Sitemap

Μια παραβίαση δεδομένων είναι μεγάλη υπόθεση για έναν οργανισμό υγειονομικής περίθαλψης, ανεξάρτητα από τον τύπο του περιστατικού.Η αντιμετώπιση των συνεπειών μιας παραβίασης ή ενός περιστατικού ασφαλείας, μπορεί να είναι μια προκλητική, δαπανηρή και, συχνά, χαοτική διαδικασία.Το Radar, από τους ανθρώπους που γνωρίζουν το απόρρητο στο ID Experts, βοηθά τους οργανισμούς να δημιουργήσουν ένα σχέδιο αντιμετώπισης περιστατικών σε περίπτωση παραβίασης δεδομένων και να παρακολουθούν κάθε βήμα καθώς επιλύεται.Οι κυβερνοεπιτιθέμενοι ενδέχεται να παραβιάσουν το δίκτυο και να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα ή ένας υπάλληλος μπορεί να έχει χάσει κατά λάθος έναν φορητό υπολογιστή που περιέχει έγγραφα που περιέχουν πληροφορίες σχετικά με την υγεία.Ένας διακομιστής που δεν έχει ρυθμιστεί σωστά μπορεί να έχει εκθέσει κατά λάθος αρχεία σε άτομα εκτός του οργανισμού και ένας απατεώνας υπάλληλος του νοσοκομείου μπορεί να έχει πρόσβαση στα αρχεία ασθενών και να τα μοιραστεί με μη εξουσιοδοτημένα άτομα.Όλα αυτά τα περιστατικά υπόκεινται σε μια σειρά από κανονισμούς συμμόρφωσης, πολιτειακούς και ομοσπονδιακούς νόμους και βιομηχανικά πρότυπα. και το Radar κάνει τη σύνθετη διαδικασία πιο απλή.

Το ID Experts τοποθετεί το Radar ως το εργαλείο "διαχείρισης συμβάντων απορρήτου" ειδικά σχεδιασμένο για οργανισμούς υγειονομικής περίθαλψης όπως νοσοκομεία, κλινικές και σχέδια υγείας.Η πλατφόρμα εστιάζει στους κανονισμούς HIPAA (Health Insurance Portability Accountability Act) και HITECH (Health Information Technology for Economic and Clinical Health), καθώς και στους νόμους περί ειδοποίησης παραβίασης δεδομένων.

Το Radar είναι παρόμοιο με το Co3 Systems, καθώς και οι δύο πλατφόρμες βοηθούν τους διαχειριστές να διαχειρίζονται παραβιάσεις δεδομένων και να εντοπίζουν βήματα για τον εντοπισμό του ελαττώματος, τη διόρθωση του προβλήματος, την ειδοποίηση των θυμάτων και την επαλήθευση της αντιμετώπισης του προβλήματος.Το Co3 Systems βασίζεται σε μεγάλο βαθμό σε οδηγούς, καλύπτει ένα ευρύτερο φάσμα κανονισμών πέρα ​​από την υγειονομική περίθαλψη και δεν περιορίζεται μόνο σε παραβιάσεις δεδομένων.

Το RADAR διαφέρει από άλλες πλατφόρμες στο ότι εκτελεί μια εκτίμηση κινδύνου για συγκεκριμένο περιστατικό, όπως η χρήση τεσσάρων παραγόντων από τον τελικό κανόνα HIPAA, που απαιτείται από την ομοσπονδιακή και πολιτειακή νομοθεσία για τη συμμόρφωση.Το RADAR ενσωμάτωσε αυτούς τους κανόνες αξιολόγησης στο λογισμικό, διευκολύνοντας τους υπευθύνους απορρήτου και συμμόρφωσης να αξιολογούν με συνέπεια κάθε περιστατικό.

Τι κάνει το ραντάρ
Οι επιχειρήσεις, που επικεντρώνονται στην πρόληψη παραβιάσεων και διαρροών δεδομένων, συχνά ξεχνούν να σχεδιάσουν το χειρότερο σενάριο όταν η τεχνολογία και οι διαδικασίες ασφαλείας αποτυγχάνουν.Το ραντάρ αντιμετωπίζει προληπτικά αυτό το πρόβλημα επιτρέποντας στους διαχειριστές να δημιουργήσουν ένα λεπτομερές σχέδιο απόκρισης συμβάντος για να προσδιορίσουν κάθε βήμα που πρέπει να συμβεί.

