Introdução
O que é o HECVAT? Embora possa soar como uma daquelas palavras que você não conseguia pronunciar nas aulas de Alemão do ensino médio, HECVAT é na verdade um acrônimo americano relacionado à segurança da informação no ensino superior.
Mais de 150 universidades públicas e privadas de todo o país — incluindo Carnegie Melon, Princeton e Rice — utilizam o HECVAT como forma de avaliar o risco do fornecedor.
Mas há mais no HECVAT do que podemos resumir num único parágrafo, e é por isso que criamos este artigo detalhado. Continue lendo as sessões abaixo para saber mais sobre o HECVAT e suas ferramentas avaliativas.
O que é o HECVAT?
HECVAT significa Higher Education Community Vendor Assessment Toolkit (em português, Kit de Ferramentas para Avaliação de Fornecedores da Comunidade de Ensino Superior). O Conselho de Segurança da Informação do Ensino Superior (HEISC) criou-o em colaboração com o consórcio de redes informáticas Internet2 e a aliança de cibersegurança REN-ISAC.
O HECVAT é um conjunto de ferramentas concebido para ajudar as instituições de ensino superior a mensurar o risco do fornecedor no que diz respeito à segurança da informação. Como parte do processo de avaliação de fornecedores, faculdades e universidades podem solicitar aos fornecedores que preencham um dos diversos questionários HECVAT para afirmar que existem informações e políticas de segurança cibernética suficientes para proteger suas informações confidenciais e as informações de identificação pessoal (PII) de estudantes, funcionários e outras partes interessadas.
Sobre os Colaboradores do HECVAT
Os questionários HECVAT são ferramentas de avaliação confiáveis pois foram desenvolvidos de forma colaborativa por três equipes especializadas em redes de informações e segurança:
- HEISC. Fundado em 2000, o HEISC é uma equipe de profissionais de segurança da informação e privacidade dedicada a ajudar as instituições de ensino superior a melhorar sua governança de segurança da informação, conformidade e proteção de dados.
- Internet2. Formalmente intitulada University Corporation for Advanced Internet Development (em português, Corporação Universitária para o Desenvolvimento da Internet Avançada, ou UCAID), a Internet2 é um consórcio sem fins lucrativos que inclui instituições de ensino superior e de pesquisa, entidades governamentais, empresas e organizações culturais. Seu objetivo é fornecer uma "rede segura de alta velocidade, soluções em nuvem, suporte à pesquisa e serviços personalizados para pesquisa e educação".
- REN-ISAC. O Centro de Compartilhamento e Análise de Informações de Redes de Pesquisa e Educação é uma aliança internacional que fornece relatórios de notícias, alertas e orientações sobre segurança cibernética, juntamente com análises de ameaças à segurança cibernética e soluções de mitigação. A aliança possui mais de 700 instituições membros.
Por que o HECVAT é importante?
De acordo com uma pesquisa realizada em 2022 pela empresa de segurança cibernética Sophos, 64% das instituições de ensino superior sofreram pelo menos um ataque de ransomware em 2021, comparado a 44% em 2020. Um número impressionante de 74% desses ataques foi bem-sucedido. Compare essa taxa de sucesso com a média global de 65%.
Ataques de ransomware têm um impacto material nas organizações, especialmente nas de ensino superior. Uma pesquisa da Sophos observou que quase todos (97%) os entrevistados do ensino superior no setor público afirmaram que um ataque afetou sua capacidade de funcionamento, enquanto 96% dos entrevistados do ensino superior no setor privado disseram que um ataque fez com que sua instituição perdesse negócios ou receita.
Por que estas instituições são um alvo tão atraente para agentes mal-intencionados? Considere os seguintes fatores:
- Possuem toneladas de dados. Faculdades mantêm uma riqueza de dados pessoais sobre alunos e professores, sem mencionar dados de pesquisas de agências governamentais e parceiros acadêmicos.
