Video: MICRO ONE - RADARAS PT.1 (prod. WARRAIN) (Lapkritis 2024)
Duomenų pažeidimas yra didelis dalykas sveikatos priežiūros organizacijai, neatsižvelgiant į įvykio tipą. Pažeidimo ar saugumo įvykio padariniai gali būti sudėtingas, daug pastangų reikalaujantis ir dažnai chaotiškas procesas. Radarai iš asmens duomenų apsaugos ekspertų, atsakingų už privatumą, padeda organizacijoms sudaryti reagavimo į incidentus planą duomenų pažeidimo atveju ir sekti kiekvieną žingsnį, kai jis bus išspręstas. Kibernetiniai užpuolikai gali pažeisti tinklą ir pasiekti slaptus duomenis arba darbuotojas gali netyčia pamesti nešiojamąjį kompiuterį, kuriame yra su sveikata susijusios informacijos dokumentai. Netinkamai sukonfigūruotas serveris gali netyčia paviešinti failus už organizacijos ribų esantiems žmonėms, o nesąžiningi ligoninės darbuotojai gali pasiekti pacientų įrašus ir dalintis jais su pašaliniais asmenimis. Visiems šiems įvykiams taikoma daugybė atitikties taisyklių, valstijų ir federalinių įstatymų bei pramonės standartų; ir Radarai padaro sudėtingą procesą paprastesnį.
ID ekspertai pozicionavo „Radar“ kaip „privatumo atvejų valdymo“ įrankį, specialiai sukurtą sveikatos priežiūros organizacijoms, tokioms kaip ligoninės, klinikos ir sveikatos planai. Šioje platformoje pagrindinis dėmesys skiriamas HIPAA (Sveikatos draudimo perkeliamumo atskaitomybės įstatymas) ir HITECH (Sveikatos informacinės technologijos ekonominei ir klinikinei sveikatai) taisyklėms, taip pat valstybės įstatymams, reglamentuojantiems duomenų pažeidimus.
Radarai yra panašūs į „Co3 Systems“ tuo, kad abi platformos padeda administratoriams valdyti duomenų pažeidimus ir nustatyti veiksmus, kad būtų galima nustatyti trūkumą, ištaisyti problemą, pranešti aukoms ir patikrinti, ar problema buvo išspręsta. „Co3 Systems“ yra iš esmės vedlių pagrįsta, apima ne tik sveikatos priežiūrą, bet ir daugiau reglamentų ir neapsiriboja vien duomenų pažeidimais.
RADAR skiriasi nuo kitų platformų tuo, kad atlieka konkrečiam įvykiui būdingos rizikos vertinimą, pavyzdžiui, naudoja keturis HIPAA galutinės taisyklės veiksnius, kurių reikalaujama pagal federalinius ir valstijų įstatymus. RADAR šias vertinimo taisykles įdėjo į programinę įrangą, kad privatumo ir atitikties pareigūnams būtų lengviau nuosekliai įvertinti kiekvieną įvykį.
Ką radaras daro
Verslo įmonės, sutelkusios dėmesį į duomenų pažeidimų ir nutekėjimų prevenciją, dažnai pamiršta planuoti blogiausią scenarijų, kai saugos technologijos ir procesai sugenda. Radarai proaktyviai išsprendžia šią problemą leisdami administratoriams sugeneruoti išsamų reagavimo į incidentus planą, kad nustatytų kiekvieną būtiną žingsnį.
Vadybininkai ir apsaugos komandos atsako į daugybę klausimų, susijusių su konkrečiu saugumo ar privatumo incidentu, ir „Radaras“ pateikia valstijos įstatymų sąrašą, o HIPAA / HITECH taisyklės taikomos konkrečioms aplinkybėms. Programinė įranga identifikuoja visus, apie kuriuos reikia pranešti.
Nors aš dažnai vartoju terminus pakaitomis, platforma išskiria įvykius ir pažeidimus. Dėl įvykio darbuotojas prarastų nešiojamąjį kompiuterį. Pažeidimas būtų, jei kas nors rastų pamestą nešiojamąjį kompiuterį ir paviešintų paciento duomenis. Jei kietasis diskas būtų užšifruotas, praradimas būtų likęs įvykiu, nes duomenys vis tiek buvo saugūs. Jei nurodyčiau, kad duomenys nebuvo paviešinti (nes nešiojamasis kompiuteris pateko į vandenyną), „Radaras“ pažymės ataskaitą kaip „tik dokumentą“ ir nesudarys reagavimo į incidentą plano. Jei aš nurodyčiau, kad yra galimybė, kad kažkas iš tikrųjų susidurs su duomenimis (konferencijoje pamesto nešiojamojo kompiuterio atveju), tada „Radaras“ sugeneruos reagavimo planą.
Atsižvelgiant į tai, kad pažeidimus patiriančios įmonės turi greitai reaguoti, sugebėti greitai sukurti pritaikytus reagavimo į įvykius planus su aiškia darbo eiga, tai reiškia, kad organizacija gali reaguoti nuosekliai ir efektyviai. Platforma taip pat naudoja spalvotus raktus, kad nustatytų, kurie atvejai kelia didelę riziką ir kokią įtaką turi HITECH.
Įrašę incidentą į „Radar ID“, ekspertai man suteikė prieigą prie „Radar 2.7“ ir iš anksto užpildė sąskaitą keliais paruoštais incidentais. Prisijungęs prie platformos paspaudžiau mygtuką „Dokumentuoti naują įvykį“, norėdamas sukurti įvykį, registravau tai, kas įvyko, ir tada žaidžiau su ataskaitų moduliu.
Pametus nešiojamąjį kompiuterį, užpildžiau išsamią formą, kurioje aprašiau, kas buvo pamesta, kokio formato buvo duomenys, kas dalyvavo ir kiek įrašų gali turėti įtakos. Kai kurie skyriai buvo išnagrinėti labai išsamiai, pavyzdžiui, paaiškinta prarastų elektronikos duomenų forma - el. Paštas, nešiojama saugykla FTP ir kiti - ar pažeidimas buvo kenkėjiškas ar ne kenkėjiškas, ir kaip tai įvyko.
Taip pat išsiaiškinau, kokie duomenų elementai buvo prarasti, ar tai buvo asmens identifikavimo informacija (PII), saugoma informacija apie sveikatą (PHI) ar kita neskelbtina informacija. Būtų buvę malonu, jei galėtum tiesiog pasakyti „All PII“ arba „All PHI“, užuot ėjęs žemyn ir spustelėjęs kiekvieną žymimąjį laukelį, tačiau tai verčia administratorių tikrai atkreipti dėmesį į tai, kokie duomenys buvo pamesti.
Galėčiau nurodyti atskleidžiamų duomenų tipus, tokius kaip vardai, sveikatos įrašai, bankininkystės informacija ir kita. Visi verslai yra skirtingi, todėl galėjau tiksliai apibrėžti atitikties taisykles, kurios man buvo taikomos (arba tik geriausią praktiką), ir baigiau rengti labai pritaikytą incidentų planą. Kitas: Incidento valdymas su radaru
