รีวิวเรดาร์ & การให้คะแนน

การละเมิดข้อมูลเป็นเรื่องใหญ่สำหรับองค์กรด้านการดูแลสุขภาพโดยไม่คำนึงถึงประเภทของเหตุการณ์ การจัดการกับผลที่ตามมาจากการฝ่าฝืนหรือเหตุการณ์ด้านความปลอดภัยอาจเป็นกระบวนการที่ท้าทายใช้เวลานานและวุ่นวาย Radar จากกลุ่มผู้เชี่ยวชาญด้านความเป็นส่วนตัวที่ผู้เชี่ยวชาญ ID ช่วยองค์กรสร้างแผนการตอบสนองเหตุการณ์ในกรณีที่มีการละเมิดข้อมูลและติดตามแต่ละขั้นตอนตามที่ได้รับการแก้ไข ผู้โจมตีทางไซเบอร์อาจละเมิดเครือข่ายและเข้าถึงข้อมูลที่ละเอียดอ่อนหรือพนักงานอาจสูญเสียแล็ปท็อปที่มีเอกสารที่มีข้อมูลที่เกี่ยวข้องกับสุขภาพโดยไม่ตั้งใจ เซิร์ฟเวอร์ที่กำหนดค่าผิดพลาดอาจมีการเปิดเผยไฟล์โดยไม่ตั้งใจแก่บุคคลภายนอกองค์กรและพนักงานโรงพยาบาลปลอมอาจเข้าถึงบันทึกผู้ป่วยและแบ่งปันกับบุคคลที่ไม่ได้รับอนุญาต เหตุการณ์ทั้งหมดนี้อยู่ภายใต้ระเบียบปฏิบัติกฎหมายกฎหมายของรัฐและรัฐบาลกลางและมาตรฐานอุตสาหกรรม และเรดาร์ทำให้กระบวนการที่ซับซ้อนตรงไปตรงมามากขึ้น

ผู้เชี่ยวชาญ ID วางตำแหน่ง Radar เป็นเครื่องมือ "การจัดการเหตุการณ์ความเป็นส่วนตัว" ที่ออกแบบมาโดยเฉพาะสำหรับองค์กรด้านการดูแลสุขภาพเช่นโรงพยาบาลคลินิกและแผนสุขภาพ แพลตฟอร์มดังกล่าวมุ่งเน้นไปที่ HIPAA (Health Insurance Portability Accountability Act) และ HITECH (เทคโนโลยีสารสนเทศด้านสุขภาพสำหรับเศรษฐกิจและสุขภาพทางคลินิก) รวมถึงกฎหมายแจ้งเตือนการละเมิดข้อมูลของรัฐ

เรดาร์คล้ายกับระบบ Co3 ซึ่งทั้งสองแพลตฟอร์มช่วยให้ผู้ดูแลระบบจัดการการรั่วไหลของข้อมูลและระบุขั้นตอนในการระบุข้อบกพร่องแก้ไขปัญหาแจ้งผู้ที่ตกเป็นเหยื่อและตรวจสอบปัญหาที่ได้รับการแก้ไข Co3 Systems นั้นใช้ตัวช่วยสร้างอย่างหนักครอบคลุมกฎเกณฑ์ที่หลากหลายกว่าด้านการดูแลสุขภาพและไม่ จำกัด เฉพาะการละเมิดข้อมูล

เรดาร์แตกต่างจากแพลตฟอร์มอื่น ๆ ในการที่จะทำการประเมินความเสี่ยงเฉพาะเหตุการณ์เช่นการใช้ปัจจัยสี่ประการจากกฎขั้นสุดท้ายของ HIPAA ซึ่งกำหนดโดยกฎหมายของรัฐบาลกลางและรัฐในการปฏิบัติตาม เรดาร์ฝังกฎการประเมินเหล่านั้นลงในซอฟต์แวร์ทำให้เจ้าหน้าที่ความเป็นส่วนตัวและการปฏิบัติตามกฎระเบียบสามารถประเมินเหตุการณ์แต่ละครั้งได้ง่ายขึ้น

เรดาห์ทำอะไร

ธุรกิจที่มุ่งเน้นการป้องกันการรั่วไหลของข้อมูลและมักจะลืมวางแผนสำหรับกรณีที่เลวร้ายที่สุดเมื่อเทคโนโลยีและกระบวนการรักษาความปลอดภัยล้มเหลว เรดาห์จัดการปัญหานี้ในเชิงรุกด้วยการอนุญาตให้ผู้ดูแลระบบสร้างแผนรับมือเหตุการณ์โดยละเอียดเพื่อระบุแต่ละขั้นตอนที่ต้องเกิดขึ้น

