Entre muchos expertos en seguridad y cumplimiento normativo, HITRUST® se ha convertido en un nombre muy conocido y con mucho peso. Y eso es por una muy buena razón. Pero antes de entrar en el tema de por qué HITRUST es importante, hablemos de qué es exactamente HITRUST.
¿Qué es HITRUST?
Fundada en 2007, HITRUST es una organización centrada en la seguridad, la privacidad y la gestión de riesgos. Desarrolló el HITRUST CSF® para proporcionar a las organizaciones un programa integral de seguridad y privacidad diseñado para gestionar los datos, el cumplimiento y el riesgo. Se ha convertido en el marco de seguridad y privacidad más ampliamente adoptado en todo el mundo.
Al certificarse con el HITRUST CSF, una organización puede demostrar su conformidad con el marco a cualquiera que necesite esa garantía, desde proveedores de atención sanitaria, hospitales y compañías de seguros, hasta cualquier otra organización que necesite garantías.
Lo bueno de HITRUST es que ha agrupado diferentes marcos y normativas -como los establecidos por el Instituto Nacional de Normas y Tecnología (NIST), la Organización Internacional de Normalización (ISO) y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA)- en un único repositorio central de control. Estar en conformidad con el marco HITRUST CSF le ayuda a estar en conformidad con todos estos otros marcos y regulaciones, ayudándole a reducir la cantidad total de tiempo y esfuerzo que su organización tiene que gastar anualmente en el cumplimiento. Tómese un segundo y piense en lo agradable que sería saber que su organización cumple con la HIPAA o cualquiera de los otros requisitos normativos realizando una única evaluación. Ese es el tipo de tranquilidad que HITRUST pretende ofrecer a las organizaciones evaluadas y a los destinatarios.
Por qué es importante HITRUST
HITRUST es importante porque le ayuda a gestionar el riesgo, a reducir las posibilidades de que se produzca una filtración de datos y a demostrar a las partes externas que se toma en serio la seguridad y el cumplimiento de la normativa.
HITRUST tiene 19 dominios que se evalúan cuando se obtiene la certificación HITRUST CSF. Estos dominios cubren una gran variedad de problemas de seguridad y privacidad. Su objetivo final es asegurarse de que cuenta con todos los controles necesarios para reducir drásticamente el riesgo que su organización asume a través de sus operaciones diarias.
Para dar algunos ejemplos, HITRUST quiere asegurarse de que su organización está haciendo cosas como asegurar los dispositivos móviles, publicar parches para evitar que los hackers expongan una vulnerabilidad y obtengan acceso a sus sistemas, revisar los programas de seguridad de sus proveedores para asegurarse de que sus datos están en buenas manos, y restringir quién tiene privilegios elevados en su red. Quiere asegurarse de que cuenta con planes de continuidad del negocio, de recuperación ante desastres y de respuesta ante infracciones.
Mientras se somete a la certificación HITRUST CSF, su organización puede descubrir las lagunas existentes en sus controles y determinar lo que necesita implementar para cerrar esas lagunas y reducir su riesgo.
La certificación HITRUST CSF también proporciona el valor añadido de ser un programa continuo. Se recertifica cada dos años y, durante los años intermedios, se realiza una revisión intermedia que selecciona aleatoriamente diferentes controles y determina si esos controles se siguen cumpliendo. De este modo, puede obtener una garantía anual de que sus controles están en su sitio y funcionan eficazmente, y de que sigue cumpliendo con las normativas importantes.
Así que ahora puede ver por qué HITRUST tiene cierto peso detrás de su nombre, y por qué muchas empresas exigen la certificación HITRUST CSF a los proveedores de terceros con los que trabajan. No importa si usted es un hospital, una compañía de seguros, una empresa de tecnología u otro tipo de proveedor de servicios, si maneja cualquier tipo de información personal identificable (PII), conseguir la Certificación HITRUST CSF es una muy buena idea.
Qué más debe saber sobre HITRUST antes de empezar
HITRUST ofrece dos opciones de evaluación.
La primera es una evaluación de preparación (a veces llamada evaluación de deficiencias o autoevaluación). Es la forma de determinar lo que ya tiene en su lugar que cumple con los requisitos de HITRUST CSF y lo que no. Además, identifica lo que tiene que hacer para solucionar las carencias.
La segunda es una evaluación validada, que se requiere para la certificación HITRUST CSF. Debe ser realizada por un evaluador externo aprobado por HITRUST. El evaluador utiliza la metodología de evaluación de HITRUST CSF, y los controles se puntúan utilizando el enfoque de madurez de HITRUST para la implementación de controles.
MyCSF® es la herramienta de evaluación basada en la web de HITRUST que ayuda a las organizaciones a rastrear y agilizar todo el proceso de cumplimiento y gestión de riesgos: rellenar los parámetros, determinar el alcance y cargar las pruebas. También es la misma herramienta que utilizan los evaluadores externos para realizar evaluaciones validadas.
Trabajar con un evaluador como Wipfli desde el principio puede ayudar a mejorar la eficiencia y la comprensión de su organización, ya que conocen HITRUST por dentro y por fuera y pueden ayudarle a navegar por los requisitos y el proceso general. Si desea obtener más información sobre cómo puede ayudarle Wipfli, haga clic aquí.
O continúe leyendo:
HITRUST vs HIPAA: ¿Cuál es la diferencia?
HITRUST vs SOC 2: Aprovechando el mejor camino hacia el aseguramiento
Conceptos erróneos comunes de un evaluador externo autorizado de HITRUST
El camino hacia la certificación HITRUST: Cinco razones para empezar ahora