Pesquisa de site

O que é HECVAT? Protegendo os alunos contra riscos de segurança do fornecedor

A Ferramenta de Avaliação de Fornecedores da Comunidade de Ensino Superior (HECVAT) é um modelo de avaliação de segurança que tenta generalizar questões e questões de segurança da informação e proteção de dados do ensino superior relacionadas a serviços em nuvem para consistência e facilidade de uso.

O HECVAT tem três versões gratuitas mapeadas para estruturas populares de segurança cibernética, incluindo ISO 27002, NIST CSF, NIST 800-171 e PCI DSS.

  • Versão original: 265 perguntas, incluindo perguntas de qualificação para HIPAA e PCI-DSS opt-in
  • Versão leve: Um questionário leve usado para agilizar o processo
  • No local: um questionário exclusivo usado para avaliar aplicativos e software no local

Como muitos modelos de avaliação de risco de fornecedores, o HECVAT combina as melhores práticas de gerenciamento de risco do fornecedor e requisitos comuns de controle de segurança para reduzir os riscos de terceiros.

Acompanhe a conformidade com o HECVAT com esta lista de verificação gratuita >

Por que o HECVAT foi criado?

A criação da Ferramenta de Avaliação de Fornecedores de Nuvem de Ensino Superior (HECVAT), que agora foi renomeada para Ferramenta de Avaliação de Fornecedores da Comunidade de Ensino Superior (HECVAT) para refletir melhor o uso pretendido além da nuvem, foi impulsionada pelas seguintes tendências:

  • O número crescente de fornecedores terceirizados que a universidade ou faculdade média usa
  • A necessidade de proteger as PII dos constituintes devido ao número crescente de leis extraterritoriais de proteção de dados, como PIPEDA, GDPR, LGPD, a Lei SHIELD e FIPA
  • A tendência crescente de violações de dados causadas por processos de aquisição inseguros.
  • A necessidade de proteger informações institucionais e dados sensíveis
  • O aumento do tamanho e da frequência de violações de dados e vazamentos de dados primários, terceiros e de terceiros
  • O crescimento de serviços em nuvem e provedores de nuvem

O HECVAT foi criado pelo Grupo de Trabalho de Avaliações Compartilhadas do Conselho de Segurança da Informação do Ensino Superior (HEISC) em colaboração com a Internet2 e o REN-ISAC, por meio de crowdsourcing de várias avaliações de fornecedores e analisando quais regulamentos funcionavam melhor para diferentes situações de ensino superior.

Quais são os benefícios de usar o HECVAT?

O HECVAT permite que as equipes de segurança do ensino superior operem com mais eficiência, ajudando a garantir que os serviços em nuvem sejam avaliados adequadamente quanto às necessidades de segurança e privacidade, incluindo aquelas exclusivas das instituições de ensino superior.

O HECVAT visa reduzir os custos por meio de serviços em nuvem sem aumentar o risco de segurança cibernética, reduzindo a carga que os provedores de serviços em nuvem enfrentam ao responder a solicitações de avaliação de segurança de instituições de ensino superior.

Vários provedores de nuvem, como o Google, preencheram o questionário HECVAT e forneceram suas avaliações HECVAT no Cloud Broker Index (CBI).

O CBI fornece uma lista atualizada de fornecedores que compartilharam voluntariamente seu HECVAT completo, permitindo que os avaliadores de segurança em faculdades e universidades usem a avaliação publicada, economizando tempo de ambos os lados.

Saiba como cumprir o HECVAT.

Do ponto de vista de um fornecedor, demonstrar preventivamente a conformidade com o HECVAT para clientes em potencial pode acelerar significativamente o ciclo de vendas, pois os produtos SaaS geralmente exigem aprovação de TI e compras.

Essas avaliações concluídas - e qualquer outra documentação de segurança relevante - podem ser carregadas em um perfil compartilhado na plataforma UpGuard para que possam ser convenientemente compartilhadas com os clientes em potencial.

Perfil compartilhado por UpGuard. Clique aqui para uma avaliação gratuita.

Por que o HECVAT é importante?

O HECVAT é importante porque as instituições de ensino superior dependem fortemente da terceirização e da terceirização, introduzindo riscos potenciais para o fornecedor.

O ensino superior está terceirizando mais porque bons fornecedores oferecem benefícios, incluindo:

  • Especialização: Muitos produtos ou serviços são tão especializados que a terceirização para uma empresa dedicada proporcionará melhor desempenho e um nível de risco menor do que desempenhar a função internamente, por exemplo, contabilidade, gerenciamento de avaliação, auditoria interna, recursos humanos, vendas e marketing, revisão de empréstimos, gestão de ativos e patrimônio, aquisição ou serviço de empréstimos.
  • Economia de custos: Muitos fornecedores oferecem bens ou serviços a um custo menor do que se fossem processados internamente.

Como um questionário de segurança, o HECVAT constitui uma parte importante de um programa robusto de gerenciamento de risco de fornecedores (VRM).

Saiba por que o gerenciamento de riscos do fornecedor é importante >

Quem usa HECVAT?

