Sitemap

Navigazione veloce

Een datalek is een groot probleem voor een zorgorganisatie, ongeacht het type incident.Omgaan met de nasleep van een inbreuk of een beveiligingsincident kan een uitdagend, tijdrovend en vaak chaotisch proces zijn.Radar, van de privacybewuste mensen van ID Experts, helpt organisaties bij het opstellen van een incidentresponsplan in het geval van een datalek en bij het volgen van elke stap wanneer deze wordt opgelost.Cyberaanvallers kunnen het netwerk binnendringen en toegang krijgen tot gevoelige gegevens of een werknemer kan per ongeluk een laptop hebben verloren met documenten met gezondheidsgerelateerde informatie.Een verkeerd geconfigureerde server kan onbedoeld bestanden hebben blootgesteld aan mensen buiten de organisatie, en een malafide ziekenhuismedewerker kan toegang krijgen tot patiëntendossiers en deze delen met onbevoegde personen.Al deze incidenten zijn onderworpen aan een hele reeks nalevingsvoorschriften, staats- en federale wetten en industrienormen; en Radar maakt het complexe proces eenvoudiger.

ID Experts positioneert Radar als de "privacy incident management" tool die speciaal is ontworpen voor zorgorganisaties zoals ziekenhuizen, klinieken en zorgverzekeraars.Het platform richt zich op HIPAA (Health Insurance Portability Accountability Act) en HITECH (Health Information Technology for Economic and Clinical Health) regelgeving, evenals op de meldingswetten voor datalekken.

Radar is vergelijkbaar met Co3 Systems omdat beide platforms beheerders helpen bij het beheren van datalekken en het identificeren van stappen om de fout te identificeren, het probleem op te lossen, de slachtoffers op de hoogte te stellen en te controleren of het probleem is verholpen.Co3 Systems is sterk gebaseerd op wizards, omvat een breder scala aan regelgeving dan alleen de gezondheidszorg en is niet beperkt tot alleen datalekken.

RADAR verschilt van andere platforms doordat het een incidentspecifieke risicobeoordeling uitvoert, zoals het gebruik van vier factoren uit de HIPAA-eindregel, die vereist is door federale en staatswetten voor naleving.RADAR heeft die beoordelingsregels in de software ingebed, waardoor het voor privacy- en nalevingsfunctionarissen gemakkelijker wordt om elk incident consistent te beoordelen.

Wat radar doet?
Bedrijven, die zich richten op het voorkomen van datalekken en -lekken, vergeten vaak te plannen voor het worstcasescenario wanneer beveiligingstechnologie en -processen falen.Radar pakt dit probleem proactief aan door beheerders in staat te stellen een gedetailleerd incidentresponsplan te genereren om elke stap te identificeren die moet plaatsvinden.

Managers en beveiligingsteams beantwoorden een reeks vragen over een bepaald beveiligings- of privacy-incident en Radar geeft een lijst terug met staatswetten en HIPAA/HITECH-voorschriften die van toepassing zijn op de specifieke omstandigheden.De software identificeert iedereen die op de hoogte moet worden gesteld.

Hoewel ik de termen vaak door elkaar gebruik, maakt het platform onderscheid tussen incidenten en inbreuken.Een incident zou zijn dat een werknemer een laptop verliest.Een inbreuk zou zijn als iemand die verloren laptop zou vinden en patiëntgegevens zou blootleggen.Als de harde schijf was versleuteld, zou het verlies een incident zijn gebleven omdat de gegevens nog steeds veilig waren.Als ik specificeerde dat de gegevens niet openbaar waren gemaakt (omdat de laptop in de oceaan was gevallen), zou Radar het rapport markeren als "Alleen documentatie" en geen plan voor incidentrespons genereren.Als ik aangaf dat er een mogelijkheid was dat iemand de gegevens daadwerkelijk zou tegenkomen (in het geval van een verloren laptop op een conferentie), dan zou Radar een reactieplan genereren.

Aangezien bedrijven die te maken hebben met een inbreuk snel moeten reageren, kan de organisatie, door snel aangepaste incidentresponsplannen te genereren met een duidelijke workflow, consistent en effectief reageren.Het platform maakt ook gebruik van kleurgecodeerde sleutels om te identificeren welke incidenten een hoog risico met zich meebrengen en wat de impact op HITECH-compliance is.

