Sitemap

Une violation de données est un gros problème pour une organisation de soins de santé, quel que soit le type d'incident.Faire face aux conséquences d'une violation ou d'un incident de sécurité peut être un processus difficile, long et souvent chaotique.Radar, des experts en matière de confidentialité d'ID Experts, aide les organisations à créer un plan de réponse aux incidents en cas de violation de données et à suivre chaque étape au fur et à mesure de sa résolution.Les cyber-attaquants peuvent pénétrer dans le réseau et accéder à des données sensibles ou un employé peut avoir accidentellement perdu un ordinateur portable contenant des documents contenant des informations relatives à la santé.Un serveur mal configuré peut avoir exposé par inadvertance des fichiers à des personnes extérieures à l'organisation, et un employé d'hôpital malhonnête peut accéder aux dossiers des patients et les partager avec des personnes non autorisées.Tous ces incidents sont soumis à une multitude de réglementations de conformité, de lois étatiques et fédérales et de normes de l'industrie ; et Radar rend le processus complexe plus simple.

ID Experts positionne Radar comme l'outil de "gestion des incidents de confidentialité" spécialement conçu pour les organisations de santé telles que les hôpitaux, les cliniques et les plans de santé.La plate-forme se concentre sur les réglementations HIPAA (Health Insurance Portability Accountability Act) et HITECH (Health Information Technology for Economic and Clinical Health) ainsi que sur les lois de notification des violations de données des États.

Radar est similaire à Co3 Systems en ce sens que les deux plates-formes aident les administrateurs à gérer les violations de données et à identifier les étapes pour identifier la faille, résoudre le problème, informer les victimes et vérifier que le problème a été résolu.Co3 Systems est fortement basé sur des assistants, couvre un plus large éventail de réglementations que les soins de santé et ne se limite pas aux violations de données.

RADAR est différent des autres plates-formes en ce qu'il effectue une évaluation des risques spécifiques à l'incident, comme l'utilisation de quatre facteurs de la règle finale HIPAA, qui est requise par les lois fédérales et étatiques pour la conformité.RADAR a intégré ces règles d'évaluation dans le logiciel, ce qui permet aux responsables de la confidentialité et de la conformité d'évaluer plus facilement chaque incident de manière cohérente.

Que fait le radar
Les entreprises, qui se concentrent sur la prévention des violations et des fuites de données, oublient souvent de planifier le pire des cas lorsque la technologie et les processus de sécurité échouent.Radar résout ce problème de manière proactive en permettant aux administrateurs de générer un plan de réponse aux incidents détaillé pour identifier chaque étape qui doit se produire.

Les responsables et les équipes de sécurité répondent à une série de questions concernant un incident de sécurité ou de confidentialité particulier et Radar renvoie une liste des lois de l'État et des réglementations HIPAA/HITECH applicables aux circonstances spécifiques.Le logiciel identifie toutes les personnes qui doivent être notifiées.

Bien que j'utilise souvent les termes de manière interchangeable, la plate-forme fait la différence entre les incidents et les violations.Un incident serait un employé perdant un ordinateur portable.Une violation serait si quelqu'un trouvait cet ordinateur portable perdu et exposait les données du patient.Si le disque dur avait été chiffré, la perte serait restée un incident car les données étaient toujours sécurisées.Si je précisais que les données n'avaient pas été exposées (parce que l'ordinateur portable est tombé dans l'océan), Radar signalerait le rapport comme "Documentation uniquement" et ne générerait pas de plan de réponse aux incidents.Si j'indiquais qu'il y avait une possibilité que quelqu'un tombe sur les données (dans le cas d'un ordinateur portable perdu lors d'une conférence), alors Radar générerait un plan de réponse.

Étant donné que les entreprises victimes d'une violation doivent réagir rapidement, la possibilité de générer rapidement des plans de réponse aux incidents personnalisés avec un flux de travail clair signifie que l'organisation peut réagir de manière cohérente et efficace.La plate-forme utilise également des clés à code couleur pour identifier les incidents à haut risque et l'impact sur la conformité HITECH.

