HITRUST: Un marco para gobernar a todos

[04/07/2021] HITRUST es un marco de ciberseguridad que pretende unificar las normas de muchos otros marcos normativos y de la industria existentes, como HIPAA, GDPR, PCI-DSS, etc. La idea es que las organizaciones que apliquen HITRUST -una especie de "marco único para gobernar a todos"- habrán hecho todo o casi todo el trabajo necesario para cumplir con una variedad de reglamentos y normas de ciberseguridad.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

El marco es una creación de la HITRUST Alliance. El nombre era originalmente la abreviatura de "Health Information Trust Alliance" y se centraba en la HIPAA y otras normativas similares, pero desde entonces la empresa ha ampliado el marco para abarcar otros sectores, como los servicios financieros y la contratación de defensa. En cualquier segmento de mercado en el que los profesionales de la ciberseguridad se enfrentan a una sopa de letras de normativas o estándares industriales, HITRUST pretende facilitarles la vida. Pero ¿cómo ayuda añadir otro marco a la mezcla?

El marco de HITRUST

Para entender cómo funciona esto, primero tenemos que entender a qué nos referimos cuando hablamos de un marco de seguridad. No se trata de una herramienta de software o un dispositivo de hardware de última generación, sino de un conjunto de políticas y procedimientos destinados a mejorar las estrategias de ciberseguridad de su organización. Hay innumerables marcos disponibles, algunos creados por empresas con fines de lucro, otros por organizaciones de ciberseguridad de la industria y otros por organismos gubernamentales. Esta última categoría será importante para nuestro debate: muchas normativas gubernamentales que afectan a la ciberseguridad tienen en su núcleo marcos prescritos que las empresas deben aplicar para cumplir.

El marco de HITRUST, conocido como HITRUST CSF, trabaja en esta misma línea. Lo que hace especial a HITRUST es que no intenta imponer su propia filosofía de seguridad a los usuarios, sino que consolida en un solo documento múltiples marcos de seguridad de dominio público. Por ejemplo, muchos de estos marcos exigen que todas las contraseñas de una organización tengan ocho caracteres o más; por lo tanto, el HITRUST CSF incluye un requisito de contraseña de ocho caracteres para aquellas organizaciones a las que se aplica ese control. (Dentro de un momento discutiremos con más detalle cómo determinar qué controles HITRUST se aplican a su organización).

HITRUST vs. HIPAA, HITECH, NIST y otros

Entonces, ¿esto significa que, si implementa el HITRUST CSF en su empresa, automáticamente cumple con HIPAA o HITECH o el Marco de Ciberseguridad del NIST? Bueno, no exactamente.

La "Introducción a HITRUST CSF" de HITRUST enumera 44 "principales normas, reglamentos y marcos de seguridad y privacidad" en los que se basa (puede encontrarlos todos bajo el título "HITRUST Authoritative Sources"). Pero para cada una de esas normas, reglamentos y marcos, hay diferentes maneras de demostrar que se han aplicado, y una persona, organización u organismo regulador diferente al que habría que mostrar esa prueba. Por ejemplo, si trabaja para una organización sanitaria, tendrá que demostrarle a un auditor del Departamento de Salud y Servicios Humanos de los Estados Unidos que cumple con la HIPAA. Si acepta pagos con tarjeta de crédito, tendrá que demostrarles a las compañías de tarjetas que ha implantado correctamente la PCI-DSS. Y no puede simplemente mostrarle a un auditor de uno de estos organismos su certificación HITRUST y luego mandarlos de paseo/por donde vinieron.

Pero como el HITRUST CSF incorpora los requisitos de todos estos otros organismos en su propio conjunto de normas, las organizaciones que han obtenido la certificación HITRUST ya han hecho la mayor parte del trabajo de cumplir los requisitos del marco subyacente y el proceso de certificación habrá producido la mayor parte de la documentación que necesita.

"Los auditores pueden hacerle cualquier pregunta en cualquier momento", explica Aaron Zollman, CISO y vicepresidente de implementaciones de la startup de tecnología financiera sanitaria Cedar, que ha guiado a su compañía a través de dos auditorías de HITRUST. "Pero las preguntas que le harán serán muy parecidas a las que le hizo HITRUST. Cuando vayan, le preguntarán: 'De acuerdo con la norma de seguridad de la HIPAA parte 164.308, muéstreme el cumplimiento de la sección 308A1', y usted dirá: 'Lo que voy a hacer es abrir mi libro de HITRUST en la sección 00.a y sacar las pruebas que ya he sacado para eso'. No tiene que rehacer el trabajo. Toma las pruebas que preparó para HITRUST y se las da en respuesta a esa auditoría".

