Sitemap

Únik dat je pro zdravotnickou organizaci velký problém, bez ohledu na typ incidentu.Řešení následků narušení nebo bezpečnostního incidentu může být náročný, náročný a často chaotický proces.Radar, od lidí znalých ochrany osobních údajů z ID Experts, pomáhá organizacím vytvořit plán reakce na incidenty v případě narušení dat a sledovat každý krok, jak je vyřešen.Kybernetičtí útočníci mohou prolomit síť a získat přístup k citlivým datům nebo zaměstnanec mohl omylem ztratit notebook obsahující dokumenty obsahující informace týkající se zdraví.Špatně nakonfigurovaný server mohl neúmyslně vystavit soubory lidem mimo organizaci a nepoctivý zaměstnanec nemocnice může získat přístup k záznamům pacientů a sdílet je s neoprávněnými osobami.Všechny tyto incidenty podléhají spoustě předpisů o shodě, státních a federálních zákonů a průmyslových standardů; a Radar činí složitý proces jednodušší.

ID Experts staví Radar jako nástroj pro „správu bezpečnostních incidentů“ speciálně navržený pro zdravotnické organizace, jako jsou nemocnice, kliniky a zdravotní plány.Platforma se zaměřuje na předpisy HIPAA (Health Insurance Portability Accountability Act) a HITECH (Health Information Technology for Economic and Clinical Health), jakož i na státní zákony o oznamování narušení dat.

Radar je podobný Co3 Systems v tom, že obě platformy pomáhají správcům spravovat narušení dat a identifikovat kroky k identifikaci chyby, odstranění problému, upozornění obětí a ověření, že problém byl vyřešen.Co3 Systems je silně založen na čarodějích, pokrývá širší škálu předpisů než jen zdravotní péči a neomezuje se pouze na úniky dat.

RADAR se liší od ostatních platforem v tom, že provádí posouzení rizik specifických pro incidenty, jako je použití čtyř faktorů z konečného pravidla HIPAA, které vyžadují federální a státní zákony pro dodržování předpisů.RADAR začlenil tato pravidla hodnocení do softwaru, takže úředníkům pro ochranu soukromí a dodržování předpisů usnadnil konzistentní posouzení každého incidentu.

Co dělá Radar
Firmy, které se zaměřují na prevenci narušení a úniků dat, často zapomínají naplánovat nejhorší scénář, když bezpečnostní technologie a procesy selžou.Radar tento problém proaktivně řeší tím, že umožňuje správcům vygenerovat podrobný plán reakce na incidenty, aby bylo možné identifikovat každý krok, který je třeba provést.

Manažeři a bezpečnostní týmy odpovídají na řadu otázek týkajících se konkrétního incidentu v oblasti zabezpečení nebo ochrany soukromí a Radar vrátí seznam státních zákonů a předpisů HIPAA/HITECH, které se vztahují na konkrétní okolnosti.Software identifikuje každého, koho je třeba upozornit.

I když tyto termíny často používám zaměnitelně, platforma rozlišuje mezi incidenty a porušeními.Incident by byl, kdyby zaměstnanec ztratil notebook.Narušení by bylo, kdyby někdo našel ztracený notebook a odhalil data pacientů.Pokud by byl pevný disk zašifrován, ztráta by zůstala incidentem, protože data byla stále v bezpečí.Pokud bych uvedl, že data nebyla vystavena (protože notebook spadl do oceánu), Radar by označil zprávu jako „Pouze dokumentace“ a nevygeneroval plán reakce na incident.Pokud bych uvedl, že existuje možnost, že by někdo na data skutečně narazil (v případě ztraceného notebooku na konferenci), Radar by vygeneroval plán odezvy.

Vezmeme-li v úvahu, že společnosti postižené narušením musí reagovat rychle, schopnost rychle generovat přizpůsobené plány reakce na incidenty s jasným pracovním postupem znamená, že organizace může reagovat konzistentně a efektivně.Platforma také používá barevně kódované klíče k identifikaci, které incidenty jsou vysoce rizikové, a dopad na soulad HITECH.