Οι διευθυντές και οι ομάδες ασφαλείας απαντούν σε μια σειρά ερωτήσεων σχετικά με ένα συγκεκριμένο περιστατικό ασφάλειας ή απορρήτου και το Radar επιστρέφει μια λίστα με τους νόμους της πολιτείας και τους κανονισμούς HIPAA/HITECH που ισχύουν για τις συγκεκριμένες περιστάσεις.Το λογισμικό προσδιορίζει όλους όσους πρέπει να ειδοποιηθούν.

Ενώ συχνά χρησιμοποιώ τους όρους εναλλακτικά, η πλατφόρμα κάνει διάκριση μεταξύ περιστατικών και παραβιάσεων.Ένα περιστατικό θα ήταν ένας υπάλληλος να χάσει ένα φορητό υπολογιστή.Μια παραβίαση θα ήταν εάν κάποιος βρήκε αυτόν τον χαμένο φορητό υπολογιστή και εκτεθούν τα δεδομένα του ασθενούς.Εάν ο σκληρός δίσκος ήταν κρυπτογραφημένος, η απώλεια θα παρέμενε ως περιστατικό, επειδή τα δεδομένα ήταν ακόμα ασφαλή.Εάν καθόριζα ότι τα δεδομένα δεν είχαν εκτεθεί (επειδή ο φορητός υπολογιστής έπεσε στον ωκεανό), το ραντάρ θα επισήμανε την αναφορά ως "Μόνο τεκμηρίωση" και δεν θα δημιουργούσε σχέδιο αντιμετώπισης περιστατικών.Εάν υπέδειξα ότι υπάρχει πιθανότητα κάποιος να συναντήσει πραγματικά τα δεδομένα (στην περίπτωση ενός χαμένου φορητού υπολογιστή σε μια διάσκεψη), τότε το Radar θα δημιουργούσε ένα σχέδιο απόκρισης.

Λαμβάνοντας υπόψη ότι οι εταιρείες που υποφέρουν από παραβίαση πρέπει να ανταποκριθούν γρήγορα, η δυνατότητα γρήγορης δημιουργίας προσαρμοσμένων σχεδίων απόκρισης συμβάντων με σαφή ροή εργασίας σημαίνει ότι ο οργανισμός μπορεί να ανταποκριθεί με συνέπεια και αποτελεσματικότητα.Η πλατφόρμα χρησιμοποιεί επίσης χρωματικά κωδικοποιημένα κλειδιά για να προσδιορίσει ποια συμβάντα είναι υψηλού κινδύνου και τον αντίκτυπο στη συμμόρφωση με το HITECH.

Εισαγωγή ενός περιστατικού στο αναγνωριστικό ραντάρ Οι ειδικοί μου έδωσαν πρόσβαση στο Radar 2.7 και συμπλήρωσαν εκ των προτέρων τον λογαριασμό με ορισμένα έτοιμα περιστατικά.Αφού συνδέθηκα στην πλατφόρμα, έκανα κλικ στο κουμπί "Έγγραφο Νέο περιστατικό" για να δημιουργήσω ένα συμβάν, καταγράφοντας τι συνέβη και μετά έπαιξα με τη μονάδα αναφοράς.

Στην περίπτωση χαμένου φορητού υπολογιστή, συμπλήρωσα μια λεπτομερή φόρμα που περιγράφει τι χάθηκε, ποια μορφή ήταν τα δεδομένα, ποιος εμπλέκεται και πόσες εγγραφές μπορεί να επηρεαστούν.Ορισμένες ενότητες μπήκαν σε μεγάλες λεπτομέρειες, όπως η αποσαφήνιση της μορφής των ηλεκτρονικών δεδομένων που χάθηκαν—email, φορητός χώρος αποθήκευσης FTP και άλλα—ή εάν η παραβίαση ήταν κακόβουλη ή μη, και πώς συνέβη.

