top of page
Buscar

GARANTIZANDO LA TRIADA DE LA INFORMACIÓN DE LA SALUD - HIPAA VS. HITRUST


Kath, Heath. “HIPAA VS HITRUST.” GoAnywhere , 13 Apr. 2022, https://www.goanywhere.com/blog/hipaa-vs-hitrust-the-key-differencesHeath . Accessed 20 Sept. 2022.


Cuando se trata de mantener la seguridad de la información de los usuarios y demostrar que los datos personales se están utilizando de manera adecuada, es importante revisar que estándares hacen lo anterior posible, es decir, si existen pautas que auxilien y garanticen que la información se usara únicamente con el consentimiento del usuario y de manera apropiada, ya que puede ser un tanto complicado el reparar el daño causado por el mal uso y/o filtración de estos.


Es por eso por lo que cuando se busca cumplir con lo anterior, se es necesario cubrir todos los aspectos importantes que salvaguarden la identidad de los usuarios. Sin embargo, al comparar o querer elegir entre HIPAA y HITRUST, no es una comparación enteramente valida, ya que ambos términos definen algo diferente, pero con una meta en común.


¿Qué es HIPAA?

Algo que los gobiernos se han dado a la tarea de agregar a sus agendas. En este caso, se habla de la Ley de Responsabilidad y Portabilidad de Seguros de Salud (Health Insurance Portability and Accountability Act, HIPAA, por sus siglas en ingles), la cual es una ley de los EE. UU., propuesta en 1996, la cual definió los requisitos que deberán cubrir las instituciones que manejen datos sanitarios, sean, proveedores de planes de salud, de atención médica y socios, para proteger la información del paciente. Esta misma se ha ido enmendando con el paso de los años, agregando información que se maneje electrónicamente y en caso de que exista una filtración de esta, el notificar inmediatamente a los individuos afectados, así como al Departamento de Salud y Servicios Humanos de los Estados Unidos (HSS, por sus siglas en ingles) y a los medios de comunicación (American Medical Association, s.f.).


Una vez que se han definido los requerimientos para proteger la información de los pacientes – usando las herramientas administrativas, físicas y técnicas necesarias – las organizaciones son responsables de cumplir con esta ley para así evitar filtraciones de datos y/o ataques cibernéticos (Jen, s.f.).


Ahora bien, la ley incluye tres reglas para proteger la información del paciente, siendo (Digital Health Folio 3, 2021):


  • La Regla de Privacidad, estándares que establecen como y cuando usar la información de los pacientes.

  • La Regla de Seguridad, estándares que las organizaciones deben cubrir para proteger la información de los pacientes.

  • La Regla de Notificación de Violación/Filtración, requerimiento que indica que las organizaciones notifiquen a los usuarios afectados.

El incumplimiento de las tres reglas de HIPAA, o cualquier violación de seguridad a los sistemas electrónicos, llámese acceso no autorizado a los registros, como historial médico o información personal, puede resultar en sanciones civiles e incluso penales, perdida de reputación para los profesionales de la salud y organizaciones, incluyendo pérdida de empleo para los empleados involucrados (Wheel House IT, 2021).


HIPAA requiere que se realicen auditorias anuales revisando los requerimientos previamente mencionados, sin embargo, no proporciona ningún marco oficial o metodología para verificar su cumplimiento. En orden, para las organizaciones demostrar esto, existen una serie de marcos recomendados que manejan datos sanitarios o información médica protegida (Protected Health Information, PHI), en el que cual nos estaremos enfocando es en el Marco Común de Seguridad, HITRUST CSF.


¿Qué es HITRUST?

Es un marco de seguridad y privacidad que asiste a las organizaciones para poder certificar el cumplimiento de HIPAA, entre otros requisitos. Es la única certificación oficial que valida el cumplimiento de la ley en cuestión, así como otros estándares, ISO 27001, HITECH, EU GDPR, PCI-DSS, NIST 800-53, entre otros (Jen, s.f.).


HITRUST consiste en 14 categorías de Control, 19 Dominios, 49 Objetivos de Control, 156 Referencias de Control y 3 niveles de implementación (Datica, s.f.).


¿Cómo elegir entre HITRUST y HIPAA?

Ilustración 1. Diferencias y Similitudes entre HIPAA y HITRUST (Digital Authority Partners, s.f.)


