Pesquisa de site

Modelo gratuito: Kit de ferramentas de avaliação de fornecedores da comunidade de ensino superior

A Ferramenta de Avaliação de Fornecedores da Comunidade de Ensino Superior (HECVAT) é um modelo de avaliação de segurança projetado para simplificar e padronizar questões de segurança da informação e proteção de dados relacionadas a serviços em nuvem para o setor de ensino superior. O HECVAT opera como um modelo de avaliação de risco do fornecedor que incorpora requisitos de controle de segurança e práticas recomendadas para mitigar riscos de terceiros.

Nesta postagem do blog, exploraremos o que é HECVAT e como ele beneficia os usuários. Está incluído um modelo de questionário para provedores de soluções que se preparam para conformidade com o HECVAT ou instituições de ensino superior interessadas em gerenciamento de riscos de terceiros.

Saiba mais sobre como o UpGuard simplifica o gerenciamento de riscos do fornecedor >

O que é o Kit de Ferramentas de Avaliação de Fornecedores da Comunidade de Ensino Superior (HECVAT)?

O Kit de Ferramentas de Avaliação de Fornecedores da Comunidade de Ensino Superior (HECVAT) é um questionário que ajuda as instituições de ensino superior a avaliar as práticas de segurança da informação e proteção de dados de seus fornecedores de tecnologia, concentrando-se principalmente em provedores de serviços em nuvem e soluções SaaS. O Conselho de Segurança da Informação do Ensino Superior (HEISC) criou o HECVAT juntamente com o Grupo de Trabalho de Avaliações Compartilhadas e em colaboração com a Internet2 e a REN-ISAC sob a orientação da Educause.

O HECVAT agiliza o processo de avaliação, abordando as várias estruturas regulatórias e de melhores práticas que se aplicam à segurança de dados no ambiente de ensino superior, como FERPA, HIPAA e GLBA. Em particular, o HECVAT se alinha com os padrões estabelecidos pelo NIST e abrange áreas críticas como tecnologia da informação e proteção contra violações de dados. O HECVAT também padroniza a forma como as instituições avaliam o risco e a conformidade do fornecedor, facilitando a tomada de decisões informadas.

O que há no HECVAT?

O HECVAT inclui quatro tipos diferentes de questionários, incluindo:

  • HECVAT Full 3.04: Um questionário totalmente robusto usado para avaliar os compromissos de compartilhamento de dados mais críticos, especialmente adequado para autoavaliação abrangente
  • HECVAT Lite 3.04: Um questionário leve que agiliza o processo de avaliação de segurança
  • Triagem: Um questionário usado para iniciar solicitações de avaliação de risco/segurança e pode ser revisado para determinar os requisitos de avaliação
  • On-Premise: Um questionário específico usado para avaliar dispositivos e software no local

O HECVAT também inclui um Índice de Corretores da Comunidade (CBI). O CBI é uma ferramenta para avaliadores de segurança do ensino superior pesquisarem e avaliarem os serviços de segurança fornecidos por fornecedores atuais e potenciais. É uma lista atualizada de fornecedores que concluíram as avaliações HECVAT e estão dispostos a compartilhar seus resultados. Além disso, inclui uma lista de fornecedores que incorporaram o HECVAT em suas ferramentas ou serviços de gerenciamento de risco de nuvem, de terceiros ou de fornecedores. Essa lista de fornecedores ajuda os avaliadores a tomar decisões informadas sobre a escolha dos provedores de serviços de segurança certos.

Quem usa HECVAT?

Instituições de ensino superior, como faculdades e universidades, e provedores de soluções que oferecem serviços a essas instituições usam o HECVAT.

  • Faculdades e universidades: O HEISC projetou especificamente o questionário HECVAT para instituições de ensino superior, como faculdades e universidades, para medir o risco do fornecedor. Antes de comprar uma solução de terceiros, peça ao provedor de soluções para preencher uma ferramenta HECVAT. Isso ajuda faculdades e universidades a avaliar as informações, dados e políticas de segurança do fornecedor e determinar se é substancial o suficiente para proteger suas informações institucionais confidenciais e as PII dos constituintes.
  • Provedores de soluções: Para fornecedores que trabalham com faculdades e universidades, o preenchimento da ferramenta HCVAT mostra sua dedicação às informações, dados e políticas de segurança. Além disso, uma vez concluídos, os resultados são compartilhados no Cloud Broker Index, onde as instituições podem visualizar e agilizar os processos de aquisição com clientes de ensino superior.

