Sitemap

O încălcare a datelor este o mare problemă pentru o organizație de asistență medicală, indiferent de tipul de incident.Confruntarea cu consecințele unei încălcări sau a unui incident de securitate poate fi un proces provocator, consumator și, adesea, haotic.Radar, de la cei cunoscători de confidențialitate de la ID Experts, ajută organizațiile să creeze un plan de răspuns la incident în cazul unei încălcări a datelor și să urmărească fiecare pas pe măsură ce este rezolvat.Atacatorii cibernetici pot încălca rețeaua și pot accesa date sensibile sau un angajat poate să fi pierdut accidental un laptop care conține documente care conțin informații legate de sănătate.Un server greșit configurat poate fi expus din greșeală fișiere unor persoane din afara organizației, iar un angajat necinstit al spitalului poate accesa înregistrările pacienților și le poate partaja cu persoane neautorizate.Toate aceste incidente sunt supuse o serie de reglementări de conformitate, legi statale și federale și standarde din industrie; iar Radar face procesul complex mai simplu.

ID Experts poziționează Radar drept instrumentul de „gestionare a incidentelor de confidențialitate” conceput special pentru organizațiile din domeniul sănătății, cum ar fi spitale, clinici și planuri de sănătate.Platforma se concentrează pe reglementările HIPAA (Health Insurance Portability Accountability Act) și HITECH (Health Information Technology for Economic and Clinical Health), precum și pe legile de stat privind notificarea încălcării datelor.

Radar este similar cu Co3 Systems prin faptul că ambele platforme ajută administratorii să gestioneze încălcările de date și să identifice pașii pentru a identifica defectul, a remedia problema, a notifica victimele și a verifica problema a fost rezolvată.Co3 Systems se bazează în mare parte pe vrăjitori, acoperă o gamă mai largă de reglementări decât asistența medicală și nu se limitează doar la încălcări ale datelor.

RADAR este diferit de alte platforme prin faptul că efectuează o evaluare a riscului specifică incidentului, cum ar fi utilizarea a patru factori din regula finală HIPAA, care este cerut de legile federale și de stat pentru conformitate.RADAR a încorporat aceste reguli de evaluare în software, făcându-le mai ușor pentru ofițerii de confidențialitate și conformitate să evalueze fiecare incident în mod constant.

Ce face radarul
Companiile, concentrate pe prevenirea încălcării și scurgerilor de date, uită adesea să planifice scenariul cel mai rău, când tehnologia și procesele de securitate eșuează.Radar abordează în mod proactiv această problemă, permițând administratorilor să genereze un plan detaliat de răspuns la incident pentru a identifica fiecare pas care trebuie să aibă loc.

Managerii și echipele de securitate răspund la o serie de întrebări referitoare la un anumit incident de securitate sau de confidențialitate, iar Radar returnează o listă a legilor de stat și a reglementărilor HIPAA/HITECH care se aplică circumstanțelor specifice.Software-ul identifică pe toți cei care trebuie notificați.

Deși folosesc adesea termenii în mod interschimbabil, platforma face diferența între incidente și încălcări.Un incident ar fi ca un angajat să piardă un laptop.O încălcare ar fi dacă cineva a găsit acel laptop pierdut și a expus datele pacientului.Dacă hard disk-ul ar fi fost criptat, pierderea ar fi rămas un incident, deoarece datele erau încă securizate.Dacă aș preciza că datele nu au fost expuse (pentru că laptopul a căzut în ocean), Radar ar semnaliza raportul ca „Documentare doar” și nu ar genera un plan de răspuns la incident.Dacă aș indica că există posibilitatea ca cineva să întâlnească datele (în cazul unui laptop pierdut la o conferință), atunci Radar ar genera un plan de răspuns.

Având în vedere că companiile care suferă o încălcare trebuie să răspundă rapid, capacitatea de a genera rapid planuri de răspuns personalizate la incidente cu un flux de lucru clar înseamnă că organizația poate răspunde în mod consecvent și eficient.Platforma folosește, de asemenea, chei cu coduri de culori pentru a identifica incidentele cu risc ridicat și impactul asupra conformității HITECH.

