Sitemap

Gyors navigáció

Az adatszivárgás nagy baj egy egészségügyi szervezet számára, függetlenül az incidens típusától.A jogsértés vagy egy biztonsági incidens következményeinek kezelése kihívásokkal teli, fáradságos és gyakran kaotikus folyamat lehet.A Radar, az ID Experts adatvédelmi hozzáértő munkatársai, segít a szervezeteknek egy incidensre adott választervet készíteni adatszivárgás esetén, és nyomon követni minden lépést a megoldásuk során.A kibertámadók feltörhetik a hálózatot, és bizalmas adatokhoz férhetnek hozzá, vagy az alkalmazottak véletlenül elveszíthetik az egészséggel kapcsolatos információkat tartalmazó dokumentumokat tartalmazó laptopot.Előfordulhat, hogy egy rosszul konfigurált szerver véletlenül fájlokat tárt fel a szervezeten kívüli személyek számára, és a tisztességtelen kórházi alkalmazott hozzáférhet a betegrekordokhoz, és megoszthatja azokat illetéktelen személyekkel.Mindezekre az incidensekre egy csomó megfelelőségi szabályozás, állami és szövetségi törvény, valamint iparági szabvány vonatkozik; a Radar pedig egyszerűbbé teszi az összetett folyamatot.

Az ID Experts a Radart az „adatvédelmi incidens-kezelési” eszköznek tekinti, amelyet kifejezetten egészségügyi szervezetek, például kórházak, klinikák és egészségügyi tervek számára fejlesztettek ki.A platform a HIPAA (Health Insurance Portability Accountability Act) és a HITECH (Health Information Technology for Economic and Clinical Health) szabályozásokra, valamint az állami adatvédelmi incidens bejelentésére vonatkozó törvényekre összpontosít.

A radar hasonló a Co3 Systemshez, mivel mindkét platform segít az adminisztrátoroknak kezelni az adatszivárgást, és azonosítani a hiba azonosítására, a probléma kijavítására, az áldozatok értesítésére és a probléma megoldásának ellenőrzésére szolgáló lépéseket.A Co3 Systems erősen varázsló-alapú, a szabályozások szélesebb körét fedi le, mint az egészségügyet, és nem korlátozódik csupán az adatsértésekre.

A RADAR abban különbözik a többi platformtól, hogy incidens-specifikus kockázatértékelést végez, például a HIPAA végső szabályának négy tényezőjét használja, amelyeket a szövetségi és állami törvények írnak elő a megfeleléshez.A RADAR beágyazta ezeket az értékelési szabályokat a szoftverbe, megkönnyítve az adatvédelmi és megfelelőségi tisztviselők számára az egyes események következetes értékelését.

Mit csinál a Radar
Az adatszivárgások és adatszivárgások megelőzésére összpontosító vállalkozások gyakran elfelejtik megtervezni a legrosszabb forgatókönyvet, amikor a biztonsági technológia és folyamatok meghiúsulnak.A Radar proaktívan kezeli ezt a problémát azáltal, hogy lehetővé teszi az adminisztrátorok számára, hogy részletes incidensreagálási tervet hozzanak létre az egyes lépések azonosítása érdekében.

A menedzserek és a biztonsági csapatok egy sor kérdésre válaszolnak egy adott biztonsági vagy adatvédelmi incidenssel kapcsolatban, és a Radar visszaküldi az állami törvények listáját, és a HIPAA/HITECH szabályozások vonatkoznak az adott körülményekre.A szoftver mindenkit azonosít, akit értesíteni kell.

Míg a kifejezéseket gyakran felcserélhetően használom, a platform különbséget tesz az incidensek és a jogsértések között.Az incidens az lenne, ha egy alkalmazott elveszítené a laptopját.Szabálysértést jelent, ha valaki megtalálja az elveszett laptopot, és nyilvánosságra hozza a betegadatokat.Ha a merevlemez titkosítva lett volna, a veszteség incidens maradt volna, mert az adatok továbbra is biztonságban voltak.Ha megadom, hogy az adatok nem kerültek nyilvánosságra (mert a laptop az óceánba esett), a Radar a jelentést "Csak dokumentáció"-ként jelöli meg, és nem generál incidensreagálási tervet.Ha jeleztem, hogy fennáll annak a lehetősége, hogy valaki valóban találkozik az adatokkal (egy konferencián elveszett laptop esetén), akkor a Radar választervet generál.

Tekintettel arra, hogy a jogsértést elszenvedő vállalatoknak gyorsan kell reagálniuk, az egyértelmű munkafolyamattal rendelkező, testreszabott incidens-elhárítási tervek gyors létrehozása azt jelenti, hogy a szervezet következetesen és hatékonyan reagálhat.A platform színkódolt kulcsokat is használ a magas kockázatú incidensek azonosítására, valamint a HITECH megfelelőségre gyakorolt ​​hatásának azonosítására.

