ESG Interactive Research Portal

Although cyber supply chain security has improved somewhat over the last five years, there is still cause for concern. IT and information security professionals at critical infrastructure organizations believe that the threat landscape is getting worse and that cyber supply chain security is growing more difficult. Furthermore, more than two-thirds of critical infrastructure organizations have experienced a multitude of types of security incidents, including those emanating from vulnerabilities in software they developed in-house. Finally, many critical infrastructure organizations are pursuing new types of IT initiatives like cloud computing, mobile applications, and IoT projects. These technologies are in their genesis phase and may be fraught with vulnerabilities. Meanwhile, cybersecurity best practices and skills around IT innovation also lag behind.

Obgleich cyber Versorgungsmaterial-Kette Sicherheit ein wenig über den letzten fünf Jahren verbessert hat, gibt es ruhigen Grund zur Besorgnis. ES und Informationen Sicherheit Fachleute an den kritischen Infrastruktureinteilungen glauben, daß die Drohunglandschaft schlechter erhält und daß cyber Versorgungsmaterial-Kette Sicherheit schwieriger wächst. Ausserdem mehr als haben zweidrittel von kritischen Infrastruktureinteilungen eine Menge Arten der Sicherheit Ereignisse, einschließlich die erfahren, die von der Verwundbarkeit in der Software ausströmen, die sie sich in-house entwickelten. Schließlich üben viele kritische Infrastruktureinteilungen neue Arten von ES Initiativen wie Wolke das Rechnen, die beweglichen Anwendungen und die IoT Projekte aus. Diese Technologien sind in ihrer Genesephase voll und können von der Verwundbarkeit sein. Unterdessen cybersecurity verlangsamen beste Praxis und Fähigkeiten um ES Innovation auch nach.

All of these factors add up to continuing cyber supply chain security complexities. Based upon the research data presented herein, ESG offers the following recommendations for critical infrastructure organizations, IT technology vendors, and the U.S. Federal Government.

Alle diese Faktoren fügen bis zu fortfahrenden cyber Versorgungsmaterial-Kette Sicherheit Kompliziertheiten hinzu. Gegründet nach den Forschung Daten, die hierin dargestellt werden, bietet ESG die folgenden Empfehlungen für kritische Infrastruktureinteilungen, ES Technologieverkäufer und die US an Bundesregierung.

For Critical Infrastructure Organizations

Für kritische Infrastruktur-Einteilungen

ESG’s research indicates that not only are critical infrastructure organizations inadequately prepared for the current threat landscape, but most are compounding this problem by not doing enough to mitigate the risks associated with cyber supply chain security. To address these shortcomings, critical infrastructure organizations should:

Forschung ESGS zeigt an, das nicht nur die kritischen Infrastruktureinteilungen sind, die unzulänglich für die gegenwärtige Drohunglandschaft vorbereitet werden, aber die meisten dieses Problem zusammensetzen, indem sie nicht genug tun, um abzuschwächen die Gefahren verbunden mit cyber Versorgungsmaterial-Kette Sicherheit. Um diese Fehler zu adressieren, sollten kritische Infrastruktureinteilungen:

Assess cyber supply chain risk across the organization. Since the cyber supply chain includes a broad range of participants, including IT vendors, suppliers, business partners, and contractors, many critical infrastructure organizations delegate cyber supply chain security management to a variety of internal groups and individuals. While this makes sense at an operational level, it makes it impossible to get a comprehensive perspective of cyber supply chain security or accurately measure cyber supply chain risk. To alleviate this unacceptable situation, CISOs and risk officers should take the time to map out their entire cyber supply chain—every partner, IT equipment vendor, SaaS provider, supplier, etc. Clearly, this will take time and require ample resources, but an end-to-end and up-to-date map of the cyber supply chain is an essential foundation for situational awareness and proactive risk management.

