entre muitos especialistas em segurança e conformidade, HITRUST® tornou-se um nome bem conhecido com muito peso por trás. E isso é por uma razão muito boa. Mas antes de entrarmos no porquê de HITRUST ser importante, vamos falar sobre o que, exatamente, HITRUST é.
O que é HITRUST?
Fundado em 2007, HITRUST é uma organização focada em segurança, privacidade e gestão de riscos. Ela desenvolveu o HITRUST CSF® para fornecer às organizações um programa abrangente de segurança e privacidade projetado para gerenciar dados, conformidade e risco. Tornou-se a estrutura de segurança e privacidade mais amplamente adotada em todo o mundo.
Ao certificar contra o HITRUST CSF, uma organização pode demonstrar sua conformidade com a estrutura a qualquer pessoa que precise dessa garantia, desde provedores de saúde, hospitais e companhias de seguro, até qualquer outra organização que precise de garantias.
O bom do HITRUST é que ele tem mapeado para diferentes estruturas e regulamentos – como os estabelecidos pelo National Institute of Standards and Technology (NIST), a International Organization for Standardization (ISO) e a Health Insurance Portability and Accountability Act (HIPAA) – em um repositório central de controle. Estar em conformidade com a estrutura HITRUST CSF ajuda-o a estar em conformidade com todas estas outras estruturas e regulamentos, ajudando-o a reduzir a quantidade total de tempo e esforço que a sua organização tem de gastar anualmente em conformidade. Basta tomar um segundo e pensar em como seria bom saber que sua organização está cumprindo com a HIPAA ou qualquer outro requisito regulatório, realizando uma única avaliação. Esse é o tipo de paz de espírito que o HITRUST visa proporcionar às organizações avaliadas e aos destinatários.
Por que o HITRUST importa
HITRUST importa porque ajuda a gerenciar riscos, reduzir as chances de violação de dados e provar a terceiros que você leva a segurança e a conformidade a sério.
HITRUST tem 19 domínios que são avaliados quando você se submete à Certificação HITRUST CSF. Estes domínios cobrem uma enorme gama de preocupações de segurança e privacidade. Seu objetivo final é garantir que você tenha todos os controles necessários para reduzir drasticamente o risco que sua organização assume através de suas operações diárias.
Para fornecer alguns exemplos, a HITRUST quer ter certeza de que sua organização está fazendo coisas como proteger dispositivos móveis, liberar patches para evitar que hackers exponham uma vulnerabilidade e obtenham acesso aos seus sistemas, rever os programas de segurança dos seus fornecedores para garantir que seus dados estejam em mãos seguras e restringir quem tem privilégios elevados à sua rede. Ele quer garantir que você tenha continuidade nos negócios, recuperação de desastres e planos de resposta a violações.
Apesar de se submeter à Certificação HITRUST CSF, sua organização pode descobrir lacunas existentes em seus controles e determinar o que precisa implementar para fechar essas lacunas e reduzir seus riscos.
O HITRUST CSF também fornece o valor agregado de ser um programa contínuo. Você recertifica a cada dois anos, e para os anos intermediários, você executa um checkup provisório que seleciona aleatoriamente diferentes controles e determina se esses controles ainda estão sendo seguidos. Desta forma, você pode obter a garantia anual de que seus controles estão em vigor e operando efetivamente, e que você permanece em conformidade com regulamentos importantes.
Então, agora você pode ver porque a HITRUST tem algum peso por trás de seu nome – e porque muitas empresas exigem a Certificação HITRUST CSF dos fornecedores terceirizados com os quais trabalham. Não importa se você é um hospital, seguradora, empresa de tecnologia ou outro tipo de prestador de serviços, se você lida com qualquer tipo de informação pessoalmente identificável (PII), obter a Certificação HITRUST CSF é uma idéia muito boa.
O que mais você deve saber sobre HITRUST antes de começar
HITRUST fornece duas opções de avaliação.
A primeira é uma avaliação de prontidão (às vezes chamada de avaliação de lacunas ou uma auto-avaliação). É como você determina o que você já tem no lugar que atende aos requisitos do HITRUST CSF e o que você não tem. Além disso, ele identifica ainda o que você precisa fazer para resolver quaisquer lacunas.
A segunda é uma avaliação validada, que é necessária para a Certificação do HITRUST CSF. Ela deve ser realizada por um Avaliador Externo Aprovado pelo HITRUST. O avaliador usa a metodologia de avaliação do HITRUST CSF, e os controles são pontuados usando a abordagem de maturidade do HITRUST para controlar a implementação.
MyCSF® é a ferramenta de avaliação baseada na web do HITRUST que ajuda as organizações a rastrear e agilizar todo o processo de conformidade e gerenciamento de riscos – preenchendo parâmetros, determinando o escopo e carregando evidências. É também a mesma ferramenta usada por avaliadores externos para realizar avaliações validadas.
Trabalhar com um avaliador como o Wipfli desde o início pode ajudar a melhorar a eficiência e a compreensão da sua organização, uma vez que eles conhecem o HITRUST por dentro e por fora e podem ajudá-lo a navegar pelos requisitos e pelo processo em geral. Se você gostaria de aprender mais sobre como Wipfli pode ajudar, clique aqui.
Or continuar lendo em:
HITRUST vs HIPAA: Qual é a diferença?
HITRUST vs SOC 2: Alavancando o melhor caminho para a garantia
Conceitos errados comuns de um Assessor Externo Autorizado HITRUST
O caminho para a Certificação HITRUST: Cinco razões para começar agora