HITRUST® abordará las brechas del mercado en confiabilidad y los desafíos en el intercambio de evaluaciones de seguridad y privacidad

07/10/2021 - 12:04 por Business Wire

Amplía la cartera de evaluaciones e introduce el sistema de distribución de resultados.

HITRUST® anunció hoy una importante expansión de su cartera de evaluaciones para aumentar la calidad y eficiencia de las garantías en todo el espectro de necesidades de garantía de la información. HITRUST también presentará un nuevo enfoque evolutivo para agilizar el intercambio y el consumo de los resultados de la evaluación en todo el ecosistema de las partes que confían.

La certificación HITRUST CSF es el informe de aseguramiento de la información más confiable del mercado y es posible gracias a la transparencia y consistencia en la selección de los controles, y en la puntuación y validación de los controles por parte de evaluadores externos calificados y los equipos de aseguramiento y calidad de HITRUST. El proceso de aseguramiento es riguroso por diseño para asegurar un alto nivel de aseguramiento en los resultados proporcionados. Sin embargo, hay muchas situaciones en las que se justifica un nivel de seguridad moderado o bajo. Las organizaciones buscan una gama más amplia de opciones de evaluación que requieran menos esfuerzo y tiempo para su ejecución y, al mismo tiempo, brinden un nivel de confiabilidad acorde para escenarios de riesgo moderado a menor.

Para satisfacer las necesidades del mercado de diferentes niveles de garantía con mayor confiabilidad, HITRUST está agregando dos nuevas ofertas de evaluación. Al igual que la Evaluación validada de HITRUST CSF, estas nuevas ofertas ayudarán a comprender la eficacia del control, así como la preparación y la resiliencia cibernéticas. Con las dos nuevas incorporaciones, la cartera de evaluaciones de HITRUST incluirá:

  • La Evaluación Básica del Estado Actual (Basic Current State, bC) es una evaluación de “buena higiene” y ofrece mayor confiabilidad que las autoevaluaciones y los cuestionarios al utilizar HITRUST Assurance Intelligence Engine™ (AI Engine) para identificar errores, omisiones y engaños.
  • La Evaluación validada implementada de un año (Implemented One-Year, i1) es una evaluación de “mejores prácticas” y se recomienda para situaciones que presentan un riesgo moderado o donde se necesita una evaluación de riesgo de referencia. La i1 está diseñada para proporcionar niveles más altos de transparencia, integridad y confiabilidad que los informes de aseguramiento moderado existentes, con niveles comparables de tiempo, esfuerzo y costo. Los evaluadores externos autorizados de HITRUST validarán las evaluaciones i1.
  • La evaluación estándar de la industria HITRUST CSF Validated Assessment es una evaluación basada en riesgos y adaptada, que continúa brindando el más alto nivel de garantía para situaciones con mayor exposición al riesgo debido a volúmenes de datos, cumplimiento normativo u otros factores de riesgo. La Evaluación validada de HITRUST CSF pasará a denominarse Evaluación validada de dos años (r2) basada en riesgos.

Hasta ahora, la mayoría de los mecanismos de evaluación de riesgo bajo a moderado eran auto-certificados o validados contra una selección de control inadecuada o inconsistente y programas de aseguramiento limitados y subjetivos; lo que dificulta que las partes que confían comprendan los requisitos de control y la profundidad, amplitud y consistencia del proceso de aseguramiento, lo que limita la utilidad y confiabilidad de los resultados.

“A menudo, las organizaciones utilizan informes de garantía de nivel medio, como un informe SOC 2, porque requieren menos tiempo y esfuerzo y son menos costosos. Desafortunadamente, estos informes de aseguramiento de nivel medio carecen de la consistencia y confiabilidad de evaluaciones más completas como HITRUST”, señaló John Houston, vicepresidente de Seguridad y Privacidad de la Información de UPMC. “La evaluación HITRUST i1 llena un vacío en el mercado para una evaluación de seguridad media que ofrece un nivel más alto de confiabilidad y consistencia al tiempo que tiene un esfuerzo y costo similar a un informe SOC 2. Y puede ayudar a la organización a avanzar hacia la certificación HITRUST CSF completa, que organizaciones como UPMC ven como el estándar de oro”.

