Video: Britney Spears - Radar (Official Video) (Tháng Chín 2024)
Vi phạm dữ liệu là một vấn đề lớn đối với một tổ chức chăm sóc sức khỏe, bất kể loại sự cố. Xử lý hậu quả của vi phạm, hoặc sự cố an ninh, có thể là một quá trình đầy thách thức, tiêu tốn và thường là hỗn loạn. Radar, từ những người am hiểu về quyền riêng tư tại ID Experts, giúp các tổ chức tạo ra một kế hoạch ứng phó sự cố trong trường hợp vi phạm dữ liệu và theo dõi từng bước khi nó được giải quyết. Kẻ tấn công mạng có thể vi phạm mạng và truy cập dữ liệu nhạy cảm hoặc một nhân viên có thể đã vô tình làm mất máy tính xách tay có chứa tài liệu chứa thông tin liên quan đến sức khỏe. Một máy chủ được cấu hình sai có thể đã vô tình tiếp xúc các tệp với những người bên ngoài tổ chức và một nhân viên bệnh viện lừa đảo có thể truy cập hồ sơ bệnh nhân và chia sẻ nó với các cá nhân trái phép. Tất cả những sự cố này phải tuân theo một loạt các quy định tuân thủ, luật pháp tiểu bang và liên bang và các tiêu chuẩn ngành; và Radar làm cho quá trình phức tạp trở nên đơn giản hơn.
ID Chuyên gia định vị Radar là công cụ "quản lý sự cố riêng tư" được thiết kế dành riêng cho các tổ chức chăm sóc sức khỏe như bệnh viện, phòng khám và các chương trình y tế. Nền tảng tập trung vào các quy định của HIPAA (Đạo luật về trách nhiệm giải trình bảo hiểm y tế) và HITECH (Công nghệ thông tin y tế cho sức khỏe kinh tế và lâm sàng) cũng như luật thông báo vi phạm dữ liệu của tiểu bang.
Radar tương tự như Co3 Systems ở chỗ cả hai nền tảng đều giúp quản trị viên quản lý các vi phạm dữ liệu và xác định các bước để xác định lỗ hổng, khắc phục sự cố, thông báo cho nạn nhân và xác minh sự cố đã được xử lý. Co3 Systems dựa trên thuật sĩ rất nhiều, bao gồm một loạt các quy định rộng lớn hơn là chỉ chăm sóc sức khỏe và không giới hạn ở các vi phạm dữ liệu.
RADAR khác với các nền tảng khác ở chỗ nó thực hiện đánh giá rủi ro cụ thể theo sự cố, chẳng hạn như sử dụng bốn yếu tố từ quy tắc cuối cùng của HIPAA, được luật pháp liên bang và tiểu bang yêu cầu tuân thủ. RADAR nhúng các quy tắc đánh giá đó vào phần mềm, giúp các nhân viên tuân thủ và quyền riêng tư dễ dàng đánh giá từng sự cố một cách dễ dàng hơn.
Radar làm gì
Các doanh nghiệp, tập trung vào việc ngăn chặn vi phạm dữ liệu và rò rỉ, thường quên lập kế hoạch cho trường hợp xấu nhất khi công nghệ bảo mật và quy trình không thành công. Radar chủ động giải quyết vấn đề này bằng cách cho phép quản trị viên tạo kế hoạch ứng phó sự cố chi tiết để xác định từng bước cần xảy ra.
Các nhà quản lý và nhóm bảo mật trả lời một loạt các câu hỏi liên quan đến một sự cố bảo mật hoặc quyền riêng tư cụ thể và Radar trả về một danh sách các luật của tiểu bang và các quy định của HIPAA / HITECH áp dụng cho các trường hợp cụ thể. Phần mềm xác định tất cả mọi người cần được thông báo.
Mặc dù tôi thường sử dụng các thuật ngữ thay thế cho nhau, nền tảng này phân biệt giữa các sự cố và vi phạm. Một sự cố sẽ là một nhân viên bị mất máy tính xách tay. Vi phạm sẽ là nếu ai đó phát hiện ra rằng máy tính xách tay bị mất và lộ dữ liệu bệnh nhân. Nếu ổ cứng đã được mã hóa, sự mất mát sẽ vẫn là một sự cố vì dữ liệu vẫn được bảo mật. Nếu tôi chỉ định rằng dữ liệu chưa bị lộ (vì máy tính xách tay rơi xuống đại dương), Radar sẽ gắn cờ báo cáo là "Chỉ tài liệu" và không tạo ra kế hoạch ứng phó sự cố. Nếu tôi chỉ ra rằng có khả năng ai đó thực sự bắt gặp dữ liệu (trong trường hợp máy tính xách tay bị mất tại một hội nghị), thì Radar sẽ tạo ra một kế hoạch phản hồi.
Xem xét rằng các công ty bị vi phạm phải phản ứng nhanh chóng, có thể nhanh chóng tạo ra các kế hoạch ứng phó sự cố tùy chỉnh với quy trình làm việc rõ ràng có nghĩa là tổ chức có thể phản hồi một cách nhất quán và hiệu quả. Nền tảng này cũng sử dụng các khóa được mã hóa màu để xác định sự cố nào có nguy cơ cao và ảnh hưởng đến việc tuân thủ HITECH.
Tham gia Sự cố vào Radar ID Các chuyên gia đã cho tôi quyền truy cập vào Radar 2.7 và điền trước tài khoản với một số sự cố đã sẵn sàng. Sau khi đăng nhập vào nền tảng, tôi nhấp vào nút "Tài liệu mới xảy ra sự cố" để tạo sự kiện, ghi nhật ký những gì đã xảy ra và sau đó phát với mô-đun báo cáo.
Trong trường hợp máy tính xách tay bị mất, tôi đã điền vào một mẫu chi tiết mô tả những gì đã mất, dữ liệu ở định dạng nào, ai có liên quan và có bao nhiêu hồ sơ có thể bị ảnh hưởng. Một số phần đã đi sâu vào chi tiết, chẳng hạn như làm rõ dạng dữ liệu điện tử bị mất email, FTP lưu trữ di động và các phần mềm khác hoặc liệu vi phạm là độc hại hay không độc hại và cách thức xảy ra.
Tôi cũng xác định những yếu tố dữ liệu nào bị mất, cho dù đó là thông tin nhận dạng cá nhân (PII), thông tin sức khỏe được bảo vệ (PHI) hoặc thông tin nhạy cảm khác. Sẽ thật tuyệt khi chỉ có thể nói "Tất cả PII" hoặc "Tất cả PHI" thay vì đi xuống và nhấp vào từng hộp kiểm, nhưng điều đó buộc người quản trị phải thực sự chú ý đến dữ liệu bị mất.
Tôi có thể chỉ ra các loại dữ liệu được hiển thị, chẳng hạn như tên, hồ sơ sức khỏe, thông tin ngân hàng và các loại khác. Tất cả các doanh nghiệp đều khác nhau, vì vậy tôi đã có thể chỉ định chính xác các quy định tuân thủ mà tôi phải tuân theo (hoặc chỉ là thực tiễn tốt nhất) và kết thúc với một kế hoạch sự cố rất tùy chỉnh, tiếp theo: Quản lý sự cố với Radar
