Video: Britney Spears - Radar (Official Video) (Oktober 2024)
Kršitev podatkov je velika težava za zdravstveno organizacijo, ne glede na vrsto incidenta. Odpravljanje posledic kršitve ali varnostnega incidenta je lahko zahteven, dolgotrajen in pogosto kaotičen postopek. Radar, ki izhaja iz zasebnosti strokovnjakov ID strokovnjakov, pomaga organizacijam ustvariti načrt odzivanja na incident v primeru kršitve podatkov in spremljati vsak korak, ko je rešen. Kibernetski napadalci lahko kršijo omrežje in dostopajo do občutljivih podatkov ali pa je zaposleni slučajno izgubil prenosnik, ki vsebuje dokumente, ki vsebujejo podatke, povezane z zdravjem. Napačno konfiguriran strežnik ima lahko nenamerno izpostavljene datoteke ljudem zunaj organizacije, lopušniški bolnišnični uslužbenec pa lahko dostopa do pacientovih dokumentov in jih deli z nepooblaščenimi osebami. Za vse te incidente veljajo predpisi o skladnosti, državni in zvezni zakoni ter industrijski standardi; Radar pa zapleteni postopek naredi bolj preprost.
ID strokovnjaki postavljajo radar kot orodje za obvladovanje incidentov z zasebnostjo, posebej zasnovano za zdravstvene organizacije, kot so bolnišnice, klinike in zdravstveni načrti. Platforma se osredotoča na predpise HIPAA (zakon o odgovornosti za prenosljivost zdravstvenega zavarovanja) in predpise HITECH (zdravstvena informacijska tehnologija za ekonomsko in klinično zdravje) ter državne zakone o obveščanju o kršitvah podatkov.
Radar je podoben sistemom Co3, ker obe platformi skrbnikom pomagata pri upravljanju kršitev podatkov in določita korake za prepoznavanje pomanjkljivosti, odpravljanje težave, obveščanje žrtev in preverjanje, ali je bila težava odpravljena. Co3 Systems temelji na močnih čarovnikih, zajema širok spekter predpisov kot le zdravstveno varstvo in ni omejen samo na kršitve podatkov.
RADAR se od drugih platform razlikuje po tem, da izvaja oceno tveganja, specifično za incident, na primer z uporabo štirih dejavnikov iz končnega pravila HIPAA, ki jih za skladnost zahtevata zvezna in državna zakonodaja. RADAR je ta pravila za ocenjevanje vgradil v programsko opremo, s čimer je lažji za zasebnost in skladnost lažje ocenjeval vsak incident.
Kaj počne radar
Podjetja, osredotočena na preprečevanje kršitev in puščanja podatkov, pogosto pozabijo načrtovati najslabši scenarij, ko varnostna tehnologija in procesi ne uspejo. Radar proaktivno reši to težavo, saj administratorjem omogoča, da ustvarijo podroben načrt odzivanja na incident, da prepoznajo vsak korak, ki se mora zgoditi.
Menedžerji in varnostne ekipe odgovarjajo na številna vprašanja v zvezi z določenim incidentom z varnostjo ali zasebnostjo in Radar vrne seznam državnih zakonov in predpisov HIPAA / HITECH, ki veljajo za posebne okoliščine. Programska oprema prepozna vse, ki jih je treba obvestiti.
Medtem ko izraze pogosto uporabljam zamenljivo, platforma razlikuje med nezgodami in kršitvami. V incidentu bi zaposleni izgubil prenosnik. Kršitev bi bila, če bi kdo našel izgubljeni prenosnik in izpostavil podatke o bolniku. Če bi bil trdi disk šifriran, bi izguba ostala incident, ker so podatki še vedno varni. Če bi določil, da podatki niso bili izpostavljeni (ker je prenosnik padel v ocean), bi Radar poročilo označil kot "Samo dokumentacija" in ne ustvaril načrta odzivanja na incident. Če bi navedel, da obstaja možnost, da nekdo dejansko naleti na podatke (v primeru izgubljenega prenosnika na konferenci), bi Radar ustvaril načrt odzivanja.
Glede na to, da se morajo podjetja, ki trpijo zaradi kršitve, hitro odzvati, če lahko hitro ustvarijo prilagojene načrte za odzivanje na nesreče z jasnim delovnim tokom, pomeni, da se lahko organizacija odzove dosledno in učinkovito. Platforma uporablja tudi barvno kodirane tipke, da ugotovi, kateri incidenti so visoko tvegani in vpliv na skladnost s HITECH.
Vključitev incidenta v Radar ID strokovnjaki so mi omogočili dostop do Radarja 2.7 in vnaprej napolnili račun z nekaterimi že pripravljenimi dogodki. Po prijavi na platformo sem s klikom na gumb "Document New Incident" ustvaril dogodek, beležil, kaj se je zgodilo, in se nato igral s modulom poročanja.
V primeru izgubljenega prenosnika sem izpolnil podroben obrazec, v katerem sem opisal, kaj se je izgubilo, v kakšnem formatu so bili podatki, kdo je bil vključen in koliko zapisov lahko vpliva. Nekateri razdelki so se podrobno seznanili, na primer razjasnili obliko izgubljenih elektronskih podatkov - e-pošto, prenosni FTP in drugi - ali je bila kršitev zlonamerna ali ne zlonamerna in kako se je zgodila.
Ugotovila sem tudi, kateri podatki so izgubljeni, ne glede na to, ali gre za osebne identifikacijske podatke (PII), zaščitene zdravstvene podatke (PHI) ali druge občutljive podatke. Bilo bi lepo, če bi le lahko rekli »All PII« ali »All PHI«, namesto da bi šli dol in kliknili vsako potrditveno polje, vendar vseeno prisili skrbnika, da je res pozoren na podatke, ki so bili izgubljeni.
Lahko bi navedel vrste izpostavljenih podatkov, na primer imena, zdravstvene podatke, bančne podatke in drugo. Vsa podjetja so različna, zato sem lahko natančno določil predpise o skladnosti, za katere sem veljal (ali samo najboljše prakse), in zaključil zelo prilagojen načrt incidentov - Naprej: Upravljanje incidentov z radarjem