Si bien la confiabilidad es crucial para la garantía, la accesibilidad, la usabilidad y el consumo de los resultados son igualmente importantes si las organizaciones deben administrar el riesgo de la cadena de suministro dada la evolución de las amenazas cibernéticas. El método actual de obtener y consumir los resultados de la evaluación por parte de la parte que confía a menudo da como resultado demoras, ineficiencias y malas interpretaciones, ya que se basa en el intercambio de archivos PDF que se revisan para determinar el alcance, la puntuación y los planes de acción correctiva antes de que se obtenga la información clave. a menudo se ingresa manualmente en un sistema de gestión de riesgos de terceros (third-party risk management, TPRM).

To meet the expanding demand for effective information risk management across the supply chain, the HITRUST Results Distribution System (RDS) will enable assessed entities to deliver their HITRUST Assessment results through a secure, centralized reporting hub to relying parties, eliminating the need for exchanging PDFs and the manual review and entry into third-party systems that subsequently occurs. Los destinatarios podrán personalizar los paneles para ver los resultados que más les interesen, incluido el alcance, el agregado o las puntuaciones de control específicas. Además, la integración con plataformas GRC/VRM estará disponible a través de API.

“Para que los sistemas de gestión de riesgos de terceros alcancen su máximo potencial para ayudar a las organizaciones a gestionar el riesgo de sus proveedores, los resultados de la evaluación deben compartirse y consumirse electrónicamente”, afirmó Jeremy Fisher, vicepresidente de Productos de Archer. “El sistema de distribución de resultados de HITRUST es un gran paso para hacerlo posible y será un fuerte complemento de nuestro enfoque en la interacción con los proveedores a través de Archer Engage”.

La expansión de la cartera de evaluaciones de HITRUST y la incorporación de RDS amplían aún más la posición de HITRUST como innovador y líder en la gestión de riesgos de la información, el cumplimiento y la garantía. HITRUST continúa impulsando mayores garantías y mayores eficiencias en el ecosistema de garantía. “HITRUST se basa en nuestro liderazgo en el mercado para brindar garantías de confianza mediante la introducción de productos de garantía de la información de nivel moderado y bajo”, manifestó Bimal Sheth, vicepresidente ejecutivo de Operaciones de Aseguramiento y Desarrollo de Estándares de HITRUST. “Ninguna otra organización de evaluación o certificación puede satisfacer la creciente necesidad del mercado global de evaluaciones de información y distribución electrónica de resultados”.

La evaluación estándar de la industria r2 (Evaluación validada de HITRUST CSF) está disponible actualmente, mientras que las evaluaciones bC e i1 se ofrecerán al mercado a finales de este año. Cualquier evaluación i1 o r2 enviada con una reserva está respaldada por una garantía de nivel de servicio para entregar el informe de evaluación dentro de los 45 días.

Obtenga más información en:

Regístrese para el seminario web

Portafolio de evaluación ampliado

Sistema de distribución de resultados

Acerca de HITRUST®

Desde su fundación en 2007, HITRUST ha promovido programas que protegen la información confidencial y gestionan el riesgo de la información para las organizaciones en todas las industrias y en toda la cadena de suministro de terceros. En colaboración con líderes de privacidad, seguridad de la información y gestión de riesgos de los sectores público y privado, HITRUST desarrolla, mantiene y proporciona un amplio acceso a sus marcos comunes de gestión de riesgos y cumplimiento ampliamente adoptados, así como a las metodologías de evaluación y aseguramiento relacionadas. Para obtener más información, visite www.hitrustalliance.net.

El texto original en el idioma fuente de este comunicado es la versión oficial autorizada. Las traducciones solo se suministran como adaptación y deben cotejarse con el texto en el idioma fuente, que es la única versión del texto que tendrá un efecto legal.

Contacts :

Contacto con los medios de comunicación: Marc Fitzpatrick, correo electrónico: marc.fitzpatrick@hitrustalliance.net, tel.: 469.269.1230


Source(s) : HITRUST