Por que o HECVAT é importante?

O Kit de Ferramentas de Avaliação de Fornecedores da Comunidade de Ensino Superior (HECVAT) tem uma importância significativa para as instituições de ensino superior. Sua relevância decorre dos desafios e responsabilidades distintos que essas instituições enfrentam em termos de segurança de dados, conformidade e gerenciamento de fornecedores.

O HECVAT tem vários benefícios para instituições de ensino superior e fornecedores terceirizados. Esses incluem:

Aprimorando a postura de segurança cibernética

  • Padronização de avaliações de segurança: O HECVAT fornece uma estrutura padronizada para avaliar as políticas de segurança e privacidade dos fornecedores. Isso garante avaliações consistentes e completas de vários provedores de serviços.
  • Identificação e mitigação de riscos: O HECVAT usa questionários para identificar possíveis riscos de segurança e vulnerabilidades associadas a fornecedores terceirizados, o que é vital para proteger dados confidenciais e sistemas de TI contra violações e ameaças cibernéticas.

Conformidade e alinhamento regulatório

  • Conformidade regulatória: As instituições de ensino superior lidam com dados pessoais e financeiros confidenciais, sujeitando-os a requisitos regulatórios como FERPA, HIPAA e GDPR. O HECVAT ajuda os fornecedores a cumprir esses regulamentos, protegendo a conformidade institucional.
  • Adesão às melhores práticas: Ao avaliar os fornecedores com base em perguntas e critérios padrão do setor, as instituições podem garantir o alinhamento com as melhores práticas de segurança e privacidade de dados.

Eficiência operacional

  • Simplificando as avaliações do fornecedor: O kit de ferramentas simplifica a avaliação de segurança do fornecedor, economizando tempo e recursos para o ensino superior.
  • Facilitando a tomada de decisões informadas: O HECVAT ajuda as instituições a tomar decisões informadas sobre as posturas de segurança dos fornecedores.

Construindo confiança e transparência

  • Aumentando a confiança: A utilização do HECVAT pode aumentar a confiança de alunos, funcionários e partes interessadas na forma como a instituição gerencia relacionamentos com terceiros e protege os dados.
  • Transparência com fornecedores: O HECVAT promove relacionamentos transparentes e eficazes entre instituições e fornecedores por meio de um diálogo aberto sobre expectativas e desempenho de segurança.

Gestão de Riscos e Due Diligence

  • Gerenciamento proativo de riscos: O HECVAT permite que as instituições abordem os riscos associados à terceirização e ao manuseio de dados eletrônicos de forma proativa.
  • Due Diligence na Seleção de Fornecedores: O HECVAT fornece uma estrutura para realizar a devida diligência na seleção de fornecedores, garantindo que eles atendam aos padrões de segurança exigidos pela instituição.

Modelo gratuito: Questionário do Kit de Ferramentas de Avaliação de Fornecedores da Comunidade de Ensino Superior

O HECVAT Full 3.04 é um questionário completo e abrangente que abrange vários tópicos relevantes para a segurança da informação e dos dados para provedores de soluções de terceiros.

Para se preparar para este questionário, confira o modelo gratuito abaixo. Ele abrange todas as categorias do HECVAT Full 3.04, mas é resumido em três perguntas para que os fornecedores possam começar a avaliar sua postura de segurança e identificar áreas de melhoria antes de responder ao questionário completo.

Questionário do Kit de Ferramentas de Avaliação de Fornecedores da Comunidade de Ensino Superior

Qualificadores

Qual é o tamanho da sua empresa e quais são os principais serviços que você oferece às instituições de ensino superior?

  • [Campo de texto livre]

Há quanto tempo sua empresa atua no setor de ensino superior e que experiência relevante você tem?

  • [Campo de texto livre]

Você cumpre todas as leis e regulamentos aplicáveis nas jurisdições onde opera?

  • Sim
  • Não
  • [Campo de texto livre]

Visão geral da empresa

Você pode fornecer uma breve história e histórico de sua empresa?