Setzen Sie cyber Versorgungsmaterial-Kette Gefahr über der Einteilung fest. Da die cyber Versorgungsmaterial-Kette eine ausgedehnte Strecke der Teilnehmer, einschließlich SIE Verkäufer, der Lieferanten, der Teilhaber und der Fremdfirmen einschließt, beauftragen viele kritische Infrastruktureinteilungen cyber Versorgungsmaterial-Kette Sicherheit Management zu einer Vielzahl der internen Gruppen und der Einzelpersonen. Während dieses sinnvoll auf einem funktionsfähigen Niveau ist, bildet es es unmöglich, eine komplette Perspektive der cyber Versorgungsmaterial-Kette Sicherheit zu erhalten oder cyber Versorgungsmaterial-Kette Gefahr genau zu messen. Um diese nicht annehmbare Situation zu vermindern, CISOs und Gefahr sollten Offiziere die Zeit dauern ihr gesamtes cyber Versorgungsmaterial heraus abzubilden Kette-jeder Partner, ES Gerät Verkäufer, SaaS Versorger, Lieferant, etc. Offenbar dauert dieses Zeit und erfordert reichliche Betriebsmittel, aber ein aufeinanderfolgendes und aktuelles Diagramm der cyber Versorgungsmaterial-Kette ist eine wesentliche Grundlage für umstandsbezogenes Bewußtsein und proaktives Risikomanagement.

Integrate cyber supply chain security into new IT initiatives. When asked why cyber supply chain security has become more difficult, 44% of cybersecurity professionals blamed new IT initiatives that have increased the cyber-attack surface. This isn’t surprising given massive adoption of technologies like cloud computing, IoT, and mobile applications over the past few years. Unfortunately, new IT initiatives often prioritize business objectives at the expense of strong cybersecurity. Given today’s threat landscape, this type of laissez-faire approach to cybersecurity must be expunged from the organization. To address and mitigate cyber supply chain risk, CEOs must lead by example with the goal of building a corporate culture that inculcates strong cybersecurity into all business processes, programs, and supporting IT initiatives.

Integrieren Sie cyber Versorgungsmaterial-Kette Sicherheit in neues ES Initiativen. Als gefragt, warum cyber Versorgungsmaterial-Kette Sicherheit schwieriger geworden ist, 44% von cybersecurity Fachleuten neu SIE tadelte, cyber-greifen Initiativen, die erhöht haben, Oberfläche an. Dieses überrascht nicht gegebene massive Annahme von Technologien wie Wolke während der letzten Jahre rechnen, IoT und beweglichen Anwendungen. Leider neu gibt ES Initiativen häufig Unternehmensziele auf Kosten von starkem cybersecurity. Gegebene heutige Drohunglandschaft, diese Art der Laissez-Faire Annäherung an cybersecurity muß von der Einteilung gelöscht werden. Um cyber Versorgungsmaterial-Kette Gefahr zu adressieren und abzuschwächen, muß CEOs durch Beispiel mit dem Ziel des Errichtens einer Unternehmenskultur führen die starkes cybersecurity in alle das Geschäft Prozesse, Programme und Stützen ES Initiativen einprägt.

Fully integrate security into IT procurement. ESG data demonstrates that processes and procedures governing IT vendor security audits lack consistency and usefulness. As mentioned, best practices for IT vendor security audits should include the following steps:

Integrieren Sie völlig Sicherheit in SIE Beschaffung. ESG Daten zeigen, daß die Prozesse und Verfahren, die SIE Verkäufersicherheit Bilanzen regeln, übereinstimmung und Verwendungsfähigkeit ermangeln. Als erwähnte, beste Praxis für ES sollten Verkäufersicherheit Bilanzen die folgenden Schritte einschließen:

Audit all strategic IT vendors (including service providers, cloud service providers, and distributors).

Revidieren Sie alles strategische ES Verkäufer (einschließlich Diensterbringer, Wolke Diensterbringer und Verteiler).

Follow a standard process for all vendor audits.

Folgen Sie einem Standardprozeß für alle Verkäuferbilanzen.

Implement a corporate policy where IT vendor security audit metrics have a significant impact for all procurement decisions.

Führen Sie eine korporative Politik ein, in der ES Verkäufersicherheit Bilanzmetrik eine bedeutende Auswirkung für alle Beschaffung Entscheidungen hat.

A stringent audit process should pay for itself by lowering cyber supply chain risk over time. It will also send a clear message to IT vendors: Adhere to strong cybersecurity policies and procedures or hawk your insecure products and services elsewhere.

Ein zwingender Bilanzprozeß sollte für sich zahlen, indem er cyber Versorgungsmaterial-Kette Gefahr über Zeit senkt. Es schickt eine freie Anzeige zu IHM Verkäufer auch: Befolgen Sie starke cybersecurity Politik und Verfahren oder feilbieten Sie Ihre unsicheren Produkte und Dienstleistungen anderwohin.

