Probablemente quiera ver dos clases de productos: Protección de fuga de datos (DLP) y sistemas de detección de intrusos (IDS). Para detectar ePHI en un sistema, más o menos vas a verificar algunas cosas comunes basadas en patrones. Por ejemplo, en su EMR, si identifica pacientes que usan un código de 10 dígitos que comienza con 4 letras seguidas de 6 números, configurará la herramienta para buscar ese patrón. Sin embargo, es posible que ePHI no siempre tenga un nivel tan alto, es posible que deba buscar patrones descriptivos, como "resultados de pruebas de pacientes", etc.
Una de las preocupaciones sería buscar dentro de aplicaciones o archivos propietarios, así como también archivos binarios que necesiten una herramienta especial para leer. Además, debe poder leer imágenes y, posiblemente, OCR.
Es posible que también desee consultar el filtrado web, la detección de reglas de correo electrónico, etc. Los profesionales de la salud pueden enviar archivos o notas fuera de la EMR, lo que podría provocar una exposición.
Detectar lo que ya está ahí será un dolor, porque a nadie le importó antes. Si puede obtener estos módulos integrados en EMR u otras herramientas que pueden controlarse más fácilmente, le ahorrará tiempo a largo plazo. También puede consultar entornos bloqueados, herramientas de límite, etc.
Hay muchos proveedores en este espacio que están vendiendo productos para HIPAA (ya que realmente comienzan a aplicar HIPAA, habrá más proveedores dispuestos a venderle productos). Puede intentar ejecutar herramientas básicas de búsqueda de expresiones regulares en cada host (por ejemplo, ransack de agente ) , pero eso podría ser un dolor.
Hay algunas herramientas gratuitas, como spider y MyDLP , que puede ayudar con la detección de PII, pero puede que no esté listo para usar para HIPAA.
Websense ofrece un producto para HIPAA DLP :
Las soluciones de prevención de pérdida de datos (DLP) son esenciales para cumplir con
Estos requisitos pero deben exhibir los siguientes atributos clave. Ellos
debe:
Proporcione visibilidad en el contenido de ePHI en múltiples usos
escenarios que incluyen correo electrónico, Web, aplicaciones de punto final, periféricos
Almacenamiento, y sistemas de almacenamiento empresarial. Esto ayuda a satisfacer a muchos HIPAA.
Regla de seguridad y requisitos de la Ley HITECH para la divulgación de ePHI por
Detectar infracciones a medida que ocurren.
Ejerza el control aplicando el cifrado de ePHI en negocios comunes
Procesos como el correo electrónico y el almacenamiento en bases de datos. Prevenir la brecha
en primer lugar, bloqueando su transmisión por correo electrónico y web, o
bloquee la copia de las aplicaciones del usuario final a los dispositivos periféricos. Simplificar
aplicación mediante plantillas de políticas e informes, que se construyen a la vez
en y personalizable.