Se a vostra urganizazione gestisce regolarmente dati sensibili, duvete mette in opera strategie di conformità à a sicurezza di i dati per prutege micca solu l'individui chì appartenenu i dati, ma ancu a vostra urganizazione da viulà qualsiasi legge federale (per esempiu, HIPPA, GDPR, ecc.). Què tocca l'organizazioni in industrie cum'è l'assistenza sanitaria, a banca, u guvernu, u legale ... veramente ogni urganizazione chì gestisce dati sensibili.
Parlamemu PII (Infurmazione d'identificazione persunale) è PHI (Infurmazione sanitaria prutetta). Esempii di PII-
- Numeri di securità suciale
- Conti bancari
- Nomi cumpleti
- Numeri di passaport, ecc.
Esempii di PHI-
- Schedarii sanitarii
- Risultati Laboratoriu
- Fatture mediche è simili, chì includenu identificatori individuali
Metodi per Prutegge i Dati Sensibili
Alcuni clienti anu descrittu i so metudi cum'è scene chì puderete immaginà in qualchì filmu chì avete vistu ... visualizeghja un gruppu di persone armate cù e so autorizzazioni di sicurità richieste chì sò accucchiati in una stanza chjosa, senza finestre, per verificà manualmente i stampati di u rapportu per assicurà chì l'infurmazioni sensibili ùn hè micca inclusu. Mentre questu face una scena cinematografica drammatica, ùn hè micca u modu più infallibile nè u modu più efficiente per testà i rapporti per informazioni sensibili. È cù i bisogni di forza di travagliu Covid-19 remoti, questu ùn hè micca solu fattibile in questu momentu.
Avemu aiutatu parechji di i nostri clienti à mette in opera a putenza di e prove automatiche per pruvà dinamicamente i so risultati di rapportu Cognos. Sta strategia di prova piglia i raporti prestu, subitu quand'elli cadenu fora di u cumplimentu, è prima ch'elli finiscinu in a produzzione per finisce in e mani sbagliate. Hè sempre una bona idea di sapè induve hè l'uffiziu di securità suciale più vicinu à voi, cum'è u Uffici di securità suciale in Nevada, duverebbe accade u peghju, chì a squadra di u vostru uffiziu lucale saperà gestisce a situazione.
Valore di Pruvà Primi in Cicli di Sviluppu
A rilevazione di vulnerabilità di sicurezza di i dati à l'iniziu di u stadiu di sviluppu pò aiutà à evità qualsiasi futuru guvernu impostu ammende è sanzioni. Sicondu u U dipartimentu di i Salute è i servizii umani, finu à oghje, l'Uffiziu per i Diritti Civili (OCR) "hà stallatu o impostu una penalità di soldi civile in 75 casi resultendu in una quantità di dollaru totale di 116,303,582.00 $". Hè più di $ 1.5M per casu! E sicondu u Journal HIPAA u "fallimentu di realizà una analisi di risicu in tutta l'urganizazione hè una di e violazioni HIPAA più cumuni per risultà in una penalità finanziaria".
Oltre à evità e sanzioni imposte da u guvernu, hè generalmente impurtante rilevà errori à l'iniziu di u ciclu di sviluppu postu chì questu hè u stadiu induve i prublemi sò assai più faciuli è più economici da risolve. Di conseguenza, u scopu principale di questu eserciziu hè di aduprà MotioCIU putere di test di regressione per identificà facilmente tali errori è dunque prevene i primi tempi in u ciclu di sviluppu.
Demu un ochju à cumu installà e prove. Cumincieremu cù a messa in opera di u nostru ambiente Cognos è dopu vi spiegheremu cumu installà test automatizzati per i dati PHI è PII per u nostru esempiu. Useremu ancu questi stessi casi di prova in l'ambiente di produzione per un ulteriore livello di conformità è di verifica di sicurezza.
Configurazione Ambiente PHI & PII Cognos
U nostru campione Cognos ambiente (Figura 1) hè custituitu da parechji rapporti, ognunu cuntenendu un mischju di dati sensibili PII è PHI (per esempio, codice di diagnosi, prescrizione, numeru di sicurezza sociale, cognome di u paziente è ecc.) È dati minimamente sensibili (per esempio. Paziente nome, data di visita, ecc.).
