Въведение
Какво е HECVAT? Въпреки че може да звучи като една от онези думи, които не можете да произнесете в часовете по немски в гимназията, HECVAT всъщност е американски акроним, който е свързан с информационната сигурност във висшето образование.
Повече от 150 частни и публични университета в цялата страна — включително Карнеги Мелън, Принстън и Райс — използват HECVAT като начин за оценка на риска на доставчика.
Но има повече за HECVAT, отколкото можем да обобщим в един параграф, поради което създадохме тази подробна статия. Продължете да четете, за да научите повече за HECVAT и неговите инструменти за оценка в разделите по-долу.
Какво е HECVAT?
HECVAT означава инструментариум за оценка на доставчиците на общността за висше образование. Съветът за информационна сигурност на висшето образование (HEISC) го създаде в сътрудничество с консорциума за компютърни мрежи Internet2 и алианса за киберсигурност REN-ISAC.
HECVAT е набор от инструменти, предназначени да помогнат на институциите за висше образование да измерват риска на доставчика по отношение на информационната сигурност. Като част от процеса на оценка на доставчиците, колежите и университетите могат да поискат от доставчиците да попълнят един от няколко въпросника на HECVAT, за да потвърдят, че са налице достатъчно информация и политики за киберсигурност, за защита на чувствителната информация на институциите и личната идентификационна информация (ЛИИ) за ученици, служители и други заинтересовани страни.
Относно HECVAT сътрудниците
Въпросниците HECVAT са надеждни инструменти за оценка, тъй като три експертни екипа за информационни мрежи и сигурност са ги разработили съвместно:
- HEISC. Създаден през 2000 г., HEISC е екип от професионалисти по информационна сигурност и поверителност, които са посветени на подпомагането на институциите за висше образование да подобрят управлението на информационната сигурност, съответствието и защитата на данните.
- Интернет2. Официално озаглавен Университетска корпорация за усъвършенствано интернет развитие (UCAID), Интернет2 е консорциум с нестопанска цел, който включва висши учебни и изследователски институции, държавни институции, корпорации и културни организации. Неговата цел е да осигури „сигурна високоскоростна мрежа, облачни решения, подкрепа за проучвания и услуги, които пригодени за проучвания и образование“.
- REN-ISAC. Центърът за споделяне и анализ на информация за изследователски и образователни мрежи е международен съюз, който предоставя новинарски доклади за киберсигурността, сигнали и съвети, заедно с анализ на заплахи за киберсигурността и решения за смекчаване. Алианса има над 700 институции членове.
Защо HECVAT е важен?
Според проучване от 2022 г. на фирмата за киберсигурност Sophos, 64 процента от висшите учебни заведения са претърпели поне една рансомуеър атака през 2021, нагоре от 44 процента през 2020 г. Зашеметяващите 74 процента от тези атаки са били успешни. Сравнете тази успеваемост с глобалната средна стойност от 65 процента.
Рансомуеър атаките имат съществено въздействие върху организациите, особено тези във висшето образование. Проучването на Sophos отбелязва, че почти всички (97 процента) от респонденти с по-високо образование в публичния сектор заявяват, че атака е повлияла на способността им да работят, докато 96 процента от респондентите с по-високо образование в частния сектор казват, че атака е причинила загуба на работа или загуба на оборот за тяхната институция.
Защо тези институции са толкова привлекателна цел за лоши герои? Помислете за следните фактори:
- Те имат тонове данни. Колежите поддържат много лични данни за студенти и преподаватели, да не говорим за изследователски данни от правителствени агенции и академични партньори.
- Техните мрежи са по-податливи на атаки. По-големите, утвърдени университети са склонни да поддържат наследени системи, които често имат повече уязвимости от съвременните системи. В допълнение, многобройните лични и кампусни устройства и софтуер, които се свързват с тези системи, предоставят много възможности за атаки, особено ако хората, които ги използват, дават предимство на удобството пред безопасността.
- Те имат ограничени бюджети. Публичните и частните институции често имат ограничени бюджети; те също са склонни да отделят финансови ресурси за по-видими, маркетируеми отдели - като лека атлетика - над ИТ и киберсигурността.
При такива обезпокоителни тенденции в киберсигурността и целевите фактори по-горе, не е чудно защо метод за сигурност, като HECVAT е необходим във висшето образование. Този набор от инструменти позволява на колежите да спестят време, да стандартизират тяхната оценка на риска на доставчиците и да гарантират, че тези доставчици са подходящо оценени в областта на сигурността и поверителността.
4 инструмента HECVAT
Пакетът от инструменти HECVAT включва четири въпросника, които позволяват на институциите за висше образование да приемат, имплементират и поддържат последователна програма за оценка на риска и сигурността. Всеки въпросник представлява различно ниво на строгост и първия всъщност е предназначен за вътрешна употреба.
Забележка: Всички текущи версии на тези инструменти са налични като Ексел файлове за изтегляне в уеб страницата на EDUCAUSE за HECVAT.
1. HECVAT — Триаж
За разлика от инструментите Пълен, Лайт и На място, за които ще научите по-долу, инструмента Триаж не е предназначен за завършване от доставчици — това е често срещано недоразумение на тези, които не са запознати с HECVAT. Вместо това този инструмент е предназначен за вътрешни „заявители“, като отдели и отделни преподаватели, които искат да споделят институционални данни с доставчик или софтуерно решение на трета страна.
Чрез този инструмент заявителят документира и обобщава своето намерение за споделяне на данни, обхват, елементи и технологични изисквания чрез около 35 въпроса в шест категории като случаи на употреба, доставка и институционална технология. Попълването на въпросника е предпоставка за ИТ да инициира оценка на риска и сигурността и използването на другите инструменти за оценка на доставчиците.