¿Es HITRUST la mejor opción para demostrar el cumplimiento de HIPAA?

HITRUST puede ser un tanto estricto y requerir un alto grado de recursos para asegurar su certificación, no obstante, por su naturaleza de incluir múltiples requerimientos en uno, es la mejor opción para demostrar que existen los controles que asisten en proteger la información de los pacientes, así mismo, la duración de esta certificación es de 2 años, comparada con la de otros estándares, y es reconocido globalmente por proporcionar controles adecuados que ayudan a la regulación y protección de los datos (Rieben, 2022).

Este proceso de certificación se refiere a la estandarización de los requisitos de seguridad de diferentes marcos de seguridad de la información. Este mismo facilita la entrega de múltiples informes de cumplimiento basados en una sola evaluación, la cual consiste en una evaluación de riesgo que incluye la revisión de las políticas y procedimientos implementados, moderados y administrados, aunado a un plan de acciones correctivas basado en la evaluación de estos. (Intraprise Health, 2022)


Cabe mencionar que la certificación de HITRUST considera el nivel de garantía en base al nivel de esfuerzo asociado a la evaluación, dando como resultado las siguientes evaluaciones (Rieben, 2022):


  • HITRUST básico: es el nivel más elemental y se enfoca en la “buena higiene”, el cual simplemente realiza una validación para identificar errores y/u omisiones, sin embargo, no proporciona ningún tipo de certificación.

  • HITRUST implementado (i1) + certificación: es una evaluación no personalizada que se enfoca en las “mejores prácticas”, así como la adaptación a las amenazas, la cual es válida por un año, se requiere de un esfuerzo moderado.

  • HITRUST evaluación basada en riesgo (r2) + certificación: esta requiere del máximo esfuerzo y proporciona una evaluación personalizada la cual se enfoca en escenarios de alto riesgo donde se requiere un alto nivel de seguridad.

Por lo tanto, si bien no existe una comparación como tal, se es necesario comprender ambos conceptos para implementar correctamente el marco adecuado para estar en cumplimiento con las leyes que regulan la protección de los datos, en este caso de los pacientes.



Autor

Odalys Vaquez

Junior Security Engineer


Referencias

  • American Medical Association. (s.f.). HIPAA security rule & risk analysis. Obtenido de AMA: https://www.ama-assn.org/practice-management/hipaa/hipaa-security-rule-risk-analysis

  • Datica. (s.f.). Datica. Obtenido de What Are HITRUST Requirements?: https://datica.com/blog/what-are-hitrust-requirements

  • Digital Authority Partners. (s.f.). HITRUST Certification Guidelines. Obtenido de Digital Autority: https://www.digitalauthority.me/resources/hitrust-certification-guideline/

  • Digital Health Folio 3. (2021, 09 28). 3 Major Things Addressed In The HIPAA Law. From Digital Health Folio 3: https://digitalhealth.folio3.com/blog/what-are-3-major-things-addressed-in-the-hipaa-law/

  • Intraprise Health. (2022). The Benefits of HITRUST Certification. From Intraprise Health: https://intraprisehealth.com/what-is-hitrust-and-how-can-it-benefit-your-organization/

  • Jen, S. (s.f.). HITRUST vs. HIPAA. Obtenido de SecurityMetrics: https://www.securitymetrics.com/blog/HITRUST-vs-HIPAA-what-difference-between

  • Rieben, R. (22 de 05 de 2022). Linford & co llp cpa firm. Obtenido de What is HITRUST? A Comprehensive Guide: https://linfordco.com/blog/what-is-hitrust/

  • Schneider Downs. (s.f.). What is HITRUST? Obtenido de Schneider Downs: https://www.schneiderdowns.com/cybersecurity/what-is-hitrust

  • Wheel House IT. (2021, 11 28). What Are The Three Rules of HIPAA? From Wheel House IT: https://www.wheelhouseit.com/what-are-the-three-rules-of-hipaa/



8 visualizaciones0 comentarios

Entradas Recientes

Ver todo

Zero Trust Cybersecurity

Introducción En el mundo digital actual, donde las amenazas en línea son una gran preocupación, los métodos de seguridad tradicionales no siempre son suficientes. Ahí es donde entra en juego la cibers

Comments


bottom of page