Въведение
Какво е HECVAT? Въпреки че може да звучи като една от онези думи, които не можете да произнесете в часовете по немски в гимназията, HECVAT всъщност е американски акроним, който е свързан с информационната сигурност във висшето образование.
Повече от 150 частни и публични университета в цялата страна — включително Карнеги Мелън, Принстън и Райс — използват HECVAT като начин за оценка на риска на доставчика.
Но има повече за HECVAT, отколкото можем да обобщим в един параграф, поради което създадохме тази подробна статия. Продължете да четете, за да научите повече за HECVAT и неговите инструменти за оценка в разделите по-долу.
Какво е HECVAT?
HECVAT означава инструментариум за оценка на доставчиците на общността за висше образование. Съветът за информационна сигурност на висшето образование (HEISC) го създаде в сътрудничество с консорциума за компютърни мрежи Internet2 и алианса за киберсигурност REN-ISAC.
HECVAT е набор от инструменти, които са предназначени да помогнат на институциите за висше образование да измерват риска на доставчика по отношение на информационната сигурност. Като част от процеса на оценка на доставчиците, колежите и университетите могат да поискат от доставчиците да попълнят един от няколко въпросника на HECVAT, за да потвърдят, че са въведени достатъчно информация и политики за киберсигурност за защита на чувствителната информация на институциите и лична идентифицираща информация (ЛИИ) на студенти, персонал и други заинтересовани страни.
Относно HECVAT сътрудниците
Въпросниците HECVAT са надеждни инструменти за оценка, тъй като три експертни екипа за информационни мрежи и сигурност са ги разработили съвместно:
- HEISC. Established in 2000, HEISC is a team of information security and privacy professionals dedicated to helping higher education institutions improve information security governance, compliance, and data protection.
- Internet2. Formally titled the University Corporation for Advanced Internet Development (UCAID), Internet2 is a nonprofit consortium that includes higher education and research institutions, government entities, corporations, and cultural organizations. Its purpose is to provide a “secure high-speed network, cloud solutions, research support, and services tailored for research and education.”
- REN-ISAC. The Research and Education Networks Information Sharing and Analysis Center is an international alliance that provides cybersecurity news reports, alerts, and advisories, along with analysis of cybersecurity threats and mitigation solutions. The alliance has over 700 member institutions.
Защо HECVAT е важен?
According to a 2022 survey by cybersecurity firm Sophos, 64 percent of higher ed institutions experienced at least one ransomware attack in 2021, up from 44 percent in 2020. A staggering 74 percent of these attacks were successful. Compare this success rate to the global average of 65 percent.
Рансомуеър атаките имат съществено въздействие върху организациите, особено тези във висшето образование. Проучването на Sophos отбелязва, че почти всички (97 процента) от респонденти с по-високо образование в публичния сектор заявяват, че атака е повлияла на способността им да работят, докато 96 процента от респондентите с по-високо образование в частния сектор казват, че атака е причинила загуба на работа или загуба на оборот за тяхната институция.
Защо тези институции са толкова привлекателна цел за лоши герои? Помислете за следните фактори:
- Те имат тонове данни. Колежите поддържат много лични данни за студенти и преподаватели, да не говорим за изследователски данни от правителствени агенции и академични партньори.
- Техните мрежи са по-податливи на атаки. По-големите, утвърдени университети са склонни да поддържат наследени системи, които често имат повече уязвимости от съвременните системи. В допълнение, многобройните лични и кампусни устройства и софтуер, които се свързват с тези системи, предоставят много възможности за атаки, особено ако хората, които ги използват, дават предимство на удобството пред безопасността.
- Те имат ограничени бюджети. Публичните и частните институции често имат ограничени бюджети; те също са склонни да отделят финансови ресурси за по-видими, маркетируеми отдели - като лека атлетика - над ИТ и киберсигурността.
При такива обезпокоителни тенденции в киберсигурността и целевите фактори по-горе, не е чудно защо метод за сигурност, като HECVAT е необходим във висшето образование. Този набор от инструменти позволява на колежите да спестят време, да стандартизират тяхната оценка на риска на доставчиците и да гарантират, че тези доставчици са подходящо оценени в областта на сигурността и поверителността.
4 инструмента HECVAT
Пакетът от инструменти HECVAT включва четири въпросника, които позволяват на институциите за висше образование да приемат, имплементират и поддържат последователна програма за оценка на риска и сигурността. Всеки въпросник представлява различно ниво на строгост и първия всъщност е предназначен за вътрешна употреба.
Забележка: Всички текущи версии на тези инструменти са налични като Ексел файлове за изтегляне в уеб страницата на EDUCAUSE за HECVAT.
1. HECVAT — Триаж
За разлика от инструментите Пълен, Лайт и На място, за които ще научите по-долу, инструмента Триаж не е предназначен за завършване от доставчици — това е често срещано недоразумение на тези, които не са запознати с HECVAT. Вместо това този инструмент е предназначен за вътрешни „заявители“, като отдели и отделни преподаватели, които искат да споделят институционални данни с доставчик или софтуерно решение на трета страна.
Чрез този инструмент заявителят документира и обобщава своето намерение за споделяне на данни, обхват, елементи и технологични изисквания чрез около 35 въпроса в шест категории като случаи на употреба, доставка и институционална технология. Попълването на въпросника е предпоставка за ИТ да инициира оценка на риска и сигурността и използването на другите инструменти за оценка на доставчиците.