Ci hè dui roli Cognos, LasciàPII e Lascià PHI, chì determinanu se una di e dati sensibili hè resa quandu i rapporti sò eseguiti. (Table 1)
Roli Cognos | Fonti |
LasciàPII | I membri di stu rolu sò capaci di vede tutti i dati PII (vale à dì. Numaru di securità suciale è cognome di u paziente) in i rapporti di Cognos. |
Lascià PHI | I membri di stu rolu sò capaci di vede tutti i PHI (per esempiu, codici di diagnosi ICD10, descrizione dettagliata di u diagnosticu, ecc.) Dati in i rapporti di Cognos. |
Tabella 1: Roli Cognos chì controllanu a resa di dati sensibili.
Per esempiu, un utilizatore chì ùn hà mancu i dui roli Cognos, u so rapportu "Assunzione Quotidiana di i Pazienti" duveria esse simile (Figura 2):
Cum'è a pudete vede, tutti i dati PHI è PII sò cumpletamente offuscati da l'utilizatore chì manca di appartenenza à i dui roli "AllowPHI / PII".
Avà, runemu u rapportu cù un utilizatore chì face parte di u rolu "AllowPII", vale à dì chì aspettemu chì questu utilizatore sia capace di vede solu i dati PII (Figura 3):
È pudete vede quì chì sia e colonne di Numeru di Sicurezza Sociale sia Cognome si presentanu adeguatamente senza alcuna redazione.
Finu avà avemu fattu un ochju à l'ambiente Cognos di a nostra mitica clinica è tuttu ciò chì avemu vistu finu à avà hè a sicurità di dati basati nantu à u rolu di Cognos chì parechji di voi puderianu digià avè messu in opera in i vostri ambienti Cognos. Questu ci porterebbe allora à a quistione principale chì i portatori di dati sensibili speranu ùn anu mai da affrontà:
E se, dite dopu qualchì sforzu di sviluppu pesante, alcuni dati sensibili scorrini è cumincianu à presentassi per l'utenti chì ùn sò supposti di vedeli?
L'errori sò sicuramente inevitabili, allora più tardi in u blog aduprà MotioCIU putere di test di regressione per tene un ochju attente à i nostri rapporti per assicurassi chì i dati privati ùn sianu mai esposti à u publicu involuntariu.
Capisce i Test di Conformità per Cognos
Cum'è menzionatu in a sezione precedente, i sbagghi semplici in a creazione o modellazione di rapporti puderebbenu induce un comportamentu indesideratu in a produzzione di i rapporti in u vostru ambiente Cognos. È se sti cambiamenti ùn sò micca intrappulati, anu u putenziale di entre in u vostru ambiente di Pruduzione. Ciò chì seria ancu più disastrosu hè chì se sti cambiamenti indesiderati includenu l'esposizione di dati privati à un publicu imprevistu.
Per esempiu, un utilizatore senza esse membru di nimu LasciàPII or Lascià PHI I roli Cognos ùn si suppone di vede nè dati privati PII nè PHI in u nostru campione di ambiente Cognos. Tuttavia, cum'è pudete vede quì sottu (Figura 4), un cambiamentu simplice in u mudellu FM hà fattu chì a descrizzione di u diagnosticu è u numeru SSN di u paziente sianu esposti à un tali utilizatore, chì hè una ENORME violazione di a Regola federale di Sicurezza HIPAA.
Prima di spustà e cose à MotioCI, creeremu prima trè utilizatori di prova in u nostru ambiente Cognos è li assigneremu à i nostri dui roli in a manera seguente (Tabella 2):
Users | Appartenenza à u Rolu | Fonti |
TestUserA | LasciàPII | Tutti i dati PHI devenu esse piattati da questu utilizatore |
TestUserB | Lascià PHI | Tutti i dati PII devenu esse piattati da questu utilizatore |
TestUserC | None | L'utilizatore hè previstu di ùn vede nè PHI nè PII |
Tabella 2: Pruvenza di i conti d'utilizatori di Cognos cù i so roli assignati.
Queste conti d'utilizatori di prova seranu dopu utilizati in MotioCI per pruvà di regressione di i nostri raporti chì cuntenenu dati sensibili PII è PHI. I nostri risultati di test dipenderanu da a visibilità di dati sensibili à ogni utilizatore secondu a so appartenenza à u rolu.
Avà chì avemu installatu i nostri utenti di test, simu pronti à configurà i nostri test di regressione in MotioCI.
MotioCI Ambiance Setup
U nostru ambiente di campione hè custituitu di casi di Sviluppu, UAT è Production Cognos. Ancu si MotioCI ci permette di cunnettà si à tutti è trè in listessu tempu, cumincieremu a nostra messa in opera di test di regressione in l'ambiente di Sviluppu in trè fasi sfarenti.
