Jotform Enterprise

HECVAT

Korkeakoulujen pilvipalvelutoimittajien arviointityökalupakki

Tietoja HECVATista

The Higher Education Community Vendor Assessment Toolkit, joka tunnetaan myös nimellä HECVAT, on itsearviointikyselyiden viitekehys, jota korkeakoulut käyttävät varmistaakseen, että niiden pilvipalvelu- ja ohjelmistotoimittajat täyttävät tietoturva- ja datastandardit. HECVATin on luonut Higher Education Information Security Council (HEISC) yhteistyössä organisaatioiden EDUCAUSE, Internet2 ja REN-ISAC kanssa. Arvioinnin työkalut on standardoitu varmistamaan, että suurin osa korkeakouluista noudattaa samoja tietoturvaprotokollia ja -käytäntöjä.

Jotform ilmoittaa ylpeänä suorittaneensa HECVAT-itsearvioinnin Jotform Enterpriselle vuonna 2023. Voit luoda koulutuslomakkeita ja -sovelluksia luottavaisin mielin käyttämällä Jotform Enterpriseä.

Jotformin HECVAT-itsearvioinnit ovat saatavilla REN-ISACin Cloud Broker Index -hakemistossa.

Ota yhteyttä myyntitiimiin

Mikä on HECVAT ja miksi se on tärkeä?

Johdanto

Mikä on HECVAT? Vaikka se saattaa kuulostaa yhdeltä niistä sanoista, joita et aivan osannut ääntää lukion saksantunnilla, HECVAT on itse asiassa amerikkalainen lyhenne, joka liittyy korkeakoulutuksen tietoturvaan.

Yli 150 yksityistä ja julkista yliopistoa ympäri maata – mukaan lukien Carnegie Mellon, Princeton ja Rice – käyttää HECVATia toimittajariskin arviointiin.

HECVAT on kuitenkin paljon muutakin kuin mitä yhteen kappaleeseen mahtuu, minkä vuoksi olemme kirjoittaneet tämän yksityiskohtaisen artikkelin. Jatka lukemista saadaksesi lisätietoja HECVATista ja sen arviointityökaluista seuraavissa osioissa.

Mikä on HECVAT?

HECVAT on lyhenne sanoista Higher Education Community Vendor Assessment Toolkit. Higher Education Information Security Council (HEISC) kehitti sen yhteistyössä tietokoneverkkojen konsortion Internet2:n ja kyberturvallisuusallianssin REN-ISACin kanssa.

HECVAT on työkalupakki, joka on suunniteltu auttamaan korkeakouluja arvioimaan toimittajien tietoturvariskejä. Osana toimittajien arviointiprosessia korkeakoulut voivat pyytää toimittajia täyttämään yhden useista HECVAT-kyselylomakkeista varmistaakseen, että käytössä on riittävät tieto- ja kyberturvallisuuskäytännöt oppilaitosten arkaluonteisten tietojen ja opiskelijoiden, henkilökunnan ja muiden sidosryhmien henkilökohtaisesti tunnistettavien tietojen (PII) suojaamiseksi.

Tietoja HECVATin yhteistyökumppaneista

HECVAT-kyselyt ovat luotettavia arviointityökaluja, koska kolme tietoverkko- ja tietoturva-alan asiantuntijatiimiä on kehittänyt ne yhteistyössä:

HEISC. Vuonna 2000 perustettu HEISC on tietoturvan ja tietosuojan ammattilaisten tiimi, joka on omistautunut auttamaan korkeakouluja parantamaan tietoturvan hallintoa, vaatimustenmukaisuutta ja tietosuojaa.
Internet2. Viralliselta nimeltään University Corporation for Advanced Internet Development (UCAID), Internet2 on voittoa tavoittelematon konsortio, johon kuuluu korkeakoulu- ja tutkimuslaitoksia, viranomaiselimiä, yrityksiä ja kulttuuriorganisaatioita. Sen tarkoituksena on tarjota ”turvallinen ja nopea verkko, pilviratkaisuja, tutkimustukea sekä tutkimukselle ja koulutukselle räätälöityjä palveluita.”
REN-ISAC. Tutkimus- ja koulutusverkostojen tiedonjako- ja analyysikeskus on kansainvälinen allianssi, joka tarjoaa kyberturvallisuusuutisia, hälytyksiä ja ohjeistuksia sekä analyysejä kyberuhkista ja niiden torjuntaratkaisuista. Allianssiin kuuluu yli 700 jäseninstituutiota.