  • Sim
  • Não
  • [Campo de texto livre]

Você pode fornecer documentos detalhando sua conformidade com os regulamentos relevantes de proteção de dados e privacidade?

  • Sim
  • Não
  • [Campo de texto livre]

Quem são seus principais clientes e em quais mercados ou setores você se concentra principalmente?

  • [Campo de texto livre]

documentação

Suas políticas, procedimentos e documentação de controle de segurança estão disponíveis para revisão?

  • Sim
  • Não
  • [Campo de texto livre]

Você pode fornecer documentos detalhando sua conformidade com os regulamentos relevantes de proteção de dados e privacidade?

  • Sim
  • Não
  • [Campo de texto livre]

Você tem planos de resposta a incidentes documentados e procedimentos de notificação de violação?

  • Sim
  • Não
  • [Campo de texto livre]

Acessibilidade de TI

>

Como seus serviços estão em conformidade com os padrões de acessibilidade, como WCAG e Seção 508?

  • [Campo de texto livre]

Quais recursos ou funções específicos oferecem suporte à acessibilidade em seus produtos ou serviços?

  • [Campo de texto livre]

Quais métodos de teste garantem a acessibilidade de seus produtos ou serviços?

  • [Campo de texto livre]

Avaliação de Terceiros

Como você avalia e gerencia os riscos associados a fornecedores terceirizados?

  • [Campo de texto livre]

Quais medidas garantem que os provedores terceirizados cumpram seus padrões de segurança e privacidade?

  • [Campo de texto livre]

Como os incidentes de segurança envolvendo terceiros são tratados e comunicados?

  • [Campo de texto livre]

Consultoria (se aplicável)

Quais serviços de consultoria vocês oferecem, especialmente segurança de TI e gerenciamento de riscos?

  • [Campo de texto livre]

Quais são as qualificações e experiência de sua equipe de consultoria?

  • [Campo de texto livre]

Como você gerencia projetos de consultoria para instituições de ensino superior?

  • [Campo de texto livre]

Segurança de aplicativos/serviços

Quais medidas de segurança você integrou em seu aplicativo ou serviço?

  • [Campo de texto livre]

Com que frequência você realiza testes de segurança e como as atualizações são gerenciadas?

  • [Campo de texto livre]

Você pode descrever seu ciclo de vida de desenvolvimento de software seguro?

  • Sim
  • Não
  • [Campo de texto livre]

Autenticação, autorização e contabilidade

Quais métodos de autenticação são usados, incluindo suporte para MFA e SSO?

  • [Campo de texto livre]

Como o acesso do usuário é controlado e as permissões gerenciadas com base nas funções?

  • [Campo de texto livre]

Como as atividades do usuário são monitoradas e quais métodos de registro ou auditoria são usados?

  • [Campo de texto livre]

Plano de Continuidade de Negócios

Você pode delinear seus planos de continuidade de negócios e recuperação de desastres?

  • Sim
  • Não
  • [Campo de texto livre]

Com que frequência esses planos são testados e atualizados?

  • [Campo de texto livre]

Quais estratégias estão em vigor para responder e minimizar interrupções de incidentes graves?

  • [Campo de texto livre]

Gerenciamento de mudanças

Como as alterações nos sistemas e serviços são gerenciadas?

  • [Campo de texto livre]

Quais processos estão em vigor para avaliação de impacto e testes antes de implementar mudanças?

  • [Campo de texto livre]

Como os clientes são informados sobre mudanças significativas?

  • [Campo de texto livre]

dados

Como os diferentes tipos de dados são gerenciados e classificados?

  • [Campo de texto livre]

Quais medidas, incluindo criptografia, são usadas para proteger os dados?

  • [Campo de texto livre]

Quais são suas políticas de retenção e descarte seguro de dados?

  • [Campo de texto livre]

Centro de dados

Quais controles de segurança estão em vigor em seus data centers?

  • [Campo de texto livre]

Quais controles ambientais e estratégias de mitigação de riscos são usados?

  • [Campo de texto livre]

Como o acesso físico aos data centers é controlado e monitorado?

  • [Campo de texto livre]

Firewalls, IDS, IPS e rede

Que tipos de firewalls, IDS e IPS são usados?

  • [Campo de texto livre]

Como a rede é segmentada e as áreas sensíveis protegidas?

