Video: Britney Spears - Radar (Official Video) (September 2024)
Ett dataöverträdelse är en stor sak för en vårdorganisation, oavsett typ av incident. Att hantera efterdyningarna av ett överträdelse eller en säkerhetshändelse kan vara en utmanande, krävande och ofta kaotisk process. Radar, från de integritetsskickliga människorna hos ID-experter, hjälper organisationer att skapa en plan för händelsepersonal vid dataöverträdelse och spåra varje steg när det löses. Cyberangripare kan kränka nätverket och få tillgång till känslig information, eller en anställd kan ha misstagit en bärbar dator som innehåller dokument som innehåller hälsorelaterad information. En felkonfigurerad server kan ha oavsiktligt exponerat filer för personer utanför organisationen, och en rogue sjukhusanställd kan komma åt patientjournaler och dela dem med obehöriga personer. Alla dessa händelser är föremål för en rad överensstämmelseföreskrifter, statliga och federala lagar och industristandarder; och Radar gör den komplexa processen mer enkel.
ID-experter positionerar Radar som verktyget "hantering av integritetshändelser" specifikt utformat för sjukvårdsorganisationer som sjukhus, kliniker och hälsoplaner. Plattformen fokuserar på HIPAA (Health Insurance Portability Accountability Act) och HITECH (Health Information Technology for Economic and Clinical Health) förordningar samt lagar om anmälan om statliga data.
Radar liknar Co3-system genom att båda plattformarna hjälper administratörer att hantera dataintrång och identifiera steg för att identifiera bristen, fixa problemet, meddela offren och kontrollera att problemet har åtgärdats. Co3 Systems är starkt guiderbaserat, täcker ett bredare utbud av bestämmelser än bara sjukvård och är inte begränsat till bara dataintrång.
RADAR skiljer sig från andra plattformar genom att den utför en incidentspecifik riskbedömning, till exempel att använda fyra faktorer från HIPAA: s slutregel, som krävs av federala och statliga lagar för efterlevnad. RADAR inbäddade dessa bedömningsregler i programvaran, vilket gjorde det lättare för sekretess- och efterlevnadsansvariga att bedöma varje incident konsekvent.
Vad Radar gör
Företag som är inriktade på att förebygga dataintrång och läckor glömmer ofta att planera för värsta fall när säkerhetsteknologi och processer misslyckas. Radar åtgärdar proaktivt detta problem genom att tillåta administratörer att generera en detaljerad händelseplan för att identifiera varje steg som måste ske.
Chefer och säkerhetsteam svarar på en serie frågor angående en viss säkerhets- eller integritetshändelse och Radar returnerar en lista över statliga lagar och HIPAA / HITECH-föreskrifter gäller för de specifika omständigheterna. Programvaran identifierar alla som måste meddelas.
Medan jag ofta använder termerna omväxlande, skiljer plattformen mellan incidenter och överträdelser. En incident skulle vara att en anställd tappar en bärbar dator. Ett överträdelse skulle vara om någon hittade den förlorade bärbara datorn och utsatta patientdata. Om hårddisken hade krypterats skulle förlusten ha varit en händelse eftersom uppgifterna fortfarande var säkra. Om jag specificerade att uppgifterna inte hade blivit exponerade (eftersom den bärbara datorn föll i havet), skulle Radar flagga rapporten som "Endast dokumentation" och inte generera en plan för svarshändelser. Om jag antydde att det fanns en möjlighet att någon faktiskt skulle komma över data (i fallet med en förlorad bärbar dator på en konferens), skulle Radar generera en svarplan.
Med tanke på att företag som lider av ett brott måste svara snabbt, att snabbt kunna generera anpassade planer för incidentrespons med ett tydligt arbetsflöde innebär det att organisationen kan svara konsekvent och effektivt. Plattformen använder också färgkodade nycklar för att identifiera vilka incidenter som är höga risker och påverkan på HITECH-efterlevnad.
Att ange en incident i radar- ID-experter gav mig åtkomst till Radar 2.7 och förbehandlade kontot med några färdiga incidenter. Efter att jag loggat in på plattformen klickade jag på knappen "Dokument ny incident" för att skapa en händelse, logga in vad som hände och spelade sedan med rapporteringsmodulen.
När det gäller en förlorad bärbar dator fyllde jag in ett detaljerat formulär som beskrev vad som var förlorat, vilket format uppgifterna var i, vem var inblandad och hur många poster som kan påverkas. Vissa avsnitt gick i detalj, som att klargöra formen för elektronikdata som förlorades - e-post, portabel lagrings-FTP och andra - eller om överträdelsen var skadlig eller icke-skadlig, och hur det hände.
Jag identifierade också vilka dataelement som förlorades, vare sig det var personlig identifierande information (PII), skyddad hälsoinformation (PHI) eller annan känslig information. Det hade varit trevligt att bara kunna säga "All PII" eller "All PHI" istället för att gå ner och klicka på varje kryssruta, men det tvingar administratören att verkligen uppmärksamma vilka data som förlorades.
Jag kan ange vilka typer av data som exponerats, till exempel namn, hälsoregister, bankinformation och andra. Alla företag är olika, så jag kunde specificera exakt de regler för efterlevnad som jag var föremål för (eller bara bästa praxis) och avveckla med en mycket anpassad incidentplan - Nästa: Incident Management with Radar
