Sitemap

Una violazione dei dati è un grosso problema per un'organizzazione sanitaria, indipendentemente dal tipo di incidente.Affrontare le conseguenze di una violazione o di un incidente di sicurezza può essere un processo impegnativo, dispendioso e, spesso, caotico.Radar, dalle persone esperte di privacy di ID Experts, aiuta le organizzazioni a creare un piano di risposta agli incidenti in caso di violazione dei dati e a tenere traccia di ogni passaggio man mano che viene risolto.I cyber-attaccanti possono violare la rete e accedere a dati sensibili oppure un dipendente potrebbe aver perso accidentalmente un laptop contenente documenti contenenti informazioni relative alla salute.Un server configurato in modo errato potrebbe aver esposto inavvertitamente file a persone esterne all'organizzazione e un dipendente ospedaliero non autorizzato potrebbe accedere ai record dei pazienti e condividerli con persone non autorizzate.Tutti questi incidenti sono soggetti a una serie di normative di conformità, leggi statali e federali e standard di settore; e Radar rende il complesso processo più semplice.

ID Experts considera Radar lo strumento di "gestione degli incidenti sulla privacy" progettato specificamente per le organizzazioni sanitarie come ospedali, cliniche e piani sanitari.La piattaforma si concentra sulle normative HIPAA (Health Insurance Portability Accountability Act) e HITECH (Health Information Technology for Economic and Clinical Health), nonché sulle leggi statali sulla notifica delle violazioni dei dati.

Radar è simile a Co3 Systems in quanto entrambe le piattaforme aiutano gli amministratori a gestire le violazioni dei dati e identificare i passaggi per identificare il difetto, risolvere il problema, informare le vittime e verificare che il problema sia stato risolto.Co3 Systems è fortemente basato su procedure guidate, copre una gamma più ampia di normative oltre alla semplice assistenza sanitaria e non si limita alle sole violazioni dei dati.

RADAR è diverso dalle altre piattaforme in quanto esegue una valutazione del rischio specifico dell'incidente, ad esempio utilizzando quattro fattori della regola finale HIPAA, richiesta dalle leggi federali e statali per la conformità.RADAR ha incorporato queste regole di valutazione nel software, rendendo più facile per i responsabili della privacy e della conformità valutare ogni incidente in modo coerente.

Cosa fa il radar
Le aziende, concentrate sulla prevenzione di violazioni e fughe di dati, spesso dimenticano di pianificare lo scenario peggiore quando la tecnologia e i processi di sicurezza falliscono.Radar risolve questo problema in modo proattivo consentendo agli amministratori di generare un piano dettagliato di risposta agli incidenti per identificare ogni passaggio che deve verificarsi.

I manager e i team di sicurezza rispondono a una serie di domande riguardanti un particolare incidente di sicurezza o privacy e Radar restituisce un elenco di leggi statali e normative HIPAA/HITECH si applicano alle circostanze specifiche.Il software identifica tutti coloro che devono essere avvisati.

Sebbene io usi spesso i termini in modo intercambiabile, la piattaforma distingue tra incidenti e violazioni.Un incidente sarebbe un dipendente che perde un laptop.Una violazione sarebbe se qualcuno trovasse quel laptop smarrito e esponesse i dati del paziente.Se il disco rigido fosse stato crittografato, la perdita sarebbe rimasta un incidente perché i dati erano ancora al sicuro.Se specificassi che i dati non sono stati esposti (perché il laptop è caduto nell'oceano), Radar contrassegnerebbe il rapporto come "Solo documentazione" e non genererebbe un piano di risposta agli incidenti.Se indicassi che c'era la possibilità che qualcuno si imbattesse effettivamente nei dati (nel caso di un laptop smarrito durante una conferenza), Radar genererebbe un piano di risposta.

Considerando che le aziende che subiscono una violazione devono rispondere rapidamente, essere in grado di generare rapidamente piani di risposta agli incidenti personalizzati con un flusso di lavoro chiaro significa che l'organizzazione può rispondere in modo coerente ed efficace.La piattaforma utilizza anche chiavi codificate a colori per identificare quali incidenti sono ad alto rischio e l'impatto sulla conformità HITECH.

