Sitemap

Uma violação de dados é um grande problema para uma organização de saúde, independentemente do tipo de incidente.Lidar com as consequências de uma violação ou de um incidente de segurança pode ser um processo desafiador, desgastante e, muitas vezes, caótico.O Radar, do pessoal especializado em privacidade da ID Experts, ajuda as organizações a criar um plano de resposta a incidentes em caso de violação de dados e acompanhar cada etapa à medida que ela é resolvida.Os invasores cibernéticos podem violar a rede e acessar dados confidenciais ou um funcionário pode ter perdido acidentalmente um laptop contendo documentos contendo informações relacionadas à saúde.Um servidor mal configurado pode ter inadvertidamente exposto arquivos a pessoas de fora da organização, e um funcionário de hospital desonesto pode acessar os registros de pacientes e compartilhá-los com indivíduos não autorizados.Todos esses incidentes estão sujeitos a uma série de regulamentos de conformidade, leis estaduais e federais e padrões do setor; e o Radar torna o processo complexo mais simples.

A ID Experts posiciona o Radar como a ferramenta de "gestão de incidentes de privacidade" projetada especificamente para organizações de saúde, como hospitais, clínicas e planos de saúde.A plataforma se concentra nos regulamentos HIPAA (Health Insurance Portability Accountability Act) e HITECH (Health Information Technology for Economic and Clinical Health), bem como nas leis estaduais de notificação de violação de dados.

O Radar é semelhante ao Co3 Systems, pois ambas as plataformas ajudam os administradores a gerenciar violações de dados e identificar etapas para identificar a falha, corrigir o problema, notificar as vítimas e verificar se o problema foi resolvido.A Co3 Systems é fortemente baseada em assistentes, abrange uma gama mais ampla de regulamentações do que apenas assistência médica e não se limita apenas a violações de dados.

O RADAR é diferente de outras plataformas, pois realiza uma avaliação de risco específica do incidente, como o uso de quatro fatores da regra final da HIPAA, que é exigida pelas leis federais e estaduais para conformidade.O RADAR incorporou essas regras de avaliação no software, tornando mais fácil para os responsáveis ​​pela privacidade e conformidade avaliarem cada incidente de forma consistente.

O que o radar faz
As empresas, focadas na prevenção de violações e vazamentos de dados, geralmente esquecem de planejar o pior cenário quando a tecnologia e os processos de segurança falham.O Radar aborda esse problema de forma proativa, permitindo que os administradores gerem um plano detalhado de resposta a incidentes para identificar cada etapa que precisa ocorrer.

Os gerentes e as equipes de segurança respondem a uma série de perguntas sobre um determinado incidente de segurança ou privacidade e o Radar retorna uma lista de leis estaduais e regulamentos HIPAA/HITECH aplicáveis ​​às circunstâncias específicas.O software identifica todos que precisam ser notificados.

Embora muitas vezes eu use os termos de forma intercambiável, a plataforma diferencia entre incidentes e violações.Um incidente seria um funcionário perder um laptop.Uma violação seria se alguém encontrasse o laptop perdido e os dados do paciente expostos.Se o disco rígido tivesse sido criptografado, a perda continuaria sendo um incidente porque os dados ainda estavam seguros.Se eu especificasse que os dados não foram expostos (porque o laptop caiu no oceano), o Radar sinalizaria o relatório como "Somente documentação" e não geraria um plano de resposta a incidentes.Se eu indicasse que havia a possibilidade de alguém realmente encontrar os dados (no caso de um laptop perdido em uma conferência), o Radar geraria um plano de resposta.

Considerando que as empresas que sofrem uma violação precisam responder rapidamente, ser capaz de gerar rapidamente planos de resposta a incidentes personalizados com um fluxo de trabalho claro significa que a organização pode responder de forma consistente e eficaz.A plataforma também usa chaves codificadas por cores para identificar quais incidentes são de alto risco e o impacto na conformidade HITECH.

Inserir um incidente no Radar ID Experts me deu acesso ao Radar 2.7 e pré-preencheu a conta com alguns incidentes prontos.Depois de fazer login na plataforma, cliquei no botão "Document New Incident" para criar um evento, registrando o que aconteceu e depois joguei com o módulo de relatórios.

No caso de um laptop perdido, preenchi um formulário detalhado descrevendo o que foi perdido, em que formato os dados estavam, quem estava envolvido e quantos registros podem ser afetados.Algumas seções entraram em grandes detalhes, como esclarecer a forma de dados eletrônicos que foram perdidos – e-mail, armazenamento portátil FTP e outros – ou se a violação foi maliciosa ou não maliciosa e como aconteceu.

Também identifiquei quais elementos de dados foram perdidos, sejam informações de identificação pessoal (PII), informações de saúde protegidas (PHI) ou outras informações confidenciais.Teria sido bom poder dizer "All PII" ou "All PHI" em vez de descer e clicar em todas as caixas de seleção, mas isso força o administrador a realmente prestar atenção nos dados que foram perdidos.

Eu poderia indicar os tipos de dados expostos, como nomes, registros de saúde, informações bancárias e outros.Todos os negócios são diferentes, então pude especificar exatamente os regulamentos de conformidade aos quais estava sujeito (ou apenas as melhores práticas) e acabei com um plano de incidentes muito personalizado—Próximo: Gerenciamento de incidentes com radar

Gerenciamento de incidentes com radar


Foi um processo muito fácil, pois todas as informações foram apresentadas tela a tela.Há dicas úteis ao longo de cada etapa, e a interface facilita pular seções se eu não tiver as informações necessárias.Eu sempre poderia voltar e reinserir as informações que faltavam e recriar a avaliação.