Incidens bevitele a Radar ID-be A szakértők hozzáférést biztosítottak a Radar 2.7-hez, és előre feltöltöttem a fiókot néhány kész incidenssel.A platformra való bejelentkezés után az "Új esemény dokumentálása" gombra kattintva létrehoztam egy eseményt, naplóztam a történteket, majd játszottam a jelentési modullal.

Elveszett laptop esetén részletes űrlapot töltöttem ki, amelyben leírtam, hogy mi veszett el, milyen formátumban vannak az adatok, kik érintettek, és hány rekordot érinthet.Egyes részek nagyon részletesen foglalkoztak, például tisztázták az elveszett elektronikai adatok formáit – e-mail, hordozható FTP és mások –, hogy az incidens rosszindulatú vagy nem rosszindulatú volt-e, és hogyan történt.

Azt is meghatároztam, hogy mely adatelemek vesztek el, legyen szó személyazonosító adatokról (PII), védett egészségügyi információkról (PHI) vagy egyéb érzékeny információkról.Jó lett volna, ha ahelyett, hogy minden egyes jelölőnégyzetre kattintana, csak azt mondhatnánk, hogy „All PII” vagy „All PHI”, de ez arra kényszeríti az adminisztrátort, hogy valóban figyeljen az elveszett adatokra.

Megjelölhetném a nyilvánosságra hozott adatok típusait, például neveket, egészségügyi feljegyzéseket, banki információkat és egyebeket.Minden vállalkozás más és más, így pontosan meg tudtam határozni azokat a megfelelőségi előírásokat, amelyekre vonatkoztam (vagy csak a legjobb gyakorlatokat), és végül egy nagyon személyre szabott eseménytervet készítettem – Következő: Incidenskezelés a Radarral

Incidenskezelés Radarral


Ez egy nagyon egyszerű folyamat volt, mivel az összes információt képernyőről képernyőre fektették le.Minden lépéshez hasznos tippek találhatók, és a felület egyszerűvé teszi a szakaszok kihagyását, ha nem rendelkezem a szükséges információkkal.Mindig visszamehettem, és újra beírhattam a hiányzó információkat, és újra elkészíthettem az értékelést.

Mivel a Radar államonkénti értékelést kínál, azt is meg kell határoznom, hogy az áldozatok közül hány volt melyik állam lakosa.Az ebből a táblázatból összegyűjtött információk határozzák meg, hogy a szervezetre mely állam törvényei vonatkoznak.Ez az oldal csak akkor érvényes, ha tényleges jogsértésen dolgozunk, és nem a „Csak a dokumentációval kapcsolatos incidens”-en.

Radar portál
Az út minden lépésénél jegyzeteket adhatok hozzá, vagy alátámasztó dokumentumokat, például kármentesítési terveket, ellenőrző listákat és jelentéseket tölthetek fel, hogy átfogó nyilvántartást készítsek az incidensről.Ily módon minden egyes biztonsági és adatvédelmi incidens központi tárháza volt, minden részlettel, megjegyzéssel és melléklettel.

A generált incidens-elhárítási tervvel a kezemben tudtam feladatokat kijelölni az érintett reagálókhoz, és megnézni, hogy mely feladatokat végezték el.Azokban a szakaszokban, amelyek meghatározták, hogy értesítenem kell egy szabályozó ügynökséget, volt egy szakasz, amely jelezte, hogy mikor történt a bejelentés, született-e döntés a bejelentés elhalasztásáról (és miért) és egyéb tevékenységekről.Bárki megnézheti a tervet, és pontosan láthatja, hol volt a reagáló csapat, és milyen feladatok voltak éppen függőben vagy várakozva.Ha valaki nem a saját munkáját végezte, átadhatnám a feladatot másra.

A Radar a rendelkezésre bocsátott információkat felhasználta a kockázati szint ábrázolására, kiszámítva az incidens súlyosságát és azt, hogy szükség van-e más szabályozó csoportok bevonására.Ha a személyes adatok nyilvánosságra kerültek, vagy ha az adatokhoz bármilyen pénzügyi, hírnév- vagy egészségügyi kockázati szint társult, akkor azt színkóddal látnák el (piros, zöld és sárga), hogy lássam, mik a kockázatok.

A fő irányítópult nézet felsorolta a rendszerben jelenleg lévő összes eseményt.Szűrhetem a listát állapot, dátum és az incidens hozzárendelése alapján.Egy adott időpontban láthattam egy frissített listát arról, hogy pontosan mely lépések készültek el az értékelésen belül, és mi van még hátra.A műszerfalon minden incidensnek volt egy színkódolt köre (piros, sárga, zöld, fehér), amely jelezte a HITECH és az állami törvények kockázati szintjét.Néhány incidensnek alacsony állapothatása és közepes kockázata volt például a HITECH számára.

