Jotform Kurumsal

HECVAT

Yükseköğretim Topluluğu Servis Sağlayıcı Değerlendirme Araç Kiti

HECVAT Hakkında

HECVAT olarak da bilinen Yükseköğretim Topluluğu Hizmet Sağlayıcı Değerlendirme Aracı, yükseköğretim kurumları tarafından bulut hizmetleri ve yazılım sağlayıcılarının güvenlik ve veri standartlarını karşıladığından emin olmak için kullanılan bir öz değerlendirme anketi sistemidir. HECVAT; EDUCAUSE, Internet2 ve REN-ISAC'ın yardımıyla Yükseköğretim Bilgi Güvenliği Konseyi (HEISC) tarafından oluşturulmuştur. Değerlendirmedeki araçlar, yükseköğretim kurumlarının çoğunun aynı güvenlik protokollerini ve uygulamalarını takip ettiğinden emin olmak için standartlaştırılmıştır.

Jotform olarak 2023 itibariyle Jotform Kurumsal için HECVAT öz değerlendirmesini tamamladığımızı duyurmaktan gurur duyuyoruz. Jotform Kurumsal'ı kullanarak eğitim formlarınızı ve uygulamalarınızı gönül rahatlığıyla oluşturabilirsiniz.

Jotform'un HECVAT öz değerlendirmelerini REN-ISAC'ın Cloud Broker Index'inde bulabilirsiniz.

Satış Ekibine Ulaş

HECVAT nedir ve neden önemlidir?

Giriş

HECVAT nedir? Kulağa lisede Almanca dersinde telaffuz edemediğiniz kelimelerden biri gibi gelse de, HECVAT aslında yükseköğretimde bilgi güvenliği ile ilgili bir Amerikan kısaltmasıdır.

Carnegie Mellon, Princeton ve Rice dahil olmak üzere ülke çapında 150'den fazla özel ve devlet üniversitesi, satıcı riskini değerlendirmenin bir yolu olarak HECVAT'ı kullanıyor.

Ancak HECVAT ile ilgili tek bir paragrafta özetleyebileceğimizden çok daha fazlası var, bu nedenle bu ayrıntılı makaleyi hazırladık. Aşağıdaki bölümlerde HECVAT ve değerlendirme araçları hakkında daha fazla bilgi edinmek için okumaya devam edin.

HECVAT nedir?

HECVAT, Yükseköğretim Topluluğu Satıcı Değerlendirme Aracı anlamına gelmektedir. Yükseköğretim Bilgi Güvenliği Konseyi (HEISC), bilgisayar ağı konsorsiyumu Internet2 ve siber güvenlik ittifakı REN-ISAC ile işbirliği içinde oluşturmuştur.

HECVAT, yükseköğretim kurumlarının bilgi güvenliği açısından satıcı riskini ölçmesine yardımcı olmak için tasarlanmış bir araç takımıdır. Satıcı değerlendirme sürecinin bir parçası olarak, kolejler ve üniversiteler, satıcılardan kurumların hassas bilgilerini ve öğrencilerin, personelin ve diğer paydaşların kişisel olarak tanımlanabilir bilgilerini (PII) korumak için yeterli bilgi ve siber güvenlik politikalarının yürürlükte olduğunu teyit etmek için birkaç HECVAT bireysel anketinden birini doldurmalarını isteyebilir.

