Sitemap

Navigazione veloce

Ett dataintrång är en stor sak för en vårdorganisation, oavsett incidenttyp.Att hantera efterdyningarna av ett intrång eller en säkerhetsincident kan vara en utmanande, krävande och ofta kaotisk process.Radar, från de integritetskunniga personerna på ID Experts, hjälper organisationer att skapa en incidentresponsplan i händelse av ett dataintrång och spåra varje steg när det löses.Cyberangripare kan bryta mot nätverket och komma åt känsliga data eller så kan en anställd av misstag ha tappat bort en bärbar dator som innehåller dokument som innehåller hälsorelaterad information.En felkonfigurerad server kan oavsiktligt ha exponerat filer för personer utanför organisationen, och en oseriös sjukhusanställd kan komma åt patientjournaler och dela dem med obehöriga.Alla dessa incidenter är föremål för en rad efterlevnadsbestämmelser, statliga och federala lagar och industristandarder; och Radar gör den komplexa processen enklare.

ID-experter positionerar Radar som verktyget för "integritetsincidenthantering" speciellt utformat för vårdorganisationer som sjukhus, kliniker och hälsoplaner.Plattformen fokuserar på HIPAA (Health Insurance Portability Accountability Act) och HITECH (Health Information Technology for Economic and Clinical Health) regler samt statliga lagar om dataintrång.

Radar liknar Co3 Systems genom att båda plattformarna hjälper administratörer att hantera dataintrång och identifiera steg för att identifiera felet, åtgärda problemet, meddela offren och verifiera att problemet har åtgärdats.Co3 Systems är kraftigt guidebaserat, täcker ett bredare spektrum av regelverk än bara sjukvård och är inte begränsat till bara dataintrång.

RADAR skiljer sig från andra plattformar genom att den utför en incidentspecifik riskbedömning, som att använda fyra faktorer från HIPAA slutregeln, som krävs av federala och statliga lagar för efterlevnad.RADAR bäddade in dessa bedömningsregler i programvaran, vilket gjorde det lättare för integritets- och efterlevnadsansvariga att bedöma varje incident konsekvent.

Vad Radar gör
Företag, fokuserade på att förhindra dataintrång och läckor, glömmer ofta att planera för det värsta scenariot när säkerhetsteknik och -processer misslyckas.Radar åtgärdar detta problem proaktivt genom att tillåta administratörer att generera en detaljerad incidentresponsplan för att identifiera varje steg som behöver inträffa.

Chefer och säkerhetsteam svarar på en rad frågor om en viss säkerhets- eller integritetsincident och Radar returnerar en lista över statliga lagar och HIPAA/HITECH-regler som gäller för de specifika omständigheterna.Programvaran identifierar alla som behöver meddelas.

Även om jag ofta använder termerna omväxlande, skiljer plattformen mellan incidenter och intrång.En incident skulle vara en anställd som förlorar en bärbar dator.Ett intrång skulle vara om någon hittade den förlorade bärbara datorn och exponerade patientdata.Om hårddisken hade krypterats skulle förlusten ha förblivit en incident eftersom data fortfarande var säker.Om jag specificerade att datan inte hade exponerats (eftersom den bärbara datorn föll i havet), skulle Radar flagga rapporten som "Endast dokumentation" och inte generera en incidentresponsplan.Om jag angav att det fanns en möjlighet att någon faktiskt skulle komma över data (i fallet med en förlorad bärbar dator på en konferens), så skulle Radar generera en svarsplan.

Med tanke på att företag som drabbas av ett intrång måste reagera snabbt, att snabbt kunna generera anpassade incidentresponsplaner med ett tydligt arbetsflöde innebär att organisationen kan reagera konsekvent och effektivt.Plattformen använder också färgkodade nycklar för att identifiera vilka incidenter som är högrisk, och påverkan på HITECH-efterlevnad.