In quantu à a prova di regressione in MotioCI, un affirmazione hè un cuntrollu individuale o "test" chì un casu di prova esegue nantu à un oggettu in u vostru MotioCI esempiu, cum'è un raportu, cartulare o pacchettu. L'affirmazione chì farà u travagliu di pruvà l'output di u rapportu per i dati sensibili hè chjamata Prove di Cunformità di Dati Sensibili (Figura 7). Questa hè una affirmazione persunalizata chì avemu messu inseme per questu eserciziu. Sottu pudete vede u tipu d'affirmazione chì funziona basicamente cum'è u mudellu principale chì hè cupiatu per testà casi in tuttu u nostru MotioCI ambiente. Più nantu à questu dopu.
Alcune asserzioni prevedenu qualchì funzionalità regolabile da l'utente attraversu un finestra prompt. Quì pudete cambià cumu vulete una determinata asserzione per testà qualsiasi rapportu Cognos datu. Figura 8 sottu mostra u finestra prompt di a nostra affirmazione chì avemu da aduprà per pruvà i nostri rapporti Cognos chì cuntenenu dati sensibili.
A seccione superiore evidenziata in Figura 8 mostra l'opzioni di prova per i dati sensibili PII è PHI. Questu vi permette di avè u test di affirmazione se u rapportu deve o mostrà o nasconde i so dati PII o PHI. Faremu cambiamenti à ste duie opzioni mentre cuminciamu à creà casi di prova per ognunu di i nostri trè utilizatori di prova.
A sezione media evidenziata in a Figura 8 mostra i nomi di e colonne chì cuntenenu dati sensibili PHI in i nostri rapporti. Benchì u nostru campione d'ambiente si componga di colonne cù i nomi di ICD10 Diag Code, Diagnosis Description, Procedure, è Rx, puderete certamente mudificà sta lista per adatta à i vostri bisogni.
Infine, a sezione inferiore evidenziata in Figura 8 mostra l'opzioni di e-mail. In casu di fallimentu, sta dichjarazione invierà un missaghju email dettagliato à u destinatariu configuratu in questa sezione.
Fase I: Rapporti Visualizendu solu PII
Creemu un prughjettu sottu à u Accunciamentu esempiu in MotioCI è chjamà Permette solu PII. Pudemu fà ciò prima cliccendu u dirittu nantu à u Accunciamentu esempiu node in u MotioCI arburu di navigazione è selezziunate u Aghjunghje Prughjettu opzione (Figura 9).
lu Aghjunghje l'Assistente di Prughjettu vi ferà attraversu qualchi passu per selezziunà i percorsi necessarii per u vostru prugettu. In u nostru esempiu, tutti i rapporti chì cuntenenu dati sensibili PII è PHI esistenu sottu u Dati di i pazienti cartulare. Verificà stu cartulare principale includerà automaticamente tutti i rapporti sottostanti (Figure 10 & 11).
Postu chì tutti i raporti di stu prughjettu sò previsti per permette di visualizà tutti i dati PII è di offuscà tutti i PHI, duveremu cunfigurà u nostru tippu d'affirmazione cù i paràmetri curretti prima di aghjunghje qualchì casu di prova (Figura 12). Ciò significa impostà e duie opzioni di prova nantu à a stessa asserzione finestra prompt chì avemu vistu prima in a Figura 8.
Avà simu pronti à aghjunghje i nostri casi di prova à i nostri raporti. Per fà quessa, fate un clic destro nantu à u node di u prugettu (vale à dì Permette solu PII prughjettu) in MotioCI è selezziunate u Generà Casi di Test opzione (Figura 13). Questu inizierà l'assistente di generazione di casi di prova chì ci permetterà di creà un grande numeru di casi di prova per tutti i rapporti in u prugettu.
lu Generate Case Test l'assistente ci permetterà ancu di selezziunà i furmati di output per u casu di prova chì vuleriamu fà testi. Per u nostru ambiente di campionu aghju sceltu l'output CSV. U magu ci lascia ancu sceglie l'affirmazioni chì ogni casu di prova utilizerà per u travagliu propiu di prova. È per noi chì seria u Prove di Cunformità di Dati Sensibili affirmazione. Pudete vede entrambe queste opzioni evidenziate sottu (Figura 14).
Dopu avè cliccatu "OK" sarete ripigliatu à u MotioCI schermu di casa, induve puderete vede tutti i nostri raporti chì cuntenenu ognunu un solu casu di prova è ognunu cuntene a nostra asserzione unica (Figura 15).