Introducerea unui incident în Radar ID Experts mi-a dat acces la Radar 2.7 și am prepopulat contul cu câteva incidente gata făcute.După ce m-am conectat pe platformă, am făcut clic pe butonul „Documentează nou incident” pentru a crea un eveniment, înregistrând ceea ce s-a întâmplat și apoi m-am jucat cu modulul de raportare.

În cazul unui laptop pierdut, am completat un formular detaliat care descrie ceea ce a fost pierdut, în ce format erau datele, cine a fost implicat și câte înregistrări pot fi afectate.Unele secțiuni au intrat în detalii foarte detaliate, cum ar fi clarificarea formei datelor electronice care au fost pierdute — e-mail, FTP de stocare portabil și altele — sau dacă încălcarea a fost rău intenționată sau non-rațioasă și cum s-a întâmplat.

Am identificat, de asemenea, ce elemente de date au fost pierdute, fie că au fost informații de identificare personală (PII), informații de sănătate protejate (PHI) sau alte informații sensibile.Ar fi fost frumos să poți spune „Toate PII” sau „Toate PHI” în loc să dai jos și să dai clic pe fiecare casetă de selectare, dar forțează administratorul să acorde cu adevărat atenție la datele pierdute.

Aș putea indica tipurile de date expuse, cum ar fi nume, dosare de sănătate, informații bancare și altele.Toate afacerile sunt diferite, așa că am putut specifica exact reglementările de conformitate la care am fost supus (sau doar cele mai bune practici) și am reușit să am un plan de incidente foarte personalizat—Următorul: Gestionarea incidentelor cu radar

Managementul incidentelor cu radar


A fost un proces foarte ușor, deoarece toate informațiile au fost prezentate ecran cu ecran.Există sfaturi utile de-a lungul fiecărui pas, iar interfața simplifică sărirea secțiunilor dacă nu aveam informațiile necesare.Aș putea oricând să mă întorc și să reintroduc informațiile lipsă și să recreez evaluarea.

Deoarece Radar oferă o evaluare stat cu stat, trebuie, de asemenea, să identific câte dintre victime erau rezidenți în ce stat.Informațiile colectate din acest tabel ar determina legile de stat la care ar fi supusă organizația.Această pagină se aplică numai dacă lucrăm la o încălcare reală și nu la „Incident numai în documentație”.

Portal radar
La fiecare pas, aș putea adăuga note sau încărca documente justificative, cum ar fi planuri de remediere, liste de verificare și rapoarte, pentru a crea înregistrări complete ale incidentului.În acest fel, am avut un depozit central al fiecărui incident de securitate și confidențialitate cu toate detaliile, notele și atașamentele.

Cu planul de răspuns la incident generat în mână, aș putea să atribui sarcini respondenților relevanți și să văd ce sarcini au fost finalizate.În secțiunile care specificau că trebuie să notific o agenție de reglementare, exista o secțiune pentru a indica când a fost făcută notificarea, dacă a fost luată decizia de a amâna notificarea (și de ce) și alte activități.Oricine poate privi planul și poate vedea exact unde a fost echipa de răspuns și ce sarcini erau în așteptare sau în așteptare.Dacă cineva nu își făcea treaba, aș putea reatribui sarcina altcuiva.

Radar a folosit informațiile furnizate pentru a reprezenta un grafic nivelul de risc, calculând gravitatea incidentului și dacă trebuie implicate alte grupuri de reglementare.Dacă PII a fost expusă sau dacă ar exista niveluri de risc financiar, reputațional și medical asociate cu datele, acestea ar fi codificate cu culori (roșu, verde și galben), astfel încât să pot vedea care sunt riscurile.

Vizualizarea tabloului de bord principal a enumerat toate incidentele aflate în prezent în sistem.Aș putea filtra lista în funcție de stare, precum și de dată și cui i-a fost atribuit incidentul.În orice moment, am putut vedea o listă actualizată cu exact ce pași au fost parcurși în cadrul unei evaluări și ce mai rămânea de făcut.Fiecare incident din tabloul de bord avea un cerc cu coduri de culoare (roșu, galben, verde, alb) pentru a indica nivelul de risc pentru HITECH și legile de stat.Unele incidente au avut un impact redus asupra statului și un risc mediu pentru HITECH, de exemplu.