Zadání incidentu do Radar ID Experti mi umožnili přístup k Radaru 2.7 a předvyplnili účet několika hotovými incidenty.Po přihlášení na platformu jsem kliknul na tlačítko „Dokumentovat nový incident“, abych vytvořil událost, zaprotokoloval, co se stalo, a poté jsem si pohrál s modulem hlášení.

V případě ztraceného notebooku jsem vyplnil podrobný formulář s popisem toho, co bylo ztraceno, v jakém formátu byla data, kdo byl zapojen a kolik záznamů může být ovlivněno.Některé části zacházely do velkých podrobností, jako je objasnění formy ztracených elektronických dat – e-mail, přenosné úložiště FTP a další – nebo zda bylo narušení škodlivé či nikoli, a jak k němu došlo.

Také jsem identifikoval, jaké datové prvky byly ztraceny, ať už to byly osobní identifikační údaje (PII), chráněné zdravotní informace (PHI) nebo jiné citlivé informace.Bylo by hezké, kdyby bylo možné říct „Všechny PII“ nebo „Všechny PHI“ místo toho, abyste šli dolů a klikali na každé jednotlivé zaškrtávací políčko, ale nutí to správce, aby skutečně věnoval pozornost tomu, jaká data byla ztracena.

Mohl bych uvést typy vystavených údajů, jako jsou jména, zdravotní záznamy, bankovní informace a další.Všechny podniky se liší, takže jsem byl schopen přesně specifikovat předpisy pro dodržování předpisů, kterým jsem podléhal (nebo jen osvědčené postupy), a skončit s velmi přizpůsobeným plánem incidentů – Další: Správa incidentů pomocí radaru

Řízení incidentů pomocí radaru


Byl to velmi snadný proces, protože všechny informace byly uspořádány po obrazovce.V každém kroku jsou užitečné tipy a rozhraní usnadňuje přeskakování částí, pokud jsem neměl potřebné informace.Vždy jsem se mohl vrátit a znovu zadat chybějící informace a znovu vytvořit hodnocení.

Vzhledem k tomu, že Radar nabízí hodnocení jednotlivých států, musím také určit, kolik z obětí bylo obyvateli toho kterého státu.Informace shromážděné z této tabulky by určovaly, kterým státním zákonům by organizace podléhala.Tato stránka platí pouze v případě, že pracujeme na skutečném porušení, nikoli na „incidentu pouze s dokumentací“.

Radarový portál
V každém kroku jsem mohl přidávat poznámky nebo nahrávat podpůrné dokumenty, jako jsou sanační plány, kontrolní seznamy a zprávy, a vytvářet tak komplexní záznamy o incidentu.Tímto způsobem jsem měl centrální úložiště každého jednotlivého incidentu v oblasti zabezpečení a ochrany osobních údajů se všemi detaily, poznámkami a přílohami.

S vygenerovaným plánem odezvy na incidenty v ruce jsem mohl přidělovat úkoly příslušným respondentům a sledovat, které úkoly byly dokončeny.V částech uvádějících, že musím oznámit regulačnímu úřadu, byla část, která uváděla, kdy bylo oznámení učiněno, zda bylo přijato rozhodnutí o odložení oznámení (a proč) a další činnosti.Kdokoli se může podívat na plán a zjistit, kde přesně byl tým odpovědí a jaké úkoly aktuálně čekají nebo jsou pozastaveny.Pokud někdo nedělal svou práci, mohl bych úkol převést na někoho jiného.

Radar použil poskytnuté informace k vykreslení úrovně rizika pomocí výpočtu závažnosti incidentu a toho, zda je třeba zapojit další regulační skupiny.Pokud by byly odhaleny PII nebo pokud by s daty byly spojeny nějaké finanční, reputační a zdravotní riziko, bylo by to barevně odlišeno (červená, zelená a žlutá), abych viděl, jaká rizika to byla.

Hlavní pohled na řídicí panel uváděl všechny incidenty aktuálně v systému.Mohl jsem filtrovat seznam podle stavu, data a toho, komu byl incident přiřazen.V každém daném okamžiku jsem viděl aktualizovaný seznam přesně toho, jaké kroky byly v rámci hodnocení dokončeny a co ještě zbývalo udělat.Každý incident na palubní desce měl barevně označený kruh (červený, žlutý, zelený, bílý), který označoval úroveň rizika pro HITECH a státní zákony.Některé incidenty měly například malý dopad na stát a střední riziko pro HITECH.