Infine, avemu bisognu di cunfigurà tutti i casi di prova per eseguisce i so raporti parenti cù l'usu currettu di Cognos (per esempiu, unu di i trè utilizatori di test chì avemu cunfiguratu in Cognos prima di stallà e cose in MotioCI). E postu chì per stu prughjettu stemu testendu per assicurà chì u cuntenutu PHI sia micca mustratu à l'utilizatori chì sò permessi solu di vede i dati PII, duveremu impostà tutti i casi di prova da curà cun TestUserA (vede a tola 2).
À u primu puderebbe sembrà cum'è un compitu tediosu, ma furtunatu per noi pudemu mette l'utente à u livellu di u prugettu chì sarebbe allora ereditatu da TUTTI i casi di prova sottostanti in quellu prughjettu. Per fà quessa, in l'arburu di navigazione di sinistra, faremu cliccà nantu à u node di u prugettu ( Permette solu PII prughjettu) è dopu selezziunate u Impostazioni di u Prughjettu à mezu à u screnu. Dopu, sottu à u essai sezzione, videremu una opzione per cambià e credenziali (Figura 16):
Dopu un clicu nantu à u Cancia buttone situatu davanti à u Credentials opzione, ci sarà presentatu cù u Modificà e Credenziali finestra. Andemu avanti è inseremu e credenziali per TestUserA (Figura 17).
Avà vedemu u novu utilizatore riflessu in u essai sezione di u Impostazioni di u Prughjettu tabulazione (Figura 18).
Avà simu tutti pronti è pronti à eseguisce tutti i nostri casi di prova.
Per fà quessa, faremu cliccà nantu à u Permette solu PII prughjettu è in mezu ci saranu presentati cù u Casi di prova tab chì mostra tutti i casi di prova situati in u prugettu. Postu chì ùn avemu ancu eseguitu nunda, vedemu u Status dimustrendu cum'è Nisun risultati. Per eseguisce tutti i casi di prova, faremu cliccà nantu à a piccula freccia da u Run buttone è selezziunate u Curriri Tuttu opzione (Figura 19).
MotioCI avà eseguirà tutti i casi di prova è ci presenterà i risultati quandu saranu tutti fatti (Figura 20).
Cumu pudete vede, tutti i nostri casi di prova sò riesciuti eccettu u Internatu rapportu. Dunque, fighjemu i risultati. Per fà quessa, faremu cliccà nantu à u timestamp blu situatu sottu à u Result colonna è fighjate i dettagli in Figura 21.
sutta lu Risultati di l'affirmazione sezione pudemu avà vede chì u nostru raportu viola i requisiti di conformità PHI. Pudemu scaricà u rapportu CSV da u Pruvenzioni di Case Case sezzione clicchendu nantu à l'icona CSV (Figura 21).
Cum'è a pudete vede in u nostru raportu (Figura 22), in più di i dati PII chì và bè per TestUserA d'avè accessu, pudemu vede i dati di a prucedura PHI chì mette u raportu in viulazione di a Regula federale di Sicurezza HIPAA.
Se vi ricordate da a finestra di i paràmetri di affirmazione, avissimu ancu avutu da riceve una notificazione per email per questu fallimentu. Videmu ciò chì pare (Figura 23):
À questu puntu avemu finitu di pruvà per assicurà chì i dati PHI sò nascosti à l'utilizatori senza u necessariu Lascià PHI Cognos rolu. Avà simu pronti à allargà a nostra prova à i dati PII chì sò piattati da l'utilizatori chì ùn anu micca u necessariu LasciàPII Cognos rolu.
Fase II: Rapporti Visualizendu solu PHI
Prima di creà u novu prugettu, prima editemu l'opzioni di a nostra assertione maestru per assicurà chì avà testi per tutti i PII da nascondere è tutti i PHI da mostrà (Figura 24).
Cù a nostra asserzione avà tuttu configurata, simu pronti à creà u novu prughjettu è i nostri casi di prova. Per quessa seguiteremu solu i stessi passi cum'è in "Fase I" è creemu un prugettu chjamatu Permettenu PHI Solu. Inoltre, ùn ci scurdemu di aghjunghje e credenziali di TestUserB cum'è l'utilizatore di u prugettu.
Quandu avemu finitu cù tutti i passi di cunfigurazione, eseguiremu tutti i casi di prova cum'è l'avemu fattu in a Fase I. In u nostru ambiente di mostra, sta volta avemu un raportu diversu chì pare esse in violazione HIPAA (Figura 25).
Ulteriori indagine nantu à i risultati di i casi di prova di u Intake Quotidianu di u Paziente U rapportu mostra chì u nostru rapportu mostra i numeri di sicurezza sociale di i pazienti à l'audienza imprevista (Figura 26).
