Asegurar la tríada de información de salud HIPAA vs HITRUST

Odalys Vaquez
September 20, 2022
4
min
Asegurar la tríada de información de salud HIPAA vs HITRUST
Kath, Heath. “HIPAA VS HITRUST”. GoAnywhere, 13 de abril de 2022, https://www.goanywhere.com/blog/hipaa-vs-hitrust-the-key-differencesHeath. Consultado el 20 de septiembre de 2022.


A la hora de mantener la seguridad de la información de los usuarios y demostrar que los datos personales se están utilizando de manera adecuada, es importante revisar qué estándares lo hacen posible, es decir, cuáles son los lineamientos que ayudan y aseguran que la información será utilizada únicamente con el consentimiento del usuario y de manera adecuada, ya que puede resultar algo complicado reparar el daño causado por el mal uso y/o filtración de la misma.

Es por ello que al buscar cumplir con lo anterior, es necesario abarcar todos los aspectos importantes que salvaguarden la identidad de los usuarios. No obstante, al comparar o querer elegir entre HIPAA e HITRUST, no es una comparación del todo válida, ya que ambos términos definen algo diferente, sino con un objetivo común.

¿Qué es HIPAA?

Algo a lo que los gobiernos se han dado a la tarea de agregarlo a sus agendas. En este caso, estamos hablando de la Ley de Portabilidad y Rendición de Cuentas de Seguros de Salud (HIPAA), una ley estadounidense, propuesta en 1996, que definía los requisitos que deben cumplir las instituciones que manejan datos de salud, ya sean proveedores de planes de salud, de atención de salud y socios, para proteger la información del paciente. Se ha modificado a lo largo de los años, agregando información que se maneja de manera electrónica y en caso de que exista una fuga de esta, notificando de inmediato a los individuos afectados, así como al Departamento de Salud y Servicios Humanos de Estados Unidos (HSS) y a los medios de comunicación. (Asociación Médica Americana, s.f.)

Una vez definidos los requisitos para proteger la información del paciente, utilizando las herramientas administrativas, físicas y técnicas necesarias, las organizaciones son responsables de cumplir con esta ley para evitar violaciones de datos y/o ciberataques. (Jen, s.f.)

No obstante, la ley incluye tres reglas para proteger la información del paciente, siendo: (Digital Health Folio 3, 2021)

  • La Regla de Privacidad, estándares que establecen cómo y cuándo usar la información del paciente.
  • La Regla de Seguridad, estándares que las organizaciones deben cubrir para proteger la información del paciente.
  • La Regla de Notificación de Incumplidos/Fugas, un requisito para que las organizaciones notifiquen a los usuarios afectados.

El incumplimiento de las tres reglas HIPAA, o cualquier violación de la seguridad de los sistemas electrónicos, ya sea llamado acceso no autorizado a registros, como historial médico o información personal, puede resultar en sanciones civiles e incluso penales, pérdida de reputación para los profesionales y organizaciones de la salud, incluida la pérdida de empleo para los empleados involucrados. (Wheel House IT, 2021)

HIPAA requiere que se realicen auditorías anuales revisando los requerimientos, sin embargo, no proporciona ningún marco oficial o metodología para verificar el cumplimiento. Para que las organizaciones lo demuestren, existen varios marcos recomendados que administran datos de salud o Información Protegida de Salud (PHI), en el que nos estaremos enfocando es el Marco Común de Seguridad, HITRUST CSF.

¿Qué es HITRUST?

Es un marco de seguridad y privacidad que ayuda a las organizaciones a certificar el cumplimiento de HIPAA, entre otros requerimientos. Es la única certificación oficial que valida el cumplimiento de la ley en cuestión, así como de otras normas, ISO 27001, HITECH, EU GDPR, PCI-DSS, NIST 800-53, entre otras. (Jen, s.f.)

HITRUST consta de 14 categorías de Control, 19 Dominios, 49 Objetivos de Control, 156 Referencias de Control y tres niveles de implementación. (Datica, s.f.)

¿Cómo elegir entre HITRUST e HIPAA?

Figura 1. Diferencias y similitudes entre HIPAA e HITRUST (Digital Authority Partners, s.f.)

¿Es HITRUST la mejor opción para demostrar el cumplimiento de HIPAA?