- Suas redes são mais vulneráveis a ataques. Universidades maiores e bem estabelecidas tendem a manter sistemas legados que geralmente apresentam mais vulnerabilidades do que os sistemas modernos. Além disso, os diversos dispositivos e softwares pessoais e do campus que se conectam a esses sistemas apresentam muitas oportunidades de ataques, especialmente se os indivíduos que os utilizam priorizam a conveniência em detrimento da segurança.
- Têm orçamentos limitados. Tanto as instituições públicas como as privadas normalmente possuem orçamentos limitados; estas também tendem a alocar recursos financeiros para departamentos mais visíveis e comercializáveis – como o atletismo – em vez de TI e segurança cibernética.
Com essas preocupantes tendências de segurança cibernética e os fatores-alvo acima, não é de se admirar que um método de segurança como o HECVAT seja necessário no ensino superior. Esse kit de ferramentas permite que as universidades economizem tempo, padronizem a avaliação de riscos dos fornecedores e assegurem que esses fornecedores sejam avaliados adequadamente nas áreas de segurança e privacidade.
Ferramentas HECVAT
O conjunto de ferramentas HECVAT inclui quatro questionários que permitem às instituições de ensino superior adotar, implementar e manter um programa consistente de avaliação de riscos e segurança. Cada questionário representa um nível diferente de rigorosidade e um ainda é destinado ao uso interno.
Observação: Todas as versões atuais destas ferramentas estão disponíveis como arquivos Excel para download na página sobre HECVAT da EDUCAUSE.
1. HECVAT — Triage
Diferente das ferramentas Full, Lite e On-Premise que você conhecerá a seguir, a ferramenta Triage não é preenchida pelos fornecedores — esse é um equívoco comum de quem não está familiarizado com o HECVAT. Em vez disso, essa ferramenta é destinada a "solicitantes" internos, como departamentos e membros individuais do corpo docente que desejam compartilhar dados institucionais com um provedor ou solução de software de terceiros.
Através dessa ferramenta, o solicitante documenta e resume sua intenção, escopo, elementos e requisitos de tecnologia de compartilhamento de dados por meio de cerca de 35 perguntas em seis categorias, como caso de uso, aquisição e tecnologias da instituição. O preenchimento do questionário é um pré-requisito para que a TI possa iniciar uma avaliação de riscos e segurança e usar outras ferramentas para avaliar seus fornecedores.
Confira alguns exemplos de perguntas:
- Forneça um resumo geral do seu departamento e da área de negócios que abrigará os dados da instituição, utilizando o software/serviço de terceiros e/ou solicitando a integração com seu(s) sistema(s) corporativo(s).
- Você consultou os profissionais de aquisição da instituição a respeito dessa solicitação de avaliação?
- Descreva as responsabilidades de TI da instituição no suporte a esse software/serviço de terceiros, aplicativo departamental ou integração com um sistema corporativo.
2. HECVAT — Full
Projetada para avaliar as interações mais críticas de compartilhamento de dados, a ferramenta Full pede aos fornecedores respostas para mais de 250 perguntas sobre suas práticas em mais de 20 categorias, como HIPAA, verificação de vulnerabilidades, documentação e recuperação de desastres.
Confira alguns exemplos de perguntas para a ferramenta Full:
- Seu pessoal recebe treinamento regular relacionado às Regras de Privacidade e Segurança da HIPAA e à Lei HITECH?
- Seus sistemas e aplicativos passaram por uma avaliação de segurança de terceiros no último ano?
- Você foi submetido a uma auditoria SSAE 18/SOC 2?
- Sua organização possui um site de recuperação para desastres ou um provedor de recuperação para desastres contratado?
3. HECVAT — Lite
Essa versão condensada da ferramenta Full é usada para agilizar o processo de avaliação do fornecedor e, ao mesmo tempo, abordar as principais preocupações de segurança. Os fornecedores preenchem a ferramenta Lite, que inclui cerca de 100 perguntas em 12 categorias, como acessibilidade de TI, gestão de sistemas, data center e resolução de incidentes. Categorias como HIPAA e verificação de vulnerabilidades, que estão incluídas na opção Full, não fazem parte dessa ferramenta.