Como puede deducirse de la descripción de Zollman, otros marcos son incorporados al HITRUST CSF creando reglas de HITRUST que se corresponden con reglas de otros marcos. Este proceso se denomina mapeo, y es la mayor parte del trabajo que se realiza para la creación y el mantenimiento del HITRUST CSF. Por ejemplo, el blog de Varonis ofrece algunos detalles sobre los mapeos de HITRUST a NIST que incorporan el Marco de Seguridad de Infraestructuras Críticas de NIST al HITRUST CSF.

Otra cosa importante que hay que tener en cuenta es que, como hemos señalado, muchos de los marcos subyacentes tienen reglas similares o idénticas, que pueden ser asignadas a una única regla de HITRUST CSF. Así, por ejemplo, si hay alguna norma idéntica sobre el manejo de datos en los requisitos de la HIPAA y de la PCI-DSS, una empresa certificada por HITRUST podría aplicar la norma correspondiente del HITRUST CSF y dar un paso más hacia la certificación de la HIPAA y de la PCI-DSS, sin duplicar sus esfuerzos.

Controles y requisitos de HITRUST

Como se puede imaginar, con todos esos marcos subyacentes, el HITRUST CSF es bastante grande y poco manejable. (El PDF de la última versión tiene 548 páginas). Pero no todas las organizaciones aplican todos esos detalles de la misma manera. Para entender cómo funciona, tenemos que definir dos conceptos importantes: controles de HITRUST y requisitos de HITRUST.

Las normas HITRUST se dividen en 19 áreas temáticas de alto nivel, conocidas como dominios de control:

• Programa de Protección de la Información
• Protección de Endpoint
• Seguridad de Medios/Reproductores Portátiles
• Seguridad de los Dispositivos Móviles
• Seguridad Inalámbrica
• Gestión de la Configuración
• Gestión de la Vulnerabilidad
• Protección de la Red
• Protección de la Transmisión
• Gestión de Contraseñas
• Control de Acceso
• Registro y Supervisión de Auditorías
• Educación, Formación y Concienciación
• Garantía de Terceros
• Gestión de Incidentes
• Continuidad del Negocio y Recuperación de Desastres
• Gestión de Riesgos
• Seguridad Física y Ambiental
• Protección de Datos y Privacidad

Cada dominio de control consta de una serie de objetivos de control, que definen metas generales de ciberseguridad, y cada objetivo consta a su vez de controles, que ordenan tareas específicas que el personal de infoseguridad debe realizar.

Por ejemplo, en la versión 9.4 del HITRUST CSF, bajo el paraguas del dominio del Programa de Protección de la Información, se encuentra el objetivo 01.02, "Acceso Autorizado a los Sistemas de Información", que pretende "garantizar que las cuentas de usuario autorizadas sean registradas, rastreadas y validadas periódicamente para evitar el acceso no autorizado a los sistemas de información". Uno de los controles que forma parte de este objetivo es el 01.b, "Registro de Usuarios", que requiere que "exista un procedimiento formal documentado e implementado de registro y cancelación de usuarios para conceder y revocar el acceso."

Los medios más granulares y específicos que el HITRUST CSF establece para lograr los objetivos descritos en controles como estos se denominan requisitos. Es importante destacar que HITRUST CSF, al igual que muchos de sus marcos subyacentes, reconoce que la consecución de un objetivo como el establecido por el control de Registro de Usuarios tendrá un aspecto diferente para organizaciones de distinto tamaño, y sujetas a distintos niveles de riesgo. Es por eso que cada control tiene una serie de niveles de exigencia adaptados a los distintos tipos de organizaciones, con diferentes requisitos para cada uno de ellos. Por ejemplo, en lo que respecta al control del Registro de Usuarios, todas las organizaciones están sujetas a los requisitos del nivel 1, que incluyen la necesidad de mantener un registro formal de todas las personas registradas para utilizar un servicio, y de eliminar o desactivar automáticamente las cuentas que hayan estado inactivas durante un periodo de 60 días o más. Los sistemas sujetos a la normativa bancaria también deben cumplir los requisitos del nivel 2; por ejemplo, en estos sistemas están prohibidas las cuentas y contraseñas grupales, compartidas o genéricas. Las organizaciones que tienen que cumplir la normativa FISMA también tienen que cumplir los requisitos de nivel 3, que exigen que se utilice un token de seguridad o un lector biométrico para autenticar a los usuarios.