HECVAT'ın işbirlikçileri hakkında

HECVAT bireysel anketleri, güvenilir değerlendirme araçlarıdır çünkü üç uzman bilgi ağı ve güvenlik ekibi bunları işbirliği içinde geliştirmiştir:

HEISC. 2000 yılında kurulan, yükseköğretim kurumlarının bilgi güvenliği yönetimini, uyumluluğunu ve veri korumasını geliştirmelerine yardımcı olmaya adanmış bilgi güvenliği ve gizlilik uzmanlarından oluşan bir ekiptir.
Internet2. Resmi adı University Corporation for Advanced Internet Development (UCAID) olan Internet2; yükseköğretim ve araştırma kurumlarını, devlet kurumlarını, şirketleri ve kültürel kuruluşları içeren kâr amacı gütmeyen bir konsorsiyumdur. Amacı "güvenli bir yüksek hızlı ağ, bulut çözümleri, araştırma desteği ve araştırma ve eğitim için özel olarak tasarlanmış hizmetler" sağlamaktır.
REN-ISAC. Araştırma ve Eğitim Ağları Bilgi Paylaşım ve Analiz Merkezi; siber güvenlik haber raporları, uyarılar ve tavsiyelerin yanı sıra siber güvenlik tehditleri ve azaltma çözümlerinin analizini sağlayan uluslararası bir ittifaktır. İttifakın 700'den fazla üye kurumu bulunmaktadır.

HECVAT neden önemli?

Siber güvenlik firması Sophos tarafından 2022 yılında yapılan bir araştırmaya göre, yükseköğretim kurumlarının %64'ü 2021 yılında en az bir fidye yazılımı saldırısı yaşayarak 2020'deki %44 oranını aşmış oldu. Şaşırtıcı şekilde bu saldırıların %74'ü başarılı oldu. Bu başarı oranını küresel ortalama olan %65 ile karşılaştırın.

Fidye yazılım saldırıları, özellikle yükseköğretim kurumları üzerinde önemli bir etkiye sahiptir. Sophos araştırmasına göre, kamu sektöründeki yükseköğretim katılımcılarının neredeyse tamamı (yüzde 97) bir saldırının faaliyetlerini etkilediğini belirtirken, özel sektördeki yükseköğretim katılımcılarının yüzde 96'sı bir saldırının kurumlarının iş veya gelir kaybına neden olduğunu söyledi.

Bu kurumlar kötü aktörler için neden bu kadar cazip bir hedef oluşturuyor? Bu faktörleri göz önünde bulundurun:

Tonlarca veriye sahipler. Üniversiteler, devlet kurumlarından ve akademik ortaklardan gelen araştırma verilerinin yanı sıra öğrenciler ve öğretim üyeleri hakkında çok sayıda kişisel veri tutmaktadır.
Ağları saldırılara daha açıktır Daha büyük, köklü üniversiteler, genellikle modern sistemlerden daha fazla güvenlik açığı olan eski sistemleri sürdürme eğilimindedir. Buna ek olarak, bu sistemlere bağlanan çok sayıda kişisel ve kampüs cihazı ve yazılımı, özellikle de bunları kullanan kişiler güvenlik yerine rahatlığa öncelik veriyorsa, saldırılar için birçok fırsat sunar.
Bütçeleri sınırlıdır. Kamu ve özel kurumlar genellikle sınırlı bütçelere sahiptir; ayrıca mali kaynakları BT ve siber güvenlik yerine atletizm gibi daha görünür, pazarlanabilir departmanlara ayırma eğilimindedirler.

Bu tür sorunlu siber güvenlik eğilimleri ve yukarıdaki hedef faktörler göz önüne alındığında, yüksek eğitimde HECVAT gibi bir güvenlik yöntemine neden ihtiyaç duyulduğu şaşırtıcı değildir. Bu araç seti, üniversitelerin zamandan tasarruf etmelerini, tedarikçilere yönelik risk değerlendirmelerini standartlaştırmalarını ve bu tedarikçilerin güvenlik ve gizlilik alanlarında uygun şekilde değerlendirilmelerini sağlar.

4 HECVAT araçları

HECVAT araç paketi, yükseköğretim kurumlarının tutarlı bir risk ve güvenlik değerlendirme programını benimsemelerini, uygulamalarını ve sürdürmelerini sağlayan dört bireysel anket içerir. Her bir bireysel anket farklı bir titizlik düzeyini temsil etmektedir ve bir tanesi aslında kurum içi kullanım içindir.

