Introductie
Wat is HECVAT? Hoewel het misschien klinkt als een van die woorden die je in je Duitse les op de middelbare school niet helemaal kon uitspreken, is HECVAT eigenlijk een Amerikaanse afkorting die te maken heeft met informatiebeveiliging in het hoger onderwijs.
Meer dan 150 particuliere en openbare universiteiten in het hele land - waaronder Carnegie Mellon, Princeton en Rice - gebruiken HECVAT als een manier om leveranciersrisico's te beoordelen.
Maar er valt meer over HECVAT te vertellen dan we in één alinea kunnen samenvatten, daarom hebben we dit gedetailleerde artikel geschreven. Lees verder om meer te weten te komen over HECVAT en de beoordelingstools in de onderstaande secties.
Wat is HECVAT?
HECVAT staat voor de Higher Education Community Vendor Assessment Toolkit. De Higher Education Information Security Council (HEISC) heeft deze ontwikkeld in samenwerking met het computernetwerkenconsortium Internet2 en de cybersecurity-alliantie REN-ISAC.
De HECVAT is een reeks tools die zijn ontworpen om instellingen voor hoger onderwijs te helpen bij het meten van leveranciersrisico's met betrekking tot informatiebeveiliging. Als onderdeel van het leveranciersevaluatieproces kunnen hogescholen en universiteiten leveranciers vragen om een van de verschillende HECVAT-vragenlijsten in te vullen om te bevestigen dat er voldoende informatie- en cyberbeveiligingsbeleid is om de gevoelige informatie van instellingen en de persoonlijk identificeerbare informatie (PII) van studenten, medewerkers en andere belanghebbenden te beschermen.
Over HECVAT's medewerkers
HECVAT-vragenlijsten zijn betrouwbare evaluatietools omdat drie deskundige informatienetwerk- en beveiligingsteams ze gezamenlijk hebben ontwikkeld:
- HEISC. HEISC, opgericht in 2000, is een team van informatiebeveiligings- en privacyprofessionals die zich inzetten om hogeronderwijsinstellingen te helpen bij het verbeteren van informatiebeveiliging, compliance en gegevensbescherming.
- Internet2. Formeel bekend als de University Corporation for Advanced Internet Development (UCAID), Internet2 is een non-profitconsortium dat bestaat uit hoger onderwijs- en onderzoeksinstellingen, overheidsinstanties, bedrijven en culturele organisaties. Het doel is het leveren van een "veilig hogesnelheidsnetwerk, cloudoplossingen, onderzoeksondersteuning en diensten op maat voor onderzoek en onderwijs."
- REN-ISAC. Het Research and Education Networks Information Sharing and Analysis Center is een internationale alliantie die cyberbeveiligingsnieuws, waarschuwingen en adviezen verstrekt, samen met analyses van cyberbeveiligingsdreigingen en oplossingen voor risicobeperking. De alliantie heeft meer dan 700 aangesloten instellingen.
Waarom is HECVAT belangrijk?
Volgens een onderzoek uit 2022 van cyberbeveiligingsbedrijf Sophos heeft 64 procent van de hoger onderwijsinstellingen in 2021 ten minste één ransomware-aanval meegemaakt, een stijging ten opzichte van 44 procent in 2020. Een verbazingwekkende 74 procent van deze aanvallen was succesvol. Vergelijk dit succespercentage met het wereldwijde gemiddelde van 65 procent.
Ransomware-aanvallen hebben een materiële impact op organisaties, vooral die in het hoger onderwijs. Uit het Sophos-onderzoek blijkt dat bijna alle (97 procent) respondenten uit het hoger onderwijs in de publieke sector aangaven dat een aanval hun vermogen om te functioneren had beïnvloed, terwijl 96 procent van de respondenten uit het hoger onderwijs in de private sector zei dat een aanval ertoe leidde dat hun instelling zaken of inkomsten verloor.
Waarom zijn deze instellingen zo'n aantrekkelijk doelwit voor kwaadwillenden? Overweeg deze factoren:
- Ze hebben enorm veel gegevens. Hogescholen en universiteiten beheren een schat aan persoonlijke gegevens over studenten en docenten, om nog maar te zwijgen van onderzoeksgegevens van overheidsinstanties en academische partners.
