As of 2023, Jotform is proud to announce that we have completed the HECVAT self-assessment for Jotform Enterprise. You can create your education forms and appsC with peace of mind using Jotform Enterprise.
Les auto-évaluations HECVAT de Jotform sont disponibles sur le Cloud Broker Index de REN-ISAC.
Présentation
What is HECVAT? Though it may sound like one of those words you couldn't quite pronounce in your high-school German class, HECVAT is actually an American acronym related to information security in higher education.
Plus de 150 universités privées et publiques américaines, dont Carnegie Mellon, Princeton et Rice, utilisent la HECVAT comme moyen d'évaluer les risques liés aux fournisseurs.
But there's more to HECVAT than we can sum up in a single paragraph, which is why we created this detailed article. Keep reading to learn more about HECVAT and its assessment tools in the sections below.
Qu'est-ce que la HECVAT ?
HECVAT stands for the Higher Education Community Vendor Assessment Toolkit. The Higher Education Information Security Council (HEISC) created it in collaboration with the computer networking consortium Internet2 and cybersecurity alliance REN-ISAC.
The HECVAT is a suite of tools designed to help higher education institutions measure vendor risk with regard to information security. As part of the vendor evaluation process, colleges and universities may ask vendors to complete one of several HECVAT questionnaires to affirm that sufficient information and cybersecurity policies are in place to protect institutions' sensitive information and the personally identifiable information (PII) of students, staff, and other stakeholders.
À propos des collaborateurs HECVAT
Les questionnaires HECVAT sont des outils d'évaluation fiables car trois équipes expertes en réseaux d'information et en sécurité les ont développés en coopération :
- HEISC. Créé en 2000, le HEISC est une équipe de professionnels de la sécurité de l'information et de la confidentialité qui se consacrent à aider les établissements d'enseignement supérieur à améliorer la gouvernance de la sécurité de l'information, la conformité et la protection des données.
- Internet2. Formally titled the University Corporation for Advanced Internet Development (UCAID), Internet2 is a nonprofit consortium that includes higher education and research institutions, government entities, corporations, and cultural organizations. Its purpose is to provide a "secure high-speed network, cloud solutions, research support, and services tailored for research and education."
- REN-ISAC. Le Centre d'analyse et de partage d'informations des réseaux de recherche et d'éducation (Research and Education Networks Information Sharing and Analysis Center) est une alliance internationale qui fournit des rapports d'actualité, des alertes et des avis sur la cybersécurité, ainsi que des analyses des menaces de cybersécurité et des solutions d'atténuation. L'alliance compte plus de 700 institutions membres.
En quoi la HECVAT est-elle importante ?
Selon une étude réalisée en 2022 par l'entreprise de cybersécurité Sophos, 64 % des établissements d'enseignement supérieur ont subi au moins une attaque de ransomware en 2021, contre 44 % en 2020. Pas moins de 74 % de ces attaques ont réussi. Comparez ce taux de réussite à la moyenne mondiale de 65 %.
Les attaques de ransomwares ont un impact important sur les organisations, en particulier celles de l’enseignement supérieur. L'enquête Sophos indique que presque tous (97 %) les personnes interrogées dans l'enseignement supérieur du secteur public ont déclaré qu'une attaque avait eu un impact sur leur capacité à fonctionner, tandis que 96 % des personnes interrogées dans l'enseignement supérieur du secteur privé ont déclaré qu'une attaque avait entraîné une perte d'activité ou de revenus pour leur établissement.
Pourquoi les établissements d'enseignement représentent-ils une cible une cible privilégiée des attaquants de tous poils ? Voici quelques éléments à prendre en considération :
- Ils disposent de tonnes de données. Les établissements d'enseignement supérieur conservent une multitude de données personnelles sur les étudiants et les professeurs, sans parler des données de recherche provenant d'agences gouvernementales et de partenaires universitaires.
- Leurs réseaux sont plus susceptibles d'être attaqués. Les plus grands établissements les mieux établis ont tendance à conserver des systèmes existants qui présentent souvent plus de vulnérabilités que les systèmes modernes. En outre, les nombreux appareils et logiciels personnels et universitaires qui se connectent à ces systèmes présentent de nombreuses opportunités d'attaques, en particulier si les personnes qui les utilisent privilégient la commodité plutôt que la sécurité.
- They have limited budgets. Public and private institutions alike often have limited budgets; they also tend to allocate financial resources to more visible, marketable departments (like athletics) over IT and cybersecurity.
With such troubling cybersecurity trends and the target factors above, it's no wonder why a security method like HECVAT is needed in higher ed. This toolkit enables colleges to save time, standardize their risk assessment of vendors, and ensure those vendors are appropriately assessed in the areas of security and privacy.
4 outils HECVAT
La suite d'outils HECVAT comprend quatre questionnaires qui permettent aux établissements d'enseignement supérieur d'adopter, de mettre en œuvre et de maintenir un programme cohérent d'évaluation des risques et de la sécurité. Chaque questionnaire représente un niveau de rigueur différent, et l'un d'entre eux est même fait pour être utilisé en interne.