Miksi HECVAT on tärkeä?

Tietoturvayhtiö Sophoksen vuoden 2022 tutkimuksen mukaan 64 prosenttia korkeakouluista koki vähintään yhden kiristyshaittaohjelmahyökkäyksen vuonna 2021, kun vastaava luku oli 44 prosenttia vuonna 2020. Peräti 74 prosenttia näistä hyökkäyksistä onnistui. Vertailun vuoksi maailmanlaajuinen onnistumisaste oli 65 prosenttia.

Kiristysohjelmahyökkäyksillä on merkittävä vaikutus organisaatioihin, erityisesti korkeakouluihin. Sophosin tutkimuksen mukaan lähes kaikki (97 prosenttia) julkisen sektorin korkeakoulujen vastaajista ilmoitti hyökkäyksen vaikuttaneen heidän toimintakykyynsä, kun taas 96 prosenttia yksityisen sektorin korkeakoulujen vastaajista kertoi hyökkäyksen aiheuttaneen heidän oppilaitokselleen liiketoiminnan tai tulojen menetyksiä.

Miksi nämä oppilaitokset ovat niin houkutteleva kohde pahantahtoisille toimijoille? Ota huomioon seuraavat tekijät:

Niillä on valtavasti dataa. Korkeakoulut säilyttävät runsaasti henkilötietoja opiskelijoista ja henkilökunnasta, puhumattakaan valtion virastoilta ja akateemisilta kumppaneilta saadusta tutkimusdatasta.
Heidän verkkonsa ovat alttiimpia hyökkäyksille. Suuremmat, vakiintuneet yliopistot ylläpitävät usein vanhoja järjestelmiä, joissa on usein enemmän haavoittuvuuksia kuin nykyaikaisissa järjestelmissä. Lisäksi lukuisat henkilökohtaiset ja kampuksen laitteet ja ohjelmistot, jotka yhdistyvät näihin järjestelmiin, tarjoavat monia mahdollisuuksia hyökkäyksille, erityisesti jos niitä käyttävät henkilöt asettavat mukavuuden turvallisuuden edelle.
Niillä on rajalliset budjetit. Sekä julkisilla että yksityisillä oppilaitoksilla on usein rajalliset budjetit; niillä on myös tapana kohdentaa taloudellisia resursseja näkyvämpiin, markkinoitavampiin osastoihin – kuten urheiluun – IT-alan ja kyberturvallisuuden kustannuksella.

Huolestuttavien kyberturvallisuustrendien ja edellä mainittujen riskitekijöiden vuoksi ei ole ihme, että HECVATin kaltaiselle turvallisuusmenetelmälle on tarvetta korkeakouluissa. Tämän työkalupakin avulla korkeakoulut voivat säästää aikaa, yhdenmukaistaa toimittajien riskinarvioinnin ja varmistaa, että toimittajat arvioidaan asianmukaisesti tietoturvan ja tietosuojan osalta.

4 HECVAT-työkalua

HECVAT-työkalupakki sisältää neljä kyselylomaketta, joiden avulla korkeakoulut voivat ottaa käyttöön, toteuttaa ja ylläpitää yhdenmukaisen riskien ja tietoturvan arviointiohjelman. Jokainen kyselylomake edustaa eri vaativuustasoa, ja yksi niistä on itse asiassa tarkoitettu sisäiseen käyttöön.

Huom: Kaikki näiden työkalujen nykyiset versiot ovat saatavilla ladattavina Excel-tiedostoina EDUCAUSE HECVAT -verkkosivulla.