Bu araçların bütün var olan sürümlerini indirilebilir Excel dosyaları olarak EDUCAUSE HECVAT web sayfasından bulabilirsiniz.

1. HECVAT - Triyaj

Aşağıda öğreneceğiniz Full, Lite ve On-Premise araçlarının aksine, Triage aracı satıcıların tamamlaması için değildir - bu, HECVAT'e aşina olmayanların yaygın bir yanlış anlamasıdır. Bunun yerine bu araç, kurumsal verileri üçüncü parti bir sağlayıcı veya yazılım çözümü ile paylaşmak isteyen departmanlar ve bireysel öğretim üyeleri gibi dahili "talep sahipleri" içindir.

Bu araç sayesinde talep sahibi, kullanım durumu, tedarik ve kurum teknolojisi gibi altı kategoride yaklaşık 35 soru aracılığıyla veri paylaşım amacını, kapsamını, unsurlarını ve teknoloji gereksinimlerini belgeler ve özetler. Bireysel anketin doldurulması, BT'nin bir risk ve güvenlik değerlendirmesi başlatması ve satıcıları değerlendirmek için diğer araçları kullanması için bir ön koşuldur.

İşte birkaç örnek soru:

Kurum verilerini barındıracak, üçüncü parti yazılımı/hizmeti kullanacak ve/veya bir kurumun kurumsal sistem(ler)i ile entegrasyon talep edecek departmanınızın ve iş alanınızın genel bir özetini sağlayın.
Bu değerlendirme talebi ile ilgili olarak kurumun satın alma uzmanlarına danıştınız mı?
Kurumun bu üçüncü parti yazılımı/hizmeti, departman uygulamasını veya kurumsal bir sistemle entegrasyonu destekleme konusundaki BT sorumluluklarını açıklayınız.

2. HECVAT — Full

En kritik veri paylaşım sözleşmelerini değerlendirmek için tasarlanan Tam araç, satıcılardan HIPAA, güvenlik açığı taraması, dokümantasyon ve felaket kurtarma gibi 20'den fazla kategorideki uygulamaları hakkında 250'den fazla soruya yanıt vermelerini istiyor.

İşte Full aracı için birkaç örnek soru:

Personeliniz HIPAA Gizlilik ve Güvenlik Kuralları ve HITECH Yasası ile ilgili düzenli eğitim alıyor mu?
Sistemleriniz ve uygulamalarınız geçen yıl içinde bir üçüncü parti güvenlik değerlendirmesinden geçti mi?
SSAE 18/SOC 2 denetiminden geçtiniz mi?
Kuruluşunuzun bir afet sonrası kurtarma tesisi veya anlaşmalı bir afet sonrası kurtarma hizmeti sağlayıcısı var mı?

3. HECVAT — Lite

Full aracının bu yoğunlaştırılmış versiyonu, satıcı değerlendirme sürecini hızlandırırken temel güvenlik endişelerini de ele almak için kullanılır. Satıcılar, BT erişilebilirliği, sistem yönetimi, veri merkezi ve olay işleme gibi 12 kategoride yaklaşık 100 soru içeren Lite aracını tamamlar. Tam araçta yer alan HIPAA ve güvenlik açığı taraması gibi kategoriler bu aracın bir parçası değildir.

İşte Lite aracından birkaç örnek soru:

Üçüncü parti bir uzman, ürününüzün en son sürümünün erişilebilirlik denetimini gerçekleştirdi mi?
Kurumun güvenlik duruşunu etkileyebilecek ortamınızdaki büyük değişiklikler kuruma bildirilecek mi?
Şirketiniz kurumun verilerinin bulunacağı fiziksel veri merkezini yönetiyor mu?
Olaylara 24 x 7 x 365 esasına göre müdahale etme kabiliyetiniz var mı?