Rapoartele preconservate îmi permit să urmăresc biletele deschise și închise, să rulez rapoarte de conformitate și să pregătesc documentația în cazul unui audit sau investigație.

Beneficiile SaaS
Deoarece este oferit ca un software ca serviciu, ID Experții pot actualiza în mod regulat platforma pentru a reflecta schimbările din legi, cerințele de conformitate și cele mai bune practici din industrie.Utilizatorii au acces la cele mai recente informații fără a-și face griji dacă au făcut sau nu upgrade la cel mai recent software.Conectându-se la portal, ei văd întotdeauna cea mai recentă versiune.Când vine vorba de notificarea încălcării, companiile nu trebuie să încerce să-și amintească toate legile și reglementările pe care trebuie să le respecte.

Legile privind încălcarea statului diferă extrem de mult una de alta.Unele state impun companiilor să furnizeze mai multe informații decât altele.Cât de repede trebuie notificate victimele, variază și în funcție de stat, Maine solicitând organizațiilor să notifice clienții în termen de șapte zile, iar altele, care permit câteva săptămâni sau luni.

Companiile se pot înscrie pentru o demonstrație live sau pot viziona un webcast pentru a avea o idee despre platformă.Prețul pentru abonamentul anual variază între 10.000 USD și 50.000 USD și depinde de factori precum numărul de utilizatori, perioada de licență, numărul de state incluse în evaluare și alții.Prețul de lansare de 5.250 USD este o licență pe mai mulți ani pentru un utilizator cu evaluare HITECH și o evaluare de stat.

Indiferent de configurația finală, toți utilizatorii Radar obțin automat capabilități de evaluare a riscurilor și de notificare a incidentelor și acces la un depozit central care deține toate datele legate de incident.Utilizatorii pot folosi tabloul de bord pentru a atribui și reatribui sarcini, pentru a notifica părțile relevante, pentru a emite alerte, pentru a adăuga și edita note, pentru a eticheta note pentru o recuperare ușoară și rapoarte predefinite.Suplimentele includ evaluarea riscurilor și a notificărilor pe bază de stat pentru state, rapoarte și diagrame personalizate și setarea controlului accesului utilizatorilor pentru a controla cine are acces la ce tipuri de date.

Pentru unele companii, un preț de 5.000 USD mai mult pentru un abonament anual pentru o platformă de care speră să nu aibă nevoie poate părea ridicat și inutil.Cu toate acestea, acesta este exemplul perfect al organizațiilor care cheltuiesc bani acum pentru a economisi bani mai târziu.Încălcările de date în sine pot fi destul de costisitoare, cifrele recente estimând costul total la o medie de 5,5 milioane de dolari, care include obligațiile legale, productivitatea afectată și cheltuielile aferente.A cheltui 5.000 de dolari sau mai mult pentru a reduce, în esență, răspunderile legale la zero, deoarece planul de răspuns la incident asigură că organizațiile s-au ocupat de totul în timp util, sună ca o afacere destul de bună.

Planificare proactivă
Organizațiile pot folosi Radar pentru a analiza și a afla amploarea unei încălcări și pentru a identifica ce trebuie făcut în continuare.Cu un plan detaliat pentru incidente, timpul de răspuns la incident poate fi redus dramatic, ceea ce se traduce direct în mai puține datorii și atenuare mai rapidă.Deoarece este un software-as-a-service, organizațiile știu, de asemenea, că au acces la cele mai actualizate reguli fără a fi nevoite să-și petreacă timpul urmărind informațiile.

Radar oferă companiilor o interfață simplă și ușor de utilizat pentru a crea acele planuri de incidente.Radar face ca procesul de planificare pentru un scenariu de coșmar să fie cât mai nedureros posibil pentru organizațiile din domeniul sănătății.Chiar dacă nu este la fel de extins sau slick precum Co3 Systems, Radar este un instrument solid de planificare a răspunsului la incident pe care afacerile îl pot folosi pentru a se pregăti în mod proactiv pentru eventuala breșă a datelor.