HECVAT

Herramienta de evaluación de proveedores en la nube de educación superior

The Higher Education Community Vendor Assessment Toolkit, also known as HECVAT, is a self-assessment questionnaire framework used by higher education institutions to ensure that their cloud services and software vendors meet security and data standards. HECVAT was created by the Higher Education Information Security Council (HEISC), with help from EDUCAUSE, Internet2, and REN-ISAC. The tools in the assessment are standardized to make sure that the majority of higher education institutions follow the same security protocols and practices.

Contactar con ventas

As of 2023, Jotform is proud to announce that we have completed the HECVAT self-assessment for Jotform Enterprise. You can create your education forms and appsC with peace of mind using Jotform Enterprise.

Las autoevaluaciones HECVAT de Jotform están disponibles en el índice de corredores de la nube de REN-ISAC.

Introducción

What is HECVAT? Though it may sound like one of those words you couldn't quite pronounce in your high-school German class, HECVAT is actually an American acronym related to information security in higher education.

Más de 150 universidades privadas y públicas de todo el país -entre ellas Carnegie Mellon, Princeton y Rice- utilizan HECVAT para evaluar el riesgo de los proveedores.

But there's more to HECVAT than we can sum up in a single paragraph, which is why we created this detailed article. Keep reading to learn more about HECVAT and its assessment tools in the sections below.

¿Qué es HECVAT?

HECVAT stands for the Higher Education Community Vendor Assessment Toolkit. The Higher Education Information Security Council (HEISC) created it in collaboration with the computer networking consortium Internet2 and cybersecurity alliance REN-ISAC.

The HECVAT is a suite of tools designed to help higher education institutions measure vendor risk with regard to information security. As part of the vendor evaluation process, colleges and universities may ask vendors to complete one of several HECVAT questionnaires to affirm that sufficient information and cybersecurity policies are in place to protect institutions' sensitive information and the personally identifiable information (PII) of students, staff, and other stakeholders.

Acerca de los colaboradores de HECVAT

Los cuestionarios HECVAT son herramientas de evaluación confiables porque tres equipos expertos en redes y seguridad de la información los han desarrollaron de forma conjunta:

HEISC. Fundado en 2000, HEISC es un equipo de profesionales de la seguridad de la información y la privacidad que se dedica a prestar ayuda a las instituciones de educación superior para mejorar la gobernanza de la seguridad de la información, el cumplimiento y la protección de datos.
Internet2. Formally titled the University Corporation for Advanced Internet Development (UCAID), Internet2 is a nonprofit consortium that includes higher education and research institutions, government entities, corporations, and cultural organizations. Its purpose is to provide a "secure high-speed network, cloud solutions, research support, and services tailored for research and education."
REN-ISAC. El centro de análisis e intercambio de información de las redes de investigación y educación es una asociación internacional que ofrece noticias, alertas y avisos en materia de ciberseguridad, además de análisis de amenazas a la ciberseguridad y soluciones para mitigarlas. Esta alianza cuenta con más de 700 instituciones miembros.

¿Por qué es importante la HECVAT?

Según una encuesta realizada en 2022 por la empresa de ciberseguridad Sophos, el 64% de las instituciones de educación superior experimentaron por lo menos un ataque de ransomware en 2021, en comparación con el 44% en 2020. Un impresionante 74% de estos ataques tuvieron éxito. Compare esta tasa de éxito con la media mundial del 65%.

Los ataques de ransomware tienen un impacto material en las organizaciones, especialmente en las de enseñanza superior. La encuesta de Sophos señala que casi todos los encuestados del sector público (97%) declararon que un ataque había afectado a su capacidad para operar, mientras que el 96% de los encuestados del sector privado afirmaron que un ataque había hecho que su institución perdiera negocio o ingresos.

¿Por qué son estas instituciones un objetivo tan apetecible para los delincuentes? Considere estos factores:

Tienen toneladas de datos. Los colegios mantienen una gran cantidad de datos personales sobre estudiantes y profesores, por no hablar de los datos de investigación de agencias gubernamentales y socios académicos.
Sus redes son más susceptibles a ataques. Las universidades más grandes y bien establecidas tienden a mantener sistemas heredados que a menudo tienen más vulnerabilidades que los sistemas modernos. Además, los numerosos dispositivos y programas personales y del campus que se conectan a estos sistemas presentan muchas oportunidades de ataque, especialmente si las personas que los utilizan priorizan la comodidad sobre la seguridad.
They have limited budgets. Public and private institutions alike often have limited budgets; they also tend to allocate financial resources to more visible, marketable departments (like athletics) over IT and cybersecurity.

With such troubling cybersecurity trends and the target factors above, it's no wonder why a security method like HECVAT is needed in higher ed. This toolkit enables colleges to save time, standardize their risk assessment of vendors, and ensure those vendors are appropriately assessed in the areas of security and privacy.

4 herramientas HECVAT

El conjunto de herramientas HECVAT incluye cuatro cuestionarios que permiten a las instituciones de enseñanza superior adoptar, aplicar y mantener un programa coherente de evaluación de riesgos y seguridad. Cada cuestionario representa un nivel de rigor diferente, y uno de ellos está pensado para uso interno.