O público-alvo do HECVAT são faculdades, universidades e os provedores de serviços terceirizados com os quais eles contratam. De acordo com a EDUCAUSE, dezenas de organizações líderes adotaram o HECVAT para medir os riscos potenciais para sua universidade, campus e corpo discente de terceiros e quartos, incluindo:

  • Universidade Americana
  • Universidade Estadual dos Apalaches
  • Instituto de Arte de Chicago
  • Colégio Bates
  • Universidade de Baylor
  • Colégio Berry
  • Universidade Estadual de Black Hills
  • Faculdade de Boston
  • Universidade Estadual de Bowling Green
  • Universidade Brown
  • Universidade Batista da Califórnia
  • Universidade Estadual da Califórnia, todos os campi e sistema
  • Universidade Carnegie Mellon
  • Colégio de Cartago
  • Colégio Champlain
  • Universidade Clarkson
  • Faculdade Comunitária Estadual de Columbus
  • Universidade de Cornell
  • Colégio Davidson
  • Universidade Denison
  • Universidade DeSales
  • Universidade Drake
  • Universidade Drexel
  • Universidade de Duquesne
  • Universidade da Carolina do Leste
  • Universidade Estadual de Ferris
  • Distrito de faculdades comunitárias de Foothill-De Anza
  • Faculdade Franklin & Marshall
  • Universidade Gallaudet
  • Instituto de Tecnologia da Geórgia
  • Faculdade Comunitária de Hillsborough
  • Universidade de Indiana
  • Universidade Wesleyana de Indiana
  • Instituto de Estudos Avançados
  • Universidade John Carroll
  • Universidade Estadual de Kent
  • Universidade LeTourneau
  • Colégio Linfield
  • Universidade de Longwood
  • Colégio Madison
  • Universidade Metodista
  • Universidade de Miami
  • Universidade Estadual de Montclair
  • Colégio Montgomery
  • Universidade Estadual de Morgan
  • Universidade do Norte do Arizona
  • Universidade de Oakland
  • Universidade do Norte de Ohio
  • Universidade Estadual de Oregon
  • Universidade Pace
  • Universidade do Pacífico
  • Universidade Pepperdine
  • Universidade de Princeton
  • Universidade de Radford
  • Universidade do Arroz
  • Universidade de Rowan
  • Universidade Rutgers
  • Universidade Estadual Sam Houston
  • Instituto de Tecnologia do Sul de Alberta
  • Colégio de Springfield
  • Universidade Stony Brook
  • Faculdade Comunitária do Condado de Suffolk
  • Universidade de Susquehanna
  • Universidade de Tecnologia do Tennessee
  • Universidade Estadual do Texas
  • Universidade de Tróia
  • Universidade Estadual de Truman
  • Universidade da Califórnia, Davis
  • Universidade de Delaware
  • Universidade de Denver
  • Universidade de Idaho
  • Sistema da Universidade do Maine
  • Universidade de Maryland Baltimore
  • Universidade de Massachusetts Amherst
  • Universidade de Oregon
  • Universidade de Portland
  • Universidade de Rhode Island
  • Universidade de Richmond
  • Universidade do Tennessee, Knoxville
  • A Universidade do Texas em Austin
  • Tecnologia da Virgínia
  • Universidade A&M do Oeste do Texas
  • Universidade da Virgínia Ocidental
  • Universidade da Carolina do Oeste
  • Universidade do Oeste de Michigan
  • William & Mary
  • Colégio Williams
  • Colégio Yavapai

O que há no HECVAT Toolkit?

O kit de ferramentas de Avaliação de Fornecedores da Comunidade de Ensino Superior ou ferramentas HECVAT incluem:

  • Índice do Cloud Broker
  • HECVAT Versão completa
  • HECVAT Lite
  • No local
  • Triagem

O UpGuard oferece perguntas de segurança para HECVAT Lite e HECVAT Full.

Saiba mais sobre os recursos de perguntas de segurança do UpGuard >

Devo confiar apenas no HECVAT?

Embora o HECVAT seja um ótimo modelo de avaliação de segurança, ele não forma um programa completo de gerenciamento de risco do fornecedor.

O HECVAT é uma avaliação pontual estática e subjetiva. Ele não leva em conta as alterações que podem ocorrer depois que você recebe a avaliação de segurança completa de um fornecedor.

É por isso que as classificações de segurança são importantes. As classificações de segurança são uma medida orientada por dados, objetiva e dinâmica da postura de segurança de um fornecedor.

>

As equipes de gerenciamento de risco de terceiros geralmente os usam para monitorar e comparar fornecedores continuamente.

As classificações de segurança são calculadas com base em informações objetivas, observáveis externamente, continuamente disponíveis e verificáveis. Isso significa que eles estão sempre atualizados e complementam as avaliações de segurança tradicionais.

Além disso, os serviços terão seu escopo expandido para avaliar outras áreas, como seguro cibernético, due diligence para fusões e aquisições e até mesmo como métrica bruta para programas de segurança interna.

Além disso, muitos líderes de segurança consideram as classificações de segurança inestimáveis para aumentar a conscientização sobre segurança, gerenciar o desempenho da segurança cibernética e relatar métricas de segurança cibernética ao Conselho de Administração, C-Suite e até mesmo aos acionistas.

Saiba como obter uma boa pontuação HECVAT >

A solução de gerenciamento de risco de fornecedores da UpGuard inclui questionários de segurança específicos do HECVAT para HECVAT full e HECVAT lite, permitindo que as entidades educacionais e seus fornecedores rastreiem os esforços de conformidade.

Questionários de segurança HECVAT na plataforma UpGuard

Ao ajudar também as organizações a detectar e mitigar riscos de segurança de terceiros, o UpGuard ajuda as entidades educacionais a reduzir o potencial de comprometimento dos dados dos alunos em violações de dados de terceiros.