1. HECVAT – Triage

Toisin kuin jäljempänä esiteltävät Full-, Lite- ja On-Premise-työkalut, Triage-työkalu ei ole tarkoitettu toimittajien täytettäväksi – tämä on yleinen väärinkäsitys niiden parissa, jotka eivät tunne HECVATia. Sen sijaan tämä työkalu on tarkoitettu sisäisille ”pyytäjille”, kuten laitoksille ja yksittäisille henkilökunnan jäsenille, jotka haluavat jakaa oppilaitoksen tietoja kolmannen osapuolen palveluntarjoajan tai ohjelmistoratkaisun kanssa.

Tämän työkalun avulla pyytäjä dokumentoi ja tiivistää tiedonjaon tarkoituksen, laajuuden, osatekijät ja teknologiavaatimukset vastaamalla noin 35 kysymykseen, jotka on jaettu kuuteen kategoriaan, kuten käyttötapaus, hankinta ja oppilaitoksen teknologia. Kyselyn täyttäminen on edellytys sille, että IT-osasto voi aloittaa riski- ja turvallisuusarvioinnin ja käyttää muita työkaluja toimittajien arviointiin.

Tässä on muutamia esimerkkikysymyksiä:

Anna yleiskuvaus osastostasi ja liiketoiminta-alueesta, mukaan lukien oppilaitoksen tietojen säilytys, kolmannen osapuolen ohjelmiston/palvelun hyödyntäminen ja/tai integraation pyytäminen oppilaitoksen yritysjärjestelmiin.
Oletko konsultoinut oppilaitoksen hankinta-ammattilaisia tästä arviointipyynnöstä?
Kuvaile oppilaitoksen IT-vastuita tämän kolmannen osapuolen ohjelmiston/palvelun, osaston sovelluksen tai yritysjärjestelmään integroinnin tukemiseksi.

2. HECVAT — Täysi

Full-työkalu on suunniteltu arvioimaan kriittisimpiä tiedonjakotilanteita, ja se pyytää toimittajilta vastauksia yli 250 kysymykseen heidän käytännöistään yli 20 kategoriassa, kuten HIPAA, haavoittuvuusskannaus, dokumentaatio ja katastrofista toipuminen.

Tässä on muutama Full-työkalun esimerkkikysymys:

Saako henkilöstönne säännöllistä koulutusta, joka liittyy HIPAA:n tietosuoja- ja turvallisuussääntöihin sekä HITECH-lakiin?
Onko järjestelmillenne ja sovelluksillenne tehty kolmannen osapuolen tietoturva-arviointi viimeisen vuoden aikana?
Oletteko läpikäyneet SSAE 18/SOC 2 -auditoinnin?
Onko organisaatiollanne katastrofipalautuskeskusta tai sopimuksellista katastrofipalautuspalvelun tarjoajaa?

3. HECVAT — Lite

Tätä Full-työkalun tiivistettyä versiota käytetään nopeuttamaan toimittajien arviointiprosessia, mutta se käsittelee silti keskeisiä tietoturvakysymyksiä. Toimittajat täyttävät Lite-työkalun, joka sisältää noin 100 kysymystä 12 luokassa, kuten IT-saavutettavuus, järjestelmien hallinta, konesali ja häiriötilanteiden hallinta. Luokat, kuten HIPAA ja haavoittuvuusskannaus, jotka sisältyvät Full-työkaluun, eivät kuulu tähän työkaluun.

Tässä on muutamia esimerkkikysymyksiä Lite-työkalusta:

Onko kolmannen osapuolen asiantuntija tarkastanut tuotteenne uusimman version saavutettavuuden?
Ilmoitetaanko oppilaitokselle merkittävistä ympäristöönne tehtävistä muutoksista, jotka voivat vaikuttaa oppilaitoksen tietoturva-asemaan?
Hallinnoiko yrityksenne fyysistä konesalia, jossa oppilaitoksen tietoja säilytetään?
Pystyttekö vastaamaan häiriötilanteisiin 24 x 7 x 365?

