Introduzione
Che cos'è l'HECVAT? Anche se può sembrare una parole impronunciabile, HECVAT è in realtà un acronimo americano correlato alla sicurezza delle informazioni nell'istruzione superiore.
Più di 150 università pubbliche e private in tutto il paese, tra cui Carnegie Mellon, Princeton e Rice, utilizzano l’HECVAT come metodo per valutare il rischio del fornitore.
Ma l’HECVAT è molto più di quanto possiamo riassumere in un singolo paragrafo, ecco perché abbiamo creato questo articolo dettagliato. Continua a leggere per saperne di più sull'HECVAT e sui suoi strumenti di valutazione nelle sezioni seguenti.
Che cos'è l'HECVAT?
HECVAT sta per Higher Education Community Vendor Assessment Toolkit. L'Higher Education Information Security Council (HEISC) lo ha creato in collaborazione con il consorzio di reti di computer Internet2 e l'alleanza per la sicurezza informatica REN-ISAC.
HECVAT è costituito da una serie di strumenti progettati per aiutare gli istituti di istruzione superiore a misurare il rischio dei fornitori in relazione alla sicurezza delle informazioni. Come parte del processo di valutazione dei fornitori, college e università possono chiedere ai fornitori di compilare uno dei vari questionari HECVAT per confermare che sono in atto sufficienti policy di sicurezza informatica e di informazione per proteggere le informazioni sensibili degli istituti e le informazioni di identificazione personale (PII) di studenti, personale e altre parti interessate.
Informazioni sui collaboratori di HECVAT
I questionari HECVAT sono strumenti di valutazione affidabili perché tre team di esperti in reti e sicurezza li hanno sviluppati in modo cooperativo:
- HEISC. Fondato nel 2000, HEISC è un team di professionisti della sicurezza informatica e della privacy che si dedica ad aiutare gli istituti di istruzione superiore a migliorare la governance della sicurezza informatica, la conformità e la protezione dei dati.
- Internet2. Formalmente denominata University Corporation for Advanced Internet Development (UCAID), Internet2 è un consorzio senza scopo di lucro che comprende istituti di istruzione superiore e di ricerca, enti governativi, aziende e organizzazioni culturali. Il suo scopo è quello di fornire una "rete sicura ad alta velocità, soluzioni cloud, supporto alla ricerca e servizi su misura per la ricerca e l'istruzione".
- REN-ISAC. Il Research and Education Networks Information Sharing and Analysis Center è un'alleanza internazionale che fornisce report di notizie, avvisi e consulenze sulla sicurezza informatica, insieme ad analisi delle minacce alla sicurezza informatica e soluzioni di mitigazione. L'alleanza conta oltre 700 istituzioni membri.
Perché l’HECVAT è importante?
Secondo un sondaggio del 2022 condotto dall'azienda di sicurezza informatica Sophos, il 64 percento degli istituti di istruzione superiore ha subito almeno un attacco ransomware nel 2021, rispetto al 44 percento del 2020. Un sorprendente 74 percento di questi attacchi ha avuto successo. Confronta questo tasso di successo con la media globale del 65 percento.
Gli attacchi ransomware hanno un impatto materiale sulle organizzazioni, in particolare quelle del settore dell’istruzione superiore. L'indagine Sophos rileva che quasi tutti (97%) gli intervistati del settore pubblico hanno affermato che un attacco ha influito sulla loro capacità di operare, mentre il 96% degli intervistati del settore privato ha affermato che un attacco ha causato una perdita economica.
Perché queste istituzioni rappresentano un obiettivo così attraente per i cybercriminali? Considera questi fattori:
- Hanno tonnellate di dati. I college conservano una grande quantità di dati personali su studenti e docenti, per non parlare dei dati di ricerca di agenzie governative e partner accademici.
- Le loro reti sono più suscettibili agli attacchi. Le università più grandi e consolidate tendono a mantenere sistemi legacy che spesso presentano più vulnerabilità rispetto ai sistemi moderni. Inoltre, i numerosi dispositivi e software personali e universitari che si collegano a questi sistemi presentano molte opportunità di attacchi, soprattutto se le persone che li utilizzano danno priorità alla comodità rispetto alla sicurezza.