Αναγνώρισα επίσης ποια στοιχεία δεδομένων χάθηκαν, είτε πρόκειται για προσωπικά στοιχεία ταυτοποίησης (PII), προστατευμένες πληροφορίες υγείας (PHI) ή άλλες ευαίσθητες πληροφορίες.Θα ήταν ωραίο να μπορούσαμε να πούμε "Όλα τα PII" ή "Όλα τα PHI" αντί να πηγαίνουμε κάτω και να κάνουμε κλικ σε κάθε πλαίσιο ελέγχου, αλλά αναγκάζει τον διαχειριστή να δώσει πραγματικά προσοχή στα δεδομένα που χάθηκαν.

Θα μπορούσα να υποδείξω τους τύπους δεδομένων που εκτίθενται, όπως ονόματα, αρχεία υγείας, τραπεζικές πληροφορίες και άλλα.Όλες οι επιχειρήσεις είναι διαφορετικές, επομένως μπόρεσα να προσδιορίσω ακριβώς τους κανονισμούς συμμόρφωσης στους οποίους υπόκεινται (ή απλώς οι βέλτιστες πρακτικές) και να ολοκληρώσω ένα πολύ προσαρμοσμένο σχέδιο συμβάντων—Επόμενο: Διαχείριση συμβάντων με ραντάρ

Διαχείριση Συμβάντων με Ραντάρ


Ήταν μια πολύ εύκολη διαδικασία, καθώς όλες οι πληροφορίες διατυπώθηκαν οθόνη προς οθόνη.Υπάρχουν χρήσιμες συμβουλές σε κάθε βήμα και η διεπαφή διευκολύνει την παράλειψη ενοτήτων εάν δεν είχα τις απαραίτητες πληροφορίες.Θα μπορούσα πάντα να επιστρέψω και να εισαγάγω ξανά τις πληροφορίες που λείπουν και να δημιουργήσω ξανά την αξιολόγηση.

Δεδομένου ότι το Radar προσφέρει αξιολόγηση κατά κράτος, πρέπει επίσης να προσδιορίσω πόσα από τα θύματα ήταν κάτοικοι ποιας πολιτείας.Οι πληροφορίες που συλλέγονται από αυτόν τον πίνακα θα καθόριζαν σε ποια πολιτειακή νομοθεσία θα υπόκειται ο οργανισμός.Αυτή η σελίδα ισχύει μόνο εάν εργαζόμαστε για μια πραγματική παραβίαση και όχι για "Μόνο περιστατικό τεκμηρίωσης".

Πύλη ραντάρ
Σε κάθε βήμα της διαδρομής, θα μπορούσα να προσθέσω σημειώσεις ή να ανεβάσω δικαιολογητικά έγγραφα, όπως σχέδια αποκατάστασης, λίστες ελέγχου και αναφορές, για να δημιουργήσω ολοκληρωμένα αρχεία για το περιστατικό.Με αυτόν τον τρόπο είχα ένα κεντρικό αποθετήριο για κάθε περιστατικό ασφάλειας και απορρήτου με όλες τις λεπτομέρειες, τις σημειώσεις και τα συνημμένα.

Έχοντας στο χέρι το δημιουργημένο σχέδιο απόκρισης περιστατικού, θα μπορούσα να αναθέσω εργασίες σε σχετικούς ανταποκριτές και να δω ποιες εργασίες έχουν ολοκληρωθεί.Στις ενότητες που καθόριζαν ότι έπρεπε να ειδοποιήσω μια ρυθμιστική αρχή, υπήρχε μια ενότητα που υποδεικνύει πότε έγινε η ειδοποίηση, εάν ελήφθη η απόφαση για αναβολή της ειδοποίησης (και γιατί) και άλλες δραστηριότητες.Οποιοσδήποτε μπορεί να δει το σχέδιο και να δει ακριβώς πού βρισκόταν η ομάδα απόκρισης και ποιες εργασίες εκκρεμούσαν ή σε αναμονή.Εάν κάποιος δεν έκανε τη δουλειά του, θα μπορούσα να αναθέσω ξανά την εργασία σε κάποιον άλλο.

