La razón por la que mucha gente no reconoce la oportunidad es porque suele ir con mono de trabajo aparentando un trabajo duro. – Thomas A. Edisons
El término «HIPAA compliant» es muy utilizado por vendedores, consultores, desarrolladores, auditorías y otros. El problema con la naturaleza de flujo libre del término es que «HIPAA compliant» es subjetivo. La única manera de demostrar el cumplimiento es completar -y pasar- una auditoría externa, preferiblemente una realizada por una empresa de auditoría de renombre con experiencia en HIPAA.
Introducción a HITRUST
HITRUST, o la Alianza para la Confianza en la Información Sanitaria, no es en realidad un marco de trabajo, sino la organización que creó y mantiene el Marco Común de Seguridad, o CSF. El CSF, actualmente en su versión 7, es un marco certificable que reúne, o armoniza, varios otros marcos y normas de cumplimiento, como HIPAA, PCI, ISO y NIST. Al «armonizar» el CSF mapea todos esos estándares juntos, con el CSF como la clave central de mapeo.
Según su sitio web, HITRUST, y su correspondiente CSF, «nació de la creencia de que la seguridad de la información debe ser un pilar central de, en lugar de un obstáculo para, la amplia adopción de sistemas e intercambios de información de salud.» La seguridad y el cumplimiento de la normativa son una parte fundamental del éxito de la tecnología sanitaria; no pueden ignorarse ni tratarse como algo secundario. Sin un marco, un proceso y un organismo de certificación estandarizados, la HIPAA suele ser un obstáculo para la tecnología sanitaria. HITRUST es un intento de ayudar a los proveedores a demostrar mejor su seguridad y de ayudar a las entidades cubiertas a racionalizar las revisiones de seguridad y cumplimiento de los proveedores. En ese intento, HITRUST está teniendo éxito. More and more health systems are asking for HITRUST and vendors that have it are moving more quickly through the process with covered entities.
(Image credit: HITRUST CSF Assurance Program)
CSF Domains and Controls
The CSF is divided into 19 different domains. In contrast to HIPAA, the CSF does not create broad buckets like Administrative and Security controls.
- Information Protection Program
- Endpoint Protection
- Portable Media Security
- Mobile Device Security
- Wireless Protection
- Configuration Management
- Vulnerability Management
- Network Protection
- Transmission Protection
- Password Management
- Access Control
- Audit Logging & Monitoring
- Education, Training & Awareness
- Third Party Security
- Incident Management
- Business Continuity & Disaster Recovery
- Risk Management
- Physical & Environmental Security
- Data Protection & Privacy
In addition to the above domains, HITRUST has 135 specific controls.
CSF Levels of Implementation
For each of the 135 controls defined by HITRUST, there are 3 distinct implementation levels. Each implementation level builds on the one below – level 2 includes all of level 1 plus additional requirements, level 3 includes all of level 2 plus additional requirements. So technically level 3 is the most stringent set of requirements. La mayoría de las organizaciones tienen niveles variados de implementación para diferentes controles y no son sólo de nivel 1 o 2 o 3 en todo el tablero.
Creo que esta es el área en la que hay más confusión sobre HITRUST, o al menos el área en la que más nos preguntan sobre nuestra propia certificación HITRUST CSF. El comienzo de toda evaluación de HITRUST, independientemente del tipo de evaluación (para más información, véase Grados de garantía), es la recopilación de información sobre la entidad evaluada. Esta información se utiliza para evaluar la organización, el sistema y los requisitos normativos de la evaluación. Conceptualmente, se está determinando el riesgo o el alcance de la evaluación.
Este paso también está escrito en la HIPAA pero no forma parte de la mayoría de las evaluaciones. La HIPAA permite que los controles sean razonables y apropiados. En palabras del HHS An important step in protecting electronic protected health information (EPHI) is to implement reasonable and appropriate administrative safeguards that establish the foundation for a covered entity’s security program. La mayoría de las evaluaciones de la HIPAA son de talla única porque no hay un marco para interpretar reasonable y appropriate; al final, es probable que sea bueno que no se interpreten.
Al determinar el nivel de implementación, HITRUST establece dinámicamente los requisitos para cada organización y cada evaluación. Al igual que el LCR en general, es un proceso estandarizado para determinar el nivel de implementación.