Az előre elkészített jelentések lehetővé teszik a nyitott és lezárt jegyek nyomon követését, megfelelőségi jelentések futtatását és a dokumentáció elkészítését audit vagy vizsgálat esetén.

A SaaS előnyei
Mivel szolgáltatásként szoftverként kínálják, az ID Experts rendszeresen frissítheti a platformot, hogy tükrözze a törvényi változásokat, a megfelelőségi követelményeket és az iparág legjobb gyakorlatait.A felhasználók hozzáférhetnek a legfrissebb információkhoz anélkül, hogy aggódnának amiatt, hogy frissítettek-e a legújabb szoftverre vagy sem.A portálra bejelentkezve mindig a legújabb verziót látják.Amikor a jogsértés bejelentéséről van szó, a vállalkozásoknak nem kell megkísérelniük emlékezni az összes különböző törvényre és szabályozásra, amelyeknek meg kell felelniük.

Az állami megsértési törvények vadul eltérnek egymástól.Egyes államok több információt kérnek a vállalkozásoktól, mint mások.Államonként is változik, hogy mennyi időn belül kell értesíteni az áldozatokat: Maine megköveteli a szervezetektől, hogy hét napon belül értesítsék az ügyfeleket, mások pedig néhány hetet vagy hónapot.

A vállalkozások élő bemutatóra regisztrálhatnak, vagy webcastot nézhetnek, hogy átérezhessék a platformot.Az éves előfizetés ára 10 000 és 50 000 dollár között mozog, és olyan tényezőktől függ, mint a felhasználók száma, a licenc időtartama, az értékelésbe bevont államok száma és mások.Az 5250 dolláros bevezető ár egy több évre szóló licenc egy felhasználó számára HITECH értékeléssel és egy állami értékeléssel.

A végső konfigurációtól függetlenül minden Radar-felhasználó automatikusan kockázatértékelési és incidensértesítési képességet kap, valamint hozzáférést kap egy központi adattárhoz, amely az összes incidenssel kapcsolatos adatot tárolja.A felhasználók az irányítópult segítségével feladatokat oszthatnak ki és újból hozzárendelhetnek, értesíthetik az érintett feleket, riasztásokat adhatnak ki, jegyzeteket adhatnak hozzá és szerkeszthetnek, megjegyzéseket címkézhetnek az egyszerű visszakereséshez és előre meghatározott jelentéseket.A bővítmények közé tartozik az állapotalapú kockázat- és értesítési értékelés az állapotokhoz, az egyéni jelentések és diagramok, valamint a felhasználói hozzáférés-szabályozás beállítása annak szabályozására, hogy ki milyen típusú adatokhoz férhet hozzá.

Egyes vállalkozások számára magasnak és szükségtelennek tűnhet az 5000 dollárral magasabb ár egy olyan platform éves előfizetéséért, amelyre reményeik szerint nincs szükség.Ez azonban a tökéletes példa arra, hogy a szervezetek most pénzt költenek, hogy később pénzt takarítsanak meg.Maguk az adatszivárgások meglehetősen költségesek lehetnek, a legutóbbi adatok szerint a teljes költség átlagosan 5,5 millió dollár, amely magában foglalja a jogi kötelezettségeket, a csökkent termelékenységet és a kapcsolódó költségeket.5000 dollárt vagy többet költeni arra, hogy a jogi kötelezettségeket lényegében nullára csökkentsék, mivel az incidensre adott választerv biztosítja, hogy a szervezetek mindent időben intézzenek, elég alkunak hangzik.

Proaktív tervezés
A szervezetek a Radar segítségével elemezhetik és kitalálhatják a jogsértés mértékét, és meghatározhatják a következő teendőket.A részletes incidensterv segítségével az incidensekre adott válaszidő drámaian lerövidíthető, ami közvetlenül kevesebb kötelezettséget és gyorsabb mérséklést jelent.Mivel ez egy szoftver, mint szolgáltatás, a szervezetek azt is tudják, hogy hozzáférhetnek a legfrissebb szabályokhoz anélkül, hogy időt kellene tölteniük az információk felkutatásával.

A Radar egy egyszerű és könnyen használható felületet biztosít a vállalkozások számára az eseménytervek elkészítéséhez.A Radar a lehető legfájdalomtalanabbá teszi a rémálom forgatókönyvének tervezését az egészségügyi szervezetek számára.Annak ellenére, hogy nem olyan kiterjedt vagy sima, mint a Co3 Systems, a Radar egy szilárd incidensreagálási tervezési eszköz, amellyel az üzleti élet proaktívan felkészülhet az esetleges adatszivárgásra.

Minden kategória: Hibajavítási információk