Sitemap

Una violación de datos es un gran problema para una organización de atención médica, independientemente del tipo de incidente.Lidiar con las consecuencias de una violación o un incidente de seguridad puede ser un proceso desafiante, agotador y, a menudo, caótico.Radar, de la gente experta en privacidad de ID Experts, ayuda a las organizaciones a crear un plan de respuesta a incidentes en caso de una violación de datos y realizar un seguimiento de cada paso a medida que se resuelve.Los atacantes cibernéticos pueden violar la red y acceder a datos confidenciales o un empleado puede haber perdido accidentalmente una computadora portátil que contiene documentos que contienen información relacionada con la salud.Un servidor mal configurado puede haber expuesto inadvertidamente archivos a personas ajenas a la organización, y un empleado del hospital deshonesto puede acceder a los registros de los pacientes y compartirlos con personas no autorizadas.Todos estos incidentes están sujetos a una gran cantidad de normas de cumplimiento, leyes estatales y federales y estándares de la industria; y Radar simplifica el proceso complejo.

ID Experts posiciona a Radar como la herramienta de "gestión de incidentes de privacidad" diseñada específicamente para organizaciones de atención médica como hospitales, clínicas y planes de salud.La plataforma se enfoca en las regulaciones HIPAA (Ley de responsabilidad de portabilidad de seguros de salud) y HITECH (Tecnología de información de salud para la salud económica y clínica), así como en las leyes estatales de notificación de violación de datos.

Radar es similar a Co3 Systems en que ambas plataformas ayudan a los administradores a gestionar las violaciones de datos e identificar los pasos para identificar la falla, solucionar el problema, notificar a las víctimas y verificar que se haya solucionado el problema.Co3 Systems se basa en gran medida en asistentes, cubre una gama más amplia de regulaciones que solo la atención médica y no se limita solo a las violaciones de datos.

RADAR se diferencia de otras plataformas en que realiza una evaluación de riesgos específica del incidente, como el uso de cuatro factores de la regla final de HIPAA, que exigen las leyes federales y estatales para su cumplimiento.RADAR incorporó esas reglas de evaluación en el software, lo que facilita que los oficiales de privacidad y cumplimiento evalúen cada incidente de manera consistente.

Qué hace el radar
Las empresas, enfocadas en prevenir filtraciones y filtraciones de datos, a menudo se olvidan de planificar para el peor de los casos cuando la tecnología y los procesos de seguridad fallan.Radar aborda este problema de manera proactiva al permitir que los administradores generen un plan detallado de respuesta a incidentes para identificar cada paso que debe ocurrir.

Los gerentes y los equipos de seguridad responden una serie de preguntas sobre un incidente de seguridad o privacidad en particular y Radar devuelve una lista de las leyes estatales y las reglamentaciones HIPAA/HITECH que se aplican a las circunstancias específicas.El software identifica a todos los que necesitan ser notificados.

Si bien a menudo uso los términos indistintamente, la plataforma diferencia entre incidentes e infracciones.Un incidente sería un empleado que pierde una computadora portátil.Una violación sería si alguien encontrara esa computadora portátil perdida y expusiera los datos del paciente.Si el disco duro se hubiera encriptado, la pérdida habría seguido siendo un incidente porque los datos aún estaban seguros.Si especificaba que los datos no habían sido expuestos (porque la computadora portátil cayó al océano), Radar marcaría el informe como "Solo documentación" y no generaría un plan de respuesta a incidentes.Si indicaba que existía la posibilidad de que alguien realmente encontrara los datos (en el caso de una computadora portátil perdida en una conferencia), entonces Radar generaría un plan de respuesta.

Teniendo en cuenta que las empresas que sufren una infracción tienen que responder rápidamente, poder generar rápidamente planes de respuesta a incidentes personalizados con un flujo de trabajo claro significa que la organización puede responder de manera consistente y efectiva.La plataforma también utiliza claves codificadas por colores para identificar qué incidentes son de alto riesgo y el impacto en el cumplimiento de HITECH.