Saisie d'un incident dans Radar ID Les experts m'ont donné accès à Radar 2.7 et ont pré-rempli le compte avec quelques incidents prêts à l'emploi.Après m'être connecté à la plateforme, j'ai cliqué sur le bouton "Document New Incident" pour créer un événement, enregistrer ce qui s'est passé, puis jouer avec le module de rapport.

Dans le cas d'un ordinateur portable perdu, j'ai rempli un formulaire détaillé décrivant ce qui a été perdu, le format des données, les personnes impliquées et le nombre d'enregistrements susceptibles d'être touchés.Certaines sections sont entrées dans les moindres détails, comme la clarification de la forme des données électroniques qui ont été perdues (e-mail, stockage portable FTP, etc.) ou si la violation était malveillante ou non malveillante, et comment cela s'est produit.

J'ai également identifié les éléments de données perdus, qu'il s'agisse d'informations d'identification personnelle (IPI), d'informations de santé protégées (PHI) ou d'autres informations sensibles.Il aurait été bien de pouvoir simplement dire "Tous les PII" ou "Tous les PHI" au lieu de descendre et de cliquer sur chaque case à cocher, mais cela oblige l'administrateur à vraiment faire attention aux données perdues.

Je pourrais indiquer les types de données exposées, telles que les noms, les dossiers de santé, les informations bancaires et autres.Toutes les entreprises sont différentes, j'ai donc pu spécifier exactement les réglementations de conformité auxquelles j'étais soumis (ou simplement les meilleures pratiques) et me retrouver avec un plan d'incident très personnalisé. Suivant : Gestion des incidents avec Radar

Gestion des incidents avec radar


C'était un processus très simple, car toutes les informations étaient affichées écran par écran.Il y a des conseils utiles à chaque étape, et l'interface permet de sauter facilement des sections si je n'avais pas les informations requises.Je pouvais toujours revenir en arrière et ressaisir les informations manquantes et recréer l'évaluation.

Étant donné que Radar propose une évaluation État par État, je dois également identifier combien de victimes résidaient dans quel État.Les informations recueillies à partir de ce tableau détermineraient à quelles lois de l'État l'organisation serait soumise.Cette page s'applique uniquement si nous travaillons sur une violation réelle et non sur un "incident de documentation uniquement".

Portail radar
À chaque étape du processus, je pouvais ajouter des notes ou télécharger des documents justificatifs, tels que des plans de remédiation, des listes de contrôle et des rapports, pour créer des enregistrements complets de l'incident.De cette façon, j'avais un référentiel central de chaque incident de sécurité et de confidentialité avec tous les détails, notes et pièces jointes.

Avec le plan de réponse aux incidents généré en main, je pouvais assigner des tâches aux intervenants concernés et voir quelles tâches ont été accomplies.Dans les sections précisant que je devais aviser un organisme de réglementation, il y avait une section pour indiquer quand la notification a été faite, si la décision a été prise de reporter la notification (et pourquoi) et d'autres activités.Tout le monde peut consulter le plan et voir exactement où se trouvait l'équipe d'intervention et quelles tâches étaient actuellement en attente ou en attente.Si quelqu'un ne faisait pas son travail, je pouvais réattribuer la tâche à quelqu'un d'autre.

Radar a utilisé les informations fournies pour tracer le niveau de risque en calculant la gravité de l'incident et si d'autres groupes de réglementation doivent être impliqués.Si des informations personnelles étaient exposées, ou s'il y avait des niveaux de risque financier, de réputation et médical associés aux données, cela serait codé par couleur (rouge, vert et jaune) afin que je puisse voir quels étaient les risques.

La vue principale du tableau de bord répertorie tous les incidents actuellement dans le système.Je pouvais filtrer la liste en fonction du statut, ainsi que par date, et à qui l'incident était attribué.À tout moment, je pouvais voir une liste mise à jour des étapes exactes qui avaient été franchies dans le cadre d'une évaluation et de ce qu'il restait à faire.Chaque incident dans le tableau de bord avait un cercle de couleur (rouge, jaune, vert, blanc) pour indiquer le niveau de risque pour HITECH et les lois de l'État.Certains incidents ont eu un faible impact sur l'état et un risque moyen pour HITECH, par exemple.

