Sitemap

การนำทางอย่างรวดเร็ว

การละเมิดข้อมูลเป็นเรื่องใหญ่สำหรับองค์กรด้านการดูแลสุขภาพ โดยไม่คำนึงถึงประเภทของเหตุการณ์การจัดการกับผลที่ตามมาจากการละเมิดหรือเหตุการณ์ด้านความปลอดภัยอาจเป็นกระบวนการที่ท้าทาย สิ้นเปลือง และบ่อยครั้งที่วุ่นวายRadar จากกลุ่มผู้เชี่ยวชาญด้านความเป็นส่วนตัวที่ ID Experts ช่วยองค์กรต่างๆ ในการสร้างแผนการตอบสนองต่อเหตุการณ์ในกรณีที่ข้อมูลรั่วไหล และติดตามแต่ละขั้นตอนเมื่อได้รับการแก้ไขผู้โจมตีทางไซเบอร์อาจละเมิดเครือข่ายและเข้าถึงข้อมูลที่ละเอียดอ่อน หรือพนักงานอาจทำแล็ปท็อปที่มีเอกสารที่มีข้อมูลด้านสุขภาพหายโดยไม่ได้ตั้งใจเซิร์ฟเวอร์ที่กำหนดค่าผิดพลาดอาจมีไฟล์เปิดเผยต่อบุคคลภายนอกองค์กรโดยไม่ได้ตั้งใจ และพนักงานของโรงพยาบาลที่หลอกลวงอาจเข้าถึงบันทึกของผู้ป่วยและแชร์กับบุคคลที่ไม่ได้รับอนุญาตเหตุการณ์ทั้งหมดเหล่านี้อยู่ภายใต้ข้อบังคับการปฏิบัติตามกฎหมาย กฎหมายของรัฐและรัฐบาลกลาง และมาตรฐานอุตสาหกรรม และเรดาร์ทำให้กระบวนการที่ซับซ้อนตรงไปตรงมามากขึ้น

ID Experts กำหนดให้เรดาร์เป็นเครื่องมือ "การจัดการเหตุการณ์ความเป็นส่วนตัว" ที่ออกแบบมาโดยเฉพาะสำหรับองค์กรด้านการดูแลสุขภาพ เช่น โรงพยาบาล คลินิก และแผนสุขภาพแพลตฟอร์มดังกล่าวมุ่งเน้นไปที่กฎระเบียบ HIPAA (Health Insurance Portability Accountability Act) และ HITECH (Health Information Technology for Economic and Clinical Health) รวมถึงกฎหมายแจ้งเตือนการละเมิดข้อมูลของรัฐ

Radar มีความคล้ายคลึงกับ Co3 Systems โดยทั้งสองแพลตฟอร์มช่วยผู้ดูแลระบบจัดการการละเมิดข้อมูลและระบุขั้นตอนในการระบุข้อบกพร่อง แก้ไขปัญหา แจ้งเหยื่อ และตรวจสอบว่าปัญหาได้รับการแก้ไขแล้วCo3 Systems นั้นใช้วิซาร์ดเป็นหลัก ครอบคลุมกฎระเบียบที่กว้างกว่าแค่การดูแลสุขภาพ และไม่จำกัดเพียงการละเมิดข้อมูล

RADAR แตกต่างจากแพลตฟอร์มอื่นๆ เนื่องจากทำการประเมินความเสี่ยงเฉพาะเหตุการณ์ เช่น การใช้ปัจจัยสี่ประการจากกฎขั้นสุดท้ายของ HIPAA ซึ่งกำหนดโดยกฎหมายของรัฐบาลกลางและกฎหมายของรัฐในการปฏิบัติตามเรดาร์ฝังกฎการประเมินเหล่านั้นไว้ในซอฟต์แวร์ ทำให้เจ้าหน้าที่ด้านความเป็นส่วนตัวและการปฏิบัติตามกฎระเบียบทำการประเมินแต่ละเหตุการณ์ได้ง่ายขึ้นอย่างสม่ำเสมอ

