Sitemap

Naruszenie danych to wielka sprawa dla organizacji opieki zdrowotnej, niezależnie od rodzaju incydentu.Radzenie sobie z następstwami naruszenia lub incydentu bezpieczeństwa może być trudnym, czasochłonnym i często chaotycznym procesem.Radar, od osób dbających o prywatność z ID Experts, pomaga organizacjom stworzyć plan reagowania na incydenty w przypadku naruszenia danych i śledzić każdy krok, gdy zostanie rozwiązany.Cyberprzestępcy mogą włamać się do sieci i uzyskać dostęp do wrażliwych danych lub pracownik mógł przypadkowo zgubić laptopa zawierającego dokumenty zawierające informacje dotyczące zdrowia.Źle skonfigurowany serwer może nieumyślnie ujawnić pliki osobom spoza organizacji, a nieuczciwy pracownik szpitala może uzyskać dostęp do danych pacjentów i udostępnić je osobom nieupoważnionym.Wszystkie te incydenty podlegają licznym przepisom dotyczącym zgodności, prawom stanowym i federalnym oraz standardom branżowym; a Radar upraszcza ten złożony proces.

ID Experts pozycjonuje Radar jako narzędzie do „zarządzania incydentami dotyczącymi prywatności”, zaprojektowane specjalnie dla organizacji opieki zdrowotnej, takich jak szpitale, kliniki i plany zdrowotne.Platforma koncentruje się na przepisach HIPAA (ustawa o przenośności ubezpieczeń zdrowotnych) i HITECH (technologia informacyjna w zakresie zdrowia ekonomicznego i klinicznego), a także stanowe przepisy dotyczące powiadamiania o naruszeniu danych.

Radar jest podobny do Co3 Systems, ponieważ obie platformy pomagają administratorom zarządzać naruszeniami danych i identyfikować kroki w celu zidentyfikowania usterki, rozwiązania problemu, powiadomienia ofiar i sprawdzenia, czy problem został rozwiązany.Co3 Systems jest w dużym stopniu oparta na kreatorach, obejmuje szerszy zakres przepisów niż tylko opiekę zdrowotną i nie ogranicza się tylko do naruszenia danych.

RADAR różni się od innych platform tym, że przeprowadza ocenę ryzyka specyficznego dla incydentu, na przykład wykorzystując cztery czynniki z ostatecznej zasady HIPAA, która jest wymagana przez prawo federalne i stanowe w celu zapewnienia zgodności.RADAR osadził te reguły oceny w oprogramowaniu, ułatwiając specjalistom ds. prywatności i zgodności spójną ocenę każdego incydentu.

Co robi radar
Firmy skoncentrowane na zapobieganiu naruszeniom i wyciekom danych często zapominają o planowaniu najgorszego scenariusza, gdy technologia i procesy bezpieczeństwa zawodzą.Radar proaktywnie rozwiązuje ten problem, umożliwiając administratorom generowanie szczegółowego planu reagowania na incydenty, aby zidentyfikować każdy krok, który należy wykonać.

Menedżerowie i zespoły ds. bezpieczeństwa odpowiadają na szereg pytań dotyczących konkretnego incydentu związanego z bezpieczeństwem lub prywatnością, a Radar zwraca listę przepisów stanowych i przepisów HIPAA/HITECH mających zastosowanie do konkretnych okoliczności.Oprogramowanie identyfikuje wszystkich, których należy powiadomić.

Chociaż często używam terminów zamiennie, platforma rozróżnia incydenty i naruszenia.Incydentem byłoby zgubienie laptopa przez pracownika.Naruszenie byłoby, gdyby ktoś znalazł zgubiony laptop i ujawnił dane pacjenta.Gdyby dysk twardy został zaszyfrowany, utrata pozostałaby incydentem, ponieważ dane były nadal bezpieczne.Gdybym określił, że dane nie zostały ujawnione (ponieważ laptop wpadł do oceanu), Radar oznaczyłby raport jako „Tylko dokumentacja” i nie generował planu reakcji na incydent.Gdybym wskazał, że istnieje możliwość, że ktoś rzeczywiście natrafi na dane (w przypadku zgubienia laptopa na konferencji), Radar wygeneruje plan odpowiedzi.

Biorąc pod uwagę, że firmy dotknięte naruszeniem muszą szybko reagować, możliwość szybkiego generowania dostosowanych planów reagowania na incydenty z przejrzystym przepływem pracy oznacza, że ​​organizacja może reagować konsekwentnie i skutecznie.Platforma wykorzystuje również klucze oznaczone kolorami, aby zidentyfikować incydenty o wysokim ryzyku i wpływ na zgodność z HITECH.

