Jotform Kurumsal

HECVAT

Yükseköğretim Topluluğu Servis Sağlayıcı Değerlendirme Araç Kiti

HECVAT Hakkında

HECVAT olarak da bilinen Yükseköğretim Topluluğu Hizmet Sağlayıcı Değerlendirme Araç Kiti, yükseköğretim kurumları tarafından bulut hizmetleri ve yazılım sağlayıcılarının güvenlik ve veri standartlarını karşıladığından emin olmak için kullanılan bir öz değerlendirme anketi sistemidir. HECVAT; EDUCAUSE, Internet2 ve REN-ISAC'ın yardımıyla Yükseköğretim Bilgi Güvenliği Konseyi (HEISC) tarafından oluşturulmuştur. Değerlendirmedeki araçlar, yükseköğretim kurumlarının çoğunun aynı güvenlik protokollerini ve uygulamalarını takip ettiğinden emin olmak için standartlaştırılmıştır.

Jotform olarak 2023 itibariyle Jotform Kurumsal için HECVAT öz değerlendirmesini tamamladığımızı duyurmaktan gurur duyuyoruz. Jotform Kurumsal'ı kullanarak eğitim formlarınızı ve uygulamalarınızı gönül rahatlığıyla oluşturabilirsiniz.

Jotform'un HECVAT öz değerlendirmeleri REN-ISAC'ın Cloud Broker Index'inde mevcuttur.

Satış Ekibine Ulaşın

HECVAT nedir ve neden önemlidir?

Giriş

HECVAT nedir? Kulağa lisede Almanca dersinde telaffuz edemediğiniz kelimelerden biri gibi gelse de, HECVAT aslında yükseköğretimde bilgi güvenliği ile ilgili bir Amerikan kısaltmasıdır.

Carnegie Mellon, Princeton ve Rice dahil olmak üzere ülke çapında 150'den fazla özel ve devlet üniversitesi, satıcı riskini değerlendirmenin bir yolu olarak HECVAT'ı kullanıyor.

Ancak HECVAT ile ilgili tek bir paragrafta özetleyebileceğimizden çok daha fazlası var, bu nedenle bu ayrıntılı makaleyi hazırladık. Aşağıdaki bölümlerde HECVAT ve değerlendirme araçları hakkında daha fazla bilgi edinmek için okumaya devam edin.

HECVAT nedir?

HECVAT, Yükseköğretim Topluluğu Satıcı Değerlendirme Aracı anlamına gelmektedir. Yükseköğretim Bilgi Güvenliği Konseyi (HEISC), bilgisayar ağı konsorsiyumu Internet2 ve siber güvenlik ittifakı REN-ISAC ile işbirliği içinde oluşturmuştur.

HECVAT, yükseköğretim kurumlarının bilgi güvenliği açısından satıcı riskini ölçmelerine yardımcı olmak için tasarlanmış bir araç paketidir. Tedarikçi değerlendirme sürecinin bir parçası olarak, kolejler ve üniversiteler, kurumların hassas bilgilerini ve öğrencilerin, personelin ve diğer paydaşların kişisel olarak tanımlanabilir bilgilerini (PII) korumak için yeterli bilgi ve siber güvenlik politikalarının mevcut olduğunu doğrulamak için satıcılardan çeşitli HECVAT anketlerinden birini doldurmalarını isteyebilir.