- Hanno budget limitati. Sia le istituzioni pubbliche che quelle private spesso hanno budget limitati; tendono anche ad allocare risorse finanziarie a dipartimenti più visibili e commerciabili – come l’atletica – rispetto all’IT e alla sicurezza informatica.
Con tendenze così preoccupanti in materia di sicurezza informatica e i fattori target di cui sopra, non c’è da meravigliarsi perché un metodo di sicurezza come HECVAT sia necessario nell’istruzione superiore. Questo toolkit consente alle università di risparmiare tempo, standardizzare la valutazione del rischio dei fornitori e garantire che tali fornitori siano adeguatamente valutati nelle aree di sicurezza e privacy.
4 Strumenti HECVAT
La suite di strumenti HECVAT comprende quattro questionari che consentono agli istituti di istruzione superiore di adottare, implementare e mantenere un programma coerente di valutazione del rischio e della sicurezza. Ogni questionario rappresenta un diverso livello di rigore e uno è in realtà destinato ad uso interno.
Nota: Tutte le versioni correnti di questi strumenti sono disponibili come file Excel scaricabili sulla pagina EDUCAUSE HECVAT.
1. HECVAT — Triage
A differenza degli strumenti Completo, Lite e On-Premise che imparerai di seguito, lo strumento Triage non è pensato per essere completato dai fornitori: questo è un malinteso comune di coloro che non hanno familiarità con HECVAT. Invece, questo strumento è pensato per i “richiedenti” interni, come dipartimenti e singoli docenti che desiderano condividere dati istituzionali con un fornitore di terze parti o una soluzione software.
Attraverso questo strumento, il richiedente documenta e riassume l'intento, l'ambito, gli elementi e i requisiti tecnologici di condivisione dei dati attraverso circa 35 domande in sei categorie come caso d'uso, appalti e tecnologia dell'istituto. Il completamento del questionario è un prerequisito affinché l'IT possa avviare una valutazione del rischio e della sicurezza e utilizzare gli altri strumenti per valutare i fornitori.
Ecco alcune domande di esempio:
- Fornisci un riepilogo generale del tuo dipartimento e dell'area di business che ospiterà i dati dell'istituto, utilizzando il software/servizio di terze parti e/o richiedendo l'integrazione con i sistemi aziendali di un istituto.
- Ti sei consultato con i professionisti degli appalti dell’istituzione in merito a questa richiesta di valutazione?
- Descrivere le responsabilità IT dell'istituzione a supporto di questo software/servizio di terze parti, applicazione dipartimentale o integrazione con un sistema aziendale.
2. HECVAT — Full
Progettato per valutare gli impegni di condivisione dei dati più critici, lo strumento completo chiede ai fornitori risposte a oltre 250 domande sulle loro pratiche in oltre 20 categorie, come HIPAA, scansione delle vulnerabilità, documentazione e ripristino di emergenza.
Ecco alcune domande di esempio per lo strumento completo:
- I membri della tua forza lavoro ricevono una formazione regolare relativa alle norme sulla privacy e sicurezza HIPAA e alla legge HITECH?
- I vostri sistemi e le vostre applicazioni sono stati sottoposti a una valutazione della sicurezza di terze parti nell'ultimo anno?
- Sei stato sottoposto a un audit SSAE 18/SOC 2?
- La tua organizzazione dispone di un sito di ripristino di emergenza o di un fornitore di ripristino di emergenza a contratto?
3. HECVAT — Lite
Questa versione ridotta dello strumento completo viene utilizzata per accelerare il processo di valutazione del fornitore, affrontando al tempo stesso i principali problemi di sicurezza. I fornitori completano lo strumento Lite, che comprende circa 100 domande in 12 categorie, come accessibilità IT, gestione dei sistemi, data center e gestione degli incidenti. Categorie come HIPAA e scansione delle vulnerabilità, incluse nello strumento completo, non fanno parte di questo strumento.
