Jotform Empresarial

HECVAT

Herramienta de evaluación de proveedores en la nube de educación superior

Sobre HECVAT

La Herramienta de Evaluación de Proveedores Comunitarios de Educación Superior, también conocido como HECVAT, es un marco de cuestionario de autoevaluación utilizado por las instituciones de educación superior para garantizar que sus proveedores de software y servicios en la nube cumplan con los estándares de seguridad y datos. HECVAT fue creado por el Consejo de Seguridad de la Información de Educación Superior (HEISC), con la ayuda de EDUCAUSE, Internet2 y REN-ISAC. Las herramientas en la evaluación están estandarizadas para garantizar que la mayoría de las instituciones de educación superior sigan los mismos protocolos y prácticas de seguridad.

A partir de 2023, Jotform se enorgullece de anunciar que completamos la autoevaluación HECVAT para Jotform Empresarial. Puede crear sus formularios y aplicaciones de educación con tranquilidad utilizando Jotform Empresarial.

Las autoevaluaciones HECVAT de Jotform están disponibles en el Cloud Broker Index de REN-ISAC.

Contactar con ventas

¿Qué es HECVAT, y por qué es tan importante?

Introducción

¿Qué es la HECVAT? Aunque puede sonar como una de esas palabras que no pudo pronunciar en sus clases de alemán de su escuela, HECVAT es en realidad un acrónimo americano relacionado a la seguridad de la educación en la educación superior.

Más de 150 universidades privadas y públicas de todo el país -entre ellas Carnegie Mellon, Princeton y Rice- utilizan HECVAT para evaluar el riesgo de los proveedores.

Pero HECVAT es mucho más de lo que podemos resumir en un solo párrafo, y por eso hemos creado este artículo detallado. Sigue leyendo para saber más sobre HECVAT y sus herramientas de evaluación en las secciones siguientes.

¿Qué es HECVAT?

HECVAT son las siglas de Higher Education Community Vendor Assessment Toolkit (Herramienta de evaluación de proveedores en la nube de educación superior). El Consejo de seguridad de la información para la educación superior(HEISC) lo creó en colaboración con el consorcio de redes informáticas Internet2 y la alianza de ciberseguridad REN-ISAC.

La suite HECVAT es un conjunto de herramientas diseñadas para ayudar a las instituciones de enseñanza superior a medir el riesgo de los proveedores en relación con la seguridad de la información. Como parte del proceso de evaluación de proveedores, las facultades y universidades pueden pedir a los proveedores que cumplimenten uno de los varios cuestionarios HECVAT para afirmar que existen suficientes políticas de información y ciberseguridad para proteger la información sensible de las instituciones y la información de identificación personal (IIP) de los estudiantes, el personal y otras partes interesadas.

Acerca de los colaboradores de HECVAT

Los cuestionarios HECVAT son herramientas de evaluación confiables porque tres equipos expertos en redes y seguridad de la información los han desarrollaron de forma conjunta:

HEISC. Fundado en 2000, HEISC es un equipo de profesionales de seguridad de la información y la privacidad, dedicado a ayudar a las instituciones de enseñanza superior a mejorar la gobernanza de la seguridad de la información, el cumplimiento y la protección de datos.
Internet2. Formalmente denominada Corporación Universitaria para el Desarrollo Avanzado de Internet (UCAID, por sus siglas en inglés), Internet2 es un consorcio sin ánimo de lucro que incluye instituciones de enseñanza superior e investigación, entidades gubernamentales, empresas y organizaciones culturales. Su objetivo es proporcionar una "red segura de alta velocidad, soluciones en la nube, apoyo a la investigación y servicios adaptados a la investigación y la educación".
REN-ISAC. El Centro de análisis e intercambio de información de redes de investigación y educación es una alianza internacional que proporciona noticias, alertas y avisos sobre ciberseguridad, junto con análisis de las amenazas a la ciberseguridad y soluciones para mitigarlas. La alianza cuenta con más de 700 instituciones miembros.

¿Por qué es importante la HECVAT?

Según una encuesta realizada en 2022 por la empresa de ciberseguridad Sophos, el 64% de las instituciones de educación superior experimentaron al menos un ataque de ransomware en 2021, frente al 44% en 2020. Un asombroso 74% de estos ataques tuvieron éxito. Compare esta tasa de éxito con la media mundial del 65%.