Att skriva in en incident i Radar ID-experter gav mig tillgång till Radar 2.7 och förfyllde kontot med några färdiga incidenter.Efter att ha loggat in på plattformen klickade jag på knappen "Dokumentera ny incident" för att skapa en händelse, logga vad som hände och sedan spelade jag med rapporteringsmodulen.

I fallet med en förlorad bärbar dator, fyllde jag i ett detaljerat formulär som beskrev vad som gick förlorat, vilket format data var i, vem som var inblandad och hur många poster som kan påverkas.Vissa avsnitt gick in i detalj, som att klargöra formen av elektronisk data som gick förlorad – e-post, bärbar FTP-lagring och andra – eller om intrånget var skadligt eller icke-skadligt, och hur det hände.

Jag identifierade också vilka dataelement som gick förlorade, om det var personlig identifieringsinformation (PII), skyddad hälsoinformation (PHI) eller annan känslig information.Det hade varit trevligt att bara kunna säga "All PII" eller "All PHI" istället för att gå ner och klicka på varenda kryssruta, men det tvingar administratören att verkligen uppmärksamma vilken data som gick förlorad.

Jag skulle kunna ange vilka typer av data som exponeras, såsom namn, hälsojournaler, bankinformation och annat.Alla företag är olika, så jag kunde specificera exakt de efterlevnadsbestämmelser jag var föremål för (eller bara bästa praxis) och avsluta med en mycket anpassad incidentplan—Nästa: Incidenthantering med Radar

Incidenthantering med radar


Det var en mycket enkel process, eftersom all information lades upp skärm för skärm.Det finns användbara tips längs varje steg, och gränssnittet gör det enkelt att hoppa över avsnitt om jag inte har den nödvändiga informationen.Jag kunde alltid gå tillbaka och ange den saknade informationen igen och återskapa bedömningen.

Eftersom Radar erbjuder en stat-för-stat-bedömning måste jag också identifiera hur många av offren som var bosatta i vilken stat.Informationen som samlas in från denna tabell skulle avgöra vilka statliga lagar organisationen skulle omfattas av.Den här sidan gäller endast om vi arbetar med en faktisk intrång och inte "Endast dokumentationsincident."

Radarportal
Vid varje steg på vägen kunde jag lägga till anteckningar eller ladda upp stödjande dokument, såsom saneringsplaner, checklistor och rapporter, för att skapa omfattande register över incidenten.På så sätt hade jag ett centralt arkiv för varje enskild säkerhets- och integritetsincident med alla detaljer, anteckningar och bilagor.

Med den genererade incidentinsatsplanen i handen kunde jag tilldela uppgifter till relevanta räddningspersonal och se vilka uppgifter som har slutförts.I avsnitt som specificerade att jag var tvungen att anmäla en tillsynsmyndighet fanns det ett avsnitt för att ange när anmälan gjordes, om beslutet att skjuta upp anmälan (och varför) och andra aktiviteter.Vem som helst kan titta på planen och se exakt var insatsteamet befann sig och vilka uppgifter som för närvarande var på gång eller väntade.Om någon inte gjorde sitt jobb skulle jag kunna överlåta uppgiften till någon annan.

Radar använde den tillhandahållna informationen för att plotta risknivån genom att beräkna incidentens svårighetsgrad och om andra regulatoriska grupper behöver involveras.Om PII exponerades, eller om det fanns några finansiella, anseende och medicinska risknivåer förknippade med data, skulle det vara färgkodat (röd, grön och gul) så att jag kunde se vilka riskerna var.

Huvudvyn över instrumentpanelen listade alla incidenter som för närvarande finns i systemet.Jag kunde filtrera listan baserat på status, såväl som efter datum, och vem incidenten tilldelades.Vid varje given tidpunkt kunde jag se en uppdaterad lista över exakt vilka steg som hade genomförts i en bedömning och vad mer som återstod att göra.Varje incident i instrumentbrädan hade en färgkodad cirkel (röd, gul, grön, vit) för att indikera risknivån för HITECH och statliga lagar.Vissa incidenter hade låg statlig påverkan och medelrisk för HITECH, till exempel.