Grados de garantía del LCR
HITRUST ofrece 3 grados de garantía diferentes, que son esencialmente niveles de evaluación. Los Grados de Garantía se alinean con el coste, el nivel de esfuerzo, la cantidad de tiempo y el rigor. Cada nivel se basa en el siguiente. Como referencia, Datica ha completado una evaluación certificada de CSF, que es el grado de garantía más alto.
Existen las siguientes opciones para los grados de garantía, empezando por el menor coste, esfuerzo, tiempo y rigor.
-
Autoevaluación. Se trata simplemente de una organización que completa el LCR por sí misma. Es valioso, típicamente como una herramienta interna para la organización, porque se hace de nuevo un marco estandarizado. No hay partes externas que verifiquen ningún aspecto de la evaluación. El resultado es un informe de autoevaluación del CSF emitido por HITRUST.
-
Validado por el CSF. Esta opción, así como la opción de Certificado CSF que aparece a continuación, requiere que un Evaluador CSF de tercera parte verifique la información recopilada por la organización que completa la evaluación. El evaluador de la CSF está aprobado por HITRUST. Este grado de garantía requiere una visita in situ del evaluador de CSF. HITRUST revisa la evaluación completada y validada y emite un informe validado como resultado.
-
Certificación de la CSF Similar a la evaluación validada de la CSF, la organización que se somete a la evaluación recibe una certificación de la CSF de HITRUST que es válida durante dos años. La principal diferencia de este grado de garantía es que la organización a la que se le concede la certificación HITRUST CSF cumple todos los requisitos de certificación del CSF. Esto se basa en la evaluación validada del CSF en el sentido de que HITRUST revisa y certifica las entradas de la organización y la validación del evaluador de tercera parte. En el caso de Datica, este paso final para la certificación tardó entre 3 y 4 meses.
PCI for Healthcare
Hay paralelismos entre HITRUST y PCI. Para aquellos que no estén familiarizados, PCI es el marco de cumplimiento para la industria financiera y de procesamiento de pagos. Lograr el cumplimiento de PCI es muy complicado, similar a una evaluación certificada de HITRUST. Mientras que la HIPAA fue escrita y es técnicamente aplicada por el gobierno federal (HHS específicamente), el CSF fue escrito y es mantenido por HITRUST, que es gobernado por un cuerpo representativo de la industria de la salud.
En muchos sentidos, HITRUST es un intento de la industria de la salud para crear una certificación estandarizada, similar a PCI. En términos de aplicación, la industria de la salud, a diferencia del HHS, está destinada a hacer cumplir HITRUST mediante la exigencia de evaluaciones certificadas de los asociados de negocios y subcontratistas. Todavía hay lagunas en la adopción dentro de la industria de la salud, pero la marea está claramente cambiando a medida que más y más entidades esperan que los proveedores sean certificados por HITRUST CSF.
HITRUST vs HIPAA
Como se mencionó anteriormente, HITRUST se basa en HIPAA. Toma HIPAA, un marco de cumplimiento no estandarizado y no prescriptivo, y crea un marco de cumplimiento estandarizado, una evaluación y un proceso de certificación para la industria de la salud. En el proceso, «armoniza» la HIPAA con otros marcos de cumplimiento, como el PCI y el NIST. HITRUST también adapta los requisitos para la certificación a los riesgos de una organización en función de factores organizativos, del sistema y de la normativa.
A diferencia de la HIPAA, que tiene definidas las sanciones por violaciones de la seguridad, la aplicación de HITRUST depende del propio sector sanitario, normalmente de entidades cubiertas como hospitales y pagadores, que exigen la certificación HITRUST CSF a los proveedores. HITRUST se ha adoptado rápidamente en el sector sanitario y cada vez es más frecuente que se exija a los proveedores. Aunque no siempre se requiere como un paso en la implementación de una nueva tecnología, HITRUST ciertamente agiliza el paso de la seguridad y el cumplimiento en el proceso de implementación.
Habiendo pasado tanto por auditorías de HIPAA como por una Evaluación Certificada de CSF, es seguro decir que la Certificación HITRUST CSF es un proceso mucho más riguroso, con una mayor carga de prueba puesta en la organización que intenta lograr la certificación, que una auditoría de HIPAA. Conseguir la certificación HITRUST CSF requiere mucho más tiempo, esfuerzo y recursos que una auditoría HIPAA. Obtener la certificación HITRUST CSF debería considerarse como un distintivo más importante para la seguridad y el cumplimiento de la normativa que completar una auditoría HIPAA.
Si está considerando o ha completado una evaluación HITRUST, no dude en ponerse en contacto con nosotros si tiene preguntas o comentarios.