Sitemap

Et databrud er en stor sag for en sundhedsorganisation, uanset hændelsestype.At håndtere følgerne af et brud eller en sikkerhedshændelse kan være en udfordrende, krævende og ofte kaotisk proces.Radar, fra de fortrolige folk hos ID Experts, hjælper organisationer med at oprette en hændelsesplan i tilfælde af et databrud og spore hvert trin, efterhånden som det løses.Cyberangribere kan bryde netværket og få adgang til følsomme data, eller en medarbejder kan ved et uheld have mistet en bærbar computer, der indeholder dokumenter, der indeholder helbredsrelaterede oplysninger.En forkert konfigureret server kan utilsigtet have eksponeret filer til personer uden for organisationen, og en useriøs hospitalsansat kan få adgang til patientjournaler og dele dem med uautoriserede personer.Alle disse hændelser er underlagt en række overholdelsesbestemmelser, statslige og føderale love og industristandarder; og Radar gør den komplekse proces mere ligetil.

ID-eksperter positionerer Radar som "privatlivshændelsesstyring"-værktøjet specielt designet til sundhedsorganisationer såsom hospitaler, klinikker og sundhedsplaner.Platformen fokuserer på HIPAA (Health Insurance Portability Accountability Act) og HITECH (Health Information Technology for Economic and Clinical Health) regler samt statslige love om meddelelse om databrud.

Radar ligner Co3 Systems, idet begge platforme hjælper administratorer med at administrere databrud og identificere trin til at identificere fejlen, løse problemet, underrette ofrene og bekræfte, at problemet er blevet løst.Co3 Systems er stærkt wizard-baseret, dækker en bredere vifte af regler end kun sundhedsydelser og er ikke begrænset til kun databrud.

RADAR adskiller sig fra andre platforme ved, at den udfører en hændelsesspecifik risikovurdering, såsom at bruge fire faktorer fra HIPAA's endelige regel, som kræves af føderale og statslige love for overholdelse.RADAR indlejrede disse vurderingsregler i softwaren, hvilket gjorde det nemmere for privatlivs- og overholdelsesansvarlige at vurdere hver hændelse konsekvent.

Hvad Radar gør
Virksomheder, der fokuserer på at forhindre databrud og lækager, glemmer ofte at planlægge det værst tænkelige scenarie, når sikkerhedsteknologi og -processer fejler.Radar løser proaktivt dette problem ved at give administratorer mulighed for at generere en detaljeret hændelsesresponsplan for at identificere hvert trin, der skal ske.

Ledere og sikkerhedsteam besvarer en række spørgsmål vedrørende en bestemt sikkerheds- eller privatlivshændelse, og Radar returnerer en liste over statslige love og HIPAA/HITECH-regler, der gælder for de specifikke omstændigheder.Softwaren identificerer alle, der skal underrettes.

Mens jeg ofte bruger udtrykkene i flæng, skelner platformen mellem hændelser og brud.En hændelse ville være en medarbejder, der mister en bærbar computer.Et brud ville være, hvis nogen fandt den mistede bærbare computer og blotlagte patientdata.Hvis harddisken var blevet krypteret, ville tabet være forblevet en hændelse, fordi dataene stadig var sikre.Hvis jeg specificerede, at dataene ikke var blevet afsløret (fordi den bærbare computer faldt i havet), ville Radar markere rapporten som "Kun dokumentation" og ikke generere en hændelsesplan.Hvis jeg angav, at der var en mulighed for, at nogen faktisk stødte på dataene (i tilfælde af en mistet bærbar computer på en konference), så ville Radar generere en reaktionsplan.

I betragtning af, at virksomheder, der lider af et brud, skal reagere hurtigt, betyder det at være i stand til hurtigt at generere tilpassede hændelsesresponsplaner med en klar arbejdsgang, at organisationen kan reagere konsekvent og effektivt.Platformen bruger også farvekodede nøgler til at identificere, hvilke hændelser der er højrisiko, og indvirkningen på HITECH-overholdelse.

