Video: Britney Spears - Radar (Official Video) (Studeni 2024)
Kršenje podataka velik je problem za zdravstvenu organizaciju, bez obzira na vrstu incidenta. Rješavanje posljedica kršenja ili sigurnosnog incidenta može biti izazovan, dugotrajan i kaotičan proces. Radar, iz udruge ID Experts, koji pomažu u zaštiti privatnosti, pomaže organizacijama da naprave plan reakcija na incident u slučaju kršenja podataka i prate svaki korak kako je riješen. Cyber-napadači mogu prekršiti mrežu i pristupiti osjetljivim podacima ili je zaposlenik slučajno izgubio prijenosno računalo s dokumentima koji sadrže podatke povezane sa zdravljem. Pogrešno konfiguriran poslužitelj možda je nenamjerno izložio datoteke ljudima izvan organizacije, a zaposlenik bolnice u bolnici može pristupiti podacima pacijenata i dijeliti ih s neovlaštenim pojedincima. Svi ovi incidenti podliježu propisima o poštivanju zakona, državnim i saveznim zakonima i industrijskim standardima; a Radar čini složeni postupak izravnijim.
Stručnjaci kompanije ID pozicioniraju radar kao alat "upravljanja incidentima s privatnošću" posebno dizajniran za zdravstvene organizacije poput bolnica, klinika i zdravstvenih planova. Platforma se fokusira na propise HIPAA (Zakon o odgovornosti za prenosivost zdravstvenog osiguranja) i HITECH (Zdravstvena informaciona tehnologija za ekonomsko i kliničko zdravlje), kao i na državne zakone o prijavi kršenja podataka.
Radar je sličan sustavu Co3 po tome što obje platforme pomažu administratorima u upravljanju kršenjima podataka i identificiraju korake za prepoznavanje nedostataka, popravljanje problema, obavještavanje žrtava i provjeru da je problem riješen. Co3 Systems temelji se na čarobnjaštvu, obuhvaća širi spektar propisa nego samo zdravstvo i nije ograničen na samo kršenje podataka.
RADAR se razlikuje od ostalih platformi po tome što provodi procjenu rizika specifičnu za incident, poput korištenja četiri faktora iz konačnog pravila HIPAA-e, koji su potrebni saveznim i državnim zakonima radi poštivanja. RADAR je ta pravila za procjenu ugradio u softver, tako što službenicima za zaštitu privatnosti i poštivanju zakona olakšava dosljedno ocjenjivanje svakog događaja.
Što radi radar
Tvrtke usredotočene na sprečavanje kršenja podataka i curenja podataka često zaboravljaju planirati najgori scenarij kada sigurnosna tehnologija i procesi ne uspiju. Radar proaktivno rješava ovaj problem dopuštajući administratorima da generiraju detaljan plan reakcija na incident kako bi identificirali svaki korak koji se mora dogoditi.
Menadžeri i sigurnosni timovi odgovaraju na niz pitanja koja se tiču određenog sigurnosnog ili privatnog incidenta, a Radar vraća popis državnih zakona, a HIPAA / HITECH propisi primjenjuju se na posebne okolnosti. Softver identificira sve one koji trebaju biti prijavljeni.
Iako ja često koristim naizmjenično pojmove, platforma razlikuje incidente i kršenja. U incidentu bi se dogodio da zaposlenik izgubi laptop. Prekršaj bi bio kad bi netko pronašao izgubljeni laptop i izložio podatke o pacijentu. Da je tvrdi disk bio šifriran, gubitak bi ostao incident jer su podaci još uvijek sigurni. Ako bih odredio da podaci nisu izloženi (jer je laptop pao u ocean), Radar bi izvještaj označio kao "Samo dokumentacija" i ne bi stvorio plan reakcije na incident. Ako sam naznačio da postoji mogućnost da netko zaista nađe podatke (u slučaju izgubljenog prijenosnog računala na konferenciji), Radar bi stvorio plan odgovora.
S obzirom da tvrtke koje imaju kršenje moraju brzo reagirati, jer su sposobne brzo stvoriti prilagođene planove za reagiranje na incident s jasnim tijekom rada znači da organizacija može dosljedno i učinkovito reagirati. Platforma također koristi ključeve u boji koji identificiraju koji su incidenti visokog rizika i utjecaj na usklađenost s HITECH-om.
Ulazak u nezgodu u stručnjake za radar ID dao mi je pristup Radaru 2.7 i unaprijed napunila račun nekim spremnim incidentima. Nakon prijave na platformu, kliknuo sam na gumb "Document New Incident" (Stvori novi dokument) kako bih stvorio događaj, zabilježio što se dogodilo i zatim igrao sa modulom izvještavanja.
U slučaju izgubljenog prijenosnog računala, ispunio sam detaljan obrazac u kojem sam opisao što je izgubljeno, u kojem se formatu podaci nalaze, tko je bio uključen i koliko zapisa može utjecati. Neki odlomci ušli su u detalje, poput objašnjavanja oblika izgubljenih podataka o elektronici - e-pošte, prijenosnog FTP-a i drugih - ili je li kršenje bilo zlonamjerno ili nije zlonamjerno i kako se dogodilo.
Također sam identificirao koji su se podaci izgubili, bilo da se radi o osobnim identifikacijskim podacima (PII), zaštićenim zdravstvenim podacima (PHI) ili drugim osjetljivim podacima. Bilo bi lijepo kad biste mogli samo reći „All PII“ ili „All PHI“, umjesto da se spustite i kliknete svaki potvrdni okvir, ali to će prisiliti administratora da zaista pazi na to koji su podaci izgubljeni.
Mogao bih navesti vrste izloženih podataka, poput imena, zdravstvenih kartona, bankovnih podataka i drugih. Sve su tvrtke različite, tako da sam uspio precizno odrediti propise o usklađenosti s kojima sam bio podvrgnut (ili samo najbolja praksa) i zaključio sam vrlo prilagođeni plan za nezgode - Sljedeće: Upravljanje incidentima s radarom