Ето няколко примерни въпроса:
- Предоставете общо резюме на вашия отдел и бизнес сферата, която ще включва данни за жилищна институция, като използвате софтуера/услугата на трета страна и/или поискате интеграция с ентерпрайз система(и) на институцията.
- Консултирали ли сте се със специалистите по обществени поръчки на институцията относно това искане за оценка?
- Опишете ИТ отговорностите на институцията в подкрепа на този софтуер/услуга на трета страна, приложение на отдел или интеграция с ентерпрайз система.
2. HECVAT — Пълен
Създаден да оценява най-критичните ангажименти за споделяне на данни, "пълния" инструмент иска от доставчиците отговори на над 250 въпроса относно техните практики в над 20 категории, като HIPAA, сканиране на уязвимости, документация и възстановяване след аварии.
Ето няколко примерни въпроса за "пълния" инструмент:
- Членовете на вашата работна сила получават ли редовно обучение, което е свързано с правилата за поверителност и сигурност на HIPAA и Закона за HITECH?
- Завършена ли е оценка на сигурността на вашите системи и приложения от трети страни през последната година?
- Подлагали ли сте се на одит за SSAE 18/SOC 2?
- Вашата организация има ли сайт за възстановяване след авария или договор с доставчик за възстановяване след авария?
3. HECVAT — Лайт
Тази съкратена версия на пълния инструмент се използва за ускоряване на процеса на оценка на доставчика, като същевременно се обръща внимание на ключови проблеми със сигурността. Доставчиците завършват Лайт инструмента, който включва около 100 въпроса в 12 категории, като ИТ достъпност, управление на системи, център за данни и обработка на инциденти. Категории като HIPAA и сканиране на уязвимости, които са включени в Пълния инструмент, не са част от този инструмент.
Ето няколко примерни въпроса от Лайт инструмента:
- Експерт на трета страна извършил ли е проверка на достъпността на най-новата версия на вашия продукт?
- Институцията ще бъде ли уведомена за големи промени във вашата среда, които биха могли да повлияят на състоянието на сигурността на институцията?
- Вашата компания управлява ли физическия център за данни, където ще се намират данните на институцията?
- Имате ли способността да реагирате на инциденти на база 24 x 7 x 365?
4. HECVAT — На място
Подобно на инструментите "Пълен" и "Лайт", доставчиците завършват инструмента "На място", който оценява техния риск. Въпросникът обаче е по-кратък от тези в другите инструменти и е пригоден за локални решения. Инструментът включва 70 въпроса в 10 категории, като база данни, политики и защитни стени.
Ето няколко примерни въпроса от инструмента "на място":
- Базата данни поддържа ли криптиране на определени елементи от данни в хранилището?
- Вградени ли са принципите за информационна сигурност в жизнения цикъл на продукта?
- Използвате ли базирано на хост откриване на проникване?
Допълнителни HECVAT ресурси
HECVAT предлага два други ресурса за висши учебни заведения в допълнение към въпросниците:
- Индекса за брокер на общността (ИБО). ИБО предоставя постоянно актуализиран списък с доставчици, които желаят да споделят техните завършени HECVAT оценки. Висшите учебни заведения могат да се позовават на този списък, за да спестят време при определяне на подходящи за риска решения на доставчика.
- Потребителска общностна група. Тази група предоставя на висшите учебни заведения форум за споделяне на информация, най-добри практики и стратегии за използване на HECVAT.
Как можете да използвате HECVAT-адаптивен инструмент за събиране на данни във вашия кампус?
Jotform Ентерпрайз е мощен, лесен за използване инструмент за събиране на данни за преподаватели и администратори в големи университети и начални училища. Също така е посочен в Индекса за брокер на общността на HECVAT, което означава, че вие можете да получите достъп до неговите вече завършени HECVAT оценки и да спестите време за оценка на риска.
Как Jotform може да работи за вас?
- Учителите могат да използват Jotform, за да управляват своите класни стаи чрез проектиране на онлайн тестове, събиране на домашни задачи или да помолят родителите да подпишат фишове за разрешение.
- Администраторите могат да използват Jotform за справяне с оперативни задачи, като например създаване на анкети за измерване на студентска или учителска удовлетвореност или приемане на онлайн плащания за такси и даренияот завършили възпитаници.
Jotform предлага близо 2000 шаблони на форми за образование, които варират от оценки на учители и въпросници за академично представяне до кандидатури за стипендии. Вие можете да създавате форми само за няколко минути.
Висшите учебни заведения могат да се възползват от няколко други ключови функции в допълнение към формите:
- Достъпност. Формите на Jotform са ниво A и ниво AA съвместими със стандартите WCAG 2.1, така че вие можете да създавате форми, които са Секция 508-адаптивни.
- Подписваемост. Събирайте е-подписи от ученици, родители, служители и други ключови заинтересовани страни, използвайки Jotform Подписи. Автоматизирайте процеса на подписване, за да гарантирате, че всички заинтересовани страни виждат и подписват вашия документ в правилния ред.
- Сигурност. Вашите данни се съхраняват в местен център за пребиваване на данни с добавено SOC 2 съответствие. Вие можете също да изберете функциите за HIPAA, ако вашия кампус събира чувствителна здравна информация от студенти или преподаватели.
Уверете се, че вашия кампус е на път към успеха с HECVAT-адаптивно, достъпно решение — образователните институции отговарят на условията за значителна отстъпка! Започнете с форма за събиране на образователни данни днес.