Sitemap

Утечка данных — это большая проблема для организации здравоохранения, независимо от типа инцидента.Устранение последствий взлома или инцидента безопасности может быть сложным, трудоемким и часто хаотичным процессом.Radar от разбирающихся в конфиденциальности сотрудников ID Experts помогает организациям создавать план реагирования на инциденты в случае утечки данных и отслеживать каждый шаг по мере его устранения.Кибер-злоумышленники могут взломать сеть и получить доступ к конфиденциальным данным, или сотрудник может случайно потерять ноутбук с документами, содержащими информацию, связанную со здоровьем.Неправильно настроенный сервер может непреднамеренно раскрыть файлы людям за пределами организации, а мошеннический сотрудник больницы может получить доступ к записям пациентов и поделиться ими с неуполномоченными лицами.Все эти инциденты подпадают под действие множества нормативных актов, законов штата и федеральных законов, а также отраслевых стандартов; а Radar делает сложный процесс более простым.

ID Experts позиционирует Radar как инструмент «управления инцидентами конфиденциальности», специально разработанный для организаций здравоохранения, таких как больницы, клиники и планы медицинского страхования.Платформа фокусируется на правилах HIPAA (Закон об ответственности переноса данных в сфере здравоохранения) и HITECH (Информационные технологии в области здравоохранения для экономического и клинического здравоохранения), а также на законах штата об уведомлении об утечке данных.

Radar похож на Co3 Systems в том, что обе платформы помогают администраторам управлять утечками данных и определять шаги для выявления недостатка, устранения проблемы, уведомления жертв и проверки решения проблемы.Co3 Systems в значительной степени основан на мастере, охватывает более широкий спектр правил, чем только здравоохранение, и не ограничивается только утечкой данных.

RADAR отличается от других платформ тем, что выполняет оценку риска для конкретного инцидента, например, с использованием четырех факторов из окончательного правила HIPAA, которое требуется для соответствия федеральным законам и законам штата.RADAR внедрил эти правила оценки в программное обеспечение, упростив специалистам по вопросам конфиденциальности и комплаенсу последовательную оценку каждого инцидента.

Что делает радар
Предприятия, сосредоточенные на предотвращении утечек и утечек данных, часто забывают предусмотреть наихудший сценарий, когда технологии и процессы безопасности дают сбой.Radar активно решает эту проблему, позволяя администраторам создавать подробный план реагирования на инциденты, чтобы определить каждый необходимый шаг.

Менеджеры и группы безопасности отвечают на ряд вопросов, касающихся конкретного инцидента с безопасностью или конфиденциальностью, а Radar возвращает список законов штата и правил HIPAA/HITECH, применимых к конкретным обстоятельствам.Программное обеспечение идентифицирует всех, кого необходимо уведомить.

Хотя я часто использую эти термины взаимозаменяемо, платформа различает инциденты и нарушения.Инцидентом будет случай, когда сотрудник потеряет ноутбук.Нарушение будет, если кто-то найдет этот потерянный ноутбук и раскроет данные пациента.Если бы жесткий диск был зашифрован, потеря осталась бы инцидентом, потому что данные все еще были в безопасности.Если бы я указал, что данные не были раскрыты (потому что ноутбук упал в океан), Radar пометил бы отчет как «Только документация» и не сгенерировал бы план реагирования на инцидент.Если бы я указывал, что существует вероятность того, что кто-то на самом деле наткнулся на данные (в случае потери ноутбука на конференции), то Radar сгенерировал бы план реагирования.

Учитывая, что компании, сталкивающиеся с нарушением безопасности, должны реагировать быстро, возможность быстро создавать индивидуальные планы реагирования на инциденты с четким рабочим процессом означает, что организация может реагировать последовательно и эффективно.Платформа также использует ключи с цветовой кодировкой для определения инцидентов с высоким риском и их влияния на соответствие требованиям HITECH.

Ввод инцидента в Radar ID Эксперты предоставили мне доступ к Radar 2.7 и предварительно заполнили учетную запись несколькими готовыми инцидентами.После входа на платформу я нажал кнопку «Задокументировать новый инцидент», чтобы создать событие, зафиксировав произошедшее, а затем поэкспериментировав с модулем отчетности.

В случае утери ноутбука я заполнил подробную форму с описанием того, что было утеряно, в каком формате были данные, кто был вовлечен и сколько записей может быть затронуто.Некоторые разделы были подробно описаны, например, разъяснялась форма утерянных электронных данных — электронная почта, портативное хранилище FTP и другие — или была ли утечка злонамеренной или не злонамеренной, и как это произошло.

Я также определил, какие элементы данных были потеряны, будь то личная идентифицирующая информация (PII), защищенная медицинская информация (PHI) или другая конфиденциальная информация.Было бы неплохо иметь возможность просто сказать «Все PII» или «Все PHI» вместо того, чтобы идти вниз и щелкать по каждому отдельному флажку, но это заставляет администратора действительно обращать внимание на то, какие данные были потеряны.

Я мог бы указать типы раскрываемых данных, таких как имена, медицинские записи, банковская информация и другие.Все предприятия разные, поэтому я смог точно указать правила соответствия, которым я подчинялся (или просто передовой опыт), и получил очень индивидуальный план действий в случае инцидента — Далее: управление инцидентами с помощью радара

Управление инцидентами с помощью радара


Это был очень простой процесс, так как вся информация размещалась по экрану.На каждом этапе есть полезные советы, а интерфейс позволяет легко пропускать разделы, если у меня нет необходимой информации.Я всегда мог вернуться и повторно ввести недостающую информацию и воссоздать оценку.