Confira alguns exemplos de perguntas da ferramenta Lite:
- Um especialista terceirizado conduziu uma auditoria de acessibilidade da versão mais recente do seu produto?
- A instituição será notificada sobre grandes alterações em seu ambiente que possam impactar sua postura de segurança?
- Sua empresa gerencia o data center físico onde os dados da instituição residirão?
- Você tem a capacidade de responder a incidentes 24 horas por dia, 7 dias por semana, 365 dias por ano?
4. HECVAT — On-Premise
Assim como as ferramentas Full e Lite, os fornecedores preenchem a ferramenta On-Premise, que avalia seus riscos. No entanto, o questionário é mais curto do que os das demais ferramentas e é adaptado às soluções locais. A ferramenta inclui 70 perguntas em 10 categorias, como banco de dados, políticas e firewalls.
Confira alguns exemplos de perguntas da ferramenta On-Premise:
- O banco de dados oferece suporte à criptografia de elementos de dados especificados no armazenamento?
- Os princípios de segurança da informação estão incluídos no ciclo de vida do produto?
- Você utiliza detecção de intrusão baseada em host?
Recursos Adicionais do HECVAT
Além dos questionários, o HECVAT oferece outros dois recursos para instituições de ensino superior:
- Community Broker Index (CBI). O CBI fornece uma lista atualizada de forma consistente de fornecedores dispostos a compartilhar suas avaliações HECVAT concluídas. Instituições de ensino superior podem consultar esta lista para economizar tempo na determinação de soluções de fornecedores adequadas ao risco.
- Grupo da Comunidade de Usuários. Este grupo oferece às instituições de ensino superior um fórum para o compartilhamento de informações, melhores práticas e estratégias de utilização do HECVAT.
Como você pode usar uma ferramenta de coleta de dados compatível com o HECVAT em seu campus?
Jotform Empresas é uma ferramenta de coleta de dados poderosa e fácil de usar para educadores e administradores das principais universidades e escolas primárias. Este também está listado no Community Broker Index do HECVAT, o que significa que você pode acessar suas avaliações HECVAT já concluídas e economizar tempo na avaliação de riscos.
Como Jotform pode funcionar para você?
- Professores podem usar Jotform para gerenciar suas salas de aula elaborando testes online, coletando tarefas de casa ou pedindo aos pais que assinem autorizações.
- Administradores podem usar Jotform para lidar com tarefas operacionais, como criar pesquisas para mensurar a satisfação dos alunos ou professores, ou ainda aceitar o pagamento online de taxas e doações de ex-alunos.
Jotform oferece cerca de 2.000 modelos de formulários educacionais que abrangem desde avaliações de professores e questionários de desempenho acadêmico até solicitações de bolsas de estudo. Você pode criar formulários em apenas alguns minutos.
Instituições de ensino superior podem tirar proveito de vários outros recursos importantes além dos formulários:
- Acessibilidade. Os formulários Jotform são compatíveis com os níveis A e AA dos padrões WCAG 2.1, logo, você pode criar formulários compatíveis com a Seção 508.
- Signabilidade. Colete assinaturas eletrônicas de alunos, pais, funcionários e outras partes interessadas usando Jotform Assinaturas. Automatize o processo de assinatura para garantir que todas as partes relevantes vejam e assinem seu documento na ordem correta.
- Segurança. Seus dados são armazenados em um centro de residência de dados local com conformidade com SOC 2 adicional. Você também pode optar por utilizar recursos compatíveis com a HIPAA se seu campus coletar informações médicas confidenciais de alunos ou professores.
Assegure que seu campus esteja no caminho certo para o sucesso com uma solução acessível e compatível com HECVAT – instituições de ensino são elegíveis para um desconto significativo! Comece hoje mesmo a usar um formulário para coleta de dados educacionais.