La ragione per cui molte persone non riconoscono le opportunità è che di solito vanno in giro con una tuta da lavoro che sembra un lavoro duro. – Thomas A. Edisons
Il termine “HIPAA compliant” viene buttato in giro spesso da fornitori, consulenti, sviluppatori, revisori e altri. Il problema con la natura libera del termine è che “HIPAA compliant” è soggettivo. L’unico modo per dimostrare la conformità è completare – e superare – un audit esterno, preferibilmente uno condotto da una società di audit rispettabile con esperienza HIPAA.
A causa della natura soggettiva dell’HIPAA e della variabilità degli audit (come ex revisore dell’Info Sec mi sento qualificato nel dirlo), le entità coperte hanno difficoltà a valutare la conformità e la sicurezza dei fornitori esterni e dei progetti interni (pensate ai gruppi di innovazione e ricerca). Spesso il risultato è una reinvenzione della ruota ogni volta che un fornitore vende a una nuova entità coperta e ogni volta che un’entità coperta valuta la sicurezza di un nuovo fornitore. È incredibilmente inefficiente e pieno di opportunità di mancare le cose; le cose mancanti con la sicurezza e la conformità espongono le entità coperte a rischi significativi. Entra in scena HITRUST, uno sforzo guidato dall’industria per standardizzare un quadro comune e certificabile a beneficio sia dei fornitori che delle entità coperte.
Introduzione a HITRUST
HITRUST, o Health Information Trust Alliance, non è affatto un framework, ma l’organizzazione che ha creato e mantiene il Common Security Framework, o CSF. Il CSF, attualmente nella versione 7, è un quadro certificabile che riunisce, o armonizza, diversi altri quadri di conformità e standard tra cui HIPAA, PCI, ISO e NIST. Per “armonizzare” il CSF mappa tutti questi standard insieme, con il CSF come chiave di mappatura centrale.
Secondo il suo sito web, HITRUST, e il suo corrispondente CSF, “è nato dalla convinzione che la sicurezza delle informazioni dovrebbe essere un pilastro centrale di, piuttosto che un ostacolo, l’ampia adozione di sistemi e scambi di informazioni sanitarie”. La sicurezza e la conformità sono una parte fondamentale del successo della tecnologia sanitaria; non possono essere ignorate o trattate come un ripensamento. Senza un quadro standardizzato, un processo e un organismo di certificazione, HIPAA è spesso un ostacolo per la tecnologia sanitaria. HITRUST è un tentativo di aiutare i fornitori a dimostrare meglio la loro sicurezza e di aiutare le entità coperte a semplificare la sicurezza e le revisioni di conformità dei fornitori. In questo tentativo, HITRUST sta avendo successo. More and more health systems are asking for HITRUST and vendors that have it are moving more quickly through the process with covered entities.
(Image credit: HITRUST CSF Assurance Program)
CSF Domains and Controls
The CSF is divided into 19 different domains. In contrast to HIPAA, the CSF does not create broad buckets like Administrative and Security controls.
- Information Protection Program
- Endpoint Protection
- Portable Media Security
- Mobile Device Security
- Wireless Protection
- Configuration Management
- Vulnerability Management
- Network Protection
- Transmission Protection
- Password Management
- Access Control
- Audit Logging & Monitoring
- Education, Training & Awareness
- Third Party Security
- Incident Management
- Business Continuity & Disaster Recovery
- Risk Management
- Physical & Environmental Security
- Data Protection & Privacy
In addition to the above domains, HITRUST has 135 specific controls.
CSF Levels of Implementation
For each of the 135 controls defined by HITRUST, there are 3 distinct implementation levels. Each implementation level builds on the one below – level 2 includes all of level 1 plus additional requirements, level 3 includes all of level 2 plus additional requirements. So technically level 3 is the most stringent set of requirements. La maggior parte delle organizzazioni hanno vari livelli di implementazione per diversi controlli e non sono solo livello 1 o 2 o 3 su tutta la linea.
Penso che questa sia l’area in cui c’è più confusione su HITRUST, o almeno l’area in cui ci viene chiesto di più sulla nostra certificazione HITRUST CSF. L’inizio di ogni valutazione HITRUST, indipendentemente dal tipo di valutazione (vedi Gradi di garanzia qui sotto per saperne di più), è la raccolta di informazioni sull’entità da valutare. Queste informazioni vengono utilizzate per valutare l’organizzazione, il sistema e i requisiti normativi per la valutazione. Concettualmente, si sta determinando il rischio o la portata della valutazione.
Questo passo è anche scritto nell’HIPAA ma non fa parte della maggior parte delle valutazioni. L’HIPAA permette controlli che sono ragionevoli e appropriati. Nelle parole di HHS An important step in protecting electronic protected health information (EPHI) is to implement reasonable and appropriate administrative safeguards that establish the foundation for a covered entity’s security program.
La maggior parte delle valutazioni HIPAA è unica perché non c’è un quadro per interpretare reasonable
e appropriate
; alla fine, è probabilmente una buona cosa che non siano interpretate.