Het invoeren van een incident in Radar ID Experts gaf me toegang tot Radar 2.7 en vulde het account vooraf met enkele kant-en-klare incidenten.Nadat ik me had aangemeld op het platform, klikte ik op de knop "Nieuw incident documenteren" om een ​​evenement aan te maken, vast te leggen wat er gebeurde en speelde vervolgens met de rapportagemodule.

In het geval van een verloren laptop heb ik een gedetailleerd formulier ingevuld waarin ik beschreef wat er verloren was gegaan, in welk formaat de gegevens zich bevonden, wie erbij betrokken was en hoeveel records mogelijk zijn aangetast.Sommige secties gingen zeer gedetailleerd in, zoals het verduidelijken van de vorm van elektronische gegevens die verloren zijn gegaan - e-mail, draagbare FTP-opslag en andere - of of de inbreuk kwaadwillig of niet-kwaadwillend was, en hoe het gebeurde.

Ik identificeerde ook welke gegevenselementen verloren waren gegaan, of het nu persoonlijke identificatie-informatie (PII), beschermde gezondheidsinformatie (PHI) of andere gevoelige informatie was.Het zou leuk geweest zijn om gewoon "Alle PII" of "Alle PHI" te kunnen zeggen in plaats van naar beneden te gaan en op elk afzonderlijk selectievakje te klikken, maar het dwingt de beheerder om echt op te letten welke gegevens verloren zijn gegaan.

Ik zou kunnen aangeven welke soorten gegevens zijn blootgesteld, zoals namen, medische dossiers, bankgegevens en andere.Alle bedrijven zijn anders, dus ik kon precies de nalevingsvoorschriften specificeren waaraan ik was onderworpen (of alleen best practices) en eindigen met een zeer op maat gemaakt incidentplan - Volgende: Incidentbeheer met radar

Incidentbeheer met radar


Het was een heel eenvoudig proces, omdat alle informatie scherm voor scherm werd weergegeven.Er zijn handige tips bij elke stap en de interface maakt het eenvoudig om secties over te slaan als ik niet over de vereiste informatie beschikte.Ik kon altijd teruggaan en de ontbrekende informatie opnieuw invoeren en de beoordeling opnieuw maken.

Omdat Radar een beoordeling per staat biedt, moet ik ook vaststellen hoeveel van de slachtoffers inwoners van welke staat waren.De informatie die uit deze tabel wordt verzameld, zou bepalen aan welke staatswetten de organisatie onderworpen zou zijn.Deze pagina is alleen van toepassing als we aan een daadwerkelijke inbreuk werken en niet aan 'Documentation Only Incident'.

Radarportaal
Bij elke stap kon ik notities toevoegen of ondersteunende documenten uploaden, zoals herstelplannen, checklists en rapporten, om uitgebreide records van het incident te creëren.Op deze manier had ik een centrale opslagplaats van elk afzonderlijk beveiligings- en privacyincident met alle details, notities en bijlagen.

Met het gegenereerde incidentresponsplan in de hand kon ik taken toewijzen aan relevante hulpverleners en zien welke taken zijn voltooid.In secties waarin werd gespecificeerd dat ik een regelgevende instantie op de hoogte moest stellen, was er een sectie om aan te geven wanneer de melding werd gedaan, of de beslissing was genomen om de melding uit te stellen (en waarom) en andere activiteiten.Iedereen kan het plan bekijken en precies zien waar het responsteam was en welke taken op dat moment in behandeling waren of in de wacht stonden.Als iemand zijn of haar werk niet deed, kon ik de taak aan iemand anders toewijzen.

Radar heeft de verstrekte informatie gebruikt om het risiconiveau in kaart te brengen door de ernst van het incident te berekenen en of andere regelgevende groepen moeten worden betrokken.Als PII was blootgesteld, of als er financiële, reputatie- en medische risiconiveaus waren verbonden aan de gegevens, zou dat een kleurcode hebben (rood, groen en geel) zodat ik kon zien wat de risico's waren.

In het hoofddashboard werden alle incidenten weergegeven die momenteel in het systeem aanwezig zijn.Ik kon de lijst filteren op status, maar ook op datum en aan wie het incident was toegewezen.Op elk willekeurig moment kon ik een bijgewerkte lijst zien van precies welke stappen waren voltooid binnen een beoordeling en wat er nog meer moest gebeuren.Elk incident in het dashboard had een cirkel met kleurcodering (rood, geel, groen, wit) om het risiconiveau voor HITECH en staatswetten aan te geven.Sommige incidenten hadden bijvoorbeeld een lage impact op de staat en een gemiddeld risico voor HITECH.

