HITRUST® focará em lacunas de mercado em confiabilidade e desafios na troca de avaliações de segurança e privacidade

Expande portfólio de avaliação e apresenta sistema de distribuição de resultados

FRISCO, Texas--()--A HITRUST® anunciou hoje uma importante expansão do seu portfólio de avaliação para elevar a qualidade e eficiência de garantias no espectro de necessidades de garantia de informações. A HITRUST também está lançando uma nova abordagem evolutiva para simplificar a troca e o consumo de resultados de avaliação no ecossistema de partes confiantes.

“Para que sistemas de gerenciamento de risco de terceiros alcancem todo seu potencial ajudando organizações a gerenciar seu risco de fornecedor, os resultados de avaliação precisam ser compartilhados e consumidos eletronicamente”

A Certificação HITRUST CSF é o relatório de garantia de informações mais confiável do mercado e é possibilitada pela transparência e consistência na seleção de controles, e na pontuação e validação de controle por avaliadores terceirizados e pelas equipes de garantia e qualidade da HITRUST. O processo de garantia é rigoroso no seu projeto para assegurar um alto nível de garantia nos resultados fornecidos. Entretanto, existem várias situações em que um nível baixo ou moderado de garantia é assegurado. Organizações estão buscando uma ampla gama de opções de avaliação que requerem menos esforço e tempo para ser realizada, fornecendo ao mesmo tempo um nível proporcional de confiabilidade para cenários de risco moderado a baixo.

Para atender às necessidades do mercado por diversos níveis de garantia com maior confiabilidade, a HITRUST está adicionando duas novas ofertas de avaliação. Como a avaliação validada HITRUST CSF, essas novas ofertas ajudarão no entendimento da eficácia do controle, como também da preparação e resiliência cibernética. Com essas duas novas adições, o portfólio de avaliação da HITRUST incluirá:

  • A avaliação de estado atual básico (bC), uma avaliação de “boa higiene” que oferece maior confiabilidade que autoavaliações e questionários, utilizando a HITRUST Assurance Intelligence Engine™ (mecanismo de IA) para identificar erros, omissões e fraude.
  • A avaliação validada implementada de um ano (i1), uma avaliação de “melhores práticas” e recomendada para situações que apresentam risco moderado ou onde uma avaliação de risco inicial é necessária. A i1 tem como finalidade fornecer níveis mais altos de transparência, integridade e confiabilidade em relação a relatórios de garantia moderada existentes, com níveis comparáveis de tempo, esforço e custo. Avaliadores externos autorizados da HITRUST validarão as avaliações i1.
  • A avaliação validada HITRUST CSF padrão do setor é uma avaliação baseada em risco e adaptável, que continua fornecendo o mais alto nível de garantia para situações com maior risco de exposição devido ao volume de dados, conformidade regulatória ou outros fatores de risco. A avaliação validada HITRUST CSF será renomeada como avaliação validada de dois anos, baseada em risco (r2).

Até hoje, a maioria dos mecanismos de avaliação de risco baixo a moderado são auto-atestados ou validados contra seleção de controle inadequada ou inconsistente e programas de garantia limitada e subjetiva; o que os tornam difíceis para as partes confiantes entenderem os requisitos de controle e profundidade, amplitude e consistência do processo de garantia, limitando a utilidade e a confiabilidade dos resultados.

“Geralmente, as organizações utilizam relatórios de garantia de nível médio, como um relatório SOC 2, porque esses demandam menos tempo e esforço e são menos dispendiosos. Infelizmente, esses relatórios de garantia de nível médio não possuem a consistência e a confiabilidade de avaliações mais abrangentes como a HITRUST”, afirmou John Houston, vice-presidente de privacidade de segurança da informação da UPMC. “A avaliação HITRUST i1 preenche uma lacuna no mercado para uma avaliação de garantia média que entrega um nível mais alto de confiabilidade e consistência, ao mesmo tempo que possui um esforço e custo similares ao de um relatório SOC 2. E ela pode ajudar a organização a avançar em direção à Certificação HITRUST CSF completa — que organizações como a UPMC veem como o padrão de ouro.”