Los ataques de ransomware tienen un impacto material en las organizaciones, especialmente en las de enseñanza superior. La encuesta de Sophos señala que casi todos los encuestados del sector público (97%) declararon que un ataque había afectado a su capacidad para operar, mientras que el 96% de los encuestados del sector privado afirmaron que un ataque había hecho que su institución perdiera negocio o ingresos.

¿Por qué son estas instituciones un objetivo tan apetecible para los delincuentes? Considere estos factores:

Tienen toneladas de datos. Los colegios mantienen una gran cantidad de datos personales sobre estudiantes y profesores, por no hablar de los datos de investigación de agencias gubernamentales y socios académicos.
Sus redes son más susceptibles a ataques. Las universidades más grandes y bien establecidas tienden a mantener sistemas heredados que a menudo tienen más vulnerabilidades que los sistemas modernos. Además, los numerosos dispositivos y programas personales y del campus que se conectan a estos sistemas presentan muchas oportunidades de ataque, especialmente si las personas que los utilizan priorizan la comodidad sobre la seguridad.
Tienen presupuestos limitados. Tanto las instituciones públicas como las privadas suelen tener presupuestos limitados; también tienden a asignar recursos financieros a departamentos más visibles y comercializables — como el atletismo — en detrimento de las TI y la ciberseguridad.

Con tales tendencias preocupantes de ciberseguridad y los factores mencionados anteriormente, no es de extrañar por qué un método de seguridad como HECVAT es necesario en la educación superior. Este conjunto de herramientas permite a las universidades ahorrar tiempo, estandarizar su evaluación de riesgos de los proveedores y garantizar que estos se evalúan adecuadamente en las áreas de seguridad y privacidad.

4 herramientas HECVAT

El conjunto de herramientas HECVAT incluye cuatro cuestionarios que permiten a las instituciones de enseñanza superior adoptar, aplicar y mantener un programa coherente de evaluación de riesgos y seguridad. Cada cuestionario representa un nivel de rigor diferente, y uno de ellos está pensado para uso interno.

Nota: Todas las versiones actuales de estas herramientas están disponibles para descargarse como archivos de Excel en la página web de EDUCAUSE HECVAT.

1. HECVAT — Clasificación

A diferencia de las herramientas Full, Lite y On-Premise, que se describen a continuación, la herramienta Triage no está pensada para que la completen los proveedores, algo que suelen malinterpretar quienes no están familiarizados con HECVAT. En su lugar, esta herramienta está destinada a "solicitantes" internos, como departamentos y profesores individuales que desean compartir datos institucionales con un proveedor externo o una solución de software.

Mediante esta herramienta, el solicitante documenta y resume su intención de compartir datos, alcance, elementos y requisitos tecnológicos a través de unas 35 preguntas en seis categorías, como caso de uso, adquisición y tecnología de la institución. La cumplimentación del cuestionario es un requisito previo para que el departamento de TI inicie una evaluación de riesgos y seguridad y utilice las demás herramientas para evaluar a los proveedores.

He aquí algunas preguntas de ejemplo:

Proporcione un resumen general de su departamento y del área de negocio que albergará los datos de la institución, utilizará el software/servicio de terceros y/o solicitará la integración con uno o varios sistemas empresariales de la institución.
¿Ha consultado a los profesionales de contratación de la institución acerca de esta solicitud de evaluación?
Describa las responsabilidades informáticas de la institución en apoyo de este software/servicio de terceros, aplicación de departamento o integración con un sistema de empresa.

2. HECVAT — Completo

Diseñada para evaluar los compromisos de intercambio de datos más críticos, la herramienta Full pide a los proveedores que respondan a más de 250 preguntas sobre sus prácticas en más de 20 categorías, como HIPAA, exploración de vulnerabilidades, documentación y recuperación ante desastres.

He aquí algunos ejemplos de preguntas para la herramienta completa:

¿Reciben sus empleados formación periódica relacionada con las normas de privacidad y seguridad de la HIPAA y la Ley HITECH?
¿Se han sometido sus sistemas y aplicaciones a una evaluación de seguridad por parte de terceros en el último año?
¿Se ha sometido a una auditoría SSAE 18/SOC 2?
¿Tiene su organización un centro de recuperación de desastres o un proveedor contratado para recuperación de desastres?