Το ραντάρ χρησιμοποίησε τις παρεχόμενες πληροφορίες για να σχεδιάσει το επίπεδο κινδύνου υπολογίζοντας τη σοβαρότητα του συμβάντος και εάν χρειάζεται να εμπλακούν άλλες ρυθμιστικές ομάδες.Εάν εκτίθετο PII ή αν υπήρχαν οικονομικοί, οικονομικοί και ιατρικοί κίνδυνοι που σχετίζονται με τα δεδομένα, θα ήταν χρωματικά κωδικοποιημένοι (κόκκινο, πράσινο και κίτρινο) ώστε να μπορώ να δω ποιοι είναι οι κίνδυνοι.

Η προβολή του κύριου πίνακα εργαλείων απαριθμούσε όλα τα συμβάντα που υπάρχουν αυτήν τη στιγμή στο σύστημα.Θα μπορούσα να φιλτράρω τη λίστα με βάση την κατάσταση, καθώς και με βάση την ημερομηνία, και σε ποιον ανατέθηκε το περιστατικό.Σε οποιαδήποτε δεδομένη χρονική στιγμή, μπορούσα να δω μια ενημερωμένη λίστα με ποια ακριβώς βήματα είχαν ολοκληρωθεί σε μια αξιολόγηση και τι άλλο απομένει να κάνω.Κάθε περιστατικό στο ταμπλό είχε έναν χρωματικό κωδικοποιημένο κύκλο (κόκκινο, κίτρινο, πράσινο, λευκό) για να υποδείξει το επίπεδο κινδύνου για την HITECH και τους νόμους της πολιτείας.Ορισμένα περιστατικά είχαν χαμηλό αντίκτυπο στην κατάσταση και μεσαίο κίνδυνο για την HITECH, για παράδειγμα.

Οι εκ των προτέρων κονσερβοποιημένες αναφορές μου επιτρέπουν να παρακολουθώ ανοιχτά και κλειστά εισιτήρια, να εκτελώ αναφορές συμμόρφωσης και να προετοιμάζω τεκμηρίωση σε περίπτωση ελέγχου ή έρευνας.

Οφέλη του SaaS
Δεδομένου ότι προσφέρεται ως λογισμικό ως υπηρεσία, οι ειδικοί ID μπορούν να ενημερώνουν τακτικά την πλατφόρμα για να αντικατοπτρίζουν τις αλλαγές στη νομοθεσία, τις απαιτήσεις συμμόρφωσης και τις βέλτιστες πρακτικές του κλάδου.Οι χρήστες έχουν πρόσβαση στις πιο πρόσφατες πληροφορίες χωρίς να ανησυχούν για το εάν έχουν αναβαθμιστεί ή όχι στο πιο πρόσφατο λογισμικό.Όταν συνδέονται στην πύλη, βλέπουν πάντα την πιο πρόσφατη έκδοση.Όταν πρόκειται για ειδοποίηση παραβίασης, οι επιχειρήσεις δεν χρειάζεται να προσπαθούν να θυμούνται όλους τους διαφορετικούς νόμους και κανονισμούς με τους οποίους πρέπει να συμμορφώνονται.

Οι νόμοι περί παραβίασης του κράτους διαφέρουν πολύ μεταξύ τους.Ορισμένες πολιτείες απαιτούν από τις επιχειρήσεις να παρέχουν περισσότερες πληροφορίες από άλλες.Το πόσο σύντομα πρέπει να ειδοποιηθούν τα θύματα διαφέρει επίσης ανά πολιτεία, με το Maine να απαιτεί από τους οργανισμούς να ειδοποιούν τους πελάτες εντός επτά ημερών και από άλλους, που επιτρέπουν λίγες εβδομάδες ή μήνες.

Οι επιχειρήσεις μπορούν να εγγραφούν για μια ζωντανή επίδειξη ή να παρακολουθήσουν μια διαδικτυακή μετάδοση για να αποκτήσουν μια αίσθηση για την πλατφόρμα.Η τιμή για την ετήσια συνδρομή κυμαίνεται από 10.000 $ έως 50.000 $ και εξαρτάται από παράγοντες όπως ο αριθμός των χρηστών, η περίοδος αδειοδότησης, ο αριθμός των πολιτειών που περιλαμβάνονται στην αξιολόγηση και άλλοι.Η τιμή γνωριμίας των 5.250 $ είναι μια πολυετής άδεια για έναν χρήστη με αξιολόγηση HITECH και μια αξιολόγηση κατάστασης.

