Bij veel beveiligings- en compliance-experts is HITRUST® een bekende naam geworden met veel gewicht in de schaal. En dat is om een heel goede reden. Maar voordat we ingaan op waarom HITRUST belangrijk is, laten we het hebben over wat HITRUST precies is.
Wat is HITRUST?
Opgericht in 2007, is HITRUST een organisatie die zich richt op beveiliging, privacy en risicobeheer. Het ontwikkelde de HITRUST CSF® om organisaties te voorzien van een uitgebreid beveiligings- en privacyprogramma dat is ontworpen om gegevens, compliance en risico’s te beheren. Het is uitgegroeid tot het meest wijdverbreide beveiligings- en privacyraamwerk in alle sectoren wereldwijd.
Door te certificeren tegen de HITRUST CSF, kan een organisatie zijn naleving van het raamwerk aantonen aan iedereen die die geruststelling nodig heeft, van zorgverleners, ziekenhuizen en verzekeringsmaatschappijen, tot elke andere organisatie die zekerheden nodig heeft.
Het mooie van HITRUST is dat het verschillende raamwerken en voorschriften – zoals die van het National Institute of Standards and Technology (NIST), de International Organization for Standardization (ISO) en de Health Insurance Portability and Accountability Act (HIPAA) – in één centrale controlebewaarplaats heeft ondergebracht. Naleving van het HITRUST CSF-raamwerk helpt u om al deze andere raamwerken en voorschriften na te leven, waardoor u de totale hoeveelheid tijd en moeite die uw organisatie jaarlijks aan naleving moet besteden, kunt verminderen. Neem even de tijd en bedenk hoe fijn het zou zijn om te weten dat uw organisatie voldoet aan HIPAA of een van de andere regelgevende vereisten door het uitvoeren van een enkele beoordeling. Dat is het soort gemoedsrust dat HITRUST wil bieden aan beoordeelde organisaties en ontvangers.
Waarom HITRUST ertoe doet
HITRUST doet ertoe omdat het u helpt risico’s te beheren, de kans op een datalek te verminderen en aan externe partijen te bewijzen dat u beveiliging en compliance serieus neemt.
HITRUST heeft 19 domeinen die worden beoordeeld wanneer u de HITRUST CSF-certificering ondergaat. Deze domeinen bestrijken een enorm scala aan beveiligings- en privacykwesties. Hun einddoel is ervoor te zorgen dat u alle noodzakelijke controles hebt om het risico dat uw organisatie via haar dagelijkse activiteiten neemt, drastisch te verminderen.
Om enkele voorbeelden te geven, wil HITRUST ervoor zorgen dat uw organisatie dingen doet zoals mobiele apparaten beveiligen, patches vrijgeven om te voorkomen dat hackers een kwetsbaarheid blootleggen en toegang krijgen tot uw systemen, de beveiligingsprogramma’s van uw leveranciers beoordelen om ervoor te zorgen dat uw gegevens in veilige handen zijn, en beperken wie verhoogde privileges tot uw netwerk heeft. Het wil ervoor zorgen dat u plannen hebt voor bedrijfscontinuïteit, herstel na rampen en reactie op inbreuken.
Tijdens het ondergaan van de HITRUST CSF-certificering kan uw organisatie bestaande hiaten in haar controles blootleggen en bepalen wat zij moet implementeren om die hiaten te dichten en haar risico te verminderen.
De HITRUST CSF biedt ook de toegevoegde waarde dat het een continu programma is. U hercertificeert elke twee jaar, en voor de jaren daartussen voert u een tussentijdse controle uit waarbij willekeurig verschillende controles worden geselecteerd en wordt bepaald of die controles nog steeds worden gevolgd. Op deze manier kunt u jaarlijks de verzekering krijgen dat uw controles aanwezig zijn en effectief werken, en dat u in overeenstemming blijft met belangrijke regelgeving.
Dus, nu kunt u zien waarom HITRUST enig gewicht achter zijn naam heeft – en waarom veel bedrijven HITRUST CSF-certificering eisen van de externe leveranciers waarmee ze werken. Het maakt niet uit of u een ziekenhuis, verzekeringsmaatschappij, techbedrijf of ander type dienstverlener bent, als u omgaat met elk type persoonlijk identificeerbare informatie (PII), is het bereiken van HITRUST CSF-certificering een zeer goed idee.
Wat u nog meer moet weten over HITRUST voordat u aan de slag gaat
HITRUST biedt twee beoordelingsopties.
De eerste is een gereedheidsbeoordeling (soms een hiaatbeoordeling of een zelfbeoordeling genoemd). Hiermee bepaalt u wat u al in huis hebt dat voldoet aan de HITRUST CSF-vereisten en wat nog niet. Bovendien wordt vastgesteld wat u moet doen om eventuele lacunes aan te pakken.
De tweede is een gevalideerde beoordeling, die vereist is voor HITRUST CSF-certificering. Deze moet worden uitgevoerd door een HITRUST Approved External Assessor. De beoordelaar gebruikt de beoordelingsmethodologie van HITRUST CSF en de controles krijgen een score met behulp van de volwassenheidsbenadering van HITRUST voor de implementatie van controles.
MyCSF® is de webgebaseerde beoordelingstool van HITRUST die organisaties helpt bij het volgen en stroomlijnen van het hele compliance- en risicobeheerproces – het invullen van parameters, het bepalen van de reikwijdte en het uploaden van bewijsmateriaal. Het is ook dezelfde tool die wordt gebruikt door externe beoordelaars om gevalideerde beoordelingen uit te voeren.
Werken met een beoordelaar zoals Wipfli vanaf het begin kan de efficiëntie en het begrip van uw organisatie helpen verbeteren, omdat ze HITRUST van binnen en van buiten kennen en u kunnen helpen navigeren door de vereisten en het algemene proces. Als u meer wilt weten over hoe Wipfli kan helpen, klikt u hier.
Of lees verder:
HITRUST vs HIPAA: Wat is het verschil?
HITRUST vs SOC 2: Gebruik maken van de beste weg naar zekerheid
Gemeenschappelijke misvattingen van een HITRUST Authorized External Assessor
Het pad naar HITRUST-certificering: Vijf redenen om nu te beginnen