HITRUST puede ser algo estricto y requerir un alto grado de recursos para asegurar su certificación, [CR1] sin embargo, por su naturaleza de incluir múltiples requisitos en uno, es la mejor opción para demostrar que existen controles que ayudan a proteger la información del paciente, de igual manera, la duración de esta certificación es de 2 años, en comparación con otras normas, y es mundialmente reconocida por proporcionar controles adecuados que ayuden a la regulación y protección de datos. (Rieben, 2022)

Este proceso de certificación se refiere a la estandarización de los requerimientos de seguridad de diferentes marcos de seguridad de la información. Facilita la entrega de múltiples informes de cumplimiento basados en una sola evaluación, la cual consiste en una evaluación que incluye la revisión de las políticas y procedimientos implementados, moderados y administrados, junto con un plan de acción correctiva basado en la evaluación de estos. (Salud intraprisa, 2022)

Es de mencionar que la certificación HITRUST considera el nivel de aseguramiento basado en el nivel de esfuerzo asociado a la evaluación, resultando en lo siguiente (Rieben, 2022):

  • HITRUST Básico: es el nivel más elemental y se enfoca en “buena higiene”, que simplemente realiza una validación para identificar errores y/ u omisiones, sin embargo, no proporciona ningún tipo de certificación.
  • HITRUST implementó la certificación (i1) +: es una evaluación no personalizada que se enfoca en las “mejores prácticas” así como la adaptación a amenazas, la cual tiene una vigencia de un año, requiere de un esfuerzo moderado.
  • Evaluación basada en riesgos HITRUST (r2) + certificación: esto requiere el máximo esfuerzo y proporciona una evaluación personalizada que se enfoca en escenarios de alto riesgo donde se requiere un alto nivel de seguridad.

Por ello, aunque no existe comparación como tal, es necesario entender ambos conceptos para implementar correctamente el marco adecuado para estar en cumplimiento de las leyes que regulan la protección de datos, en este caso de los pacientes.

Odalys Váquez

Ingeniero de Seguridad Junior

Referencias

  • Asociación Médica Americana. (s.f.). Reglas de seguridad HIPAA y análisis de riesgos. Obtenido de AMA: https://www.ama-assn.org/practice-management/hipaa/hipaa-security-rule-risk-analysis
  • Datica. (s.f.). Datica. Obtenido de ¿Cuáles son los requisitos de HITRUST? : https://datica.com/blog/what-are-hitrust-requirements
  • Asociados de Negocios de Autoridad Digital. (s.f.). Pautas de certificación HITRUST. Obtenido de Digital Autority: https://www.digitalauthority.me/resources/hitrust-certification-guideline/
  • Salud Digital Folio 3. (2021, 09 28). 3 cosas principales abordadas en la ley HIPAA. Del Folio 3 de Salud Digital: https://digitalhealth.folio3.com/blog/what-are-3-major-things-addressed-in-the-hipaa-law/
  • Salud intraprisa. (2022). Los Beneficios de la Certificación HITRUST. De Intraprise Health: https://intraprisehealth.com/what-is-hitrust-and-how-can-it-benefit-your-organization/
  • Jen, S. (s.f.). HITRUST contra HIPAA. Obtenido de SecurityMetrics: https://www.securitymetrics.com/blog/HITRUST-vs-HIPAA-what-difference-between
  • Rieben, R. (22 de 05 de 2022). Linford & Co llp firma de abogados. Obtenido de ¿Qué es HITRUST? Una guía completa: https://linfordco.com/blog/what-is-hitrust/
  • Schneider Downs. (s.f.). ¿Qué es HITRUST? Obtenido de Schneider Downs: https://www.schneiderdowns.com/cybersecurity/what-is-hitrust
  • Wheel House IT. (2021, 11 28). ¿Cuáles son las tres reglas de HIPAA? Desde Wheel House IT: https://www.wheelhouseit.com/what-are-the-three-rules-of-hipaa/

Share this post

More blog posts

Data Broker y Privacidad de Datos
Adiel Lizama
April 29, 2024

Data Broker y Privacidad de Datos

Al navegar por Internet, todo lo que hacemos genera información, desde los videos que nos gustan, las canciones que escuchamos, las páginas que visitamos, hasta las transacciones que hacemos.
NORMA ISO 27001:2022 — Una nueva versión en ciberseguridad
Odalys Vasquez
February 20, 2023

NORMA ISO 27001:2022 — Una nueva versión en ciberseguridad

ISO 27001 es el estándar internacional de seguridad de la información que ayuda a las organizaciones, sin importar su categoría o tamaño, a administrar la seguridad.
Impulsar la seguridad de las aplicaciones: DAST frente a SAST frente a IAST frente a RASP
Jacobo Arzaga
August 29, 2023

Impulsar la seguridad de las aplicaciones: DAST frente a SAST frente a IAST frente a RASP

En el mundo tecnológico actual, la seguridad ha tomado protagonismo y ha tenido un impacto significativo en la forma en que las empresas desarrollaron sus aplicaciones, debido al auge y evolución en el panorama de ciberataques.
Back to blog