เรดาร์ทำอะไร
ธุรกิจที่เน้นการป้องกันการรั่วไหลและการรั่วไหลของข้อมูล มักจะลืมวางแผนสำหรับสถานการณ์ที่เลวร้ายที่สุดเมื่อเทคโนโลยีและกระบวนการรักษาความปลอดภัยล้มเหลวเรดาร์แก้ไขปัญหานี้ในเชิงรุกโดยอนุญาตให้ผู้ดูแลระบบสร้างแผนการตอบสนองต่อเหตุการณ์โดยละเอียดเพื่อระบุแต่ละขั้นตอนที่จำเป็นต้องเกิดขึ้น

ผู้จัดการและทีมรักษาความปลอดภัยจะตอบคำถามชุดหนึ่งเกี่ยวกับเหตุการณ์ด้านความปลอดภัยหรือความเป็นส่วนตัวโดยเฉพาะ และเรดาร์จะส่งคืนรายการกฎหมายของรัฐ และข้อบังคับของ HIPAA/HITECH ที่บังคับใช้กับสถานการณ์เฉพาะซอฟต์แวร์ระบุทุกคนที่ต้องการรับการแจ้งเตือน

แม้ว่าฉันมักจะใช้ข้อกำหนดสลับกัน แต่แพลตฟอร์มก็แยกความแตกต่างระหว่างเหตุการณ์และการละเมิดเหตุการณ์จะเป็นพนักงานทำแล็ปท็อปหายการละเมิดจะเกิดขึ้นถ้ามีคนพบว่าแล็ปท็อปสูญหายและเปิดเผยข้อมูลผู้ป่วยหากฮาร์ดไดรฟ์ได้รับการเข้ารหัส การสูญเสียจะยังคงเป็นเหตุการณ์เพราะข้อมูลยังคงปลอดภัยถ้าฉันระบุว่าข้อมูลไม่ถูกเปิดเผย (เพราะแล็ปท็อปตกลงไปในมหาสมุทร) เรดาร์จะตั้งค่าสถานะรายงานเป็น "เอกสารเท่านั้น" และไม่สร้างแผนตอบสนองเหตุการณ์ถ้าฉันระบุว่ามีความเป็นไปได้ที่ใครบางคนจะค้นพบข้อมูล (ในกรณีของแล็ปท็อปที่สูญหายในการประชุม) เรดาร์จะสร้างแผนการตอบสนอง

เมื่อพิจารณาว่าบริษัทที่ประสบปัญหาการละเมิดจะต้องตอบสนองอย่างรวดเร็ว การที่สามารถสร้างแผนตอบสนองเหตุการณ์ที่กำหนดเองได้อย่างรวดเร็วด้วยเวิร์กโฟลว์ที่ชัดเจน หมายความว่าองค์กรสามารถตอบสนองได้อย่างสม่ำเสมอและมีประสิทธิภาพแพลตฟอร์มยังใช้คีย์รหัสสีเพื่อระบุเหตุการณ์ที่มีความเสี่ยงสูงและผลกระทบต่อการปฏิบัติตามข้อกำหนดของ HITECH

การเข้าสู่ Incident ใน Radar ID Experts ทำให้ฉันสามารถเข้าถึง Radar 2.7 และเติมข้อมูลในบัญชีล่วงหน้าด้วยเหตุการณ์สำเร็จรูปบางอย่างหลังจากเข้าสู่ระบบแพลตฟอร์มแล้ว ฉันคลิกที่ปุ่ม "Document New Incident" เพื่อสร้างกิจกรรม บันทึกสิ่งที่เกิดขึ้นและเล่นกับโมดูลการรายงาน

ในกรณีของแล็ปท็อปที่สูญหาย ฉันได้กรอกแบบฟอร์มโดยละเอียดโดยอธิบายว่าอะไรหาย ข้อมูลอยู่ในรูปแบบใด ใครที่เกี่ยวข้อง และบันทึกที่อาจได้รับผลกระทบจำนวนเท่าใดบางส่วนมีรายละเอียดมาก เช่น การชี้แจงรูปแบบของข้อมูลอิเล็กทรอนิกส์ที่สูญหาย—อีเมล, FTP ที่เก็บข้อมูลแบบพกพา และอื่นๆ—หรือว่าการละเมิดนั้นเป็นอันตรายหรือไม่ และเกิดขึ้นได้อย่างไร