HECVAT'ın işbirlikçileri hakkında

HECVAT anketleri güvenilir değerlendirme araçlarıdır çünkü üç uzman bilgi ağı ve güvenlik ekibi bunları işbirliği içinde geliştirmiştir:

HEISC. 2000 yılında kurulan, yükseköğretim kurumlarının bilgi güvenliği yönetişimini, uyumluluğunu ve veri korumasını geliştirmelerine yardımcı olmaya adanmış bilgi güvenliği ve gizlilik uzmanlarından oluşan bir ekiptir.
Internet2. Resmi adı University Corporation for Advanced Internet Development (UCAID) olan Internet2, yüksek öğrenim ve araştırma kurumlarını, devlet kurumlarını, şirketleri ve kültürel kuruluşları içeren kar amacı gütmeyen bir konsorsiyumdur. Amacı "güvenli bir yüksek hızlı ağ, bulut çözümleri, araştırma desteği ve araştırma ve eğitim için özel olarak tasarlanmış hizmetler" sağlamaktır.
REN-ISAC. Araştırma ve Eğitim Ağları Bilgi Paylaşım ve Analiz Merkezi, siber güvenlik haber raporları, uyarılar ve tavsiyelerin yanı sıra siber güvenlik tehditleri ve azaltma çözümlerinin analizini sağlayan uluslararası bir ittifaktır. İttifakın 700'den fazla üye kurumu bulunmaktadır.

HECVAT neden önemli?

Siber güvenlik firması Sophos tarafından 2022 yılında yapılan bir araştırmaya göre, 2020'de yüzde 44 olan yüksek öğrenim kurumlarının yüzde 64'ü 2021'de en az bir fidye yazılımı saldırısı yaşadı. Bu saldırıların şaşırtıcı bir şekilde yüzde 74'ü başarılı oldu. Bu başarı oranını küresel ortalama olan yüzde 65 ile karşılaştırın.

Fidye yazılım saldırıları, özellikle yükseköğretim kurumları üzerinde önemli bir etkiye sahiptir. Sophos araştırmasına göre, kamu sektöründeki yüksek eğitim katılımcılarının neredeyse tamamı (yüzde 97) bir saldırının faaliyetlerini etkilediğini belirtirken, özel sektördeki yüksek eğitim katılımcılarının yüzde 96'sı bir saldırının kurumlarının iş veya gelir kaybına neden olduğunu söyledi.

Bu kurumlar kötü aktörler için neden bu kadar cazip bir hedef oluşturuyor? Bu faktörleri göz önünde bulundurun:

Tonlarca veriye sahipler. Üniversiteler, devlet kurumlarından ve akademik ortaklardan gelen araştırma verilerinin yanı sıra öğrenciler ve öğretim üyeleri hakkında çok sayıda kişisel veri tutmaktadır.
Ağları saldırılara daha açıktır Daha büyük, köklü üniversiteler, genellikle modern sistemlerden daha fazla güvenlik açığı olan eski sistemleri sürdürme eğilimindedir. Buna ek olarak, bu sistemlere bağlanan çok sayıda kişisel ve kampüs cihazı ve yazılımı, özellikle de bunları kullanan kişiler güvenlik yerine rahatlığa öncelik veriyorsa, saldırılar için birçok fırsat sunar.
Bütçeleri sınırlıdır. Kamu ve özel kurumlar genellikle sınırlı bütçelere sahiptir; ayrıca mali kaynakları BT ve siber güvenlik yerine atletizm gibi daha görünür, pazarlanabilir departmanlara ayırma eğilimindedirler.

Bu tür sorunlu siber güvenlik eğilimleri ve yukarıdaki hedef faktörler göz önüne alındığında, yüksek eğitimde HECVAT gibi bir güvenlik yöntemine neden ihtiyaç duyulduğu şaşırtıcı değildir. Bu araç seti, üniversitelerin zamandan tasarruf etmelerini, tedarikçilere yönelik risk değerlendirmelerini standartlaştırmalarını ve bu tedarikçilerin güvenlik ve gizlilik alanlarında uygun şekilde değerlendirilmelerini sağlar.

4 HECVAT araçları

HECVAT araç paketi, yükseköğretim kurumlarının tutarlı bir risk ve güvenlik değerlendirme programını benimsemelerini, uygulamalarını ve sürdürmelerini sağlayan dört anket içerir. Her bir anket farklı bir titizlik düzeyini temsil etmektedir ve bir tanesi aslında kurum içi kullanım içindir.