4. HECVAT — Paikallinen

Full- ja Lite-työkalujen tapaan toimittajat täyttävät On-Premise-työkalun, jolla arvioidaan heidän riskinsä. Kysely on kuitenkin lyhyempi kuin muissa työkaluissa, ja se on räätälöity paikallisiin ratkaisuihin. Työkalu sisältää 70 kysymystä 10 kategoriassa, kuten tietokanta, käytännöt ja palomuurit.

Tässä on muutamia esimerkkikysymyksiä On-Premise-työkalusta:

Tukeeko tietokanta määritettyjen dataelementtien salausta tallennustilassa?
Onko tietoturvaperiaatteet huomioitu tuotteen elinkaaren suunnittelussa?
Onko teillä käytössä isäntäpohjainen tunkeutumisen tunnistus?

HECVATin lisäresurssit

HECVAT tarjoaa korkeakouluille kyselylomakkeiden lisäksi kaksi muuta resurssia:

Community Broker Index (CBI). CBI tarjoaa jatkuvasti päivittyvän luettelon toimittajista, jotka ovat halukkaita jakamaan täyttämänsä HECVAT-arvioinnit. Korkeakoulut voivat luettelon avulla säästää aikaa tunnistaessaan riskitasoltaan sopivia toimittajaratkaisuja.
Käyttäjäyhteisö. Tämä ryhmä tarjoaa korkeakouluille foorumin, jossa ne voivat jakaa tietoja, parhaita käytäntöjä ja strategioita HECVAT:n käyttöön.

Miten voit käyttää HECVAT-ystävällistä tietojenkeruutyökalua kampuksellasi?

Jotform Enterprise on tehokas ja helppokäyttöinen tiedonkeruutyökalu opettajille ja hallintohenkilöstölle niin suurissa yliopistoissa kuin peruskouluissakin. Se on myös listattu HECVATin Community Broker Index -luettelossa, mikä tarkoittaa, että pääset käsiksi sen jo valmiiksi tehtyihin HECVAT-arviointeihin ja säästät aikaa riskien arvioinnissa.

Miten voit hyödyntää Jotformia?

Opettajat voivat käyttää Jotformia luokkahuoneidensa hallintaan suunnittelemalla verkkokokeita, keräämällä kotitehtäviä tai pyytämällä vanhempia allekirjoittamaan lupalappuja.
Järjestelmänvalvojat voivat Jotformin avulla hoitaa operatiivisia tehtäviä, kuten luoda kyselyitä, joilla mitataan opiskelijoiden tai opettajien tyytyväisyyttä, tai vastaanottaa maksuja ja alumnien lahjoituksia verkossa.

Jotform tarjoaa lähes 2 000 koulutuslomakepohjaa aina opettajien arvioinneista ja opintomenestyskyselyistä apurahahakemuksiin. Voit luoda lomakkeita vain muutamassa minuutissa.

Korkeakoulut voivat hyödyntää lomakkeiden lisäksi useita muita keskeisiä ominaisuuksia:

Saavutettavuus. Jotformin lomakkeet ovat WCAG 2.1 -standardien tason A ja AA mukaisia, joten voit luoda Section 508 -yhteensopivia lomakkeita.
Sähköiset allekirjoitukset. Kerää sähköisiä allekirjoituksia opiskelijoilta, vanhemmilta, henkilökunnalta ja muilta tärkeiltä sidosryhmiltä Jotform Signin avulla. Automatisoi allekirjoitusprosessi varmistaaksesi, että kaikki asiaankuuluvat osapuolet näkevät ja allekirjoittavat asiakirjasi oikeassa järjestyksessä.
Tietoturva. Datanne tallennetaan SOC 2 -yhteensopivaan paikalliseen datakeskukseen. Voitte myös ottaa käyttöön HIPAA-ominaisuudet, jos kampuksenne kerää arkaluontoisia terveystietoja opiskelijoilta tai henkilökunnalta.

Varmista kampuksesi menestys HECVAT-yhteensopivalla ja edullisella ratkaisulla — oppilaitokset ovat oikeutettuja merkittävään alennukseen! Aloita koulutusalan tietojenkeruulomakkeella jo tänään.