Předpřipravené zprávy mi umožňují sledovat otevřené a uzavřené vstupenky, spouštět zprávy o shodě a připravovat dokumentaci pro případ auditu nebo vyšetřování.

Výhody SaaS
Protože je nabízen jako software jako služba, mohou ID Experti pravidelně aktualizovat platformu, aby odrážela změny v zákonech, požadavcích na dodržování předpisů a osvědčených postupech v oboru.Uživatelé získají přístup k nejnovějším informacím, aniž by se museli starat o to, zda upgradovali na nejnovější software či nikoli.Při přihlášení do portálu vždy vidí nejnovější verzi.Pokud jde o oznámení o narušení, podniky se nemusí snažit pamatovat si všechny různé zákony a předpisy, které musí dodržovat.

Zákony o porušování státního práva se od sebe velmi liší.Některé státy vyžadují, aby podniky poskytovaly více informací než jiné.Jak brzy musí být oběti informovány, se také liší podle státu, Maine vyžaduje, aby organizace informovaly zákazníky do sedmi dnů, a jiné, které umožňují několik týdnů nebo měsíců.

Firmy se mohou přihlásit k živé ukázce nebo sledovat webcast, aby si platformu vyzkoušely.Cena ročního předplatného se pohybuje mezi 10 000 a 50 000 USD a závisí na faktorech, jako je počet uživatelů, licenční období, počet států zahrnutých do hodnocení a další.Zaváděcí cena 5 250 USD je víceletá licence pro jednoho uživatele s HITECH hodnocením a jedním státním hodnocením.

Bez ohledu na konečnou konfiguraci získají všichni uživatelé radaru automaticky možnosti hodnocení rizik a oznamování incidentů a přístup k centrálnímu úložišti, které uchovává všechna data související s incidenty.Uživatelé mohou pomocí řídicího panelu přiřazovat a měnit úkoly, upozorňovat příslušné strany, vydávat upozornění, přidávat a upravovat poznámky, označovat poznámky pro snadné vyhledávání a předdefinované zprávy.Mezi doplňky patří hodnocení rizik a oznámení pro stavy na základě stavu, vlastní sestavy a grafy a nastavení řízení přístupu uživatelů pro kontrolu, kdo má přístup ke kterým typům dat.

Některým firmám se může zdát vyšší a zbytečná cena 5 000 USD za roční předplatné platformy, kterou doufají, že nebudou potřebovat.Toto je však dokonalý příklad toho, jak organizace nyní utrácejí peníze, aby později ušetřily.Samotné úniky dat mohou být poměrně nákladné, přičemž nedávné údaje odhadují celkové náklady v průměru na 5,5 milionu USD, což zahrnuje právní závazky, sníženou produktivitu a související výdaje.Utratit 5 000 USD nebo více, abyste v podstatě obrátili právní závazky na nulu, protože plán reakce na incidenty zajišťuje, že se organizace vypořádají se vším včas, zní jako docela výhodný obchod.

Proaktivní plánování
Organizace mohou pomocí radaru analyzovat a zjistit rozsah narušení a určit, co je třeba udělat dále.S podrobným plánem na incidenty lze dramaticky zkrátit dobu odezvy na incidenty, což se přímo promítá do nižších závazků a rychlejšího zmírňování.Protože se jedná o software jako službu, organizace také vědí, že mají přístup k nejaktuálnějším pravidlům, aniž by musely trávit čas sledováním informací.

Radar poskytuje podnikům přímočaré a snadno použitelné rozhraní pro vytváření těchto plánů incidentů.Díky radaru je proces plánování scénáře noční můry pro zdravotnické organizace co nejméně bolestivý.I když není tak rozsáhlý nebo úhledný jako Co3 Systems, Radar je solidní nástroj pro plánování reakce na incidenty, který může podnik využít k proaktivně se připravit na případné narušení dat.

Všechny kategorie: Informace o opravě chyb