O que é HITRUST?

A razão pela qual muitas pessoas não reconhecem as oportunidades é porque normalmente andam de macacão com aspecto de trabalho duro. – Thomas A. Edisons

O termo “HIPAA compliant” é atirado muito por vendedores, consultores, desenvolvedores, auditorias, e outros. O problema com a natureza de fluxo livre do termo é que “compatível com a HIPAA” é subjetivo. A única maneira de provar a conformidade é completar – e passar – uma auditoria externa, de preferência uma realizada por uma empresa de auditoria de renome com experiência em HIPAA.

Devido à natureza subjetiva da HIPAA e à variabilidade nas auditorias (como um ex-auditor de segurança da informação sinto-me qualificado em dizer isso), as entidades cobertas têm dificuldade em avaliar a conformidade e a segurança de fornecedores externos, bem como de projetos internos (pense em grupos de inovação e pesquisa). Muitas vezes o resultado é uma reinvenção da roda cada vez que um fornecedor vende para uma nova entidade coberta e cada vez que uma entidade coberta avalia a segurança de um novo fornecedor. É incrivelmente ineficiente e maduro com oportunidades de perder coisas; faltar coisas com segurança e conformidade expõe as entidades cobertas a riscos significativos. Entre no HITRUST, um esforço orientado pelo setor para padronizar em uma estrutura comum e certificável para beneficiar tanto os fornecedores quanto as entidades cobertas.

audit requirements

audit reports

Introduction to HITRUST

HITRUST, ou a Health Information Trust Alliance, na verdade não é uma estrutura, mas a organização que criou e mantém a Estrutura de Segurança Comum, ou CSF. O CSF, atualmente na versão 7, é um framework certificável que reúne, ou harmoniza, vários outros frameworks e padrões de conformidade, incluindo HIPAA, PCI, ISO, e NIST. Ao “harmonizar” o CSF mapeia todas essas normas em conjunto, tendo o CSF como chave central de mapeamento.

De acordo com seu site, HITRUST, e seu correspondente CSF, “nasceu da crença de que a segurança da informação deveria ser um pilar central, e não um obstáculo à ampla adoção de sistemas e intercâmbios de informação em saúde”. A segurança e a conformidade são uma parte fundamental do sucesso da tecnologia da saúde; não podem ser ignoradas ou tratadas como um pensamento posterior. Sem uma estrutura padronizada, processo e órgão certificador, a HIPAA é muitas vezes um obstáculo para a tecnologia de saúde. HITRUST é uma tentativa de ajudar os fornecedores a melhor provar sua segurança e ajudar as entidades cobertas a racionalizar a segurança e as revisões de conformidade dos fornecedores. Nessa tentativa, a HITRUST está sendo bem-sucedida. More and more health systems are asking for HITRUST and vendors that have it are moving more quickly through the process with covered entities.

academy-slide3

(Image credit: HITRUST CSF Assurance Program)

CSF Domains and Controls

The CSF is divided into 19 different domains. In contrast to HIPAA, the CSF does not create broad buckets like Administrative and Security controls.

  • Information Protection Program
  • Endpoint Protection
  • Portable Media Security
  • Mobile Device Security
  • Wireless Protection
  • Configuration Management
  • Vulnerability Management
  • Network Protection
  • Transmission Protection
  • Password Management
  • Access Control
  • Audit Logging & Monitoring
  • Education, Training & Awareness
  • Third Party Security
  • Incident Management
  • Business Continuity & Disaster Recovery
  • Risk Management
  • Physical & Environmental Security
  • Data Protection & Privacy

In addition to the above domains, HITRUST has 135 specific controls.

CSF Levels of Implementation

For each of the 135 controls defined by HITRUST, there are 3 distinct implementation levels. Each implementation level builds on the one below – level 2 includes all of level 1 plus additional requirements, level 3 includes all of level 2 plus additional requirements. So technically level 3 is the most stringent set of requirements. A maioria das organizações tem vários níveis de implementação para diferentes controles e não são apenas o nível 1 ou 2 ou 3 em todos os níveis.

Eu acho que esta é a área em que há mais confusão sobre o HITRUST, ou pelo menos a área em que somos mais solicitados sobre a nossa própria Certificação HITRUST CSF. O início de cada avaliação do HITRUST, independentemente do tipo de avaliação (ver Graus de Asseguramento abaixo para mais informações sobre isso), está coletando informações sobre a entidade que está sendo avaliada. Esta informação é utilizada para avaliar a organização, o sistema e os requisitos regulamentares para a avaliação. Conceitualmente, o risco ou escopo da avaliação está sendo determinado.

Este passo também está escrito no HIPAA, mas não faz parte da maioria das avaliações. A HIPAA permite controles que são razoáveis e apropriados. Nas palavras de HHS An important step in protecting electronic protected health information (EPHI) is to implement reasonable and appropriate administrative safeguards that establish the foundation for a covered entity’s security program. A maioria das avaliações HIPAA são de tamanho único porque não há uma estrutura para interpretar reasonable e appropriate; no final, é provável que seja bom que estas não sejam interpretadas.