ฉันยังระบุด้วยว่าองค์ประกอบข้อมูลใดบ้างที่สูญหาย ไม่ว่าจะเป็นข้อมูลระบุตัวบุคคล (PII) ข้อมูลด้านสุขภาพที่ได้รับการคุ้มครอง (PHI) หรือข้อมูลที่ละเอียดอ่อนอื่นๆคงจะดีถ้าสามารถพูดว่า "All PII" หรือ "All PHI" แทนที่จะลงไปและคลิกที่ช่องทำเครื่องหมายทุกช่อง แต่เป็นการบังคับให้ผู้ดูแลระบบให้ความสนใจจริงๆ กับข้อมูลที่สูญหาย

ฉันสามารถระบุประเภทของข้อมูลที่เปิดเผยได้ เช่น ชื่อ บันทึกสุขภาพ ข้อมูลธนาคาร และอื่นๆธุรกิจทั้งหมดแตกต่างกัน ดังนั้นฉันจึงสามารถระบุข้อบังคับการปฏิบัติตามข้อกำหนดที่ฉันอยู่ภายใต้ (หรือเพียงแค่แนวทางปฏิบัติที่ดีที่สุด) ได้อย่างแม่นยำ และจบลงด้วยแผนเหตุการณ์ที่ปรับแต่งได้โดยเฉพาะ—ถัดไป: การจัดการเหตุการณ์ด้วยเรดาร์

การจัดการเหตุการณ์ด้วยเรดาร์


เป็นกระบวนการที่ง่ายมาก เนื่องจากข้อมูลทั้งหมดถูกจัดวางแบบทีละหน้าจอมีเคล็ดลับที่เป็นประโยชน์ในแต่ละขั้นตอน และอินเทอร์เฟซทำให้การข้ามส่วนต่างๆ ทำได้ง่ายถ้าฉันไม่มีข้อมูลที่จำเป็นฉันสามารถย้อนกลับและป้อนข้อมูลที่หายไปอีกครั้งและสร้างการประเมินใหม่ได้เสมอ

เนื่องจากเรดาร์เสนอการประเมินแบบแต่ละรัฐ ฉันจึงต้องระบุด้วยว่าเหยื่อผู้เคราะห์ร้ายเป็นพลเมืองในรัฐใดจำนวนเท่าใดข้อมูลที่รวบรวมจากตารางนี้จะกำหนดกฎหมายของรัฐที่องค์กรจะต้องปฏิบัติตามหน้านี้ใช้เฉพาะในกรณีที่เรากำลังดำเนินการเกี่ยวกับการละเมิดที่เกิดขึ้นจริง ไม่ใช่ "เหตุการณ์เกี่ยวกับเอกสารเท่านั้น"

พอร์ทัลเรดาร์
ในทุกขั้นตอน ฉันสามารถเพิ่มบันทึกหรืออัปโหลดเอกสารสนับสนุน เช่น แผนการแก้ไข รายการตรวจสอบ และรายงาน เพื่อสร้างบันทึกที่ครอบคลุมของเหตุการณ์ด้วยวิธีนี้ ฉันมีที่เก็บส่วนกลางของเหตุการณ์ด้านความปลอดภัยและความเป็นส่วนตัวทุกรายการพร้อมรายละเอียด บันทึกย่อ และไฟล์แนบทั้งหมด

ด้วยแผนรับมือเหตุการณ์ที่สร้างขึ้น ฉันสามารถมอบหมายงานให้กับผู้เผชิญเหตุที่เกี่ยวข้องและดูว่างานใดเสร็จสมบูรณ์แล้วในส่วนที่ระบุว่าฉันต้องแจ้งหน่วยงานกำกับดูแล มีส่วนที่ระบุว่ามีการแจ้งเตือนเมื่อใด มีการตัดสินใจเลื่อนการแจ้งเตือน (และทำไม) และกิจกรรมอื่นๆ หรือไม่ทุกคนสามารถดูแผนและดูว่าทีมตอบสนองอยู่ที่ไหนและงานใดที่อยู่ระหว่างดำเนินการหรือถูกระงับถ้ามีคนไม่ได้ทำงานของเขา ฉันสามารถมอบหมายงานให้คนอื่นได้