Indtastning af en hændelse i Radar ID Eksperter gav mig adgang til Radar 2.7 og forudfyldte kontoen med nogle færdige hændelser.Efter at have logget på platformen, klikkede jeg på knappen "Dokumentér ny hændelse" for at oprette en begivenhed, logge hvad der skete og derefter legede med rapporteringsmodulet.

I tilfælde af en tabt bærbar computer udfyldte jeg en detaljeret formular, der beskrev, hvad der var gået tabt, hvilket format dataene var i, hvem der var involveret, og hvor mange poster der kan blive påvirket.Nogle sektioner gik i detaljer, såsom at afklare formen for elektroniske data, der gik tabt – e-mail, bærbar lagrings-FTP og andre – eller om bruddet var ondsindet eller ikke-ondsindet, og hvordan det skete.

Jeg identificerede også, hvilke dataelementer der gik tabt, om det var personlige identifikationsoplysninger (PII), beskyttede sundhedsoplysninger (PHI) eller andre følsomme oplysninger.Det ville have været rart bare at kunne sige "All PII" eller "All PHI" i stedet for at gå ned og klikke på hver enkelt afkrydsningsfelt, men det tvinger administratoren til virkelig at være opmærksom på, hvilke data der gik tabt.

Jeg kunne angive de typer af data, der blev eksponeret, såsom navne, sundhedsjournaler, bankoplysninger og andre.Alle virksomheder er forskellige, så jeg var i stand til at specificere præcis de overholdelsesbestemmelser, jeg var underlagt (eller bare bedste praksis) og afsluttede med en meget tilpasset hændelsesplan—Næste: Incident Management with Radar

Incident Management med Radar


Det var en meget nem proces, da al information var lagt skærm for skærm.Der er nyttige tips langs hvert trin, og grænsefladen gør det nemt at springe sektioner over, hvis jeg ikke havde de nødvendige oplysninger.Jeg kunne altid gå tilbage og indtaste de manglende oplysninger igen og genskabe vurderingen.

Da Radar tilbyder en stat-for-stat-vurdering, er jeg også nødt til at identificere, hvor mange af ofrene, der var bosiddende i hvilken stat.Oplysningerne indsamlet fra denne tabel vil afgøre, hvilke statslige love organisationen vil være underlagt.Denne side gælder kun, hvis vi arbejder på et faktisk brud og ikke "Kun dokumentationshændelse."

Radar portal
På hvert trin på vejen kunne jeg tilføje noter eller uploade understøttende dokumenter, såsom afhjælpningsplaner, tjeklister og rapporter, for at skabe omfattende registreringer af hændelsen.På denne måde havde jeg et centralt lager af hver enkelt sikkerheds- og privatlivshændelse med alle detaljer, noter og vedhæftede filer.

Med den genererede hændelsesberedskabsplan i hånden kunne jeg tildele opgaver til relevante respondenter og se, hvilke opgaver der er blevet udført.I sektioner, der specificerede, at jeg skulle underrette en reguleringsmyndighed, var der en sektion for at angive, hvornår underretningen blev foretaget, om beslutningen var truffet om at udskyde underretningen (og hvorfor) og andre aktiviteter.Alle kan se på planen og se præcis, hvor indsatsteamet var, og hvilke opgaver, der i øjeblikket var afventende eller i venteposition.Hvis nogen ikke gjorde sit arbejde, kunne jeg overdrage opgaven til en anden.

Radar brugte de leverede oplysninger til at plotte risikoniveauet ved at beregne hændelsens alvor, og om andre regulatoriske grupper skal involveres.Hvis PII blev afsløret, eller hvis der var økonomiske, omdømmemæssige og medicinske risikoniveauer forbundet med dataene, ville det være farvekodet (rød, grøn og gul), så jeg kunne se, hvad risiciene var.

Hoveddashboardvisningen viste alle de hændelser, der i øjeblikket er i systemet.Jeg kunne filtrere listen ud fra status, samt efter dato, og hvem hændelsen blev tildelt.På ethvert givet tidspunkt kunne jeg se en opdateret liste over præcis, hvilke trin der var blevet gennemført i en vurdering, og hvad der ellers var tilbage at gøre.Hver hændelse i instrumentbrættet havde en farvekodet cirkel (rød, gul, grøn, hvid) for at angive risikoniveauet for HITECH og statens love.Nogle hændelser havde lav statspåvirkning og middel risiko for f.eks. HITECH.