Ao determinar o nível de implementação, o HITRUST estabelece dinamicamente os requisitos para cada organização e cada avaliação. Como o CSF mais amplamente, é um processo padronizado para determinar o nível de implementação.

CSF Degrees of Assurance

HITRUST oferece 3 Degrees of Assurance diferentes, que são essencialmente níveis de avaliação. Os Graus de Garantia estão alinhados com o custo, nível de esforço, quantidade de tempo e rigor. Cada nível se baseia no que se encontra abaixo. Para referência, a Datica completou uma avaliação certificada pelo CSF, que é o mais alto Grau de Garantia.

As seguintes opções existem para os Graus de Garantia, começando com o menor custo, esforço, tempo e rigor.

  1. p>Self Assessment. Esta é simplesmente uma organização que completa o CSF por conta própria. É valiosa, tipicamente como uma ferramenta interna para a organização, porque é feita novamente uma estrutura padronizada. Não há partes externas que verificam qualquer aspecto da avaliação. O resultado é um Relatório de Autoavaliação CSF emitido pelo HITRUST.
  2. p>CSF Validated. Isto, e a opção Certificado CSF abaixo, requer um Avaliador CSF de terceiros para verificar as informações coletadas pela organização que completa a avaliação. O Assessor do CSF é aprovado pelo HITRUST. Este Grau de Garantia requer uma visita ao local por parte do Assessor do CSF. O HITRUST revisa a avaliação concluída e validada e emite um Relatório Validado como resultado.
  3. p>CSF Certificado Semelhante à avaliação validada pelo CSF, a organização submetida à avaliação recebe uma Certificação CSF HITRUST que é válida por dois anos. A maior diferença para este Grau de Garantia é que a organização que recebe a Certificação HITRUST CSF cumpre todos os requisitos de certificação do CSF. Isto se baseia na avaliação validada pelo CSF, na qual a HITRUST revisa e certifica as entradas da organização e a validação do avaliador terceirizado. No caso da Datica, esta etapa final para a certificação levou 3-4 meses.

PCI for Healthcare

Existem paralelos entre o HITRUST e o PCI. Para aqueles que não estão familiarizados, o PCI é a estrutura de conformidade para a indústria financeira e de processamento de pagamentos. Atingir a conformidade com o PCI está muito envolvido, semelhante a uma Avaliação HITRUST Certificada. Enquanto o HIPAA foi escrito e é tecnicamente aplicado pelo governo federal (HHS especificamente), o CSF foi escrito e é mantido pelo HITRUST, que é governado por um órgão representativo do setor de saúde.

Em muitos aspectos, o HITRUST é uma tentativa do setor de saúde de criar uma certificação padronizada, semelhante à PCI. Em termos de aplicação, a indústria da saúde, ao contrário da HHS, pretende aplicar a HITRUST, exigindo Avaliações Certificadas de associados comerciais e subcontratados. Ainda há lacunas na adoção dentro da indústria da saúde, mas a maré está claramente mudando à medida que mais e mais entidades esperam que os fornecedores sejam certificados pelo HITRUST CSF.

HITRUST vs HIPAA

Como mencionado acima, o HITRUST se baseia no HIPAA. Ele toma a HIPAA, uma estrutura de conformidade não padronizada e não prescritiva, e cria uma estrutura de conformidade padronizada, avaliação e processo de certificação para a indústria da saúde. No processo, ela “harmoniza” a HIPAA com outras estruturas de conformidade, tais como PCI e NIST. A HITRUST também adapta os requisitos para certificação aos riscos de uma organização com base em fatores organizacionais, de sistema e regulatórios.

As opposed to HIPAA, which has defined penalties for security breaches, the enforcement of HITRUST is dependent on the healthcare industry itself, typically covered entities like hospitals and payers, requiring HITRUST CSF Certification of vendors. A HITRUST ganhou rapidamente adoção na área da saúde e estamos vendo isso cada vez mais como uma expectativa para os fornecedores. Embora nem sempre seja exigido como um passo na implementação de uma nova tecnologia, a HITRUST certamente racionaliza o passo de segurança e conformidade no processo de implementação.

Ainda de passar por auditorias HIPAA e uma Avaliação CSF Certificada, é seguro dizer que a Certificação HITRUST CSF é um processo muito mais rigoroso, com um maior ônus de prova colocado sobre a organização que tenta obter a certificação, do que uma auditoria HIPAA. A obtenção da Certificação HITRUST CSF requer significativamente mais tempo, esforço e recursos do que uma auditoria HIPAA. Ser certificado HITRUST CSF deve ser visto como um distintivo mais significativo para a segurança e conformidade do que concluir uma auditoria HIPAA.

Se você está considerando ou já concluiu uma avaliação HITRUST, sinta-se à vontade para chegar com perguntas ou feedback.

Deixe uma resposta

O seu endereço de email não será publicado.