  • [Campo de texto livre]

Como os incidentes de segurança de rede são detectados e gerenciados?

  • [Campo de texto livre]

Políticas, procedimentos e processos

Quais são as principais políticas de segurança e privacidade em vigor?

  • [Campo de texto livre]

Com que frequência as políticas são revisadas e atualizadas?

  • [Campo de texto livre]

Como a conformidade da equipe com as políticas é garantida e monitorada?

  • [Campo de texto livre]

Tratamento de incidentes

Como os possíveis incidentes de segurança são detectados e relatados em sua organização?

  • [Campo de texto livre]

Quais etapas são descritas em seu plano de resposta a incidentes, incluindo funções, responsabilidades e cronogramas?

  • [Campo de texto livre]

Como os clientes são notificados sobre incidentes e qual é o processo para resolver e aprender com esses incidentes?

  • [Campo de texto livre]

garantia da qualidade

Quais processos e padrões de garantia de qualidade são empregados em seu serviço ou desenvolvimento de produto?

  • [Campo de texto livre]

Como os testes são conduzidos para garantir a qualidade do produto e quais métodos de validação são usados?

  • [Campo de texto livre]

Como você incorpora feedback e resultados de testes de controle de qualidade para impulsionar a melhoria contínua em seus produtos ou serviços?

  • [Campo de texto livre]

Verificação de vulnerabilidades

Com que frequência você realiza verificações de vulnerabilidade e quais ferramentas ou tecnologias são utilizadas?

  • [Campo de texto livre]

Qual é o processo para lidar com vulnerabilidades descobertas durante as verificações?

  • [Campo de texto livre]

Qual é a sua política em relação à divulgação de vulnerabilidades para clientes e para o público?

  • [Campo de texto livre]

HIPAA

Que medidas e controles específicos você implementou para garantir a conformidade com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)?

  • [Campo de texto livre]

Como as informações de saúde protegidas (PHI) são gerenciadas e protegidas em seus sistemas?

  • [Campo de texto livre]

Como você garante que sua equipe seja treinada e esteja ciente dos requisitos da HIPAA e de suas responsabilidades no tratamento de PHI?

  • [Campo de texto livre]

PCI DSS

Qual nível de conformidade com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) seu serviço atende e qual é o escopo dessa conformidade?

  • [Campo de texto livre]

Como você protege os dados do titular do cartão de acordo com os requisitos do PCI DSS?

  • [Campo de texto livre]

Com que frequência são realizadas as avaliações do PCI DSS e você pode fornecer um atestado recente de documentos de conformidade?

  • [Campo de texto livre]

A solução de gerenciamento de risco do fornecedor da UpGuard, Vendor Risk, inclui questionários de segurança específicos do HECVAT para HECVAT full e HECVAT lite, permitindo que as entidades educacionais e seus fornecedores acompanhem os esforços de conformidade.

O Vendor Risk é nossa plataforma TPRM completa que permite controlar os processos de gerenciamento de risco do fornecedor da sua organização. O Vendor Risk permite automatizar seus fluxos de trabalho de avaliação de risco de terceiros e receber notificações em tempo real sobre a segurança de seus fornecedores em um painel centralizado. Os recursos adicionais de Risco do Fornecedor incluem:

  • Questionários de segurança: automatize questionários de segurança com fluxos de trabalho para obter insights mais profundos sobre a segurança de seus fornecedores e utilizar modelos e questionários personalizados para suas necessidades específicas
  • Classificações de segurança: entenda instantaneamente a postura de segurança de seus fornecedores com nossas classificações de segurança orientadas por dados, objetivas e dinâmicas
  • Avaliações de risco: Deixe-nos guiá-lo em cada etapa do caminho, desde a coleta de evidências, avaliação de riscos e solicitação de correção
  • Monitoramento do risco do fornecedor: monitore seus fornecedores diariamente e visualize os detalhes para entender quais riscos estão afetando a postura de segurança de um fornecedor
  • Relatórios e insights: A biblioteca de relatórios do UpGuard torna mais fácil e rápido o acesso a relatórios personalizados para diferentes partes interessadas
  • Riscos gerenciados de terceiros: deixe nossos analistas especializados gerenciarem seu programa de gerenciamento de riscos de terceiros e alocarem seus recursos de segurança

Artigos relacionados