De forudindstillede rapporter lader mig spore åbne og lukkede billetter, køre overholdelsesrapporter og udarbejde dokumentation i tilfælde af en revision eller undersøgelse.

Fordele ved SaaS
Da det tilbydes som en software-as-a-service, kan ID-eksperter regelmæssigt opdatere platformen for at afspejle ændringer i lovene, overholdelseskravene og industriens bedste praksis.Brugere får adgang til de seneste oplysninger uden at bekymre sig om, hvorvidt de har opgraderet til den nyeste software eller ej.Ved at logge ind på portalen ser de altid den seneste version.Når det kommer til underretning om brud, behøver virksomheder ikke at forsøge at huske alle de forskellige love og regler, de skal overholde.

Statsovertrædelseslovene varierer meget fra hinanden.Nogle stater kræver, at virksomheder giver flere oplysninger end andre.Hvor hurtigt ofre skal underrettes, varierer også fra stat til stat, hvor Maine kræver, at organisationer underretter kunder inden for syv dage, og andre, der tillader få uger eller måneder.

Virksomheder kan tilmelde sig en live demo eller se en webcast for at få en fornemmelse af platformen.Prisen for det årlige abonnement varierer fra mellem $10.000 og $50.000, og afhænger af faktorer såsom antallet af brugere, licensperiode, antallet af stater, der er inkluderet i vurderingen og andre.Introduktionsprisen på $5.250 er en flerårig licens for én bruger med HITECH-vurdering og én statsvurdering.

Uanset den endelige konfiguration, får alle Radar-brugere automatisk risikovurdering og hændelsesnotifikationsfunktioner og adgang til et centralt lager, som indeholder alle hændelsesrelaterede data.Brugere kan bruge dashboardet til at tildele og omfordele opgaver, underrette relevante parter, udstede advarsler, tilføje og redigere noter, mærke noter for nem genfinding og foruddefinerede rapporter.Tilføjelser inkluderer tilstandsbaseret risiko- og notifikationsvurdering for stater, brugerdefinerede rapporter og diagrammer og indstilling af brugeradgangskontrol for at kontrollere, hvem der har adgang til hvilke typer data.

For nogle virksomheder kan en pris på 5.000 USD mere for et årligt abonnement på en platform, de håber ikke har brug for, virke høj og unødvendig.Dette er dog det perfekte eksempel på organisationer, der bruger penge nu for at spare penge senere.Databrud i sig selv kan være ret dyrt, med nyere tal anslår de samlede omkostninger til et gennemsnit på $5,5 millioner, hvilket inkluderer juridiske forpligtelser, nedsat produktivitet og relaterede udgifter.At bruge 5.000 USD eller mere for i det væsentlige at vende juridiske forpligtelser til nul, fordi hændelsesplanen sikrer, at organisationerne håndterede alt rettidigt, lyder som en god handel.

Proaktiv planlægning
Organisationer kan bruge Radar til at analysere og finde ud af omfanget af et brud og identificere, hvad der skal gøres næste gang.Med en detaljeret hændelsesplan kan hændelsesresponstiden reduceres dramatisk, hvilket direkte udmønter sig i færre forpligtelser og hurtigere afhjælpning.Fordi det er en software-as-a-service, ved organisationer også, at de har adgang til de mest opdaterede regler uden at skulle bruge tid på at spore oplysningerne.

Radar giver virksomheder en ligetil og brugervenlig grænseflade til at oprette disse hændelsesplaner.Radar gør processen med at planlægge et mareridtsscenarie så smertefri som muligt for sundhedsorganisationer.Selvom det ikke er så omfattende eller glat som Co3 Systems, er Radar et solidt hændelsesresponsplanlægningsværktøj, som virksomheden kan bruge til proaktivt at forberede sig på det eventuelle databrud.

Alle kategorier: Oplysninger om fejlrettelse