Поскольку Радар предлагает оценку по штатам, я также должен определить, сколько жертв были жителями какого штата.Информация, собранная из этой таблицы, будет определять законы штата, под действие которых будет подпадать организация.Эта страница применима только в том случае, если мы работаем над фактическим нарушением, а не над «инцидентом только для документации».

Радарный портал
На каждом этапе я мог добавлять примечания или загружать подтверждающие документы, такие как планы восстановления, контрольные списки и отчеты, для создания исчерпывающих записей об инциденте.Таким образом, у меня было центральное хранилище всех инцидентов, связанных с безопасностью и конфиденциальностью, со всеми подробностями, примечаниями и вложениями.

Имея на руках сгенерированный план реагирования на инциденты, я мог назначать задачи соответствующим спасателям и видеть, какие задачи были выполнены.В разделах, указывающих, что я должен был уведомить регулирующий орган, был раздел, указывающий, когда было сделано уведомление, было ли принято решение отложить уведомление (и почему) и другие действия.Любой может просмотреть план и увидеть, где именно находилась группа реагирования и какие задачи в настоящее время находятся на рассмотрении или приостановлены.Если кто-то не выполнял свою работу, я мог передать задачу кому-то другому.

Radar использовал предоставленную информацию для построения графика уровня риска путем расчета серьезности инцидента и необходимости участия других регулирующих групп.Если личная информация будет раскрыта или если с данными будут связаны какие-либо уровни финансового, репутационного или медицинского риска, они будут отмечены цветовой кодировкой (красный, зеленый и желтый), чтобы я мог видеть, каковы риски.

В главном представлении панели мониторинга перечислены все инциденты, находящиеся в настоящее время в системе.Я мог фильтровать список по статусу, а также по дате и тому, кому был назначен инцидент.В любой момент времени я мог видеть обновленный список того, какие именно шаги были выполнены в рамках оценки и что еще оставалось сделать.Каждое происшествие на приборной панели имело кружок с цветовой кодировкой (красный, желтый, зеленый, белый), чтобы указать уровень риска для HITECH и законов штата.Например, некоторые инциденты имели незначительное влияние на государство и средний риск для HITECH.

Готовые отчеты позволяют отслеживать открытые и закрытые заявки, создавать отчеты о соответствии и готовить документацию на случай аудита или расследования.

Преимущества SaaS
Поскольку она предлагается как программное обеспечение как услуга, эксперты ID могут регулярно обновлять платформу, чтобы отражать изменения в законодательстве, требованиях соответствия и передовом опыте в отрасли.Пользователи получают доступ к последней информации, не беспокоясь о том, обновили ли они программное обеспечение до последней версии.Заходя на портал, они всегда видят последнюю версию.Когда дело доходит до уведомления о нарушениях, предприятиям не нужно пытаться помнить все различные законы и правила, которые они должны соблюдать.

Государственные законы о нарушениях сильно отличаются друг от друга.Некоторые штаты требуют от компаний предоставлять больше информации, чем другие.Как скоро жертвы должны быть уведомлены, также зависит от штата: в штате Мэн требуется, чтобы организации уведомляли клиентов в течение семи дней, а в других - несколько недель или месяцев.

Предприятия могут подписаться на демонстрацию в реальном времени или посмотреть веб-трансляцию, чтобы получить представление о платформе.Стоимость годовой подписки колеблется от 10 000 до 50 000 долларов и зависит от таких факторов, как количество пользователей, срок действия лицензии, количество штатов, включенных в оценку, и других.Начальная цена в размере 5250 долларов США — это многолетняя лицензия для одного пользователя с оценкой HITECH и одной государственной оценкой.

Независимо от окончательной конфигурации все пользователи Radar автоматически получают возможности оценки рисков и уведомления об инцидентах, а также доступ к центральному репозиторию, в котором хранятся все данные, связанные с инцидентами.Пользователи могут использовать панель инструментов для назначения и переназначения задач, уведомления соответствующих сторон, создания предупреждений, добавления и редактирования заметок, тегов заметок для легкого поиска и предварительно определенных отчетов.Надстройки включают оценку риска на основе состояния и уведомления для состояний, настраиваемые отчеты и диаграммы, а также настройку контроля доступа пользователей для контроля того, кто имеет доступ к тем или иным типам данных.

Для некоторых предприятий цена в 5000 долларов или больше за годовую подписку на платформу, в которой они надеются не нуждаться, может показаться высокой и ненужной.Однако это прекрасный пример того, как организации тратят деньги сейчас, чтобы потом сэкономить.Утечки данных сами по себе могут быть довольно дорогостоящими: по последним данным общая стоимость оценивается в среднем в 5,5 млн долларов, включая юридические обязательства, снижение производительности и связанные с этим расходы.Потратить 5000 долларов или больше, чтобы фактически свести юридическую ответственность к нулю, потому что план реагирования на инциденты гарантирует, что организации справятся со всем своевременно, звучит как выгодная сделка.

Упреждающее планирование
Организации могут использовать Radar для анализа и определения степени нарушения и определения того, что необходимо делать дальше.Благодаря подробному плану инцидентов время реагирования на инциденты может быть значительно сокращено, что напрямую приводит к снижению ответственности и более быстрому устранению последствий.Поскольку это программное обеспечение как услуга, организации также знают, что у них есть доступ к самым последним правилам, и им не нужно тратить время на отслеживание информации.

Radar предоставляет предприятиям простой и удобный интерфейс для создания таких планов инцидентов.Radar делает процесс планирования кошмарного сценария максимально безболезненным для организаций здравоохранения.Несмотря на то, что он не такой обширный и удобный, как Co3 Systems, Radar является надежным инструментом планирования реагирования на инциденты, который бизнес может использовать для упреждающей подготовки к возможной утечке данных.

Все категории: Сообщение об ошибке