Inserimento di un incidente in Radar ID Gli esperti mi hanno dato accesso a Radar 2.7 e hanno precompilato l'account con alcuni incidenti già pronti.Dopo aver effettuato l'accesso alla piattaforma, ho cliccato sul pulsante "Document New Incident" per creare un evento, registrando cosa è successo e poi ho giocato con il modulo di segnalazione.

Nel caso di un laptop smarrito, ho compilato un modulo dettagliato descrivendo cosa è stato perso, in quale formato si trovavano i dati, chi era coinvolto e quanti record potrebbero essere interessati.Alcune sezioni sono state molto dettagliate, come chiarire la forma dei dati elettronici persi (e-mail, FTP di archiviazione portatile e altri) o se la violazione era dannosa o non dannosa e come è avvenuta.

Ho anche identificato quali elementi di dati sono andati persi, se si trattava di informazioni di identificazione personale (PII), informazioni sanitarie protette (PHI) o altre informazioni sensibili.Sarebbe stato bello poter dire "Tutte le PII" o "Tutte le PHI" invece di scendere e fare clic su ogni singola casella di controllo, ma costringe l'amministratore a prestare molta attenzione a quali dati sono stati persi.

Potrei indicare i tipi di dati esposti, come nomi, cartelle cliniche, informazioni bancarie e altri.Tutte le aziende sono diverse, quindi sono stato in grado di specificare esattamente le normative di conformità a cui ero soggetto (o semplicemente le migliori pratiche) e concludere con un piano degli incidenti molto personalizzato - Avanti: Gestione degli incidenti con Radar

Gestione degli incidenti con radar


È stato un processo molto semplice, poiché tutte le informazioni sono state disposte schermata per schermata.Ci sono suggerimenti utili lungo ogni passaggio e l'interfaccia rende semplice saltare le sezioni se non si dispone delle informazioni necessarie.Potrei sempre tornare indietro e reinserire le informazioni mancanti e ricreare la valutazione.

Poiché Radar offre una valutazione stato per stato, devo anche identificare quante delle vittime erano residenti in quale stato.Le informazioni raccolte da questa tabella determinerebbero a quali leggi statali l'organizzazione sarebbe soggetta.Questa pagina si applica solo se stiamo lavorando su una violazione effettiva e non su "Incidente di sola documentazione".

Portale radar
In ogni fase del processo, potevo aggiungere note o caricare documenti giustificativi, come piani di riparazione, liste di controllo e rapporti, per creare registrazioni complete dell'incidente.In questo modo ho avuto un repository centrale di ogni singolo incidente di sicurezza e privacy con tutti i dettagli, le note e gli allegati.

Con il piano di risposta agli incidenti generato in mano, ho potuto assegnare attività ai soccorritori pertinenti e vedere quali attività sono state completate.Nelle sezioni che specificavano che dovevo notificare un'agenzia di regolamentazione, c'era una sezione per indicare quando è stata effettuata la notifica, se è stata presa la decisione di differire la notifica (e perché) e altre attività.Chiunque può guardare il piano e vedere esattamente dove si trovava il team di risposta e quali attività erano attualmente in sospeso o sospese.Se qualcuno non stava facendo il suo lavoro, potevo riassegnare il compito a qualcun altro.

Radar ha utilizzato le informazioni fornite per tracciare il livello di rischio calcolando la gravità dell'incidente e se è necessario coinvolgere altri gruppi di regolamentazione.Se le PII fossero state esposte, o se ci fossero livelli di rischio finanziario, reputazionale e medico associati ai dati, sarebbero stati codificati a colori (rosso, verde e giallo) in modo da poter vedere quali erano i rischi.

La visualizzazione dashboard principale elencava tutti gli incidenti attualmente nel sistema.Potrei filtrare l'elenco in base allo stato, nonché alla data e a chi è stato assegnato l'incidente.In qualsiasi momento, potevo vedere un elenco aggiornato di esattamente quali passaggi erano stati completati all'interno di una valutazione e cos'altro era rimasto da fare.Ogni incidente nella dashboard aveva un cerchio codificato a colori (rosso, giallo, verde, bianco) per indicare il livello di rischio per HITECH e le leggi statali.Alcuni incidenti hanno avuto un basso impatto sullo stato e un rischio medio per HITECH, ad esempio.