Ingresar un incidente en Radar ID Experts me dio acceso a Radar 2.7 y rellené previamente la cuenta con algunos incidentes preparados.Después de iniciar sesión en la plataforma, hice clic en el botón "Documentar nuevo incidente" para crear un evento, registrar lo que sucedió y luego jugar con el módulo de informes.

En el caso de una computadora portátil perdida, llené un formulario detallado que describía qué se había perdido, en qué formato estaban los datos, quién estaba involucrado y cuántos registros pueden verse afectados.Algunas secciones entraron en gran detalle, como aclarar la forma de los datos electrónicos que se perdieron (correo electrónico, almacenamiento portátil FTP y otros) o si la violación fue maliciosa o no maliciosa, y cómo sucedió.

También identifiqué qué elementos de datos se perdieron, ya fuera información de identificación personal (PII), información de salud protegida (PHI) u otra información confidencial.Hubiera sido bueno poder decir "Toda la PII" o "Toda la PHI" en lugar de ir hacia abajo y hacer clic en cada casilla de verificación, pero obliga al administrador a prestar atención a los datos que se perdieron.

Podría indicar los tipos de datos expuestos, como nombres, registros de salud, información bancaria y otros.Todas las empresas son diferentes, por lo que pude especificar exactamente las normas de cumplimiento a las que estaba sujeto (o simplemente las mejores prácticas) y terminé con un plan de incidentes muy personalizado. Siguiente: Gestión de incidentes con Radar

Gestión de Incidencias con Radar


Fue un proceso muy fácil, ya que toda la información se presentó pantalla por pantalla.Hay consejos útiles a lo largo de cada paso, y la interfaz hace que sea sencillo omitir secciones si no tengo la información necesaria.Siempre podía regresar y volver a ingresar la información que faltaba y recrear la evaluación.

Dado que Radar ofrece una evaluación estado por estado, también tengo que identificar cuántas de las víctimas eran residentes de qué estado.La información recopilada de esta tabla determinaría a qué leyes estatales estaría sujeta la organización.Esta página se aplica solo si estamos trabajando en una infracción real y no en un "incidente de documentación solamente".

Portal de radares
En cada paso del camino, podía agregar notas o cargar documentos de respaldo, como planes de remediación, listas de verificación e informes, para crear registros completos del incidente.De esta manera, tenía un repositorio central de cada incidente de seguridad y privacidad con todos los detalles, notas y archivos adjuntos.

Con el plan de respuesta a incidentes generado en la mano, podría asignar tareas a los respondedores relevantes y ver qué tareas se han completado.En las secciones que especificaban que tenía que notificar a una agencia reguladora, había una sección para indicar cuándo se realizó la notificación, si se tomó la decisión de diferir la notificación (y por qué) y otras actividades.Cualquiera puede ver el plan y ver exactamente dónde estaba el equipo de respuesta y qué tareas estaban actualmente pendientes o en espera.Si alguien no estaba haciendo su trabajo, podía reasignar la tarea a otra persona.

Radar usó la información proporcionada para trazar el nivel de riesgo al calcular la gravedad del incidente y si es necesario involucrar a otros grupos reguladores.Si se expusiera PII, o si hubiera algún nivel de riesgo financiero, de reputación o médico asociado con los datos, estaría codificado por colores (rojo, verde y amarillo) para que pudiera ver cuáles eran los riesgos.

La vista del tablero principal enumeró todos los incidentes actualmente en el sistema.Podía filtrar la lista según el estado, así como por fecha y a quién se asignó el incidente.En cualquier momento dado, podía ver una lista actualizada de exactamente qué pasos se habían completado dentro de una evaluación y qué más quedaba por hacer.Cada incidente en el tablero tenía un círculo codificado por colores (rojo, amarillo, verde, blanco) para indicar el nivel de riesgo de HITECH y las leyes estatales.Algunos incidentes tuvieron un impacto estatal bajo y un riesgo medio para HITECH, por ejemplo.