Nel determinare il livello di implementazione, HITRUST imposta dinamicamente i requisiti per ogni organizzazione e ogni valutazione. Come il CSF più in generale, è un processo standardizzato per determinare il livello di implementazione.
CSF Degrees of Assurance
HITRUST offre 3 diversi Degrees of Assurance, che sono essenzialmente livelli di valutazione. I gradi di garanzia si allineano con il costo, il livello di sforzo, la quantità di tempo e il rigore. Ogni livello si basa su quello sottostante. Per riferimento, Datica ha completato una valutazione CSF Certified, che è il più alto grado di garanzia.
Per i gradi di garanzia esistono le seguenti opzioni, a partire dal minor costo, sforzo, tempo e rigore.
-
Self Assessment. Questo è semplicemente un’organizzazione che completa il CSF da sola. È prezioso, tipicamente come strumento interno per l’organizzazione, perché è fatto di nuovo un quadro standardizzato. Non ci sono parti esterne che verificano qualsiasi aspetto della valutazione. Il risultato è un CSF Self Assessment Report rilasciato da HITRUST.
-
CSF Validated. Questa, e l’opzione CSF Certified sotto, richiede un CSF Assessor di terza parte per verificare le informazioni raccolte dall’organizzazione che completa la valutazione. Il CSF Assessor è approvato da HITRUST. Questo grado di garanzia richiede una visita in loco da parte del CSF Assessor. HITRUST rivede la valutazione completata e validata e rilascia un Validated Report come risultato.
-
CSF Certified Simile alla valutazione CSF Validated, all’organizzazione che si sottopone alla valutazione viene concessa una certificazione CSF di HITRUST valida per due anni. La differenza principale per questo grado di garanzia è che l’organizzazione che ottiene la certificazione HITRUST CSF soddisfa tutti i requisiti di certificazione del CSF. Questo si basa sulla valutazione CSF Validated in quanto HITRUST rivede e certifica le voci dell’organizzazione e la validazione del valutatore di terza parte. Nel caso di Datica, questo passo finale per la certificazione ha richiesto 3-4 mesi.
PCI for Healthcare
Ci sono parallelismi tra HITRUST e PCI. Per coloro che non hanno familiarità, PCI è il quadro di conformità per l’industria finanziaria e di elaborazione dei pagamenti. Raggiungere la conformità PCI è molto impegnativo, simile a una valutazione certificata HITRUST. Mentre HIPAA è stato scritto ed è tecnicamente applicato dal governo federale (HHS in particolare), il CSF è stato scritto ed è mantenuto da HITRUST, che è governato da un organismo rappresentativo del settore sanitario.
In molti modi, HITRUST è un tentativo del settore sanitario di creare una certificazione standardizzata, simile a PCI. In termini di applicazione, il settore sanitario, al contrario di HHS, è destinato a far rispettare HITRUST richiedendo valutazioni certificate dei business associate e dei subappaltatori. Ci sono ancora delle lacune nell’adozione all’interno del settore sanitario, ma la marea sta chiaramente cambiando, dato che sempre più entità si aspettano che i fornitori siano certificati HITRUST CSF.
HITRUST vs HIPAA
Come detto sopra, HITRUST si basa su HIPAA. Prende HIPAA, un quadro di conformità non standardizzato e non prescrittivo, e crea un quadro di conformità standardizzato, una valutazione e un processo di certificazione per il settore sanitario. Nel processo “armonizza” HIPAA con altre strutture di conformità come PCI e NIST. HITRUST adatta anche i requisiti per la certificazione ai rischi di un’organizzazione basati su fattori organizzativi, di sistema e normativi.
Al contrario di HIPAA, che ha definito delle sanzioni per le violazioni della sicurezza, l’applicazione di HITRUST dipende dal settore sanitario stesso, tipicamente entità coperte come ospedali e pagatori, che richiedono la certificazione HITRUST CSF dei fornitori. HITRUST ha guadagnato rapidamente l’adozione nel settore sanitario e lo stiamo vedendo sempre più come un’aspettativa per i fornitori. Anche se non è sempre richiesto come passo nell’implementazione di una nuova tecnologia, HITRUST certamente ottimizza la sicurezza e la conformità nel processo di implementazione.
Avendo affrontato sia gli audit HIPAA che un Certified CSF Assessment, è sicuro dire che la certificazione HITRUST CSF è un processo molto più rigoroso, con un onere di prova più elevato per l’organizzazione che cerca di ottenere la certificazione, rispetto a un audit HIPAA. Raggiungere la certificazione HITRUST CSF richiede molto più tempo, impegno e risorse di un audit HIPAA. Essere certificati HITRUST CSF dovrebbe essere visto come un distintivo più significativo per la sicurezza e la conformità rispetto al completamento di un audit HIPAA.
Se stai considerando o hai completato una valutazione HITRUST, sentiti libero di contattare per domande o feedback.