Ανεξάρτητα από την τελική διαμόρφωση, όλοι οι χρήστες του Radar λαμβάνουν αυτόματα δυνατότητες αξιολόγησης κινδύνου και ειδοποίησης συμβάντων και πρόσβαση σε ένα κεντρικό αποθετήριο που περιέχει όλα τα δεδομένα που σχετίζονται με το περιστατικό.Οι χρήστες μπορούν να χρησιμοποιήσουν τον πίνακα εργαλείων για να αναθέσουν και να αναθέσουν εκ νέου εργασίες, να ειδοποιήσουν σχετικά μέρη, να εκδώσουν ειδοποιήσεις, να προσθέσουν και να επεξεργαστούν σημειώσεις, να προσθέσουν σημειώσεις ετικετών για εύκολη ανάκτηση και προκαθορισμένες αναφορές.Τα πρόσθετα περιλαμβάνουν αξιολόγηση κινδύνου και ειδοποιήσεων βάσει κατάστασης για καταστάσεις, προσαρμοσμένες αναφορές και γραφήματα και ρύθμιση ελέγχου πρόσβασης χρήστη για τον έλεγχο του ποιος έχει πρόσβαση σε ποιους τύπους δεδομένων.

Για ορισμένες επιχειρήσεις, μια επιπλέον τιμή 5.000 $ για μια ετήσια συνδρομή για μια πλατφόρμα που ελπίζουν ότι δεν θα χρειαστούν μπορεί να φαίνεται υψηλή και περιττή.Ωστόσο, αυτό είναι το τέλειο παράδειγμα οργανισμών που ξοδεύουν χρήματα τώρα για να εξοικονομήσουν χρήματα αργότερα.Οι παραβιάσεις δεδομένων από μόνες τους μπορεί να είναι αρκετά δαπανηρές, με τα πρόσφατα στοιχεία να υπολογίζουν το συνολικό κόστος κατά μέσο όρο στα 5,5 εκατομμύρια δολάρια, το οποίο περιλαμβάνει νομικές υποχρεώσεις, μειωμένη παραγωγικότητα και συναφή έξοδα.Το να ξοδέψετε 5.000 $ ή περισσότερα για να μηδενίσετε ουσιαστικά τις νομικές υποχρεώσεις, επειδή το σχέδιο αντιμετώπισης περιστατικών διασφαλίζει ότι οι οργανισμοί αντιμετώπισαν τα πάντα έγκαιρα, ακούγεται σαν μια συμφωνία.

Προληπτικός Σχεδιασμός
Οι οργανισμοί μπορούν να χρησιμοποιήσουν το Radar για να αναλύσουν και να υπολογίσουν την έκταση μιας παραβίασης και να προσδιορίσουν τι πρέπει να γίνει στη συνέχεια.Με ένα λεπτομερές σχέδιο συμβάντων, ο χρόνος απόκρισης συμβάντος μπορεί να μειωθεί δραματικά, κάτι που μεταφράζεται άμεσα σε λιγότερες υποχρεώσεις και ταχύτερο μετριασμό.Επειδή είναι ένα λογισμικό ως υπηρεσία, οι οργανισμοί γνωρίζουν επίσης ότι έχουν πρόσβαση στους πιο ενημερωμένους κανόνες χωρίς να χρειάζεται να ξοδεύουν χρόνο για να εντοπίσουν τις πληροφορίες.

Το Radar παρέχει στις επιχειρήσεις μια απλή και εύχρηστη διεπαφή για τη δημιουργία αυτών των σχεδίων συμβάντων.Το ραντάρ κάνει τη διαδικασία σχεδιασμού για ένα εφιαλτικό σενάριο όσο το δυνατόν πιο ανώδυνη για τους οργανισμούς υγειονομικής περίθαλψης.Παρόλο που δεν είναι τόσο εκτεταμένο ή λείο όσο τα συστήματα Co3, το Radar είναι ένα σταθερό εργαλείο σχεδιασμού απόκρισης συμβάντων που μπορούν να χρησιμοποιήσουν οι επιχειρήσεις για να προετοιμαστούν προληπτικά για την ενδεχόμενη παραβίαση δεδομένων.