Wpisanie incydentu do Radar ID Eksperci dali mi dostęp do Radar 2.7 i wstępnie wypełnili konto kilkoma gotowymi incydentami.Po zalogowaniu się na platformę kliknąłem przycisk „Dokumentuj nowy incydent”, aby utworzyć wydarzenie, rejestrując, co się stało, a następnie bawiłem się modułem raportowania.

W przypadku zgubionego laptopa wypełniłem szczegółowy formularz opisujący, co zostało utracone, w jakim formacie były dane, kto był zaangażowany i ile rekordów może zostać naruszone.Niektóre sekcje były bardzo szczegółowe, na przykład wyjaśniały formę utraconych danych elektronicznych — poczta e-mail, przenośna pamięć masowa FTP i inne — lub czy naruszenie było złośliwe lub niezłośliwe i jak to się stało.

Zidentyfikowałem również, jakie elementy danych zostały utracone, czy były to dane osobowe (PII), chronione informacje zdrowotne (PHI) czy inne wrażliwe informacje.Byłoby miło po prostu móc powiedzieć „Wszystkie PII” lub „Wszystkie PHI” zamiast schodzić w dół i klikać każde pole wyboru, ale zmusza to administratora do naprawdę zwracania uwagi na to, jakie dane zostały utracone.

Mógłbym wskazać rodzaje ujawnionych danych, takie jak nazwiska, dane medyczne, informacje bankowe i inne.Wszystkie firmy są różne, więc mogłem dokładnie określić przepisy dotyczące zgodności, którym podlegałem (lub po prostu najlepsze praktyki) i stworzyć bardzo spersonalizowany plan incydentów — Dalej: Zarządzanie incydentami za pomocą radaru

Zarządzanie incydentami z Radar


Był to bardzo łatwy proces, ponieważ wszystkie informacje były wyświetlane ekran po ekranie.Na każdym kroku znajdują się pomocne wskazówki, a interfejs ułatwia pomijanie sekcji, jeśli nie mam wymaganych informacji.Zawsze mogłem wrócić i ponownie wprowadzić brakujące informacje i odtworzyć ocenę.

Ponieważ Radar oferuje ocenę stan po stanie, muszę również określić, ile ofiar było mieszkańcami którego stanu.Informacje zebrane z tej tabeli określiłyby, którym prawom stanowym będzie podlegać organizacja.Ta strona ma zastosowanie tylko wtedy, gdy pracujemy nad faktycznym naruszeniem, a nie „Incydentem dotyczącym wyłącznie dokumentacji”.

Portal radarowy
Na każdym kroku mogłem dodawać notatki lub przesyłać dokumenty uzupełniające, takie jak plany naprawcze, listy kontrolne i raporty, aby tworzyć kompleksowe zapisy incydentu.W ten sposób miałem centralne repozytorium każdego incydentu dotyczącego bezpieczeństwa i prywatności ze wszystkimi szczegółami, notatkami i załącznikami.

Mając pod ręką wygenerowany plan reagowania na incydenty, mogłem przydzielać zadania odpowiednim respondentom i sprawdzać, które zadania zostały wykonane.W sekcjach określających, że muszę powiadomić organ regulacyjny, znajdowała się sekcja wskazująca, kiedy dokonano zgłoszenia, czy podjęto decyzję o odroczeniu zgłoszenia (i dlaczego) oraz inne działania.Każdy może spojrzeć na plan i zobaczyć dokładnie, gdzie znajdował się zespół reagowania i jakie zadania były aktualnie w toku lub wstrzymane.Jeśli ktoś nie wykonywał swojej pracy, mogłem przepisać zadanie komuś innemu.

Radar wykorzystał dostarczone informacje do wykreślenia poziomu ryzyka poprzez obliczenie powagi incydentu oraz tego, czy należy zaangażować inne grupy regulacyjne.Jeśli dane osobowe zostały ujawnione lub jeśli istniały jakiekolwiek poziomy ryzyka finansowego, reputacyjnego lub medycznego związanego z danymi, byłyby one oznaczone kolorami (czerwony, zielony i żółty), abym mógł zobaczyć, jakie jest ryzyko.

Główny widok dashboardu zawierał listę wszystkich incydentów aktualnie występujących w systemie.Mogłem filtrować listę na podstawie statusu, a także daty i osoby, do której został przypisany incydent.W dowolnym momencie mogłem zobaczyć zaktualizowaną listę dokładnie tego, jakie kroki zostały wykonane w ramach oceny i co jeszcze zostało do zrobienia.Każdy incydent na desce rozdzielczej był oznaczony kolorem (czerwony, żółty, zielony, biały), aby wskazać poziom ryzyka dla HITECH i przepisów stanowych.Niektóre incydenty miały na przykład niewielki wpływ na stan i średnie ryzyko dla HITECH.