Not: Bu araçların tüm güncel sürümleri EDUCAUSE HECVAT web sayfasında indirilebilir Excel dosyaları olarak mevcuttur.

1. HECVAT - Triyaj

Aşağıda öğreneceğiniz Full, Lite ve On-Premise araçlarının aksine, Triage aracı satıcıların tamamlaması için değildir - bu, HECVAT'e aşina olmayanların yaygın bir yanlış anlamasıdır. Bunun yerine bu araç, kurumsal verileri üçüncü taraf bir sağlayıcı veya yazılım çözümü ile paylaşmak isteyen departmanlar ve bireysel öğretim üyeleri gibi dahili "talep sahipleri" içindir.

Bu araç sayesinde talep sahibi, kullanım durumu, tedarik ve kurum teknolojisi gibi altı kategoride yaklaşık 35 soru aracılığıyla veri paylaşım amacını, kapsamını, unsurlarını ve teknoloji gereksinimlerini belgeler ve özetler. Anketin doldurulması, BT'nin bir risk ve güvenlik değerlendirmesi başlatması ve satıcıları değerlendirmek için diğer araçları kullanması için bir ön koşuldur.

İşte birkaç örnek soru:

Kurum verilerini barındıracak, üçüncü taraf yazılımı/hizmeti kullanacak ve/veya bir kurumun kurumsal sistem(ler)i ile entegrasyon talep edecek departmanınızın ve iş alanınızın genel bir özetini sağlayın.
Bu değerlendirme talebi ile ilgili olarak kurumun satın alma uzmanlarına danıştınız mı?
Kurumun bu üçüncü taraf yazılımı/hizmeti, departman uygulamasını veya kurumsal bir sistemle entegrasyonu destekleme konusundaki BT sorumluluklarını açıklayınız.

2. HECVAT — Full

En kritik veri paylaşım sözleşmelerini değerlendirmek için tasarlanan Tam araç, satıcılardan HIPAA, güvenlik açığı taraması, dokümantasyon ve felaket kurtarma gibi 20'den fazla kategorideki uygulamaları hakkında 250'den fazla soruya yanıt vermelerini istiyor.

İşte Full aracı için birkaç örnek soru:

Personeliniz HIPAA Gizlilik ve Güvenlik Kuralları ve HITECH Yasası ile ilgili düzenli eğitim alıyor mu?
Sistemleriniz ve uygulamalarınız geçen yıl içinde bir üçüncü taraf güvenlik değerlendirmesinden geçti mi?
SSAE 18/SOC 2 denetiminden geçtiniz mi?
Kuruluşunuzun bir afet sonrası kurtarma tesisi veya anlaşmalı bir afet sonrası kurtarma hizmeti sağlayıcısı var mı?

3. HECVAT — Lite

Full aracının bu yoğunlaştırılmış versiyonu, satıcı değerlendirme sürecini hızlandırırken temel güvenlik endişelerini de ele almak için kullanılır. Satıcılar, BT erişilebilirliği, sistem yönetimi, veri merkezi ve olay işleme gibi 12 kategoride yaklaşık 100 soru içeren Lite aracını tamamlar. Tam araçta yer alan HIPAA ve güvenlik açığı taraması gibi kategoriler bu aracın bir parçası değildir.

İşte Lite aracından birkaç örnek soru:

Üçüncü taraf bir uzman, ürününüzün en son sürümünün erişilebilirlik denetimini gerçekleştirdi mi?
Kurumun güvenlik duruşunu etkileyebilecek ortamınızdaki büyük değişiklikler kuruma bildirilecek mi?
Şirketiniz kurumun verilerinin bulunacağı fiziksel veri merkezini yönetiyor mu?
Olaylara 24 x 7 x 365 esasına göre müdahale etme kabiliyetiniz var mı?