Address all aspects of software assurance. As in other findings in this report, critical infrastructure organizations have made progress on software assurance since 2010, but these improvements are based on additional tactical actions rather than an end-to-end strategic approach. Software assurance must be anchored by a secure software development lifecycle and the right skill set for secure software development. Furthermore, software assurance best practices must be followed with no exceptions. This demands an enterprise program for internally developed software as well as stringent controls on third-party software development, maintenance, and testing. Leading companies will also impose testing and quality standards on all commercial software.

Adressieren Sie alle Aspekte der Software-Versicherung. Wie in anderen Entdeckungen in diesem Report, haben kritische Infrastruktureinteilungen Fortschritt auf Software-Versicherung seit 2010 gebildet, aber diese Verbesserungen basieren auf zusätzlichen taktischen Tätigkeiten anstatt einer aufeinanderfolgenden strategischen Annäherung. Software-Versicherung muß durch eine sichere Software-Entwicklung Lebensdauer und die rechte Fähigkeit befestigt werden, die für sichere Software-Entwicklung eingestellt werden. Ausserdem Software-Versicherung muß beste Praxis ohne Ausnahmen gefolgt werden. Dieses verlangt ein Unternehmenprogramm für innerlich entwickelte Software sowie zwingende Kontrollen auf aus dritter Quelle Software-Entwicklung, -wartung und -prüfung. Führende Firmen erlegen auch Prüfung und Qualitätstandards aller kommerziellen Software auf.

Formalize external IT security. When it comes to cyber supply chain security, risk associated with working with third-party partners must be managed and mitigated with the same care as internal activities like vulnerability scanning and patch management. In fact, strong cyber supply chain security has become an SEC mandate and will likely find its way to other industries beyond financial services. Once again, this demands a consistent, documented, and measurable approach for third parties that provide IT services to or consume them from an organization. Aside from legal contracts, governance frameworks, and certifications, CISOs should explore new types of cyber intelligence designed for monitoring third-party risk from vendors like BitSight and SecurityScorecard.

Formalisieren Sie extern ES Sicherheit. Wenn es zur cyber Versorgungsmaterial-Kette Sicherheit kommt, muß die Gefahr, die mit dem Arbeiten mit aus dritter Quellepartnern verbunden ist, mit der gleichen Obacht wie interne Tätigkeiten wie Verwundbarkeitabtastung und Fleckenmanagement gehandhabt werden und abgeschwächt werden. Tatsächlich ist starke cyber Versorgungsmaterial-Kette Sicherheit eine sek Vollmacht geworden und wird wahrscheinlich seine Weise zu anderen Industrien über finanziellen Dienstleistungen hinaus finden. Noch einmal verlangt dieses eine gleichbleibende, dokumentierte und meßbare Annäherung für dritte Parteien, die SIE zur Verfügung stellen, hält zu instand oder verbraucht sie von einer Einteilung. Neben zugelassenen Verträgen, Regierungsgewaltrahmen und Bescheinigungen sollte CISOs die neuen Arten der cyber Intelligenz erforschen bestimmt für die überwachung von aus dritter Quellegefahr von den Verkäufern wie BitSight und SecurityScorecard.

Push for more help from Washington. Like many other critical issues, cybersecurity has been relegated into partisan politics and pork barrel programs. Critical infrastructure organizations should work together, come up with legislative recommendations, lobby for action, and make sure to keep the public aware of any partisan behavior or stalling in Washington.

Drücken Sie für mehr Hilfe von Washington. Wie viele andere kritische Ausgaben ist cybersecurity in parteigängerische Politik- und Schweinefleischfaßprogramme relegiert worden. Kritische Infrastruktureinteilungen sollten zusammen arbeiten, kommen oben mit gesetzgebenden Empfehlungen, beeinflussen für Tätigkeit, und stellen, die öffentlichkeit jedem parteigängerischen Verhalten oder Aufschub in Washington bewußt zu halten sicher.

