünü hafifletmek
Tükenmişlik, duygusal tükenme, duyarsızlaşma ve kişisel başarı eksikliği ile karakterize edilen bir stres tepkisidir. Tıp mesleğinde tükenmişliğe katkıda bulunduğu sıklıkla belirtilen faktörlerden biri, hasta bakımı sağlamada Elektronik Sağlık Kaydı (EHR) sistemlerinin yaygınlaşmasıdır.
Journal of Primary Care & Community Health'de yayınlanan araştırmaya göre, EHR ile ilgili tükenmişliğe katkıda bulunan faktörler arasında dokümantasyon ve büro işleri yükü, karmaşık kullanılabilirlik, elektronik mesajlaşma ve gelen kutusu kesintilerinin yanı sıra artan bilişsel yük ve zaman talepleri yer alıyor.
EHR sistemleri, hasta bakımının faturalandırma ve belgeleme yönlerini kolaylaştırmak için tasarlanmıştır; sağlık yönetimi ve hasta ihtiyaçları genellikle sonradan akla gelir. Örneğin, çizelgeleme çözümleri son zamanlarda hastaların hasta portalları aracılığıyla sağlayıcılarıyla mesaj alışverişinde bulunabilmesi olanağını ekliyor. Bu, hastaların sağlayıcılarıyla iletişim kurma ihtiyaçlarını karşılıyor, ancak dikkatli bir tasarım olmadan, artık günlerini bölen mesajlara yanıt vermek için faturalandırılamaz zaman harcamak zorunda kalan klinisyenlere ek bir yük getiriyor.
Bozuk veya külfetli süreçlerin yanı sıra, sağlık çalışanlarının yaşadığı sürtüşmeleri artıran, hantal kayıt yönetimi arayüzleri ve sistem iş akışları da zamanla tükenmişliğe katkıda bulunuyor.
Güvenlik ve kullanıcı deneyimi
Güvenlik mekanizmalarının iş akışlarını kesintiye uğratması, erişimi engellemesi ve genel kullanıcı deneyimini kötüleştirmesi nedeniyle sıklıkla suçlandığımızdan, bunların bir kısmı güvenlik uzmanlarına tanıdık geliyor olmalı. Eğer bu güvenlik kontrollerine katlanmak zorunda olmasaydık her şey çok kolay olurdu!
Bu nedenle, bir eylem çağrısı: Politikalarınızın ve/veya araçlarınızın, sağlık sisteminizin iş gücü için ideal olmayan kullanıcı deneyimine neden olan sorunlara katkıda bulunabileceği (veya bunların azaltılmasını önleyebileceği) ekosistemin neresine daha yakından bakın.
CISO'lar, kayıt yönetimi sistemlerini modernleştirmenin önünde durmadan kontrol gereksinimlerinin nasıl karşılanabileceğini (yeniden) değerlendirerek, uygun bir risk duruşunu korurken CTO'larına ellerindeki görevde yardımcı olacak fırsatları belirleyebilir. Bazı spesifik örnekleri inceleyelim…
Kimlik ve erişim yönetimi
Farklı sistemlerde kimlik doğrulamaya yönelik kullanıcı deneyimi, ister tıbbi personel ister diğer profesyonel ortamlarda olsun, sıklıkla sürtüşmeye neden olur. Örneğin, karmaşıklık gereksinimlerini karşılayan, muhtemelen farklı sistemler için farklı olan şifreleri hatırlamak zorunda kalmak ve takılması gereken donanım belirteçleriyle uğraşmak, bu sistemlerdeki kayıtları takip etmesi gereken kullanıcılar üzerindeki yükü artırır.
Güvenlik liderleri şunları yapabilir:
- Sistemleri arka uçtaki aynı kimlik doğrulama çözümüne bağlayarak veya (tercihen) uygulamaların SAML veya benzer standartlar aracılığıyla kimlik doğrulaması yapabileceği merkezi bir kimlik sağlayıcı oluşturarak Tek Oturum Açma aracılığıyla farklı sistemlerde oturum açmayı birleştirme fırsatlarını belirleyin.
- Parola tabanlı kimlik doğrulama mekanizmalarını ve muhtemelen fiziksel veya telefon tabanlı belirteçleri parolasız oturum açmalarla değiştirin. Örneğin, kuruluşun yaka kartı ve fiziksel kimlik sistemleriyle entegre olan RFID tabanlı bir akıllı kart sistemi, kullanıcıların kayıt tutma sistemlerine giriş yaparken yaşadığı sıkıntıyı azaltabilir mi? Biyometri yardımcı olabilir mi?
- Kimlik yönetimindeki son yenilikleri benimseyin. Örneğin, OpenID'nin Sürekli Erişim Değerlendirme Protokolü (CAEP), risk parametreleri değiştiğinde (örneğin, kullanıcının izinlerinin değiştirilmesi) uygulamalardaki aktif oturumlar isteğe bağlı olarak sonlandırılabildiğinden, kullanıcı oturumlarının sık sık yeniden kimlik doğrulaması gereksinimini azaltmanıza izin verebilir. kimlik sağlayıcı tarafında iptal edilmiştir).
- Esnek, rol tabanlı erişim kontrolü şemalarının, tıbbi asistanların doktorlara EHR sistemlerine veri girişi konusunda destek olmalarını sağlarken, dosyalar üzerindeki kritik verileri (reçeteler vb.) değiştirme yeteneklerini kısıtlayıp bireysel kullanıcılar için hesap verebilirliği sürdürüp sürdürmeyeceğini değerlendirin.