Ето няколко примерни въпроса:
- Предоставете общо резюме на вашия отдел и бизнес сферата, която ще включва данни за жилищна институция, като използвате софтуера/услугата на трета страна и/или поискате интеграция с ентерпрайз система(и) на институцията.
- Консултирали ли сте се със специалистите по обществени поръчки на институцията относно това искане за оценка?
- Опишете ИТ отговорностите на институцията в подкрепа на този софтуер/услуга на трета страна, приложение на отдел или интеграция с ентерпрайз система.
2. HECVAT — Пълен
Създаден да оценява най-критичните ангажименти за споделяне на данни, "пълния" инструмент иска от доставчиците отговори на над 250 въпроса относно техните практики в над 20 категории, като HIPAA, сканиране на уязвимости, документация и възстановяване след аварии.
Ето няколко примерни въпроса за "пълния" инструмент:
- Членовете на вашата работна сила получават ли редовно обучение, което е свързано с правилата за поверителност и сигурност на HIPAA и Закона за HITECH?
- Завършена ли е оценка на сигурността на вашите системи и приложения от трети страни през последната година?
- Подлагали ли сте се на одит за SSAE 18/SOC 2?
- Вашата организация има ли сайт за възстановяване след авария или договор с доставчик за възстановяване след авария?
3. HECVAT — Лайт
Тази съкратена версия на пълния инструмент се използва за ускоряване на процеса на оценка на доставчика, като същевременно се обръща внимание на ключови проблеми със сигурността. Доставчиците завършват Лайт инструмента, който включва около 100 въпроса в 12 категории, като ИТ достъпност, управление на системи, център за данни и обработка на инциденти. Категории като HIPAA и сканиране на уязвимости, които са включени в Пълния инструмент, не са част от този инструмент.
Ето няколко примерни въпроса от Лайт инструмента:
- Експерт на трета страна извършил ли е проверка на достъпността на най-новата версия на вашия продукт?
- Институцията ще бъде ли уведомена за големи промени във вашата среда, които биха могли да повлияят на състоянието на сигурността на институцията?
- Вашата компания управлява ли физическия център за данни, където ще се намират данните на институцията?
- Имате ли способността да реагирате на инциденти на база 24 x 7 x 365?
4. HECVAT — На място
Подобно на инструментите "Пълен" и "Лайт", доставчиците завършват инструмента "На място", който оценява техния риск. Въпросникът обаче е по-кратък от тези в другите инструменти и е пригоден за локални решения. Инструментът включва 70 въпроса в 10 категории, като база данни, политики и защитни стени.
Ето няколко примерни въпроса от инструмента "на място":
- Базата данни поддържа ли криптиране на определени елементи от данни в хранилището?
- Вградени ли са принципите за информационна сигурност в жизнения цикъл на продукта?
- Използвате ли базирано на хост откриване на проникване?
Допълнителни HECVAT ресурси
HECVAT предлага два други ресурса за висши учебни заведения в допълнение към въпросниците:
- Community Broker Index (CBI). The CBI provides a consistently updated list of vendors willing to share their completed HECVAT assessments. Higher ed institutions can refer to this list to save time in determining risk-suitable vendor solutions.
- Потребителска общностна група. Тази група предоставя на висшите учебни заведения форум за споделяне на информация, най-добри практики и стратегии за използване на HECVAT.
Как можете да използвате HECVAT-адаптивен инструмент за събиране на данни във вашия кампус?
Jotform Ентерпрайз е мощен, лесен за използване инструмент за събиране на данни за преподаватели и администратори в големи университети и начални училища. Също така е посочен в Индекса за брокер на общността на HECVAT, което означава, че вие можете да получите достъп до неговите вече завършени HECVAT оценки и да спестите време за оценка на риска.
Как Jotform може да работи за вас?
- Teachers can use Jotform to manage their classrooms by designing online tests, collecting homework assignments, or asking parents to sign permission slips.
- Administrators can use Jotform to handle operational tasks such as building surveys to measure student or teacher satisfaction or accepting online payments for fees and alumni donations.
Jotform offers nearly 2,000 education form templates ranging from teacher evaluations and academic performance questionnaires to scholarship applications. You can build forms in just a few minutes.
Висшите учебни заведения могат да се възползват от няколко други ключови функции в допълнение към формите:
- Достъпност. Формите на Jotform са ниво A и ниво AA съвместими със стандартите WCAG 2.1, така че вие можете да създавате форми, които са Секция 508-адаптивни.
- Подписваемост. Събирайте е-подписи от ученици, родители, служители и други ключови заинтересовани страни, използвайки Jotform Подписи. Автоматизирайте процеса на подписване, за да гарантирате, че всички заинтересовани страни виждат и подписват вашия документ в правилния ред.
- Сигурност. Вашите данни се съхраняват в местен център за пребиваване на данни с добавено SOC 2 съответствие. Вие можете също да изберете функциите за HIPAA, ако вашия кампус събира чувствителна здравна информация от студенти или преподаватели.
Уверете се, че вашия кампус е на път към успеха с HECVAT-адаптивно, достъпно решение — образователните институции отговарят на условията за значителна отстъпка! Започнете с форма за събиране на образователни данни днес.