Ecco alcune domande di esempio dello strumento Lite:
- Un esperto di terze parti ha condotto un controllo di accessibilità della versione più recente del tuo prodotto?
- L’istituto verrà informato di importanti cambiamenti nel tuo ambiente che potrebbero avere un impatto sulla posizione di sicurezza dell’istituto?
- La tua azienda gestisce il data center fisico in cui risiederanno i dati dell’istituzione?
- Hai la capacità di rispondere agli incidenti 24 ore su 24, 7 giorni su 7, 365 giorni all'anno?
4. HECVAT — On-Premise
Come gli strumenti Full e Lite, i fornitori completano lo strumento On-Premise, che valuta il rischio. Il questionario è tuttavia più breve di quelli degli altri strumenti ed è adattato alle soluzioni on-premise. Lo strumento include 70 domande in 10 categorie, come database, policy e firewall.
Ecco alcune domande di esempio dallo strumento On-Premise:
- Il database supporta la crittografia degli elementi di dati specificati nell'archivio?
- I principi di sicurezza delle informazioni sono integrati nel ciclo di vita del prodotto?
- Utilizzi il rilevamento delle intrusioni basato su host?
Risorse HECVAT aggiuntive
HECVAT offre altre due risorse per gli istituti di istruzione superiore oltre ai questionari:
- Community Broker Index (CBI). Il CBI fornisce un elenco costantemente aggiornato di fornitori disposti a condividere le proprie valutazioni HECVAT completate. Gli istituti di istruzione superiore possono fare riferimento a questo elenco per risparmiare tempo nella determinazione di soluzioni di fornitori idonei.
- Gruppo della comunità degli utenti. Questo gruppo fornisce agli istituti di istruzione superiore un forum per condividere informazioni, best practice e strategie per l'utilizzo di HECVAT.
Come puoi utilizzare uno strumento di raccolta dati compatibile con HECVAT nel tuo campus?
Jotform Enterprise è uno strumento di raccolta dati potente e facile da usare per educatori e amministratori di importanti università e scuole elementari. È anche elencato nel Community Broker Index di HECVAT, il che significa che puoi accedere alle sue valutazioni HECVAT già completate e risparmiare tempo nella valutazione del rischio.
Cosa può fare Jotform per te?
- Gli insegnanti possono utilizzare Jotform per gestire le proprie classi progettando test online, raccogliendo i compiti o chiedendo ai genitori di firmare i moduli di autorizzazione.
- Gli amministratori possono utilizzare Jotform per gestire attività operative come la creazione di sondaggi per misurare la soddisfazione degli studenti o dei docenti o accettare pagamenti online per tasse e donazioni.
Jotform offre circa 2.000 modelli di moduli didattici che spaziano dalle valutazioni degli insegnanti e questionari sulle prestazioni accademiche alle domande di borsa di studio. Puoi creare moduli in pochi minuti.
Gli istituti di istruzione superiore possono trarre vantaggio da molte altre funzionalità chiave oltre ai moduli:
- Accessibilità. I moduli di Jotform sono di livello A e livello AA conformi agli standard WCAG 2.1, quindi puoi creare moduli compatibili con la Sezione 508.
- Significabilità. Raccogli le firme elettroniche di studenti, genitori, personale e altre parti interessate utilizzando Jotform Sign. Automatizza il processo di firma per garantire che tutte le parti interessate vedano e firmino il tuo documento nell'ordine corretto.
- Sicurezza. I tuoi dati vengono archiviati in un data center locale con aggiunta di conformità SOC 2. Puoi anche attivare le funzionalità HIPAA se il tuo campus raccoglie informazioni sanitarie sensibili da studenti o docenti.
Aumenta il prestigio del tuo istituto con una soluzione conveniente e compatibile con HECVAT. Gli istituti scolastici hanno diritto a un bello sconto! Inizia subito con un modulo di raccolta dati per il settore scolastico.