Como o Radar oferece uma avaliação estado por estado, também preciso identificar quantas das vítimas eram residentes de qual estado.As informações coletadas desta tabela determinariam a quais leis estaduais a organização estaria sujeita.Esta página se aplica apenas se estivermos trabalhando em uma violação real e não em um "Incidente Somente Documentação".

Portal do radar
Em cada etapa do caminho, eu poderia adicionar notas ou fazer upload de documentos de suporte, como planos de remediação, listas de verificação e relatórios, para criar registros abrangentes do incidente.Dessa forma, eu tinha um repositório central de cada incidente de segurança e privacidade com todos os detalhes, notas e anexos.

Com o plano de resposta a incidentes gerado em mãos, pude atribuir tarefas aos respondentes relevantes e ver quais tarefas foram concluídas.Nas seções especificando que eu deveria notificar uma agência reguladora, havia uma seção para indicar quando a notificação foi feita, se a decisão foi tomada para adiar a notificação (e por quê) e outras atividades.Qualquer pessoa pode olhar para o plano e ver exatamente onde estava a equipe de resposta e quais tarefas estavam pendentes ou em espera.Se alguém não estivesse fazendo seu trabalho, eu poderia transferir a tarefa para outra pessoa.

A Radar usou as informações fornecidas para traçar o nível de risco calculando a gravidade do incidente e se outros grupos reguladores precisam estar envolvidos.Se PII fosse exposto, ou se houvesse algum nível de risco financeiro, de reputação e médico associado aos dados, isso seria codificado por cores (vermelho, verde e amarelo) para que eu pudesse ver quais eram os riscos.

A visualização do painel principal listava todos os incidentes atualmente no sistema.Eu poderia filtrar a lista com base no status, bem como por data e a quem o incidente foi atribuído.A qualquer momento, eu podia ver uma lista atualizada de exatamente quais etapas haviam sido concluídas em uma avaliação e o que mais faltava fazer.Cada incidente no painel tinha um círculo codificado por cores (vermelho, amarelo, verde, branco) para indicar o nível de risco para HITECH e leis estaduais.Alguns incidentes tiveram baixo impacto estadual e médio risco para a HITECH, por exemplo.

Os relatórios pré-enlatados me permitem rastrear tickets abertos e fechados, executar relatórios de conformidade e preparar documentação em caso de auditoria ou investigação.

Benefícios do SaaS
Como é oferecido como um software como serviço, os ID Experts podem atualizar regularmente a plataforma para refletir as mudanças nas leis, requisitos de conformidade e práticas recomendadas do setor.Os usuários obtêm acesso às informações mais recentes sem se preocupar se atualizaram ou não para o software mais recente.Entrando no portal, eles sempre veem a versão mais recente.Quando se trata de notificação de violação, as empresas não precisam tentar se lembrar de todas as diferentes leis e regulamentos que precisam cumprir.

As leis de violação do estado variam muito umas das outras.Alguns estados exigem que as empresas forneçam mais informações do que outros.A rapidez com que as vítimas precisam ser notificadas também varia de acordo com o estado, com Maine exigindo que as organizações notifiquem os clientes em sete dias e outras, que permitem algumas semanas ou meses.

As empresas podem se inscrever para uma demonstração ao vivo ou assistir a um webcast para conhecer a plataforma.O preço da assinatura anual varia entre US$ 10.000 e US$ 50.000 e depende de fatores como número de usuários, período de licenciamento, número de estados incluídos na avaliação e outros.O preço inicial de US$ 5.250 é uma licença de vários anos para um usuário com avaliação HITECH e uma avaliação estadual.

Independentemente da configuração final, todos os usuários do Radar obtêm automaticamente recursos de avaliação de risco e notificação de incidentes e acesso a um repositório central que contém todos os dados relacionados a incidentes.Os usuários podem usar o painel para atribuir e reatribuir tarefas, notificar as partes relevantes, emitir alertas, adicionar e editar notas, marcar notas para fácil recuperação e relatórios predefinidos.Os complementos incluem avaliação de risco e notificação baseada em estado para estados, relatórios e gráficos personalizados e configuração de controle de acesso do usuário para controlar quem tem acesso a quais tipos de dados.

Para algumas empresas, um preço de US$ 5.000 ou mais por uma assinatura anual de uma plataforma que eles esperam não precisar pode parecer alto e desnecessário.No entanto, este é o exemplo perfeito de organizações que gastam dinheiro agora para economizar dinheiro mais tarde.As próprias violações de dados podem ser bastante caras, com números recentes estimando o custo total em uma média de US$ 5,5 milhões, que inclui responsabilidades legais, produtividade prejudicada e despesas relacionadas.Gastar US $ 5.000 ou mais para basicamente reduzir as responsabilidades legais a zero, porque o plano de resposta a incidentes garante que as organizações lidem com tudo em tempo hábil, parece uma pechincha.

Planejamento proativo
As organizações podem usar o Radar para analisar e descobrir a extensão de uma violação e identificar o que precisa ser feito em seguida.Com um plano de incidentes detalhado, o tempo de resposta a incidentes pode ser reduzido drasticamente, o que se traduz diretamente em menos responsabilidades e mitigação mais rápida.Por ser um software como serviço, as organizações também sabem que têm acesso às regras mais atualizadas sem precisar perder tempo rastreando as informações.

O Radar fornece às empresas uma interface direta e fácil de usar para criar esses planos de incidentes.O Radar torna o processo de planejamento para um cenário de pesadelo o mais simples possível para as organizações de saúde.Embora não seja tão extenso ou sofisticado quanto o Co3 Systems, o Radar é uma ferramenta sólida de planejamento de resposta a incidentes que as empresas podem usar para se preparar proativamente para uma eventual violação de dados.