For the IT Industry

Für ES Industrie

IT product and service providers should view this report as a harbinger of things to come. Critical infrastructure organizations have much work ahead, but ESG data does indicate clear progress since 2010. It is therefore wise to recognize that critical infrastructure organizations are slowly but surely making strong cybersecurity a requirement for all IT vendors. To prepare for this security transition, the entire IT industry must:

ES Produkt und Diensterbringer sollte diesen Report als harbinger von Sachen ansehen, um zu kommen. Kritische Infrastruktureinteilungen haben viel Arbeit voran, aber ESG Daten zeigen klar weiterkommen seit 2010 an. Es ist folglich klug, zu erkennen, daß kritische Infrastruktureinteilungen langsam aber starkes cybersecurity eine Bedingung für alle sicher ES Verkäufer bilden. Sich für diesen Sicherheit übergang vorbereiten, das gesamte muß ES Industrie:

Build comprehensive internal cybersecurity programs. Several large IT vendors including Cisco, IBM, Microsoft, Oracle, and VMware have not only created strong cybersecurity programs internally, but also published details about these programs for customer review. Typically, these programs include features like cyber supply chain security management, secure product design, security testing, employee training, IT security, and security services and support. All IT vendors should study and emulate these programs to the best of their abilities.

Bau komplette interne cybersecurity Programme. Einige große hat ES Verkäufer einschließlich Cisco, IBM, Microsoft, Oracle und VMware nicht nur starke cybersecurity Programme innerlich, aber auch erschienene Details über diese Programme für Kunde Bericht verursacht. Gewöhnlich schließen diese Programme Eigenschaften wie cyber Versorgungsmaterial-Kette Sicherheit Management, sichere Konzeption des Produkts, Sicherheit prüfen, Angestelltes Training, ES Sicherheit und Sicherheit Service ein. Alle, die ES Verkäufer diese Programme zum besten ihrer Fähigkeiten studieren und emulieren sollte.

Take a solutions focus to cyber supply chain security. As secure as any one vendor’s products and processes are, business applications and IT infrastructure are composed of a myriad of connected piece parts working together. This means that IT vendors should take a proactive approach to engaging with product and services partners and participate fully in cybersecurity testing, deployment, and operations for complex IT solutions.

Nehmen Sie einen Lösungen Fokus zur cyber Versorgungsmaterial-Kette Sicherheit. So sicher wie Produkte und Prozesse jedes möglichen eines Verkäufers, sind Geschäft Anwendungen und ES Infrastruktur besteht aus einer Myriade der verbundenen Einzelteile, die zusammen arbeiten. Dies heißt, daß ES Verkäufer eine proaktive Annäherung zum Engagieren im Produkt nehmen sollte und hält Partner instand und nimmt völlig an der cybersecurity Prüfung, der Entwicklung und den Betrieben für Komplex ES Lösungen teil.

Include strong security as part of customer engagements. Even the most diligent customers may not be aware of the cybersecurity intricacies of individual IT products. Smart vendors will work with customers to answer questions, recommend reference architectures, help them harden their products, and maintain a constant stream of communications.

Schließen Sie werthaltige Sicherheit als Teil der Kunde Verpflichtungen ein. Sogar können die sorgfältigsten Kunden möglicherweise nicht die cybersecurity Verwicklungen der Einzelperson berücksichtigen ES Produkte. Intelligente Verkäufer arbeiten mit Kunden, um Fragen zu beantworten, Bezugsarchitektur zu empfehlen, ihnen zu helfen, ihre Produkte zu verhärten, und einen konstanten Strom von Kommunikationen beizubehalten.

For the U.S. Federal Government

Für die US Bundesregierung

While cybersecurity continues to be topical in the halls of Congress, this and other ESG research reveals a growing gap between cybersecurity professionals and Washington. To alleviate this disconnect and truly engage with the cybersecurity community, the U.S. Federal Government should:

Während cybersecurity fortfährt, in den Hallen des Kongresses aktuell zu sein, deckt dieses und andere ESG Forschung einen wachsenden Abstand zwischen cybersecurity Fachleuten und Washington auf. Diese Trennung vermindern und in der cybersecurity Gemeinschaft wirklich sich engagieren, die US Bundesregierung sollte:

Start with clear and concise communications. ESG research indicates that only 22% of cybersecurity professionals working at critical infrastructure organizations have a clear understanding of the government’s cybersecurity agenda. This may be because there are too many cybersecurity voices at different agencies, an abundance of programs with confusing acronyms, and far more rhetoric than action. The U.S. government can only rectify this situation by developing a comprehensive strategy for cybersecurity for critical infrastructure industries. Of course, there is no shortage of documents and programs that claim to do this, but the cybersecurity community at large is looking for one program, bipartisan support, strong and cogent communication, and a visible government leader who actually “owns” cybersecurity. Sadly, many cybersecurity professionals view Washington as part of the problem rather than part of the solution. Government officials will not reverse this cynicism without an honest two-way dialogue, a mutually beneficial partnership, and a clear long-term strategy.

