Видео: Britney Spears - Radar (Official Video) (Ноември 2024)
Нарушаването на данните е голяма работа за здравната организация, независимо от вида на инцидента. Справянето с последствие от нарушение или инцидент със сигурността може да бъде предизвикателен, отнемащ и често хаотичен процес. Radar, от хората, които разбират за поверителността на ID Experts, помага на организациите да създадат план за реагиране на инцидент в случай на нарушение на данните и да проследяват всяка стъпка, докато бъде разрешена. Кибер-нападателите могат да нарушат мрежата и да имат достъп до чувствителни данни или служител може случайно да е загубил лаптоп, съдържащ документи, съдържащи информация, свързана със здравето. Грешно конфигуриран сървър може да има файлове по невнимание изложени на хора извън организацията, а служителят в болницата измамник може да има достъп до досиета на пациентите и да ги споделя с неоторизирани лица. Всички тези инциденти са обект на закони за спазване, държавни и федерални закони и индустриални стандарти; и Радар прави сложния процес по-лесен.
Експертите на ID позиционират Радар като инструмент за управление на инциденти с поверителността, специално разработен за здравни организации като болници, клиники и здравни планове. Платформата се фокусира върху HIPAA (Закон за отговорността за преносимост на здравно осигуряване) и HITECH (Здравна информационна технология за икономическо и клинично здраве), както и държавни закони за уведомяване за нарушаване на данните.
Радарът е подобен на Co3 Systems по това, че и двете платформи помагат на администраторите да управляват нарушенията на данните и да идентифицират стъпки за идентифициране на недостатъка, отстраняване на проблема, уведомяване на жертвите и проверка на проблема. Co3 Systems е силно базирана на съветници, обхваща по-широк спектър от регулации, отколкото само здравеопазването и не се ограничава само до нарушаване на данните.
RADAR се различава от другите платформи по това, че извършва оценка на риска, специфичен за инцидента, като например използване на четири фактора от окончателното правило на HIPAA, което се изисква от федералните и щатските закони за спазване. RADAR вгради тези правила за оценка в софтуера, което улеснява служителите за поверителност и спазване на правилата да оценяват всеки инцидент последователно.
Какво прави радарът
Фирмите, фокусирани върху предотвратяване на нарушения и течове на данни, често забравят да планират най-лошия сценарий, когато технологията и процесите за сигурност се провалят. Радарът активно се занимава с този проблем, като позволява на администраторите да генерират подробен план за отговор на инциденти, за да идентифицират всяка стъпка, която трябва да се случи.
Мениджърите и екипите по сигурността отговарят на редица въпроси, свързани с конкретен инцидент със сигурността или поверителността, и Radar връща списък на държавните закони и разпоредбите на HIPAA / HITECH, приложими към конкретните обстоятелства. Софтуерът идентифицира всички, които трябва да бъдат уведомени.
Въпреки че често използвам термините взаимозаменяемо, платформата прави разлика между инциденти и нарушения. Инцидент би бил служител, който губи лаптоп. Нарушение би било, ако някой намери този изгубен лаптоп и изложи данни за пациенти. Ако твърдият диск беше кодиран, загубата щеше да остане инцидент, защото данните все още бяха сигурни. Ако уточня, че данните не са били изложени (тъй като лаптопът е паднал в океана), Radar ще маркира отчета като „Само документация“ и няма да генерира план за отговор на инцидент. Ако посочих, че има вероятност някой действително да попадне на данните (в случай на изгубен лаптоп на конференция), Radar ще генерира план за отговор.
Като се има предвид, че компаниите, претърпели нарушение, трябва да реагират бързо, като могат бързо да генерират персонализирани планове за реагиране на инциденти с ясен работен процес, означава, че организацията може да реагира последователно и ефективно. Платформата също използва цветно кодирани ключове, за да идентифицира кои инциденти са с висок риск и въздействието върху спазването на HITECH.
Въвеждане на инцидент в експертите по Radar ID ми даде достъп до Radar 2.7 и предварително попълних акаунта с някои готови инциденти. След като влязох в платформата, щракнах върху бутона „Документ нов инцидент“, за да създам събитие, регистрирайки случилото се и след това играх с модула за отчитане.
В случай на изгубен лаптоп, попълних подробен формуляр, описвайки какво е загубено, в какъв формат са били данните, кой е участвал и колко записи могат да бъдат засегнати. Някои раздели навлязоха в подробности, като например изясняване на формата на загубените данни за електрониката - имейл, преносимо съхранение FTP и други - или дали нарушението е злонамерено или не злонамерено и как се е случило.
Също така идентифицирах какви елементи от данни са били загубени, независимо дали става въпрос за лична идентифицираща информация (PII), защитена здравна информация (PHI) или друга чувствителна информация. Би било хубаво просто да можете да кажете „All PII“ или „All PHI“, вместо да слизате и да кликнете върху всяко квадратче за отметка, но това принуждава администратора наистина да обърне внимание на това какви данни са загубени.
Бих могъл да посоча видовете изложени данни, като имена, здравни записи, банкова информация и други. Всички фирми са различни, така че успях да конкретизирам точно правилата за спазване, на които бях обект (или просто най-добри практики) и завърших с много персонализиран план за инциденти - Следващо: Управление на инциденти с радара