ผู้จัดการและทีมรักษาความปลอดภัยตอบคำถามหลายข้อเกี่ยวกับความปลอดภัยหรือเหตุการณ์ความเป็นส่วนตัวและเรดาร์จะส่งคืนรายการกฎหมายของรัฐและข้อบังคับ HIPAA / HITECH ที่มีผลบังคับใช้กับสถานการณ์เฉพาะ ซอฟต์แวร์ระบุทุกคนที่ต้องได้รับการแจ้งเตือน

ในขณะที่ฉันมักจะใช้เงื่อนไขแทนกันแพลตฟอร์มจะแยกความแตกต่างระหว่างเหตุการณ์และการละเมิด เหตุการณ์จะเป็นพนักงานที่สูญเสียแล็ปท็อป การฝ่าฝืนจะเกิดขึ้นถ้ามีคนพบว่าแล็ปท็อปหายและเปิดเผยข้อมูลผู้ป่วย หากฮาร์ดไดรฟ์ได้รับการเข้ารหัสการสูญเสียจะยังคงเกิดขึ้นเพราะข้อมูลยังคงปลอดภัย หากฉันระบุว่าข้อมูลไม่ได้ถูกเปิดเผย (เพราะแล็ปท็อปตกลงไปในมหาสมุทร) เรดาร์จะรายงานสถานะเป็น "เอกสารเท่านั้น" และไม่สร้างแผนการตอบสนองเหตุการณ์ หากฉันระบุว่ามีความเป็นไปได้ที่จะมีคนเจอข้อมูลจริง (ในกรณีที่แล็ปท็อปสูญหายในการประชุม) Radar จะสร้างแผนการตอบกลับ

เมื่อพิจารณาว่า บริษัท ที่ประสบปัญหาการฝ่าฝืนจะต้องตอบสนองอย่างรวดเร็วสามารถสร้างแผนการตอบสนองเหตุการณ์ที่กำหนดเองได้อย่างรวดเร็วด้วยขั้นตอนการทำงานที่ชัดเจนทำให้องค์กรสามารถตอบสนองได้อย่างต่อเนื่องและมีประสิทธิภาพ แพลตฟอร์มนี้ยังใช้ปุ่มรหัสสีเพื่อระบุเหตุการณ์ที่มีความเสี่ยงสูงและผลกระทบต่อการปฏิบัติตาม HITECH

การป้อนเหตุการณ์เข้าสู่ Radar ID ผู้เชี่ยวชาญทำให้ฉันเข้าถึง Radar 2.7 และเติมข้อมูลบัญชีล่วงหน้าด้วยเหตุการณ์ที่เกิดขึ้นบางส่วน หลังจากเข้าสู่แพลตฟอร์มฉันคลิกที่ปุ่ม "เอกสารใหม่เหตุการณ์" เพื่อสร้างเหตุการณ์บันทึกสิ่งที่เกิดขึ้นแล้วเล่นกับโมดูลการรายงาน

ในกรณีของแล็ปท็อปที่หายไปฉันกรอกแบบฟอร์มโดยละเอียดอธิบายอธิบายสิ่งที่สูญหายรูปแบบข้อมูลที่อยู่ในใครเกี่ยวข้องและจำนวนระเบียนอาจได้รับผลกระทบ บางส่วนมีรายละเอียดที่ดีเยี่ยมเช่นการชี้แจงรูปแบบของข้อมูลอิเล็กทรอนิกส์ที่สูญหาย - อีเมล FTP ที่เก็บข้อมูลแบบพกพาและอื่น ๆ - หรือว่าการละเมิดนั้นเป็นอันตรายหรือไม่ประสงค์ร้ายและเกิดขึ้นได้อย่างไร

ฉันยังระบุว่าองค์ประกอบข้อมูลใดหายไปไม่ว่าจะเป็นข้อมูลระบุตัวตนส่วนบุคคล (PII) ข้อมูลสุขภาพที่ได้รับความคุ้มครอง (PHI) หรือข้อมูลที่ละเอียดอ่อนอื่น ๆ คงจะเป็นการดีหากคุณสามารถพูดว่า "All PII" หรือ "All PHI" แทนที่จะลงไปและคลิกที่ช่องทำเครื่องหมายเดียว แต่มันบังคับให้ผู้ดูแลระบบให้ความสนใจกับข้อมูลที่หายไป

ฉันสามารถระบุประเภทของข้อมูลที่เปิดเผยเช่นชื่อบันทึกสุขภาพข้อมูลธนาคารและอื่น ๆ ธุรกิจทั้งหมดมีความแตกต่างกันดังนั้นฉันจึงสามารถระบุกฎการปฏิบัติตามที่ฉันได้รับอย่างแน่นอน (หรือเป็นแนวปฏิบัติที่ดีที่สุด) และยุติแผนเหตุการณ์ที่กำหนดเอง - ถัดไป: การจัดการเหตุการณ์ด้วยเรดาร์