Gotowe raporty pozwalają mi śledzić otwarte i zamknięte zgłoszenia, generować raporty zgodności i przygotowywać dokumentację na wypadek audytu lub dochodzenia.

Korzyści z SaaS
Ponieważ jest oferowany jako oprogramowanie jako usługa, ID Experts może regularnie aktualizować platformę, aby odzwierciedlić zmiany w przepisach, wymagania dotyczące zgodności i najlepsze praktyki branżowe.Użytkownicy uzyskują dostęp do najnowszych informacji bez martwienia się o to, czy zaktualizowali oprogramowanie do najnowszej wersji.Logując się do portalu, zawsze widzą najnowszą wersję.Jeśli chodzi o powiadomienia o naruszeniu, firmy nie muszą pamiętać o wszystkich różnych prawach i przepisach, których muszą przestrzegać.

Stanowe przepisy dotyczące łamania przepisów bardzo się od siebie różnią.Niektóre stany wymagają od firm dostarczania większej ilości informacji niż inne.Czas, w jakim ofiary muszą zostać powiadomione, również różni się w zależności od stanu, przy czym Maine wymaga od organizacji powiadamiania klientów w ciągu siedmiu dni, a inne, które pozwalają na kilka tygodni lub miesięcy.

Firmy mogą zapisać się na demo na żywo lub obejrzeć transmisję internetową, aby poznać platformę.Cena rocznej subskrypcji waha się od 10 000 do 50 000 USD i zależy od takich czynników, jak liczba użytkowników, okres licencji, liczba stanów objętych oceną i inne.Cena początkowa 5250 USD to wieloletnia licencja dla jednego użytkownika z oceną HITECH i jedną oceną stanową.

Niezależnie od ostatecznej konfiguracji, wszyscy użytkownicy Radara automatycznie uzyskują możliwość oceny ryzyka i powiadamiania o incydentach oraz dostęp do centralnego repozytorium, w którym znajdują się wszystkie dane dotyczące incydentów.Użytkownicy mogą korzystać z pulpitu nawigacyjnego do przypisywania i ponownego przydzielania zadań, powiadamiania odpowiednich stron, wysyłania alertów, dodawania i edytowania notatek, oznaczania notatek w celu łatwego wyszukiwania i wstępnie zdefiniowanych raportów.Dodatki obejmują ocenę ryzyka i powiadomień opartą na stanie dla stanów, niestandardowe raporty i wykresy oraz ustawianie kontroli dostępu użytkownika w celu kontrolowania, kto ma dostęp do jakich typów danych.

W przypadku niektórych firm wyższa cena o 5000 USD za roczną subskrypcję platformy, której mają nadzieję nie potrzebować, może wydawać się wysoka i niepotrzebna.Jest to jednak doskonały przykład organizacji, które wydają pieniądze teraz, aby zaoszczędzić pieniądze później.Same naruszenia danych mogą być dość kosztowne, a ostatnie dane szacują łączny koszt na średnio 5,5 miliona USD, który obejmuje zobowiązania prawne, obniżoną wydajność i powiązane wydatki.Wydanie 5000 USD lub więcej, aby zasadniczo zmniejszyć zobowiązania prawne do zera, ponieważ plan reagowania na incydenty zapewnia, że ​​organizacje zajmą się wszystkim w odpowiednim czasie, brzmi jak dobra okazja.

Proaktywne planowanie
Organizacje mogą używać Radaru do analizowania i określania zakresu naruszenia oraz określania, co należy zrobić dalej.Dzięki szczegółowemu planowi incydentów czas reakcji na incydent może zostać radykalnie skrócony, co bezpośrednio przekłada się na mniej zobowiązań i szybsze łagodzenie skutków.Ponieważ jest to oprogramowanie jako usługa, organizacje wiedzą również, że mają dostęp do najbardziej aktualnych reguł bez konieczności marnowania czasu na śledzenie informacji.

Radar zapewnia firmom prosty i łatwy w użyciu interfejs do tworzenia planów incydentów.Radar sprawia, że ​​proces planowania scenariusza koszmaru jest jak najbardziej bezbolesny dla organizacji opieki zdrowotnej.Mimo że nie jest tak rozbudowany i zręczny jak Co3 Systems, Radar jest solidnym narzędziem do planowania reakcji na incydenty, które firma może wykorzystać do proaktywnego przygotowania się na ewentualne naruszenie danych.

Wszystkie kategorie: Informacje o poprawie błędów