Note: All current versions of these tools are available as downloadable Excel files on the EDUCAUSE HECVAT web page.

1. HECVAT - Triage

Unlike the Full, Lite, and On-Premise tools you'll learn about below, the Triage tool isn't meant for vendors to complete — this is a common misunderstanding of those not familiar with HECVAT. Instead, this tool is meant for internal "requesters," such as departments and individual faculty members who want to share institutional data with a third-party provider or software solution.

Through this tool, the requester documents and summarizes their data sharing intent, scope, elements, and technology requirements through about 35 questions across six categories such as use case, procurement, and institution technology. Completing the questionnaire is a prerequisite to IT initiating a risk and security assessment and using the other tools to assess vendors.

Here are a few example questions:

Provide a general summary of your department and the business area that will be housing institution data, utilizing the third-party software/service, and/or requesting integration with an institution's enterprise system(s).
Have you consulted with the institution's procurement professionals regarding this request for assessment?
Describe the institution's IT responsibilities in support of this third-party software/service, department application, or integration with an enterprise system.

2. HECVAT - Full

Designed to assess the most critical data-sharing engagements, the Full tool asks vendors for answers to over 250 questions about their practices across 20-plus categories, such as HIPAA, vulnerability scanning, documentation, and disaster recovery.

Here are a few example questions for the Full tool:

Do your workforce members receive regular training related to HIPAA Privacy and Security Rules and the HITECH Act?
¿Se han sometido sus sistemas y aplicaciones a una evaluación de seguridad por parte de terceros en el último año?
¿Tiene su organización un centro de recuperación de desastres o un proveedor contratado para recuperación de desastres?

3. HECVAT - Lite

This condensed version of the Full tool is used to expedite the vendor assessment process while still addressing key security concerns. Vendors complete the Lite tool, which includes about 100 questions across 12 categories, such as IT accessibility, systems management, data center, and incident handling.

Here are a few example questions from the Lite tool:

¿Ha realizado un experto externo una auditoría de accesibilidad de la versión más reciente de su producto?
Will the institution be notified of major changes to your environment that could impact the institution's security posture?
Does your company manage the physical data center where the institution's data will reside?
¿Tiene la capacidad de responder a incidentes en base a 24/7 x 365?

4. HECVAT - On-Premise

Like the Full and Lite tools, vendors complete the On-Premise tool, which assesses their risk. The questionnaire is shorter than those in the other tools and is tailored to on-premise solutions, with 70 questions across 10 categories.

Here are a few example questions from the On-Premise tool:

¿Admite la base de datos el cifrado de los elementos de datos especificados en el almacenamiento?
¿Se integran los principios de seguridad de la información en el ciclo de vida del producto?
¿Se emplea la detección de intrusiones basada en servidor?

Recursos adicionales HECVAT

Además de los cuestionarios, HECVAT ofrece otros dos recursos para las instituciones de enseñanza superior:

Índice de corredores comunitarios (CBI). El CBI aporta una lista permanentemente actualizada de proveedores dispuestos a compartir sus evaluaciones HECVAT completadas. Las instituciones de enseñanza superior pueden consultar esta lista para ahorrar tiempo a la hora de determinar soluciones de proveedores adaptadas al riesgo.
Users Community Group. This group provides higher ed institutions with a forum to share information, best practices, and strategies for using HECVAT.

¿Cómo puede utilizar en su campus una herramienta de recogida de datos compatible con HECVAT?

Jotform Enterprise is a powerful, easy-to-use data-collection tool for educators and administrators at major universities and grade schools alike. It's also listed in HECVAT's Community Broker Index, which means you can access its already-completed HECVAT assessments and save time in assessing risk.

¿Cómo puede Jotform ayudarle?

Los profesores pueden emplear Jotform para gestionar sus aulas y diseñar exámenes en línea, recopilar tareas o pedir a los padres que firmen permisos.
Los administradores pueden usar Jotform para gestionar tareas operativas como la elaboración de encuestas para medir la satisfacción de estudiantes o profesores o la aceptación de pagos en línea de cuotas y donaciones de antiguos estudiantes.

Jotform offers nearly 2,000 education form templates ranging from teacher evaluations and academic performance questionnaires to scholarship applications. You can build forms in just a few minutes.

Además de los formularios, los centros de enseñanza superior pueden beneficiarse de otras ventajas:

Accessibility. Jotform's forms are Level A and Level AA compliant with WCAG 2.1 standards, so you can create Section 508-friendly forms.
Signability. Collect e-signatures from students, parents, staff, and other key stakeholders using Jotform Sign. Automate the signing process to ensure all relevant parties see and sign your document in the right order.
Security. Your data is stored in a local data residency center with added SOC 2 compliance. You can also opt into HIPAA features if your campus collects sensitive health information from students or faculty.

Ensure your campus is on track for success with a HECVAT-friendly, affordable solution - education institutions are eligible for a significant discount! Get started with an education data-collection form today.