Vídeo: Britney Spears - Radar (Official Video) (De novembre 2024)
Una infracció de dades suposa un gran problema per a una organització sanitària, independentment del tipus d’incidents. Fer front a les conseqüències d'una infracció o incident de seguretat pot ser un procés difícil, consumidor i, sovint, caòtic. El radar, de persones expertes en privadesa en ID Experts, ajuda les organitzacions a crear un pla de resposta a incidents en cas d’incompliment de dades i fer un seguiment de cada pas a mesura que es resolgui. Els ciber-atacants poden incomplir la xarxa i accedir a dades sensibles o un empleat pot haver perdut accidentalment un ordinador portàtil que contenia documents que contenien informació relacionada amb la salut. És possible que un servidor configurat erròniament hagi exposat inadvertidament fitxers a persones alienes a l'organització i un empleat de l'hospital de mal estat pot accedir als registres del pacient i compartir-lo amb persones no autoritzades. Tots aquests incidents estan sotmesos a una sèrie de normes de compliment, lleis estatals i federals i estàndards de la indústria; i el radar fa que el procés sigui més senzill.
Experts d’identificació posiciona el radar com l’eina de “gestió d’incidents de privacitat” dissenyada específicament per a organitzacions sanitàries com hospitals, clíniques i plans de salut. La plataforma se centra en les regulacions HIPAA (Health Insurance Portability Account Act) i HITECH (Tecnologia de la informació sanitària per a la salut econòmica i clínica), així com en les lleis de notificació d’incompliment de dades de l’estat.
El radar és similar al de Co3 Systems, ja que ambdues plataformes ajuden els administradors a gestionar incompliments de dades i a identificar els passos per identificar el defecte, solucionar el problema, notificar les víctimes i verificar el problema. Co3 Systems està basat en assistència, cobreix una àmplia gamma de regulacions que només la salut, i no es limita a la incomplència de dades.
RADAR és diferent de les altres plataformes perquè realitza una avaluació de riscos específica d’incidents, com ara l’ús de quatre factors de la regla final de l’HIPAA, que exigeixen les lleis federals i estatals per complir-los. RADAR va incorporar aquestes regles d'avaluació al programari, cosa que facilita als funcionaris de privadesa i compliment avaluar cada incidència.
Què fa el radar
Les empreses, enfocades a prevenir incompliments i fuites de dades, solen oblidar-se de planificar el pitjor dels casos quan la tecnologia i els processos de seguretat fallen. El radar aborda de forma proactiva aquest problema permetent als administradors generar un pla detallat de resposta a incidències per identificar cada pas que cal produir.
Els directius i els equips de seguretat responen a una sèrie de preguntes relacionades amb un incident de seguretat o privadesa particular i Radar retorna una llista de les lleis estatals i les normes HIPAA / HITECH s'apliquen a les circumstàncies específiques. El programari identifica a tots els que han de ser notificats.
Tot i que sovint faig servir els termes de forma intercanviable, la plataforma diferencia entre incidents i incompliments. Un incident seria un empleat que perdia un ordinador portàtil. Una infracció seria si algú trobés aquell ordinador portàtil perdut i exposés dades del pacient. Si el disc dur s’hagués xifrat, la pèrdua hauria estat un incident perquè les dades encara eren segures. Si especifiqués que les dades no s’havien exposat (perquè l’ordinador portàtil va caure a l’oceà), el radar marcarà l’informe com a “documentació només” i no generaria un pla de resposta a incidents. Si indiqués que hi havia la possibilitat que algú trobés les dades (en el cas d’un ordinador portàtil perdut en una conferència), el radar generaria un pla de resposta.
Tenint en compte que les empreses que pateixen un incompliment han de respondre ràpidament, el fet de poder generar ràpidament plans de resposta personalitzada a incidents amb un flux de treball clar significa que l'organització pot respondre de forma coherent i eficaç. La plataforma també utilitza claus codificades per colors per identificar quins incidents tenen un risc elevat i l'impacte en el compliment HITECH.
Com introduir un incident a la identificació de radar, els experts em van donar accés a Radar 2.7 i vaig omplir el compte prèviament amb alguns incidents preparats. Després de registrar-me a la plataforma, vaig fer clic al botó "Documentar un nou incident" per crear un esdeveniment, registrar el que va passar i després vaig jugar amb el mòdul d'informes.
En el cas d’un ordinador portàtil perdut, vaig omplir un formulari detallat on es descriu el que es va perdre, quin format tenia les dades, qui estava implicat i quants registres es poden veure afectats. Algunes seccions van aprofundir, com ara aclarir la forma de dades de l'electrònica que es van perdre (correu electrònic, FTP d'emmagatzematge portàtil i d'altres), o si la violació era maliciosa o no maliciosa, i com es va produir.
També vaig identificar quins elements de dades es van perdre, si es tractava d’informació personal d’identificació (PII), informació de salut protegida (PHI) o altra informació sensible. Hauria estat bé poder dir només "Totes les PII" o "Totes les PHI" en lloc de baixar i fer clic a totes les caselles de selecció, però sí que obliga l'administrador a prestar atenció a les dades que es van perdre.
Podria indicar els tipus de dades exposats, com ara noms, registres de salut, informació bancària i altres. Totes les empreses són diferents, així que he pogut especificar exactament les normes de compliment a què estava sotmès (o només les millors pràctiques) i acabar amb un pla d’incidents molt personalitzat. A continuació: Gestió d’incidents amb radar