Embora a confiabilidade seja essencial para garantia, a acessibilidade, usabilidade e o consumo dos resultados têm a mesma importância se as organizações desejarem gerenciar os riscos da cadeia de suprimentos devido às ameaças cibernéticas em evolução. O método atual de obter e consumir resultados de avaliação pela parte confiante geralmente resulta em atrasos, ineficiências e interpretações equivocadas, já que ele é baseado na troca de arquivos PDF que são analisados para determinar o escopo, pontuação e planos de ação corretiva antes que informações-chave sejam geralmente inseridas manualmente em um sistema de gerenciamento de risco terceirizado (third-party risk management, TPRM).

Para atender à crescente demanda por gerenciamento de risco de informações eficaz em toda a cadeia de suprimentos, o sistema de distribuição de resultados (Results Distribution System, RDS) HITRUST permitirá que entidades avaliadas entreguem seus resultados de avaliação HITRUST através de um hub de relatório seguro e centralizado para as partes confiantes, eliminando a necessidade de trocas de PDFs e a análise e entrada manual em sistemas de terceiros que ocorrem posteriormente. Os destinatários poderão personalizar painéis para visualizar os resultados que mais interessam, incluindo escopo, agregação ou pontuações de controle específicas. Além disso, a integração com plataformas GRC/VRM estará disponível através de API.

“Para que sistemas de gerenciamento de risco de terceiros alcancem todo seu potencial ajudando organizações a gerenciar seu risco de fornecedor, os resultados de avaliação precisam ser compartilhados e consumidos eletronicamente”, disse Jeremy Fisher, vice-presidente de produto na Archer. “O sistema de distribuição de resultados da HITRUST é um grande passo para tornar isso possível e será um robusto complemento ao nosso foco na interação do fornecedor através do Archer Engage.”

A expansão do portfólio de avaliação HITRUST e a adição do RDS incrementam ainda mais a posição da HITRUST como uma inovadora e líder em gerenciamento de risco de informações, conformidade e garantia. A HITRUST continua impulsionando garantias mais altas e melhores eficiências no ecossistema de garantia. “A HITRUST usufrui da nossa liderança de mercado fornecendo garantias confiáveis introduzindo produtos de garantia de informações de nível baixo e moderado”, disse Bimal Sheth, vice-presidente executivo de desenvolvimento de padrões operações de garantia da HITRUST. “Nenhuma outra organização de avaliação ou certificação é capaz de atender as necessidades em expansão do mercado global por avaliações de informações e distribuição eletrônica de resultados.”

A avaliação padrão do setor r2 (avaliação validada HITRUST CSF) já está disponível, enquanto as avaliações bC e i1 serão comercializadas ainda neste ano. Qualquer avaliação i1 ou r2 submetida com uma reserva é apoiada por uma garantia de nível de serviço para entregar o relatório de avaliação no prazo de 45 dias.

Para saber mais:

Inscreva-se no webinar

Portfólio de avaliação expandido

Sistema de distribuição de resultados

Sobre a HITRUST®

Desde sua fundação em 2007, a HITRUST defende programas que protegem informações confidenciais e gerenciam o risco de informações para organizações em todos os setores e em toda a cadeia de suprimentos terceirizada. Colaborando com líderes em privacidade, segurança da informação e gerenciamento de risco dos setores público e privado, a HITRUST desenvolve, mantém e fornece amplo acesso às suas estruturas de gerenciamento de conformidade e risco comuns amplamente adotadas, além de metodologias de avaliação e garantia relacionadas. Para mais informações, acesse www.hitrustalliance.net.

O texto no idioma original deste anúncio é a versão oficial autorizada. As traduções são fornecidas apenas como uma facilidade e devem se referir ao texto no idioma original, que é a única versão do texto que tem efeito legal.

Contacts

Contato com a mídia: Marc Fitzpatrick, e-mail: marc.fitzpatrick@hitrustalliance.net, tel.: 469.269.1230