Sistem birlikte çalışabilirliği
EHR ile ilgili tükenmişliğe katkıda bulunan önemli bir faktör, tıp uzmanlarının kayıt tutma konusunda birbirinden kopuk sistemlerle uğraşmak zorunda olmalarıdır.
Örneğin, çizelgeleme sistemleri bir hastanedeki teşhis ekipmanıyla birlikte çalışamayabilir, uzmanlar kendi uygulamalarında bir sistemi, bir klinikte ayrıcalıklarından yararlanırken başka bir sistemi kullanmak zorunda kalabilir, vb.
Güvenlik ve gizlilik liderleri şunları yapabilir:
- Kayıt tutma politikalarının sistemler arasında veri alışverişini engelleyip engellemediğini gözden geçirin; aksi takdirde kayıtlar üzerinde kaynak ve yönetişim kaybı meydana gelebilir. Daha fazla iş dostu bilgi akışını kolaylaştırmak için gereksinimler yeniden düzenlenebilir mi? (Örneğin, farklı kayıt türleri için kayıt sistemlerini yönetmek üzere merkezi bir çözüme yatırım yapmak ve veri saklamaya yönelik hizmet düzeyi hedeflerini tutarlı bir şekilde otomatik olarak uygulamak, kayıtların birden fazla sistem arasında paylaşılmasına ilişkin endişeleri hafifletebilir.)
Bağlantı
Güvenlik politikaları, personelin bir cihaza kurulması gereken web arayüzleri veya “kalın istemciler” aracılığıyla sistemlere uzaktan bağlanmak için hangi cihazları kullanmasına izin verilebileceğini kısıtlayabilir. Kayıt yönetimi sistemlerine erişim, şirket içi güvenli ağlarla bile sınırlı olabilir.
Güvenlik liderleri şunları yapabilir:
- “Sıfır güven” ilkelerini benimsemeyi düşünün. Kullanıcı kimliklerine ve bağlandıkları cihazlara olan güveni güçlendirerek, ağların güvenliği daha az önemli hale gelir ve EHR sistemlerine uzaktan erişime izin vermenizi sağlayarak tıp uzmanlarının evde üretken olmaya devam ederken daha aile dostu bir program benimsemelerine olanak tanıyabilir.
- Kendi Cihazını Getir (BYOD) politikalarına hangi koşullar altında izin verilebileceğini belirleyin. Personelin EHR sistemlerine erişmek için kişisel cihazlarını kullanmasına olanak sağlamak, uç noktalar arasında sürekli geçiş yapma nedeniyle yaşanan sürtünmeyi azaltabilir.
Farkındalık
Personelin rollerine uygun olmayan hazır güvenlik farkındalığı eğitimleri hem etkisiz hem de kullanıcılar için sıkıntı verici olma eğilimindedir. Ve doktor muayenehaneleri ve hastane ortamları, örneğin farklı personel tarafından paylaşılan cihazlar söz konusu olduğunda, benzersiz güvenlik sorunlarına sahip olma eğilimindedir.
Güvenlik liderleri şunları yapabilir:
- Farkındalık mesajlarını hedef kitlelerine göre uyarlayın. Kullanıcıların güvenlik özellikleriyle etkileşimde bulunurken anlaşmazlıkları nasıl önleyebileceklerine ilişkin anlamlı ipuçları ekleyin; örneğin, sistemin onları en az uygun olduğu anda şaşırtması yerine, adım adım kimlik doğrulama istemleriyle ne zaman ve neden karşılaşabileceklerini tahmin etmelerine olanak tanıyın.
- Kayıt yönetimi iş akışlarını ve güvenlik istemlerinin, iş akışındaki uygunsuz zamanlarda personeli kesintiye uğratıp uğratamayacağını gözden geçirin. Yönlendirmeler, etkinliklerini azaltmadan, hatta muhtemelen arttırmadan süreçte başka bir yere taşınabilir mi?
- Kullanıcı davranışına ilişkin beklentiler otomasyonla ortadan kaldırılabilir mi? Örneğin, oturumların otomatik olarak zaman aşımına uğraması nedeniyle kullanıcıların artık bir cihazın ekranını kilitlemeyi aktif olarak hatırlamaları gerekmiyorsa, bu, dikkatlerini dağıtan unsurları ortadan kaldırır. (Tersine, sistemde doğru yere sürtünmeyi dahil etme kavramı da kullanıcı davranışını şekillendirmeye yardımcı olabilir.)
İnsan odaklı güvenliğin nasıl geliştirileceğini öğrenmek
Güvenlik liderleri, güvenlik ve gizliliğe yapılan yatırımların tıp profesyonellerindeki stresi azaltmaya nasıl katkıda bulunabileceği konusunda BT ve sistem liderlerine uygulanabilir öneriler sunarak, hem kendilerini işin değerli ortakları olarak konumlandırabilir hem de kuruluşlarının güvenlik duruşunu geliştirebilir.
Güvenlik ve uyumluluk ekiplerinin hafifletmeye yardımcı olabileceği, sistemdeki kullanıcı anlaşmazlıklarını belirlemek için CTO'nuza bir atölye çalışması önerin. Ve satıcılarınızla bir konuşma başlatın. İnsan odaklı güvenliğe yönelik araştırmalar son yıllarda hız kazandı ancak sonuçların satın aldığımız çözümlere yansıtılması yavaş oluyor. Güvenlik teknolojisi sağlayıcılarını (ve ürün yöneticilerini) kullanıcı deneyimi konusunda daha proaktif olmaya ve yeni tedarikçileri seçerken seçim kriterlerinize ilgili gereksinimleri eklemeye teşvik edin.