Les rapports prédéfinis me permettent de suivre les tickets ouverts et fermés, d'exécuter des rapports de conformité et de préparer la documentation en cas d'audit ou d'enquête.

Avantages du SaaS
Puisqu'il est proposé en tant que logiciel en tant que service, ID Experts peut régulièrement mettre à jour la plate-forme pour refléter les changements dans les lois, les exigences de conformité et les meilleures pratiques de l'industrie.Les utilisateurs ont accès aux dernières informations sans se soucier de savoir s'ils ont ou non mis à niveau vers le dernier logiciel.En se connectant au portail, ils voient toujours la dernière version.Lorsqu'il s'agit de notification de violation, les entreprises n'ont pas à essayer de se souvenir de toutes les lois et réglementations auxquelles elles doivent se conformer.

Les lois sur les violations des États varient énormément les unes des autres.Certains États exigent que les entreprises fournissent plus d'informations que d'autres.Le délai dans lequel les victimes doivent être informées varie également selon l'État, le Maine exigeant que les organisations informent les clients dans les sept jours, et d'autres, qui autorisent quelques semaines ou quelques mois.

Les entreprises peuvent s'inscrire pour une démonstration en direct ou regarder une diffusion Web pour se faire une idée de la plateforme.Le prix de l'abonnement annuel varie entre 10 000 $ et 50 000 $ et dépend de facteurs tels que le nombre d'utilisateurs, la période de licence, le nombre d'États inclus dans l'évaluation, etc.Le prix de lancement de 5 250 $ est une licence pluriannuelle pour un utilisateur avec évaluation HITECH et une évaluation d'état.

Quelle que soit la configuration finale, tous les utilisateurs de Radar obtiennent automatiquement des capacités d'évaluation des risques et de notification d'incident, ainsi qu'un accès à un référentiel central contenant toutes les données relatives aux incidents.Les utilisateurs peuvent utiliser le tableau de bord pour attribuer et réattribuer des tâches, notifier les parties concernées, émettre des alertes, ajouter et modifier des notes, marquer des notes pour une récupération facile et des rapports prédéfinis.Les modules complémentaires incluent une évaluation des risques et des notifications basée sur l'état pour les états, des rapports et des graphiques personnalisés, et la configuration du contrôle d'accès des utilisateurs pour contrôler qui a accès à quels types de données.

Pour certaines entreprises, un prix de 5 000 $ ou plus pour un abonnement annuel à une plateforme dont elles espèrent ne pas avoir besoin peut sembler élevé et inutile.Cependant, c'est l'exemple parfait d'organisations qui dépensent de l'argent maintenant pour économiser de l'argent plus tard.Les violations de données elles-mêmes peuvent être assez coûteuses, avec des chiffres récents estimant le coût total à une moyenne de 5,5 millions de dollars, ce qui comprend les responsabilités légales, la baisse de productivité et les dépenses connexes.Dépenser 5 000 $ ou plus pour réduire les responsabilités légales à zéro, car le plan de réponse aux incidents garantit que les organisations traitent tout en temps opportun, semble être une bonne affaire.

Planification proactive
Les organisations peuvent utiliser Radar pour analyser et déterminer l'étendue d'une violation et identifier ce qui doit être fait ensuite.Avec un plan d'incident détaillé, le temps de réponse aux incidents peut être considérablement réduit, ce qui se traduit directement par moins de responsabilités et une atténuation plus rapide.Parce qu'il s'agit d'un logiciel en tant que service, les organisations savent également qu'elles ont accès aux règles les plus à jour sans avoir à passer du temps à rechercher les informations.

Radar fournit aux entreprises une interface simple et facile à utiliser pour créer ces plans d'incident.Radar rend le processus de planification d'un scénario cauchemardesque aussi indolore que possible pour les organisations de soins de santé.Même s'il n'est pas aussi étendu ou astucieux que Co3 Systems, Radar est un outil de planification de réponse aux incidents solide que les entreprises peuvent utiliser pour se préparer de manière proactive à une éventuelle violation de données.