De förberedda rapporterna låter mig spåra öppna och stängda biljetter, köra efterlevnadsrapporter och förbereda dokumentation i händelse av en revision eller utredning.

Fördelar med SaaS
Eftersom det erbjuds som en mjukvara-som-en-tjänst kan ID-experter regelbundet uppdatera plattformen för att återspegla ändringar i lagar, efterlevnadskrav och branschpraxis.Användare får tillgång till den senaste informationen utan att behöva oroa sig för om de har uppgraderat till den senaste programvaran eller inte.När de loggar in på portalen ser de alltid den senaste versionen.När det kommer till anmälan om intrång behöver företag inte försöka komma ihåg alla olika lagar och förordningar de behöver följa.

Lagarna om statliga överträdelser skiljer sig mycket från varandra.Vissa stater kräver att företag tillhandahåller mer information än andra.Hur snart offren behöver meddelas varierar också beroende på stat, med Maine kräver att organisationer meddela kunder inom sju dagar och andra som tillåter några veckor eller månader.

Företag kan registrera sig för en livedemo eller titta på en webbsändning för att få en känsla för plattformen.Prislappen för årsprenumerationen varierar mellan $10 000 och $50 000 och beror på faktorer som antalet användare, licensperiod, antalet stater som ingår i bedömningen och andra.Introduktionspriset på $5 250 är en flerårig licens för en användare med HITECH-bedömning och en statlig bedömning.

Oavsett den slutliga konfigurationen får alla Radar-användare automatiskt riskbedömnings- och incidentmeddelandefunktioner och tillgång till ett centralt arkiv som innehåller all incidentrelaterad data.Användare kan använda instrumentpanelen för att tilldela och omfördela uppgifter, meddela relevanta parter, utfärda varningar, lägga till och redigera anteckningar, tagga anteckningar för enkel hämtning och fördefinierade rapporter.Tillägg inkluderar tillståndsbaserad risk- och aviseringsbedömning för stater, anpassade rapporter och diagram och inställning av användaråtkomstkontroll för att kontrollera vem som har tillgång till vilka typer av data.

För vissa företag kan en prislapp på 5 000 $ mer för en årlig prenumeration på en plattform de hoppas att de inte behöver verka hög och onödig.Detta är dock det perfekta exemplet på organisationer som spenderar pengar nu för att spara pengar senare.Dataintrång i sig kan vara ganska kostsamma, med färska siffror som uppskattar den totala kostnaden till i genomsnitt 5,5 miljoner USD, vilket inkluderar juridiska skyldigheter, försämrad produktivitet och relaterade utgifter.Att spendera 5 000 USD eller mer för att i huvudsak vända juridiska skulder till noll, eftersom incidentresponsplanen säkerställer att organisationerna hanterar allt i tid, låter som ett bra fynd.

Proaktiv planering
Organisationer kan använda Radar för att analysera och ta reda på omfattningen av ett intrång och identifiera vad som behöver göras härnäst.Med en detaljerad incidentplan kan responstiden för incidenter minskas dramatiskt, vilket direkt leder till mindre ansvar och snabbare begränsning.Eftersom det är en mjukvara-som-en-tjänst vet organisationer också att de har tillgång till de mest uppdaterade reglerna utan att behöva lägga tid på att spåra informationen.

Radar ger företag ett enkelt och lättanvänt gränssnitt för att skapa dessa incidentplaner.Radar gör processen att planera för ett mardrömsscenario så smärtfri som möjligt för sjukvårdsorganisationer.Även om det inte är lika omfattande eller smart som Co3 Systems, är Radar ett gediget verktyg för planering av incidenthantering som företag kan använda för att proaktivt förbereda sig för det eventuella dataintrånget.

Tutte le categorie: Information om felkorrigering