- Hun netwerken zijn vatbaarder voor aanvallen. Grotere, gevestigde universiteiten hebben de neiging om verouderde systemen te behouden die vaak meer kwetsbaarheden hebben dan moderne systemen. Bovendien bieden de talrijke persoonlijke en campusapparaten en -software die verbinding maken met deze systemen veel mogelijkheden voor aanvallen, vooral als individuen die ze gebruiken gemak boven veiligheid stellen.
- Ze hebben beperkte budgetten. Zowel publieke als private instellingen hebben vaak beperkte budgetten; ze hebben ook de neiging om financiële middelen toe te wijzen aan meer zichtbare, vermarktbare afdelingen - zoals sport - in plaats van IT en cyberbeveiliging.
Met zulke verontrustende trends in cybersecurity en de bovengenoemde doelfactoren, is het geen wonder dat een beveiligingsmethode zoals HECVAT nodig is in het hoger onderwijs. Deze toolkit stelt hogescholen en universiteiten in staat om tijd te besparen, hun risicobeoordeling van leveranciers te standaardiseren en ervoor te zorgen dat deze leveranciers op passende wijze worden beoordeeld op het gebied van beveiliging en privacy.
4 HECVAT-tools
De HECVAT-toolset bevat vier vragenlijsten waarmee instellingen voor hoger onderwijs een consistent risico- en beveiligingsbeoordelingsprogramma kunnen invoeren, implementeren en onderhouden. Elke vragenlijst vertegenwoordigt een ander niveau van grondigheid, en één is eigenlijk bedoeld voor intern gebruik.
Let op: Alle huidige versies van deze tools zijn beschikbaar als downloadbare Excel-bestanden op de EDUCAUSE HECVAT webpagina.
1. HECVAT — Triage
In tegenstelling tot de volledige, Lite en On-Premise tools waarover u hieronder meer leert, is de Triage-tool niet bedoeld om door leveranciers te worden ingevuld - dit is een veel voorkomend misverstand bij mensen die niet bekend zijn met HECVAT. In plaats daarvan is deze tool bedoeld voor interne "aanvragers", zoals afdelingen en individuele faculteitsleden die institutionele gegevens willen delen met een externe provider of softwareoplossing.
Via deze tool documenteert en vat de aanvrager zijn intentie voor het delen van gegevens, de reikwijdte, elementen en technologische vereisten samen door middel van ongeveer 35 vragen verdeeld over zes categorieën zoals gebruiksscenario, inkoop en instituutstechnologie. Het invullen van de vragenlijst is een voorwaarde voor IT om een risico- en veiligheidsbeoordeling te starten en de andere tools te gebruiken om leveranciers te beoordelen.
Hier zijn een paar voorbeeldvragen:
- Geef een algemene samenvatting van uw afdeling en het bedrijfsonderdeel dat de instellingsgegevens zal huisvesten, de software/service van derden zal gebruiken en/of integratie met de bedrijfssystemen van de instelling aanvraagt.
- Hebt u overleg gehad met de inkoopprofessionals van de instelling over dit verzoek voor beoordeling?
- Beschrijf de IT-verantwoordelijkheden van de instelling ter ondersteuning van deze externe software/dienst, afdelingsapplicatie of integratie met een bedrijfssysteem.
2. HECVAT — Volledig
Het volledige hulpmiddel, ontworpen om de meest kritieke gegevensuitwisselingen te beoordelen, vraagt leveranciers om antwoorden op meer dan 250 vragen over hun werkwijzen in meer dan 20 categorieën, zoals HIPAA, kwetsbaarheidsscans, documentatie en noodherstel.
Hier zijn enkele voorbeeldvragen voor de volledige tool:
- Krijgen uw medewerkers regelmatig training met betrekking tot de HIPAA Privacy- en Beveiligingsregels en de HITECH-wet?
- Zijn uw systemen en applicaties in het afgelopen jaar onderworpen aan een externe veiligheidsbeoordeling?
- Heeft u een SSAE 18/SOC 2-audit ondergaan?
- Heeft uw organisatie een noodlocatie of een gecontracteerde aanbieder van noodherstel?
3. HECVAT — Lite
Deze verkorte versie van de volledige tool wordt gebruikt om het leveranciersbeoordelingsproces te versnellen, terwijl nog steeds belangrijke beveiligingskwesties worden aangepakt. Leveranciers vullen de Lite-tool in, die ongeveer 100 vragen bevat verdeeld over 12 categorieën, zoals IT-toegankelijkheid, systeembeheer, datacenter en incidentafhandeling. Categorieën zoals HIPAA en kwetsbaarheidsscans, die in de volledige tool zijn opgenomen, maken geen deel uit van deze tool.