Los informes preestablecidos me permiten rastrear tickets abiertos y cerrados, ejecutar informes de cumplimiento y preparar documentación en caso de una auditoría o investigación.

Beneficios de SaaS
Dado que se ofrece como un software como servicio, ID Experts puede actualizar periódicamente la plataforma para reflejar los cambios en las leyes, los requisitos de cumplimiento y las mejores prácticas de la industria.Los usuarios obtienen acceso a la información más reciente sin preocuparse de si se han actualizado o no al software más reciente.Al iniciar sesión en el portal, siempre ven la última versión.Cuando se trata de la notificación de infracciones, las empresas no tienen que tratar de recordar todas las diferentes leyes y regulaciones que deben cumplir.

Las leyes estatales de incumplimiento varían enormemente entre sí.Algunos estados exigen que las empresas proporcionen más información que otros.La rapidez con la que se debe notificar a las víctimas también varía según el estado, ya que Maine requiere que las organizaciones notifiquen a los clientes dentro de los siete días y otros, que permiten algunas semanas o meses.

Las empresas pueden registrarse para una demostración en vivo o ver un webcast para familiarizarse con la plataforma.El precio de la suscripción anual oscila entre $10 000 y $50 000 y depende de factores como la cantidad de usuarios, el período de licencia, la cantidad de estados incluidos en la evaluación y otros.El precio de lanzamiento de $5250 es una licencia de varios años para un usuario con evaluación HITECH y una evaluación estatal.

Independientemente de la configuración final, todos los usuarios de Radar obtienen automáticamente capacidades de evaluación de riesgos y notificación de incidentes y acceso a un depósito central que contiene todos los datos relacionados con incidentes.Los usuarios pueden usar el tablero para asignar y reasignar tareas, notificar a las partes relevantes, emitir alertas, agregar y editar notas, etiquetar notas para una fácil recuperación e informes predefinidos.Los complementos incluyen evaluación de notificaciones y riesgos basados ​​en estado para estados, informes y gráficos personalizados, y configuración de control de acceso de usuario para controlar quién tiene acceso a qué tipos de datos.

Para algunas empresas, un precio de $5,000 o más por una suscripción anual a una plataforma que esperan no necesitar puede parecer alto e innecesario.Sin embargo, este es el ejemplo perfecto de organizaciones que gastan dinero ahora para ahorrar dinero más adelante.Las filtraciones de datos en sí mismas pueden ser bastante costosas, con cifras recientes que estiman el costo total en un promedio de $5.5 millones, lo que incluye responsabilidades legales, disminución de la productividad y gastos relacionados.Gastar $ 5,000 o más para reducir esencialmente las responsabilidades legales a cero, porque el plan de respuesta a incidentes garantiza que las organizaciones se ocupen de todo de manera oportuna, suena como una gran ganga.

Planificación proactiva
Las organizaciones pueden usar Radar para analizar y determinar el alcance de una infracción e identificar qué se debe hacer a continuación.Con un plan de incidentes detallado, el tiempo de respuesta a incidentes se puede reducir drásticamente, lo que se traduce directamente en menos responsabilidades y una mitigación más rápida.Debido a que es un software como servicio, las organizaciones también saben que tienen acceso a las reglas más actualizadas sin tener que dedicar tiempo a rastrear la información.

Radar proporciona a las empresas una interfaz sencilla y fácil de usar para crear esos planes de incidentes.Radar hace que el proceso de planificación para un escenario de pesadilla sea lo menos doloroso posible para las organizaciones de atención médica.Aunque no es tan extenso ni tan ingenioso como Co3 Systems, Radar es una sólida herramienta de planificación de respuesta a incidentes que las empresas pueden usar para prepararse de manera proactiva para una eventual filtración de datos.

Todas las categorias: Mensaje de reparación de errores