O Programa de Garantia da HITRUST, que inclui normas, avaliações, certificações e um framework centralizado, foi projetado para ajudar organizações com computação intensiva de dados e provedores de garantia a gerenciar ameaças crescentes à cibersegurança, como violações de segurança, phishing/spoofing e comprometimento de e-mail comercial (BEC). A abordagem de proteção de informações da HITRUST baseia-se em seis princípios:

Transparência: definir expectativas claras de controles de ameaças à cibersegurança, fornecendo a justificativa para sua seleção e detalhando a metodologia de como devem ser avaliados;





definir expectativas claras de controles de ameaças à cibersegurança, fornecendo a justificativa para sua seleção e detalhando a metodologia de como devem ser avaliados; Escalabilidade: implementar um processo de avaliação adaptável a ameaças com uma abordagem de trampolim que atenda às necessidades e riscos exclusivos de qualquer organização;





implementar um processo de avaliação adaptável a ameaças com uma abordagem de trampolim que atenda às necessidades e riscos exclusivos de qualquer organização; Consistência: desenvolver um processo de avaliação que produza resultados padronizados, independentemente do avaliador;





desenvolver um processo de avaliação que produza resultados padronizados, independentemente do avaliador; Precisão: implementar mecanismos que avaliem de forma confiável a eficácia dos controles;





implementar mecanismos que avaliem de forma confiável a eficácia dos controles; Integridade: implementar processos que produzam resultados verificáveis, precisos e consistentes; e





implementar processos que produzam resultados verificáveis, precisos e consistentes; e Eficiência: produzir resultados que sejam utilizáveis por todos os stakeholders relevantes.



Níveis de certificação



Para lidar com organizações de todos os tamanhos, o Programa de Garantia da HITRUST oferece três tipos de certificação.

e1: uma certificação de um ano para organizações e startups de menor risco. Projetada para ajudar os provedores de garantia a desenvolver um sistema de referência para prevenir ameaças comuns à cibersegurança, como phishing e ransomware, essa avaliação validada avalia 44 requisitos de segurança principais e foca em práticas de segurança críticas para transparência, consistência, precisão e integridade.

Menos rigorosa do que o processo de avaliação i1 ou r2, a certificação e1 é uma avaliação adaptativa a ameaças que inclui um número fixo de declarações de requisitos, avaliações de prontidão e avaliações validadas, mas que não pode ser personalizada para incluir privacidade. Essa certificação geralmente exige que o provedor de garantia implemente de forma satisfatória o gerenciamento de privilégios, o gerenciamento de senhas de usuários, os direitos de acesso do usuário, o logon seguro e outros controles de cibersegurança básicos.

i1: uma avaliação validada de um ano que fornece um nível relativamente moderado de garantia para situações de compartilhamento de informações com limites de risco mais baixos. Essa avaliação validada avalia 182 requisitos e geralmente é uma etapa incremental entre as certificações e1 e r2.

Assim como a certificação e1, a i1 também é uma avaliação adaptativa a ameaças que inclui um número fixo de declarações de requisitos, avaliações de prontidão e avaliações validadas, e não pode ser adaptada para incluir privacidade. Da mesma forma, como uma avaliação e1, uma avaliação i1 normalmente exige que o provedor de garantia implemente gerenciamento de privilégios, gerenciamento de senhas de usuários, direitos de acesso de usuários, logon seguro e outros controles de cibersegurança básicos, mas acrescenta requisitos adicionais, como implementação de um programa de gerenciamento de segurança da informação e uma política de controle de acesso.

r2: Para organizações que precisam demonstrar o mais alto nível de garantia. Essa avaliação validada de dois anos foi criada para organizações que compartilham informações confidenciais, lidam com grandes volumes de dados ou enfrentam requisitos regulatórios desafiadores. Uma avaliação r2 com escopo adequado garante que os requisitos de controle sejam eficazes e compatíveis e oferece uma seleção de controle flexível, personalizada e baseada em riscos para atender às necessidades mais rigorosas. A avaliação HITRUST r2 tem mais de 2000 declarações de requisitos de controle disponíveis que são adaptadas à avaliação com base nas seleções de controle e no escopo.

A certificação r2 exige que os provedores de garantia implementem gerenciamento de privilégios, gerenciamento de senhas de usuários, direitos de acesso de usuários, logon seguro e outros controles de cibersegurança básicos, bem como um programa de gerenciamento de segurança da informação e uma política de controle de acesso. Ela também exige que os provedores de garantia avaliem a continuidade de negócios, desenvolvam um framework de planejamento relacionado e implementem outros controles e processos avançados.



Obtenção da certificação



As organizações podem obter o nível adequado de certificação por meio de uma Organização Avaliadora Externa da HITRUST aprovada.

Todas as três avaliações HITRUST, bem como ferramentas adicionais de governança, risco e conformidade, podem ser acessadas por meio da plataforma centralizada baseada em aplicativo HITRUST MyCSF.



Recursos adicionais



O HITRUST Assurance Program™ é um aspecto da abrangente Framework de Gerenciamento de Riscos (RMF) da organização, um pacote de certificações, produtos, metodologias e ferramentas criado para lidar com a necessidade de um "entendimento comum sobre os controles de segurança e privacidade necessários para proteger informações confidenciais e a privacidade individual", de acordo com o Manual de Gerenciamento de Riscos da HITRUST.

Lançado originalmente em 2009, o RMF oferece uma abordagem consistente ao risco de cibersegurança, ao gerenciamento de riscos e à conformidade. O RMF compreende o HITRUST CSF, o HITRUST Assurance Program™ e os produtos e certificações relacionados. Ele integra requisitos legais e regulatórios estaduais, federais e internacionais dos EUA, como o HIPAA e o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, com uma metodologia padronizada, controles de qualidade e avaliadores externos certificados pela HITRUST.

Para mais informações sobre os requisitos de conformidade da HITRUST ou o processo de certificação, acesse HITRUSTalliance.net.