4. HECVAT — On-Premise

Full ve Lite araçlarında olduğu gibi, satıcılar risklerini değerlendiren Şirket İçi aracını doldururlar. Ancak bireysel anket, diğer araçlara göre daha kısa ve şirket içi çözümlere göre uyarlanmıştır. Araç, veri tabanı, politikalar ve güvenlik duvarları gibi 10 kategoride 70 soru içermektedir.

On-Premise araçtan birkaç örnek soru:

Veri tabanı, depolama alanındaki belirli veri öğelerinin şifrelenmesini destekliyor mu?
Bilgi güvenliği ilkeleri ürün yaşam döngüsü içinde tasarlandı mı?
Ana bilgisayar tabanlı izinsiz giriş tespiti kullanıyor musunuz?

Ek HECVAT kaynakları

HECVAT, bireysel anketlere ek olarak yükseköğretim kurumları için iki kaynak daha sunmaktadır:

Community Broker Index (CBI). CBI, tamamlanmış HECVAT değerlendirmelerini paylaşmaya istekli satıcıların sürekli güncellenen bir listesini sağlar. Yükseköğretim kurumları, riske uygun satıcı çözümlerini belirlerken zaman kazanmak için bu listeye başvurabilir.
Kullanıcı Topluluğu Grubu. Bu grup; yükseköğretim kurumlarına HECVAT kullanmak için bilgileri, en iyi uygulamaları ve stratejileri paylaşan bir forum sunar.

Kampüsünüzde HECVAT dostu bir veri toplama aracını nasıl kullanabilirsiniz?

Jotform Kurumsal; büyük üniversiteler ve ilkokullardaki eğitimciler ve yöneticiler için güçlü ve kullanımı kolay bir veri toplama aracıdır. Aynı zamanda HECVAT'ın Community Broker Index'inde de adı geçmektedir. Bu şekilde zaten tamamlanmış olan HECVAT değerlendirmelerine ulaşabilir ve risk değerlendirme konusunda zaman kazanabilirsiniz.

Jotform işinize nasıl yarayabilir?

Öğretmenler; online testler tasarlayarak, ödevleri toplayarak veya verilerin izin belgelerini imzalamasını isteyerek sınıflarını yönetmek için Jotform'u kullanabilir.
Yöneticiler; öğrenci ve öğretmen memnuniyetini ölçmek veya ücretler ve mezun bağışları gibi ödemeleri kabul etmek için anket oluşturmak gibi işlemsel görevleri ele almak amacıyla Jotform'u kullanır.

Jotform, öğretmen değerlendirmeleri ve akademik performans bireysel anketlerinden burs başvurularına kadar yaklaşık 2.000 adet eğitim formu şablonu sunar. Formları sadece birkaç dakika içinde oluşturabilirsiniz.

Yükseköğretim kurumları, formlara ek olarak diğer bazı temel özelliklerden de yararlanabilirler:

Erişilebilirlik. Jotform'un formları WCAG 2.1 standartlarıyla Seviye A ve Seviye AA uyumludur, böylece Bölüm 508 ile uyumlu formlar oluşturabilirsiniz.
İmzalanabilirlik. Jotform İmza'yı kullanarak öğrencilerden, velilerden, personelden ve diğer önemli paydaşlardan e-imza toplayın. İlgili tüm tarafların belgenizi doğru sırada görmesini ve imzalamasını sağlamak için imzalama sürecini otomatikleştirin.
Güvenlik. Verileriniz, ek SOC 2 uyumluluğu ile yerel bir veri ikamet merkezinde saklanır. Kampüsünüz öğrencilerden veya öğretim üyelerinden hassas sağlık bilgileri topluyorsa HIPAA özelliklerini de seçebilirsiniz.

HECVAT ile uyumlu, uygun fiyatlı bir çözümle kampüsünüzün başarı yolunda ilerlediğinden emin olun - eğitim kurumları önemli bir indirim almaya hak kazanır! Hemen bir eğitim veri toplama formu ile başlayın.