Video: Britney Spears - Radar (Official Video) (Oktober 2024)
Et datainnbrudd er en stor avtale for en helseorganisasjon, uansett hendelsestype. Å håndtere kjølvannet av et brudd, eller en sikkerhetshendelse, kan være en utfordrende, krevende og ofte kaotisk prosess. Radar, fra personvernkyndige mennesker hos ID Experts, hjelper organisasjoner med å lage en plan for respons på hendelser i tilfelle datainnbrudd og spore hvert trinn når det løses. Cyber-angripere kan bryte nettverket og få tilgang til sensitive data, eller en ansatt kan ha mistet en bærbar datamaskin som inneholder dokumenter som inneholder helserelatert informasjon ved et uhell. En feilkonfigurert server kan ha utilsiktet eksponert filer for personer utenfor organisasjonen, og en useriøs sykehusansatt kan få tilgang til pasientjournaler og dele dem med uautoriserte personer. Alle disse hendelsene er underlagt en rekke overholdelsesregler, statlige og føderale lover og bransjestandarder; og Radar gjør den komplekse prosessen mer enkel.
ID-eksperter posisjonerer Radar som verktøyet for "management av personvern" spesielt designet for helseorganisasjoner som sykehus, klinikker og helseplaner. Plattformen fokuserer på HIPAA (Health Insurance Portability Accountability Act) og HITECH (Health Information Technology for Economic and Clinical Health) forskrifter samt lover om varsling av data om brudd på data.
Radar ligner Co3 Systems ved at begge plattformene hjelper administratorer med å håndtere datainnbrudd og identifisere trinn for å identifisere feilen, løse problemet, varsle ofrene og verifisere at problemet er løst. Co3 Systems er sterkt veiviserbasert, dekker et bredere spekter av forskrifter enn bare helsevesen, og er ikke begrenset til bare brudd på data.
RADAR er forskjellig fra andre plattformer ved at den utfører en hendelsesspesifikk risikovurdering, for eksempel å bruke fire faktorer fra HIPAAs endelige regel, som kreves av føderale og statlige lover for overholdelse. RADAR innebygde disse vurderingsreglene i programvaren, noe som gjorde det lettere for personell- og overholdelsesansvarlige å vurdere hver hendelse konsekvent.
Hva Radar gjør
Bedrifter, som er fokusert på å forhindre brudd på data og lekkasjer, glemmer ofte å planlegge for verste fall når sikkerhetsteknologi og prosesser mislykkes. Radar løser proaktivt dette problemet ved å la administratorer generere en detaljert responsplan for hendelser for å identifisere hvert trinn som må skje.
Ledere og sikkerhetsteam svarer på en serie spørsmål angående en spesiell sikkerhets- eller personvernhendelse, og Radar returnerer en liste over statlige lover og HIPAA / HITECH-forskrifter gjelder for de spesifikke omstendighetene. Programvaren identifiserer alle som må varsles.
Mens jeg ofte bruker begrepene om hverandre, skiller plattformen mellom hendelser og brudd. En hendelse ville være at en ansatt mister en bærbar datamaskin. Et brudd ville være hvis noen fant at mistet den bærbare datamaskinen og utsatte pasientdata. Hvis harddisken hadde blitt kryptert, ville tapet forblitt en hendelse fordi dataene fortsatt var sikre. Hvis jeg spesifiserte at dataene ikke var blitt eksponert (fordi den bærbare datamaskinen falt i havet), ville Radar flagget rapporten som "Bare dokumentasjon" og ikke generert en responsplan for hendelsen. Hvis jeg antydet at det var en mulighet for at noen faktisk kom over dataene (i tilfelle en tapt laptop på en konferanse), ville Radar generere en svarplan.
Tatt i betraktning at selskaper som lider av brudd må svare raskt, og raskt kunne generere tilpassede hendelsesresponsplaner med en tydelig arbeidsflyt, betyr at organisasjonen kan svare konsekvent og effektivt. Plattformen bruker også fargekodede nøkler for å identifisere hvilke hendelser som er høy risiko, og virkningen på HITECH-samsvar.
Å legge inn en hendelse i Radar ID-eksperter ga meg tilgang til Radar 2.7 og forhåndsutfylte kontoen med noen ferdige hendelser. Etter å ha logget meg inn på plattformen, klikket jeg på "Document New Incident" -knappen for å opprette en hendelse, logge hva som skjedde og spilte deretter med rapporteringsmodulen.
Når det gjelder en tapt bærbar PC, fylte jeg ut et detaljert skjema som beskrev hva som var tapt, hvilket format dataene var i, hvem som var involvert og hvor mange poster som kan bli påvirket. Noen seksjoner gikk i detalj, for eksempel å tydeliggjøre formen for elektronikkdata som gikk tapt - e-post, bærbar lagrings-FTP og andre - eller om bruddet var ondsinnet eller ikke-ondsinnet, og hvordan det skjedde.
Jeg identifiserte også hvilke dataelementer som gikk tapt, enten det var personlig identifiserende informasjon (PII), beskyttet helseinformasjon (PHI) eller annen sensitiv informasjon. Det hadde vært fint å bare kunne si "All PII" eller "All PHI" i stedet for å gå ned og klikke på hver eneste avmerkingsboks, men det tvinger administratoren til å virkelig ta hensyn til hvilke data som gikk tapt.
Jeg kunne indikere hvilke typer data som ble eksponert, for eksempel navn, helsejournal, bankinformasjon og andre. Alle virksomheter er forskjellige, så jeg var i stand til å spesifisere nøyaktig samsvarsforskriften jeg var underlagt (eller bare beste praksis) og avvikle med en veldig tilpasset hendelsesplan - Neste: Incident Management with Radar