เรดาร์ใช้ข้อมูลที่ให้มาเพื่อวางแผนระดับความเสี่ยงโดยการคำนวณความรุนแรงของเหตุการณ์และดูว่ากลุ่มกฎระเบียบอื่นๆ จำเป็นต้องมีส่วนร่วมหรือไม่หากข้อมูล PII ถูกเปิดเผย หรือหากมีระดับความเสี่ยงทางการเงิน ชื่อเสียง และทางการแพทย์ที่เกี่ยวข้องกับข้อมูล ข้อมูลนั้นจะเป็นรหัสสี (แดง เขียว และเหลือง) เพื่อที่ฉันจะได้เห็นว่าความเสี่ยงคืออะไร

มุมมองแดชบอร์ดหลักแสดงรายการเหตุการณ์ทั้งหมดที่อยู่ในระบบในปัจจุบันฉันสามารถกรองรายการตามสถานะ ตลอดจนตามวันที่ และผู้ที่ได้รับมอบหมายเหตุการณ์ในช่วงเวลาใดเวลาหนึ่ง ฉันสามารถเห็นรายการอัปเดตของขั้นตอนที่เสร็จสิ้นภายในการประเมินและสิ่งที่ต้องทำอีกแต่ละเหตุการณ์ในแดชบอร์ดมีวงกลมรหัสสี (แดง เหลือง เขียว ขาว) เพื่อระบุระดับความเสี่ยงสำหรับไฮเทคและกฎหมายของรัฐเหตุการณ์บางอย่างมีผลกระทบต่อรัฐต่ำและมีความเสี่ยงปานกลางสำหรับไฮเทค เป็นต้น

รายงานสำเร็จรูปช่วยให้ฉันติดตามตั๋วที่เปิดและปิด เรียกใช้รายงานการปฏิบัติตามข้อกำหนด และเตรียมเอกสารในกรณีของการตรวจสอบหรือการตรวจสอบ

ประโยชน์ของ SaaS
เนื่องจากมีการเสนอเป็นซอฟต์แวร์ในฐานะบริการ ID Experts สามารถอัปเดตแพลตฟอร์มเป็นประจำเพื่อให้สอดคล้องกับการเปลี่ยนแปลงในกฎหมาย ข้อกำหนดในการปฏิบัติตามข้อกำหนด และแนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรมผู้ใช้สามารถเข้าถึงข้อมูลล่าสุดโดยไม่ต้องกังวลว่าพวกเขาจะอัปเกรดเป็นซอฟต์แวร์ล่าสุดหรือไม่เมื่อเข้าสู่ระบบพอร์ทัล พวกเขาจะมองเห็นเวอร์ชันล่าสุดเสมอเมื่อพูดถึงการแจ้งการละเมิด ธุรกิจไม่จำเป็นต้องพยายามจดจำกฎหมายและระเบียบข้อบังคับต่างๆ ที่พวกเขาต้องปฏิบัติตาม

กฎหมายละเมิดของรัฐแตกต่างกันอย่างมากจากกันและกันบางรัฐกำหนดให้ธุรกิจต้องให้ข้อมูลมากกว่ารัฐอื่นๆระยะเวลาในการแจ้งเหยื่อนั้นแตกต่างกันไปในแต่ละรัฐ โดยที่รัฐเมนกำหนดให้องค์กรต้องแจ้งให้ลูกค้าทราบภายในเจ็ดวัน และหน่วยงานอื่นๆ ที่อนุญาตให้ใช้เวลาสองสามสัปดาห์หรือหลายเดือน

ธุรกิจสามารถลงทะเบียนสำหรับการสาธิตสดหรือดูเว็บคาสต์เพื่อทำความเข้าใจกับแพลตฟอร์มป้ายราคาสำหรับการสมัครรับข้อมูลรายปีมีตั้งแต่ 10,000 ถึง 50,000 ดอลลาร์ และขึ้นอยู่กับปัจจัยต่างๆ เช่น จำนวนผู้ใช้ ระยะเวลาการให้สิทธิ์ใช้งาน จำนวนรัฐที่รวมอยู่ในการประเมิน และอื่นๆราคาเบื้องต้นที่ $5,250 เป็นสิทธิ์ใช้งานแบบหลายปีสำหรับผู้ใช้หนึ่งรายที่มีการประเมินของ HITECH และการประเมินหนึ่งสถานะ

