رادار مراجعة وتقييم

يعد خرق البيانات أمرًا كبيرًا بالنسبة لمنظمة الرعاية الصحية ، بغض النظر عن نوع الحادث. يمكن أن يكون التعامل مع عواقب الانتهاك ، أو حادثة أمنية ، عملية صعبة وتستهلك الكثير من الفوضى. يساعد الرادار ، من الأشخاص المهتمين بالخصوصية في ID Experts ، المؤسسات على إنشاء خطة للاستجابة للحوادث في حالة حدوث خرق للبيانات وتتبع كل خطوة عند حلها. قد ينتهك المهاجمون عبر الإنترنت الشبكة والوصول إلى البيانات الحساسة أو ربما فقد الموظف بطريق الخطأ جهاز كمبيوتر محمول يحتوي على مستندات تحتوي على معلومات متعلقة بالصحة. قد يكون الخادم الذي تم تكوينه بشكل خاطئ قد كشف الملفات عن غير قصد لأشخاص خارج المنظمة ، وقد يصل موظف المستشفى المارق إلى سجلات المرضى ومشاركته مع أفراد غير مصرح لهم بذلك. كل هذه الحوادث تخضع لعدد كبير من لوائح الامتثال ، وقوانين الولايات والقوانين الفيدرالية ، ومعايير الصناعة ؛ والرادار يجعل العملية المعقدة أكثر وضوحا.

يضع خبراء ID الرادار كأداة "إدارة حوادث الخصوصية" المصممة خصيصًا لمؤسسات الرعاية الصحية مثل المستشفيات والعيادات والخطط الصحية. تركز المنصة على لوائح HIPAA (قانون مساءلة قابلية التأمين الصحي) وقوانين HITECH (تكنولوجيا المعلومات الصحية من أجل الصحة الاقتصادية والسريرية) بالإضافة إلى قوانين إعلام خرق البيانات.

يشبه الرادار أنظمة Co3 حيث أن كلا النظامين يساعدان المسؤولين على إدارة خروقات البيانات وتحديد الخطوات اللازمة لتحديد الخلل وإصلاح المشكلة وإبلاغ الضحايا والتحقق من معالجة المشكلة. أنظمة Co3 تعتمد على المعالج بشكل كبير ، وتغطي مجموعة واسعة من اللوائح مقارنة بالرعاية الصحية فقط ، ولا تقتصر فقط على انتهاكات البيانات.

يختلف RADAR عن المنصات الأخرى من حيث أنه يقوم بإجراء تقييم للمخاطر الخاصة بالحوادث ، مثل استخدام أربعة عوامل من القاعدة النهائية لـ HIPAA ، والتي تتطلبها القوانين الفيدرالية وقوانين الولايات للامتثال. يقوم RADAR بتضمين قواعد التقييم هذه في البرنامج ، مما يسهل على مسؤولي الخصوصية والامتثال تقييم كل حادث باستمرار.

ماذا يفعل الرادار

غالبًا ما تنسى الشركات ، التي تركز على منع خروقات البيانات وتسريباتها ، أن تخطط لأسوأ سيناريو عندما تفشل تقنيات وعمليات الأمان. يعالج الرادار هذه المشكلة بشكل استباقي من خلال السماح للمسؤولين بإنشاء خطة مفصلة للاستجابة للحوادث لتحديد كل خطوة يجب أن تحدث.

يجيب المديرون وفرق الأمان على سلسلة من الأسئلة المتعلقة بحادثة أمنية أو خصوصية معينة ، ويقوم الرادار بإرجاع قائمة من قوانين الولايات وتطبق لوائح HIPAA / HITECH على الظروف المحددة. يحدد البرنامج كل شخص يحتاج إلى إشعار.

على الرغم من أنني غالبًا ما أستخدم المصطلحات بالتبادل ، فإن المنصة تفرق بين الحوادث والانتهاكات. ستكون حادثة موظف يفقد جهاز كمبيوتر محمول. سيكون الانتهاك إذا اكتشف أحدهم أن الكمبيوتر المحمول المفقود وبيانات المرضى المكشوفة. إذا كان القرص الصلب مشفرًا ، فستظل الخسارة حادثة لأن البيانات لا تزال آمنة. إذا حددت أن البيانات لم يتم كشفها (لأن الكمبيوتر المحمول سقط في المحيط) ، فسيبلغ الرادار التقرير بأنه "وثائق فقط" ولا يقوم بإنشاء خطة استجابة للحوادث. إذا أشرت إلى وجود احتمال بأن يقوم شخص ما بالفعل بالوصول إلى البيانات (في حالة وجود كمبيوتر محمول مفقود في مؤتمر) ، فإن الرادار سيضع خطة استجابة.

بالنظر إلى أن الشركات التي تتعرض للانتهاك يجب أن تستجيب بسرعة ، فإن القدرة على إنشاء خطط مخصصة للاستجابة للحوادث بسرعة مع سير عمل واضح يعني أن المؤسسة يمكنها الاستجابة بشكل متسق وفعال. تستخدم المنصة أيضًا مفاتيح مرمزة بالألوان لتحديد أي الحوادث ذات الخطورة العالية والتأثير على توافق HITECH.

الدخول في حادثة في معرّف الرادار ، منحني الخبراء الوصول إلى الرادار 2.7 وقاموا بتعبئة الحساب مسبقًا ببعض الحوادث الجاهزة. بعد تسجيل الدخول إلى النظام الأساسي ، قمت بالنقر فوق الزر "Document New Incident" لإنشاء حدث وتسجيل ما حدث ثم تشغيله باستخدام وحدة التقارير.

في حالة الكمبيوتر المحمول المفقود ، قمت بملء نموذج مفصل يصف ما تم وصفه المفقود ، والتنسيق الذي كانت عليه البيانات ، ومن شارك ، وعدد السجلات التي قد تتأثر. لقد تناولت بعض الأقسام تفاصيل كثيرة ، مثل توضيح شكل بيانات الإلكترونيات التي فقدت - البريد الإلكتروني ، FTP للتخزين المحمول ، وغيرها - أو ما إذا كان الانتهاك ضارًا أو غير ضار ، وكيف حدث ذلك.

وحددت أيضًا عناصر البيانات المفقودة ، سواء كانت معلومات تعريف شخصية (PII) أو معلومات صحية محمية (PHI) أو معلومات أخرى حساسة. كان من الجيد أن تكون قادرًا فقط على قول "All PII" أو "All PHI" بدلاً من النزول والنقر على كل مربع اختيار واحد ، لكنه يجبر المسؤول على الانتباه حقًا إلى البيانات المفقودة.

يمكنني الإشارة إلى أنواع البيانات المكشوفة ، مثل الأسماء والسجلات الصحية والمعلومات المصرفية وغيرها. جميع الشركات مختلفة ، لذلك تمكنت من تحديد لوائح الامتثال التي كنت خاضعة لها (أو أفضل الممارسات فقط) وانتهى الأمر بخطة حادث مخصصة للغاية - التالي: إدارة الحوادث مع الرادار