I report preconfezionati mi consentono di tenere traccia dei ticket aperti e chiusi, eseguire report di conformità e preparare la documentazione in caso di audit o indagine.

Vantaggi di SaaS
Dal momento che viene offerto come un software-as-a-service, gli ID Expert possono aggiornare regolarmente la piattaforma per riflettere i cambiamenti nelle leggi, i requisiti di conformità e le migliori pratiche del settore.Gli utenti ottengono l'accesso alle informazioni più recenti senza preoccuparsi di aver eseguito o meno l'aggiornamento al software più recente.Accedendo al portale, vedono sempre l'ultima versione.Quando si tratta di notificare violazioni, le aziende non devono cercare di ricordare tutte le diverse leggi e normative a cui devono conformarsi.

Le leggi statali sulla violazione variano enormemente l'una dall'altra.Alcuni stati richiedono alle aziende di fornire più informazioni di altri.Anche la rapidità con cui le vittime devono essere informate varia in base allo stato, con il Maine che richiede alle organizzazioni di avvisare i clienti entro sette giorni e altri, che consentono poche settimane o mesi.

Le aziende possono iscriversi a una demo dal vivo o guardare un webcast per avere un'idea della piattaforma.Il prezzo dell'abbonamento annuale varia da $ 10.000 a $ 50.000 e dipende da fattori quali il numero di utenti, il periodo di licenza, il numero di stati inclusi nella valutazione e altri.Il prezzo di lancio di $ 5.250 è una licenza pluriennale per un utente con valutazione HITECH e una valutazione di stato.

Indipendentemente dalla configurazione finale, tutti gli utenti Radar ottengono automaticamente funzionalità di valutazione del rischio e notifica degli incidenti e l'accesso a un repository centrale che contiene tutti i dati relativi agli incidenti.Gli utenti possono utilizzare la dashboard per assegnare e riassegnare attività, notificare le parti interessate, emettere avvisi, aggiungere e modificare note, contrassegnare note per un facile recupero e report predefiniti.I componenti aggiuntivi includono la valutazione del rischio e delle notifiche basata sullo stato per gli stati, report e grafici personalizzati e l'impostazione del controllo dell'accesso degli utenti per controllare chi ha accesso a quali tipi di dati.

Per alcune aziende, un prezzo di $ 5.000 o più per un abbonamento annuale a una piattaforma di cui sperano di non aver bisogno può sembrare alto e non necessario.Tuttavia, questo è l'esempio perfetto di organizzazioni che spendono denaro ora per risparmiare denaro in seguito.Le stesse violazioni dei dati possono essere piuttosto costose, con dati recenti che stimano il costo totale a una media di $ 5,5 milioni, che include responsabilità legali, ridotta produttività e spese correlate.Spendere $ 5.000 o più per azzerare sostanzialmente le responsabilità legali, perché il piano di risposta agli incidenti garantisce che le organizzazioni gestiscano tutto in modo tempestivo, sembra un vero affare.

Pianificazione proattiva
Le organizzazioni possono utilizzare Radar per analizzare e capire l'entità di una violazione e identificare cosa è necessario fare dopo.Con un piano dettagliato degli incidenti, i tempi di risposta agli incidenti possono essere ridotti drasticamente, il che si traduce direttamente in minori responsabilità e mitigazione più rapida.Poiché si tratta di un software-as-a-service, le organizzazioni sanno anche di avere accesso alle regole più aggiornate senza dover perdere tempo a rintracciare le informazioni.

Radar fornisce alle aziende un'interfaccia semplice e facile da usare per creare i piani degli incidenti.Il radar rende il processo di pianificazione di uno scenario da incubo il più indolore possibile per le organizzazioni sanitarie.Anche se non è così ampio o fluido come Co3 Systems, Radar è un solido strumento di pianificazione della risposta agli incidenti che le aziende possono utilizzare per prepararsi in modo proattivo all'eventuale violazione dei dati.