Scaricamentu è apertura di u fugliale CSV cunfirmerà ulteriormente i risultati di a nostra prova (Figura 27):
Cum'è a pudete vede in a Figura 27, tuttavia, u nostru raportu maschera currettamente a colonna di i cognomi di u paziente (ancu un PII) affissendu solu l'iniziale.
Compiti! |
Ripetite i stessi passi per TestUserC chì manca sia di u LasciàPII e Lascià PHI roli, vale à dì chì ùn si suppone micca di vede nè dati PII nè PHI quandu eseguiscenu unu di i nostri rapporti. |
À questu puntu u nostru ambiente duveria avè ottenutu testi di regressione cumpleta sia di dati sensibili PHI sia PII aduprendu a sicurezza di dati basata nantu à u rolu di Cognos. I nostri casi di prova eseguiranu ognunu u so rapportu parente è analiseranu l'output secondu a cunfigurazione di prova stabilita in e so asserzioni sottostanti è ci diceranu se qualcunu di i rapporti ùn hè micca in linea.
Certamente una di e distinzioni più impurtanti trà u nostru ambiente di prova è ciò chì pudete avè in u vostru ambiente hè a dimensione. Un ambiente tipicu di Cognos hà assai probabilmente una crescita di centinaia o ancu migliaia di rapporti è l'esecuzione di tutti in u stessu tempu, cum'è l'avemu fattu in u nostru picculu ambiente di campione, puderia piglià un pesu nantu à e prestazioni di Cognos. Cù MotioCII script di prova, tuttavia, pudete pianificà i vostri casi di prova per eseguì in lotti più chjucu durante l'ore di pausa, assicurendu dunque e prestazioni ottimali di u vostru ambiente Cognos durante l'ore di trafficu.
Una bona pratica di prova durante u sviluppu
Tra i tempi di esecuzione pianificati tuttavia, pudete ancu eseguisce manualmente quanti casi di test individuali chì vulete. Un bon esempiu seria mentre sviluppava un raportu, puderete lancià u casu di prova per assicurassi chì i vostri cambiamenti ùn anu creatu alcuna violazione HIPAA.
Automatizà i Casi di Test Cognos
Torna a MotioCI, In l'arburu di navigazione, espandimu unu di i prughjetti chì avemu creatu per revelà u so cuntenutu. Questu deve rivelà un nodu chjamatu Pruvate Scripts. A so espansione mostrerà un inseme di script di test chì sò stati creati automaticamente quandu avete creatu u vostru prugettu per a prima volta (Figura 28).
Per definizione, a script di prova hè un cumpunente di un prughjettu chì seleziona i casi di prova chì appartenenu à un prughjettu basatu annantu à criteri specificati. Pudete pianificà script di prova o eseguisce manualmente. Quandu eseguite un script di prova, MotioCI gestisce tutti i casi di prova chì rispettanu i criteri di scrittura.
In u nostru casu ci piacerebbe stabilisce tutti i casi di prova in un calendariu. Cusì per fà chì cliccemu nantu à u tutte script di prova da l'arburu di navigazione è dopu cliccate nantu à u Pruvate Impostazioni Script tab truvata à mezu à u screnu (Figura 29).
Dopu, selezziunemu u Aghjunghje Schedule opzione. Quì pudemu avà stabilisce un calendariu per u nostru script di prova. Andaraghju avanti è avaremu i nostri casi di prova curruti ogni ghjornu da u luni à u venneri à 3:00 am (Figura 30).
Eccu! Pudemu avà verificà a nostra casella di posta elettronica ogni matina per sapè se qualchissia di i nostri raporti hè cascata fora di cunfurmità. Pudemu ancu vede tutti i rapporti falluti cliccendu solu nantu à u Cambiatu o Fiascu script di prova è tutti i casi di prova falliti ci saranu presentati sottu u Casi di prova pannellu (Figura 31).
cunchiusioni
Falà da u rispettu di HIPPA, GDPR, è altri regulamenti federali intornu à l'infurmazioni sensibili è a privacy ponu esse abbastanza costosi, circa 1.5 M $ per casu truvatu in violazione, in realtà.
Mettendu in opera una strategia di test automatizata per gestisce i test di conformità, avrai quellu stratu di sicurezza in più è tranquillità di mente chì rispettate e leggi. Al di là di i mandati di dati di riservatezza, i test automatizati ponu prufittà tutti i tipi di industrie è ogni sorta di esigenze di prova chì a vostra organisazione vuleria mette in opera.
Cumu pudemu aiutà?
Se vulete vede u seminariu nantu à questu sughjettu di blog, accede quì. Or, cuntatta ci per discute ulteriormente e vostre dumande di prova di Cognos.