Video: Britney Spears - Radar (Official Video) (Oktober 2024)
En dataovertrædelse er en stor aftale for en sundhedsorganisation, uanset hvilken type hændelse. Det kan være en udfordrende, krævende og ofte kaotisk proces at håndtere efterspørgslen efter et brud eller en sikkerhedshændelse. Radar, fra personlighedsskyndige folk hos ID-eksperter, hjælper organisationer med at oprette en hændelsesplan for eventuelle dataovertrædelser og spore hvert trin, når det løses. Cyber-angribere kan overtræde netværket og få adgang til følsomme data, eller en medarbejder kan have mistet en bærbar computer, der indeholder dokumenter, der indeholder sundhedsrelaterede oplysninger. En forkert konfigureret server kan have utilsigtet eksponeret filer til personer uden for organisationen, og en useriøs hospitalsmedarbejder kan få adgang til patientjournaler og dele dem med uautoriserede personer. Alle disse hændelser er underlagt en række overholdelsesregler, statslige og føderale love og industristandarder; og Radar gør den komplekse proces mere enkel.
ID-eksperter positionerer Radar som værktøjet "forvaltning af personlige hændelser", der specifikt er designet til sundhedsorganisationer såsom hospitaler, klinikker og sundhedsplaner. Platformen fokuserer på HIPAA (Health Insurance Portability Accountability Act) og HITECH (Health Information Technology for Economic and Clinical Health) -regler samt lovgivning om meddelelse af brud på statsdata.
Radar ligner Co3-systemer, idet begge platforme hjælper administratorer med at administrere dataforbrud og identificere trin til at identificere fejlen, løse problemet, underrette ofrene og verificere, at problemet er løst. Co3 Systems er stærkt troldmandsbaseret, dækker en bredere vifte af regler end blot sundhedsydelser og er ikke begrænset til kun dataforbrud.
RADAR er forskellig fra andre platforme, idet den udfører en hændelsespecifik risikovurdering, såsom at bruge fire faktorer fra HIPAA's endelige regel, der kræves af føderale og statslige love for overholdelse. RADAR integrerede disse vurderingsregler i softwaren, hvilket gjorde det lettere for personale og overholdelsesansvarlige at vurdere hver hændelse konsekvent.
Hvad Radar gør
Virksomheder, der er fokuseret på at forhindre dataforbrud og lækager, glemmer ofte at planlægge det værste tilfælde, når sikkerhedsteknologi og processer mislykkes. Radar løser proaktivt dette problem ved at give administratorer mulighed for at generere en detaljeret hændelsesresponsplan for at identificere hvert trin, der skal ske.
Ledere og sikkerhedsteam besvarer en række spørgsmål vedrørende en bestemt sikkerheds- eller privatlivshændelse, og Radar returnerer en liste over statslige love og HIPAA / HITECH-regler gælder for de specifikke omstændigheder. Softwaren identificerer alle, der skal underrettes.
Mens jeg ofte bruger ordene om hverandre, skelner platformen mellem hændelser og brud. En hændelse ville være, at en medarbejder mister en bærbar computer. Et brud ville være, hvis nogen fandt den mistede bærbare computer og udsatte patientdata. Hvis harddisken var blevet krypteret, ville tabet have været en hændelse, fordi dataene stadig var sikre. Hvis jeg specificerede, at dataene ikke var blevet udsat (fordi den bærbare computer faldt i havet), ville Radar markere rapporten som "Kun dokumentation" og ikke generere en hændelsesplan. Hvis jeg antydede, at der var en mulighed for, at nogen faktisk kom over dataene (i tilfælde af en mistet bærbar computer på en konference), ville Radar generere en svarplan.
I betragtning af, at virksomheder, der lider af en overtrædelse, skal reagere hurtigt, ved at være i stand til hurtigt at generere tilpassede hændelsesresponsplaner med en klar arbejdsgang betyder det, at organisationen kan reagere konsekvent og effektivt. Platformen bruger også farvekodede nøgler til at identificere, hvilke hændelser der er stor risiko, og virkningen på HITECH-overholdelse.
Indtastning af en hændelse i Radar ID-eksperter gav mig adgang til Radar 2.7 og forhåndsudfyldte kontoen med nogle færdige hændelser. Efter at have logget ind på platformen, klikkede jeg på knappen "Dokument ny hændelse" for at oprette en begivenhed, logge hvad der skete og spillede derefter med rapporteringsmodulet.
I tilfælde af en tabt bærbar computer udfyldte jeg en detaljeret formular, der beskrev, hvad der var tabt, hvilket format dataene var i, hvem der var involveret, og hvor mange poster der kan blive påvirket. Nogle sektioner gik meget detaljeret, som at klarlægge formen for elektroniske data, der blev mistet - e-mail, bærbar opbevaring FTP og andre - eller om overtrædelsen var ondsindet eller ikke-ondsindet, og hvordan det skete.
Jeg identificerede også, hvilke dataelementer der var mistet, om det var personlige identificerende oplysninger (PII), beskyttede sundhedsoplysninger (PHI) eller andre følsomme oplysninger. Det ville have været rart at bare være i stand til at sige "All PII" eller "All PHI" i stedet for at gå ned og klikke på hver eneste afkrydsningsfelt, men det tvinger administratoren til virkelig at være opmærksom på, hvilke data der blev mistet.
Jeg kunne angive, hvilke typer data der blev eksponeret, såsom navne, sundhedsregistre, bankoplysninger og andre. Alle virksomheder er forskellige, så jeg var i stand til at specificere nøjagtigt de overholdelsesregler, jeg var underlagt (eller bare bedste praksis), og afslutte en meget tilpasset hændelsesplan - Næste: Incident Management with Radar