โดยไม่คำนึงถึงการกำหนดค่าขั้นสุดท้าย ผู้ใช้เรดาร์ทุกคนจะได้รับการประเมินความเสี่ยงและความสามารถในการแจ้งเตือนเหตุการณ์โดยอัตโนมัติ และเข้าถึงพื้นที่เก็บข้อมูลส่วนกลางที่เก็บข้อมูลที่เกี่ยวข้องกับเหตุการณ์ทั้งหมดผู้ใช้สามารถใช้แดชบอร์ดเพื่อมอบหมายและมอบหมายงานใหม่ แจ้งฝ่ายที่เกี่ยวข้อง ออกการแจ้งเตือน เพิ่มและแก้ไขบันทึก แท็กบันทึกย่อเพื่อให้ดึงข้อมูลได้ง่ายและรายงานที่กำหนดไว้ล่วงหน้าส่วนเสริมรวมถึงการประเมินความเสี่ยงตามสถานะและการแจ้งเตือนสำหรับรัฐ รายงานและแผนภูมิที่กำหนดเอง และการตั้งค่าการควบคุมการเข้าถึงของผู้ใช้เพื่อควบคุมว่าใครสามารถเข้าถึงข้อมูลประเภทใด

สำหรับบางธุรกิจ การขึ้นราคา $5,000 สำหรับการสมัครสมาชิกรายปีสำหรับแพลตฟอร์มที่พวกเขาหวังว่าจะไม่ต้องการอาจดูสูงและไม่จำเป็นอย่างไรก็ตาม นี่เป็นตัวอย่างที่สมบูรณ์แบบขององค์กรที่ใช้จ่ายเงินตอนนี้เพื่อประหยัดเงินในภายหลังการละเมิดข้อมูลเองอาจมีค่าใช้จ่ายค่อนข้างสูง โดยตัวเลขล่าสุดประเมินค่าใช้จ่ายทั้งหมดโดยเฉลี่ย 5.5 ล้านดอลลาร์ ซึ่งรวมถึงหนี้สินทางกฎหมาย ประสิทธิภาพการผลิตที่ลดลง และค่าใช้จ่ายที่เกี่ยวข้องการใช้จ่ายตั้งแต่ 5,000 ดอลลาร์ขึ้นไปเพื่อทำให้หนี้สินทางกฎหมายกลายเป็นศูนย์ เนื่องจากแผนรับมือเหตุการณ์ทำให้มั่นใจได้ว่าองค์กรจะจัดการทุกอย่างได้อย่างทันท่วงที ฟังดูเหมือนเป็นการต่อรองราคา

การวางแผนเชิงรุก
องค์กรสามารถใช้ Radar เพื่อวิเคราะห์และหาขอบเขตของการละเมิด และระบุสิ่งที่ต้องทำต่อไปด้วยแผนเหตุการณ์โดยละเอียด เวลาตอบสนองของเหตุการณ์จะลดลงอย่างมาก ซึ่งแปลโดยตรงเป็นหนี้สินน้อยลงและบรรเทาได้เร็วขึ้นเนื่องจากเป็นซอฟต์แวร์ในฐานะบริการ องค์กรต่างๆ ยังทราบด้วยว่าพวกเขาสามารถเข้าถึงกฎที่เป็นปัจจุบันที่สุดโดยไม่ต้องเสียเวลาติดตามข้อมูล

Radar มอบอินเทอร์เฟซที่ตรงไปตรงมาและใช้งานง่ายให้กับธุรกิจเพื่อสร้างแผนเหตุการณ์เหล่านั้นเรดาร์ทำให้กระบวนการวางแผนสถานการณ์ฝันร้ายเป็นไปอย่างราบรื่นที่สุดสำหรับองค์กรด้านการดูแลสุขภาพแม้ว่า Radar จะไม่ครอบคลุมหรือราบรื่นเท่าระบบ Co3 แต่ Radar เป็นเครื่องมือวางแผนการตอบสนองต่อเหตุการณ์ที่แข็งแกร่ง ซึ่งธุรกิจสามารถใช้เพื่อเตรียมพร้อมในเชิงรุกสำหรับการละเมิดข้อมูลในท้ายที่สุด