Note: All current versions of these tools are available as downloadable Excel files on the EDUCAUSE HECVAT web page.
Unlike the Full, Lite, and On-Premise tools you'll learn about below, the Triage tool isn't meant for vendors to complete — this is a common misunderstanding of those not familiar with HECVAT. Instead, this tool is meant for internal "requesters," such as departments and individual faculty members who want to share institutional data with a third-party provider or software solution.
Through this tool, the requester documents and summarizes their data sharing intent, scope, elements, and technology requirements through about 35 questions across six categories such as use case, procurement, and institution technology. Completing the questionnaire is a prerequisite to IT initiating a risk and security assessment and using the other tools to assess vendors.
Here are a few example questions:
- Provide a general summary of your department and the business area that will be housing institution data, utilizing the third-party software/service, and/or requesting integration with an institution's enterprise system(s).
- Have you consulted with the institution's procurement professionals regarding this request for assessment?
- Describe the institution's IT responsibilities in support of this third-party software/service, department application, or integration with an enterprise system.
Designed to assess the most critical data-sharing engagements, the Full tool asks vendors for answers to over 250 questions about their practices across 20-plus categories, such as HIPAA, vulnerability scanning, documentation, and disaster recovery.
Here are a few example questions for the Full tool:
- Do your workforce members receive regular training related to HIPAA Privacy and Security Rules and the HITECH Act?
- Vos systèmes et applications ont-ils fait l’objet d’une évaluation de sécurité par un tiers au cours de l’année écoulée ?
- Votre organisation dispose-t-elle d'un site de reprise après sinistre ou d'un fournisseur de reprise après sinistre sous contrat ?
This condensed version of the Full tool is used to expedite the vendor assessment process while still addressing key security concerns. Vendors complete the Lite tool, which includes about 100 questions across 12 categories, such as IT accessibility, systems management, data center, and incident handling.
Here are a few example questions from the Lite tool:
- Un expert tiers a-t-il réalisé un audit d'accessibilité de la version la plus récente de votre produit ?
- Will the institution be notified of major changes to your environment that could impact the institution's security posture?
- Does your company manage the physical data center where the institution's data will reside?
- Avez-vous la capacité de répondre aux incidents 24 heures sur 24, 7 jours sur 7, 365 jours par an ?
Like the Full and Lite tools, vendors complete the On-Premise tool, which assesses their risk. The questionnaire is shorter than those in the other tools and is tailored to on-premise solutions, with 70 questions across 10 categories.
Here are a few example questions from the On-Premise tool:
- La base de données prend-elle en charge le chiffrement des éléments de données spécifiés stockés ?
- Les principes de sécurité de l’information sont-ils intégrés au cycle de vie du produit ?
- Utilisez-vous une détection d'intrusion basée sur l'hôte ?
Ressources HECVAT complémentaires
La HECVAT propose deux autres ressources pour les établissements d'enseignement supérieur en plus des questionnaires :
- Community Broker Index (CBI). Le CBI fournit une liste régulièrement mise à jour des fournisseurs disposés à partager leurs évaluations HECVAT complétées. Les établissements d'enseignement supérieur peuvent se référer à cette liste pour gagner du temps lorsqu'ils cherchent des solutions appropriées aux risques encourus.
- Users Community Group. This group provides higher ed institutions with a forum to share information, best practices, and strategies for using HECVAT.
Comment utiliser un outil de collecte de données compatible HECVAT sur votre campus ?
Jotform Enterprise is a powerful, easy-to-use data-collection tool for educators and administrators at major universities and grade schools alike. It's also listed in HECVAT's Community Broker Index, which means you can access its already-completed HECVAT assessments and save time in assessing risk.
Que peut fait Jotform pour vous ?
- Les enseignants peuvent utiliser Jotform pour gérer leurs classes en concevant des tests en ligne, en collectant les devoirs ou en demandant aux parents de signer les autorisations.
- Les administrateurs peuvent utiliser Jotform pour gérer des tâches opérationnelles telles que la création d'enquêtes pour mesurer la satisfaction des étudiants ou la satisfaction des enseignants ou bien pour encaisser des paiements en ligne pour les frais de scolarité et les dons des anciens élèves.
Jotform offers nearly 2,000 education form templates ranging from teacher evaluations and academic performance questionnaires to scholarship applications. You can build forms in just a few minutes.
Les établissements d’enseignement supérieur peuvent bénéficier de plusieurs autres fonctionnalités clés en plus des formulaires :
- Accessibility. Jotform's forms are Level A and Level AA compliant with WCAG 2.1 standards, so you can create Section 508-friendly forms.
- Signability. Collect e-signatures from students, parents, staff, and other key stakeholders using Jotform Sign. Automate the signing process to ensure all relevant parties see and sign your document in the right order.
- Security. Your data is stored in a local data residency center with added SOC 2 compliance. You can also opt into HIPAA features if your campus collects sensitive health information from students or faculty.
Ensure your campus is on track for success with a HECVAT-friendly, affordable solution - education institutions are eligible for a significant discount! Get started with an education data-collection form today.