El proceso para obtener la certificación de HITRUST comienza con una autoevaluación institucional detallada. Esta tiene la forma de un cuestionario en el que se le pregunta por el tamaño de su organización, su exposición al riesgo y otros factores. Las respuestas determinarán qué controles, qué requisitos y qué niveles de requisitos tendrá que aplicar/implementar.

¿Quién necesita la certificación HITRUST?

Como hemos visto, HITRUST en sí mismo no es un marco exigido por el gobierno. Más bien, le ayuda a implantar de forma más eficiente varios marcos que el gobierno sí exige. Así, aunque HITRUST se utiliza ampliamente en el sector sanitario estadounidense, el departamento de Salud y Servicios Humanos no exige su uso.

Dicho esto, HITRUST CSF se ha convertido en una norma de facto del sector en muchos casos. Por ejemplo, Cedar, la empresa para la que trabaja Aaron Zollman, es, en la jerga de HIPAA, un "asociado comercial", lo que significa que no proporciona directamente servicios a los pacientes, pero sí servicios de apoyo a las organizaciones que lo hacen y, en el proceso, maneja información médica personal de los pacientes. "Los proveedores con los que trabajamos suelen poner en sus contratos que 'debemos tener una evaluación de HITRUST o de un tercero equivalente respecto a la HIPAA y los principios de seguridad'”, comenta.

Auditoría HITRUST

El núcleo del proceso de certificación HITRUST es la auditoría. Las organizaciones que desean obtenerla contratan a un auditor externo autorizado por la HITRUST Alliance. Este auditor comienza con los datos generados por su autoevaluación y luego se sumerge en sus procesos y controles de seguridad en detalle.

Zollman desglosa el proceso: "En el caso de Cedar, estamos sujetos a la HIPAA, tenemos un cierto tamaño y nuestra arquitectura se basa principalmente en la nube", explica. "Tenemos un cierto número de registros por encima de un umbral determinado, y lo que hará HITRUST es decir: 'Genial, el número de controles que tienes que testificar es 297'. Luego, el auditor vendrá durante un período de tres meses y comprobará su entorno, examinando cada uno de esos controles, línea por línea: "Demuéstreme que está haciendo esto. Muéstreme dónde está documentado en la política. Muéstreme cómo lo verifica. Muéstreme la última vez que lo verificó y qué registros de pruebas creó en torno a ello'".

Zollman subraya que este proceso debe consistir en algo más que un auditor revisando una lista. "Hay que desarrollar una relación con el auditor antes de necesitar la auditoría, porque una vez que saque el bolígrafo verde, estará auditando formalmente", explica. "Si la declaración de un requisito es algo así como 'Las contraseñas tienen un mínimo de ocho caracteres', es bastante fácil estar de acuerdo con lo que significa, pero a veces las declaraciones son más difíciles de entender -'El sistema evalúa los riesgos en el borde de la red' o algo así. Entonces tendrá que tener una conversación con sus auditores y decirles algo como lo siguiente: 'Estamos en la nube, pero no hay más caché en este caso'. Es importante que desarrolle una relación con su auditor para tener esas conversaciones antes de que la auditoría comience formalmente para que no haya sorpresas".

Costo de la certificación HITRUST

La certificación HITRUST no es barata. Además del pago a su auditor, tendrá que pagarle directamente a la HITRUST Alliance para que revise los resultados de su auditor. Asimismo, hay varias herramientas y servicios adicionales que HITRUST Alliance le venderá, como un portal web para almacenar sus pruebas de auditoría. Los precios de todo esto variarán en función del tamaño y la complejidad de su organización. El blog de IS Partners estima que los precios pueden oscilar entre 50 mil y 200 mil dólares; el blog de Cloud City cree que las pequeñas organizaciones podrían pagar tan "poco" como 36 mil dólares, pero reconoce que las tarifas pueden ascender a seis cifras para muchas empresas.

Aunque el precio de la etiqueta puede provocar algún sobresalto, hay que tener en cuenta que una certificación HITRUST le permitirá recorrer la mayor parte del camino hacia el cumplimiento de múltiples normas de la industria y reglamentos gubernamentales. Para muchas empresas, es una inversión que merece la pena.

Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú

Puede ver también:

• 8 preguntas sobre PCI DSS que todo CISO debería poder responder
• 7 pasos para mejorar la seguridad de la IoT
• 8 startups de ciberseguridad a tener en cuenta
• Cifrado de archivos: Comparación de los 3 mejores programas
• PCI DSS: Requisitos, multas y pasos para el cumplimiento
• GDPR: 14 herramientas para evaluar, implementar y mantener su cumplimiento