Met de vooraf ingeblikte rapporten kan ik open en gesloten tickets volgen, nalevingsrapporten opstellen en documentatie voorbereiden in geval van een audit of onderzoek.

Voordelen van SaaS
Aangezien het wordt aangeboden als een software-as-a-service, kan ID Experts het platform regelmatig bijwerken om wijzigingen in de wetten, nalevingsvereisten en best practices in de branche weer te geven.Gebruikers krijgen toegang tot de nieuwste informatie zonder zich zorgen te maken of ze al dan niet een upgrade naar de nieuwste software hebben uitgevoerd.Als ze inloggen op de portal, zien ze altijd de nieuwste versie.Als het gaat om het melden van inbreuken, hoeven bedrijven niet te proberen alle verschillende wet- en regelgeving te onthouden waaraan ze moeten voldoen.

De wetten inzake staatsschendingen verschillen enorm van elkaar.Sommige staten eisen dat bedrijven meer informatie verstrekken dan andere.Hoe snel slachtoffers op de hoogte moeten worden gebracht, verschilt ook per staat, waarbij Maine organisaties verplicht om klanten binnen zeven dagen op de hoogte te stellen, en anderen, die enkele weken of maanden toestaan.

Bedrijven kunnen zich aanmelden voor een live demo of een webcast bekijken om een ​​idee te krijgen van het platform.Het prijskaartje voor het jaarabonnement varieert van $ 10.000 tot $ 50.000 en is afhankelijk van factoren zoals het aantal gebruikers, de licentieperiode, het aantal staten dat in de beoordeling is opgenomen en andere.De introductieprijs van $ 5.250 is een meerjarige licentie voor één gebruiker met HITECH-beoordeling en één staatsbeoordeling.

Ongeacht de uiteindelijke configuratie krijgen alle Radar-gebruikers automatisch de mogelijkheid om risico's te beoordelen en incidenten te melden en toegang tot een centrale opslagplaats die alle incidentgerelateerde gegevens bevat.Gebruikers kunnen het dashboard gebruiken om taken toe te wijzen en opnieuw toe te wijzen, relevante partijen op de hoogte te stellen, waarschuwingen uit te geven, notities toe te voegen en te bewerken, notities te taggen voor eenvoudig ophalen en vooraf gedefinieerde rapporten.Add-ons omvatten op staat gebaseerde risico- en meldingsbeoordeling voor staten, aangepaste rapporten en grafieken, en het instellen van gebruikerstoegangscontrole om te bepalen wie toegang heeft tot welke soorten gegevens.

Voor sommige bedrijven lijkt een prijskaartje van $ 5.000 meer voor een jaarabonnement op een platform dat ze hopen niet nodig te hebben hoog en onnodig.Dit is echter het perfecte voorbeeld van organisaties die nu geld uitgeven om later geld te besparen.Gegevensinbreuken zelf kunnen behoorlijk duur zijn, met recente cijfers die de totale kosten schatten op gemiddeld $ 5,5 miljoen, inclusief wettelijke verplichtingen, verminderde productiviteit en gerelateerde kosten.$ 5.000 of meer uitgeven om de wettelijke verplichtingen in wezen op nul te zetten, omdat het incidentresponsplan ervoor zorgt dat de organisaties alles tijdig hebben afgehandeld, klinkt als een koopje.

Proactieve planning
Organisaties kunnen Radar gebruiken om de omvang van een inbreuk te analyseren en te achterhalen en te bepalen wat er vervolgens moet gebeuren.Met een gedetailleerd incidentplan kan de responstijd voor incidenten drastisch worden verkort, wat zich direct vertaalt in minder aansprakelijkheden en snellere mitigatie.Omdat het een software-as-a-service is, weten organisaties ook dat ze toegang hebben tot de meest up-to-date regels zonder de tijd te hoeven besteden aan het opsporen van de informatie.

Radar biedt bedrijven een duidelijke en gebruiksvriendelijke interface om die incidentplannen te maken.Radar maakt het proces van het plannen van een nachtmerriescenario zo pijnloos mogelijk voor zorgorganisaties.Hoewel het niet zo uitgebreid of gelikt is als Co3 Systems, is Radar een solide tool voor het plannen van incidentrespons die bedrijven kunnen gebruiken om zich proactief voor te bereiden op het eventuele datalek.

Tutte le categorie: Bugfix informatie