Tra i molti esperti di sicurezza e conformità, HITRUST® è diventato un nome molto conosciuto e molto importante. E questo per un’ottima ragione. Ma prima di capire perché HITRUST è importante, parliamo di cosa sia esattamente HITRUST.
Cos’è HITRUST?
Fondata nel 2007, HITRUST è un’organizzazione focalizzata sulla sicurezza, la privacy e la gestione del rischio. Ha sviluppato l’HITRUST CSF® per fornire alle organizzazioni un programma completo di sicurezza e privacy progettato per gestire dati, conformità e rischio. È diventato il quadro di sicurezza e privacy più ampiamente adottato in tutti i settori a livello globale.
Certificando il HITRUST CSF, un’organizzazione può dimostrare la sua conformità al quadro a chiunque abbia bisogno di questa rassicurazione, dai fornitori di assistenza sanitaria, ospedali e compagnie di assicurazione, a qualsiasi altra organizzazione che abbia bisogno di garanzie.
La cosa bella di HITRUST è che ha mappato diversi quadri e regolamenti – come quelli stabiliti dal National Institute of Standards and Technology (NIST), l’International Organization for Standardization (ISO) e l’Health Insurance Portability and Accountability Act (HIPAA) – in un unico archivio di controllo centrale. Essere in conformità con il framework HITRUST CSF ti aiuta ad essere in conformità con tutti questi altri framework e regolamenti, aiutandoti a ridurre la quantità complessiva di tempo e di sforzi che la tua organizzazione deve spendere ogni anno per la conformità. Prenditi un secondo e pensa a quanto sarebbe bello sapere che la tua organizzazione è conforme all’HIPAA o a qualsiasi altro requisito normativo eseguendo una singola valutazione. Questo è il tipo di tranquillità che HITRUST mira a fornire alle organizzazioni valutate e ai destinatari.
Perché HITRUST è importante
HITRUST è importante perché ti aiuta a gestire il rischio, a ridurre le possibilità di una violazione dei dati e a dimostrare alle parti esterne che prendi sul serio la sicurezza e la conformità.
HITRUST ha 19 domini che vengono valutati quando ci si sottopone alla certificazione HITRUST CSF. Questi domini coprono una vasta gamma di problemi di sicurezza e privacy. Il loro obiettivo finale è quello di assicurarsi di avere tutti i controlli necessari in atto per ridurre drasticamente il rischio che la tua organizzazione si assume attraverso le sue operazioni quotidiane.
Per fornire alcuni esempi, HITRUST vuole assicurarsi che la tua organizzazione stia facendo cose come proteggere i dispositivi mobili, rilasciare patch per evitare che gli hacker espongano una vulnerabilità e ottengano l’accesso ai tuoi sistemi, rivedere i programmi di sicurezza dei tuoi fornitori per garantire che i tuoi dati siano in mani sicure, e limitare chi ha privilegi elevati alla tua rete. Vuole assicurarsi che tu abbia piani di continuità aziendale, di disaster recovery e di risposta alle violazioni.
Nel corso della certificazione HITRUST CSF, la tua organizzazione può scoprire le lacune esistenti nei suoi controlli e determinare ciò che ha bisogno di implementare per colmare tali lacune e ridurre il rischio.
L’HITRUST CSF fornisce anche il valore aggiunto di essere un programma continuo. Si ricertifica ogni due anni, e per gli anni in mezzo, si esegue un controllo intermedio che seleziona casualmente diversi controlli e determina se quei controlli sono ancora seguiti. In questo modo, è possibile ottenere una rassicurazione annuale che i controlli sono in atto e funzionano efficacemente, e che si rimane in conformità con le normative importanti.
Quindi, ora si può capire perché HITRUST ha un certo peso dietro il suo nome – e perché molte aziende richiedono la certificazione HITRUST CSF dai fornitori di terze parti con cui lavorano. Non importa se sei un ospedale, una compagnia assicurativa, un’azienda tecnologica o un altro tipo di fornitore di servizi, se gestisci qualsiasi tipo di informazione personale identificabile (PII), ottenere la certificazione HITRUST CSF è un’ottima idea.
Cos’altro dovresti sapere su HITRUST prima di iniziare
HITRUST fornisce due opzioni di valutazione.
La prima è una valutazione di preparazione (a volte chiamata valutazione del gap o autovalutazione). È il modo in cui si determina ciò che si ha già in atto che soddisfa i requisiti del CSF di HITRUST e ciò che non si ha. Inoltre, identifica ulteriormente ciò che è necessario fare per affrontare qualsiasi lacuna.
La seconda è una valutazione convalidata, che è richiesta per la certificazione HITRUST CSF. Deve essere condotta da un valutatore esterno approvato da HITRUST. Il valutatore usa la metodologia di valutazione di HITRUST CSF, e i controlli sono valutati usando l’approccio di maturità di HITRUST per l’implementazione dei controlli.
MyCSF® è lo strumento di valutazione basato sul web di HITRUST che aiuta le organizzazioni a monitorare e semplificare l’intero processo di conformità e gestione del rischio – compilando i parametri, determinando lo scopo e caricando le prove. È anche lo stesso strumento utilizzato dai valutatori esterni per eseguire valutazioni convalidate.
Lavorare con un valutatore come Wipfli fin dall’inizio può aiutare a migliorare l’efficienza e la comprensione dell’organizzazione, poiché conosce HITRUST dentro e fuori e può aiutare a navigare nei requisiti e nel processo generale. Se vuoi saperne di più su come Wipfli può aiutarti, clicca qui.
O continua a leggere:
HITRUST vs HIPAA: Qual è la differenza?
HITRUST vs SOC 2: Sfruttare il miglior percorso per l’assicurazione
I malintesi comuni da un HITRUST Authorized External Assessor
Il percorso verso la certificazione HITRUST: Cinque motivi per iniziare ora
.