3. HECVAT — Lite

Esta versión condensada de la herramienta completa se utiliza para agilizar el proceso de evaluación de proveedores sin dejar de abordar los principales problemas de seguridad. Los proveedores completan la herramienta Lite, que incluye unas 100 preguntas en 12 categorías, como accesibilidad de TI, gestión de sistemas, centro de datos y gestión de incidentes. Categorías como HIPAA y análisis de vulnerabilidades, que se incluyen en la herramienta completa, no forman parte de esta herramienta.

Aquí tienen unos ejemplos de preguntas de la herramienta Lite:

¿Ha realizado un experto externo una auditoría de accesibilidad de la versión más reciente de su producto?
¿Se notificarán a la institución los cambios importantes en su entorno que puedan afectar a la postura de seguridad de la institución?
¿Su empresa administra el centro de datos físico donde residirán los datos de la institución?
¿Tiene la capacidad de responder a incidentes en base a 24/7 x 365?

4. HECVAT — In-Situ

Al igual que las herramientas Full y Lite, los proveedores completan la herramienta On-Premise, que evalúa su riesgo. Sin embargo, el cuestionario es más breve que los de las otras herramientas y está adaptado a las soluciones locales. La herramienta incluye 70 preguntas en 10 categorías, como base de datos, políticas y cortafuegos.

He aquí algunos ejemplos de preguntas de la herramienta On-Premise:

¿Admite la base de datos el cifrado de los elementos de datos especificados en el almacenamiento?
¿Se integran los principios de seguridad de la información en el ciclo de vida del producto?
¿Se emplea la detección de intrusiones basada en servidor?

Recursos adicionales HECVAT

Además de los cuestionarios, HECVAT ofrece otros dos recursos para las instituciones de enseñanza superior:

Índice de corredores comunitarios(CBI). El CBI proporciona una lista constantemente actualizada de proveedores dispuestos a compartir sus evaluaciones HECVAT completadas. Las instituciones de educación superior pueden consultar esta lista para ahorrar tiempo a la hora de determinar soluciones de proveedores adecuadas al riesgo.
Grupo de la comunidad de usuarios. Este grupo ofrece a las instituciones de enseñanza superior un foro para compartir información, buenas prácticas y estrategias para utilizar la HECVAT.

¿Cómo puede utilizar en su campus una herramienta de recogida de datos compatible con HECVAT?

Jotform Empresarial es una herramienta de recopilación de datos potente y fácil de usar para educadores y administradores de las principales universidades y escuelas primarias por igual. También figura en el índice de corredores comunitarios de HECVAT, lo que significa que puede acceder a sus evaluaciones HECVAT ya realizadas y ahorrar tiempo en la evaluación de riesgos.

¿Cómo puede Jotform ayudarle?

Los profesores pueden utilizar Jotform para gestionar sus aulas diseñando exámenes en línea, recopilando tareas o pidiendo a los padres que firmen permisos.
Los administradores pueden utilizar Jotform para gestionar tareas operativas como la elaboración de encuestas para medir la satisfacción de alumnos o profesores o la aceptación de pagos en línea de cuotas y donaciones de antiguos alumnos.

Jotform ofrece cerca de 2,000 plantillas de formularios para educación que van desde evaluaciones de profesores y cuestionarios de rendimiento académico hasta solicitudes de becas. Puede crear formularios en solo unos minutos.

Además de los formularios, los centros de enseñanza superior pueden beneficiarse de otras ventajas:

Accessibilidad. Los formularios de Jotform son Nivel A y Nivel AA que cumplen con los estándares WCAG 2.1, por lo que puede crear formularios amigables con la Sección 508.
Capacidad de firma. Recopile firmas electrónicas de estudiantes, padres, personal y otras partes interesadas utilizando Jotform Firmas. Automatice el proceso de firma para garantizar que todas las partes relevantes vean y firmen su documento en el orden correcto.
Seguridad. Sus datos se almacenan en un centro local de residencia de datos con cumplimiento SOC 2 añadido. También puede optar por las funciones HIPAA si su campus recopila información sanitaria confidencial de estudiantes o profesores.

Asegúrese de que su campus se encamina hacia el éxito con una solución asequible y compatible con HECVAT: ¡los centros educativos pueden beneficiarse de un importante descuento! Empiece hoy mismo con un formulario de recogida de datos sobre educación.