4. HECVAT — On-Premise

Full ve Lite araçlarında olduğu gibi, satıcılar risklerini değerlendiren Şirket İçi aracını doldururlar. Ancak anket diğer araçlara göre daha kısa ve şirket içi çözümlere göre uyarlanmıştır. Araç, veritabanı, politikalar ve güvenlik duvarları gibi 10 kategoride 70 soru içermektedir.

On-Premise araçtan birkaç örnek soru:

Veritabanı, depolama alanındaki belirli veri öğelerinin şifrelenmesini destekliyor mu?
Bilgi güvenliği ilkeleri ürün yaşam döngüsü içinde tasarlandı mı?
Ana bilgisayar tabanlı izinsiz giriş tespiti kullanıyor musunuz?

Ek HECVAT kaynakları

HECVAT, anketlere ek olarak yüksek öğretim kurumları için iki kaynak daha sunmaktadır:

Community Broker Index (CBI). CBI, tamamlanmış HECVAT değerlendirmelerini paylaşmaya istekli satıcıların sürekli güncellenen bir listesini sağlar. Yükseköğretim kurumları, riske uygun satıcı çözümlerini belirlerken zaman kazanmak için bu listeye başvurabilir.
Kullanıcılar Topluluk Grubu. Bu grup, yükseköğretim kurumlarına HECVAT kullanımına yönelik bilgi, en iyi uygulamalar ve stratejilerin paylaşılacağı bir forum sağlamaktadır.

Kampüsünüzde HECVAT dostu bir veri toplama aracını nasıl kullanabilirsiniz?

Jotform Kurumsal, hem büyük üniversitelerdeki hem de ilkokullardaki eğitimciler ve yöneticiler için güçlü, kullanımı kolay bir veri toplama aracıdır. Jotform ayrıca HECVAT'ın Community Broker Index'inde de listelenmiştir, bu da önceden tamamlanmış HECVAT değerlendirmelerine erişebileceğiniz ve risk değerlendirmesinde zaman kazanabileceğiniz anlamına gelir.

Jotform işinize nasıl yarayabilir?

Öğretmenler Jotform'u sınıflarını yönetmek için online testler tasarlayarak, ev ödevlerini toplama veya ebeveynlerden izin fişlerini imzalamalarını istemek için kullanabilir.
Yöneticiler Jotform'u öğrenci ya da öğretmen memnuniyeti veya mezunlar için harçlar ve bağışlariçin online ödeme kabul etmek amacıyla kullanabilir.

Jotform, öğretmen değerlendirmeleri ve akademik performans anketlerinden burs başvurularına kadar yaklaşık 2.000 eğitim formu şablonu sunar. Formları sadece birkaç dakika içinde oluşturabilirsiniz.

Yükseköğretim kurumları, formlara ek olarak diğer bazı temel özelliklerden de yararlanabilirler:

Erişilebilirlik. Jotform'un formları WCAG 2.1 standartlarıyla Seviye A ve Seviye AA uyumludur, böylece Bölüm 508 ile uyumlu formlar oluşturabilirsiniz.
İmzalanabilirlik. Jotform İmza'yı kullanarak öğrencilerden, velilerden, personelden ve diğer önemli paydaşlardan e-imza toplayın. İlgili tüm tarafların belgenizi doğru sırada görmesini ve imzalamasını sağlamak için imzalama sürecini otomatikleştirin.
Güvenlik. Verileriniz, ek SOC 2 uyumluluğu ile yerel bir veri ikamet merkezinde saklanır. Kampüsünüz öğrencilerden veya öğretim üyelerinden hassas sağlık bilgileri topluyorsa HIPAA özelliklerini de seçebilirsiniz.

HECVAT dostu, uygun fiyatlı bir çözümle kampüsünüzün başarı yolunda ilerlediğinden emin olun - eğitim kurumları önemli bir indirim almaya hak kazanır! Hemen bir eğitim veri toplama formu ile başlayın.