Hier zijn enkele voorbeeldvragen uit de Lite-tool:
- Heeft een externe expert een toegankelijkheidsonderzoek uitgevoerd van de meest recente versie van uw product?
- Wordt de instelling op de hoogte gesteld van belangrijke wijzigingen in uw omgeving die van invloed kunnen zijn op de beveiligingspositie van de instelling?
- Beheert uw bedrijf het fysieke datacenter waar de gegevens van de instelling worden opgeslagen?
- Heeft u de mogelijkheid om 24 x 7 x 365 te reageren op incidenten?
4. HECVAT — On-Premise
Net als de Full- en Lite-tools vullen leveranciers de On-Premise-tool in, die hun risico beoordeelt. De vragenlijst is echter korter dan die in de andere tools en is afgestemd op on-premise oplossingen. De tool bevat 70 vragen verdeeld over 10 categorieën, zoals database, beleid en firewalls.
Hier zijn enkele voorbeeldvragen uit de On-Premise tool:
- Ondersteunt de database versleuteling van specifieke gegevenselementen in opslag?
- Zijn informatieveiligheidsprincipes ingebouwd in de levenscyclus van het product?
- Gebruikt u host-gebaseerde inbraakdetectie?
Aanvullende HECVAT-bronnen
HECVAT biedt twee andere hulpmiddelen voor hoger onderwijsinstellingen naast de vragenlijsten:
- Community Broker Index (CBI). De CBI biedt een constant bijgewerkte lijst van leveranciers die bereid zijn hun voltooide HECVAT-beoordelingen te delen. Hoger onderwijsinstellingen kunnen deze lijst raadplegen om tijd te besparen bij het bepalen van risicogeschikte leveranciersoplossingen.
- Gebruikerscommunitygroep. Deze groep biedt hoger onderwijsinstellingen een forum om informatie, best practices en strategieën te delen voor het gebruik van de HECVAT.
Hoe kunt u een HECVAT-vriendelijke tool voor gegevensverzameling gebruiken op uw campus?
Jotform Enterprise is een krachtige, gebruiksvriendelijke tool voor het verzamelen van gegevens voor docenten en beheerders van zowel grote universiteiten als basisscholen. Het staat ook vermeld in de Community Broker Index van HECVAT, wat betekent dat u toegang heeft tot de reeds voltooide HECVAT-beoordelingen en tijd kunt besparen bij het beoordelen van risico's.
Hoe kan Jotform voor u werken?
- Docenten kunnen Jotform gebruiken om hun klaslokalen te beheren door online toetsen te ontwerpen, huiswerkopdrachten te verzamelen, of ouders te vragen om toestemmingsformulieren te ondertekenen.
- Beheerders kunnen Jotform gebruiken voor operationele taken zoals het maken van enquêtes om de tevredenheid van studenten of docenten te meten of online betalingen te accepteren voor vergoedingen en donaties van alumni.
Jotform biedt bijna 2.000 onderwijsformuliersjablonen variërend van docentenevaluaties en academische prestatievragenlijsten tot studiebeurssollicitaties. Je kunt formulieren in slechts een paar minuten bouwen.
Hogeronderwijsinstellingen kunnen naast formulieren profiteren van verschillende andere belangrijke functies:
- Toegankelijkheid. De formulieren van Jotform voldoen aan Level A en Level AA van de WCAG 2.1-standaarden, zodat u Section 508-vriendelijke formulieren kunt maken.
- Ondertekenbaarheid. Verzamel e-handtekeningen van studenten, ouders, personeel en andere belangrijke belanghebbenden met behulp van Jotform Sign. Automatiseer het ondertekeningsproces om ervoor te zorgen dat alle betrokken partijen uw document in de juiste volgorde zien en ondertekenen.
- Beveiliging. Uw gegevens worden opgeslagen in een lokaal dataresidentiecentrum met extra SOC 2 compliance. U kunt ook kiezen voor HIPAA-functies als uw campus gevoelige gezondheidsinformatie verzamelt van studenten of faculteitsmedewerkers.
Zorg ervoor dat uw campus op koers ligt voor succes met een HECVAT-vriendelijke, betaalbare oplossing — onderwijsinstellingen komen in aanmerking voor een aanzienlijke korting! Begin vandaag nog met een formulier voor het verzamelen van onderwijsgegevens.