Beginnen Sie mit den freien und kurzen Kommunikationen. ESG Forschung zeigt an, daß nur 22% von den cybersecurity Fachleuten, die an den kritischen Infrastruktureinteilungen arbeiten, ein freies Verständnis der Tagesordnung cybersecurity der Regierung haben. Dieses kann sein, weil es zu viele cybersecurity Stimmen an den unterschiedlichen Agenturen, einen überfluß an den Programmen mit verwirrenden Akronymen und weit mehr Rhetorik als Tätigkeit gibt. Die US Regierung kann diese Situation nur korrigieren, indem sie eine komplette Strategie für cybersecurity für kritische Infrastrukturindustrien entwickelt. Selbstverständlich, gibt es keinen Mangel an Dokumente und Programme, die behaupten, dies zu tun, aber die cybersecurity Gemeinschaft an großem sucht nach einem Programm, zwei Parteien zugehörige Unterstützung, starke und cogent Kommunikation und ein sichtbarer Regierung Führer, dem wirklich cybersecurity „besitzt“. Traurig sehen viele cybersecurity Fachleute an, Washington als Teil des Problems anstatt zerteilen von der Lösung. Regierungsbeamte heben diesen Zynismus nicht ohne einen ehrlichen Zweiwegdialog, eine gegenseitig vorteilhafte Teilhaberschaft und eine freie langfristige Strategie auf.

Treat cybersecurity as a national security rather than a political issue. After years of political wrangling, the Cybersecurity Act of 2012 received bipartisan support in the Senate Homeland Security and Governmental Affairs Committee. Unfortunately, the bill never proceeded to the senate floor for a vote. Why? It was a presidential election year, so finger pointing took precedence over collaboration. The cybersecurity legislation remains. In August 2015, the senate left Washington for recess without passing a pending cybersecurity bill on public/private threat intelligence sharing. While politicians continue to give stump speeches about data breaches, cyber-adversaries, and national security concerns, cybersecurity legislation continues to languish. Frustrated by this inactivity, President Obama issued several executive orders in this area. One of these led to the promising NIST cybersecurity framework—a good addition but more of a suggestion than anything else. The U.S. has faced an unprecedented wave of cybercrime and cyber-espionage over the past few years with no end in sight. It’s time for the President and congress to:

Behandeln Sie cybersecurity als Staatssicherheit anstatt eine politische Ausgabe. Nach Jahren von politischem wrangling, empfing die Cybersecurity Tat von 2012 zwei Parteien zugehörige Unterstützung in der Senat-Heimat-Sicherheit und Regierungsim angelegenheiten Ausschuß. Leider fuhr die Rechnung nie zum Senatfußboden für eine Stimme fort. Warum? Es war ein Präsidentenwahljahr, also hatte das Fingerzeigen Vorrang vor Zusammenarbeit. Des cybersecurity Gesetzgebung Remains. Im August 2015 verließ der Senat Washington für Aussparung, ohne einen schwebenden cybersecurity Gesetz zu verabschieden auf dem allgemeinen/privaten Drohungintelligenzteilen. Während Politiker fortfahren, Stumpfreden über Datenbrüche, Cybergegner und Staatssicherheit Interessen zu geben, fährt cybersecurity Gesetzgebung fort zu schmachten. Frustriert durch diese Untätigkeit, gab Präsident Obama einige Ausführungsverordnungen in diesem Bereich heraus. Eins von diesen führte zu die vielversprechender NIST cybersecurity Rahmen-ein gute Hinzufügung aber mehr eines Vorschlages als noch etwas. Die US hat eine beispiellose Welle von cybercrime und von Cyberspionage während der letzten Jahre ohne Ende im Anblick gegenübergestellt. Es ist Zeit für den Präsidenten und den Kongreß:

Fund cybersecurity education programs.

Kapital cybersecurity Ausbildung Programme.

Expand the Cyber Corps program as a way to exchange cybersecurity training and tuition funding for public service.

Erweitern Sie das Cyber Korpsprogramm als Weise, das cybersecurity Training und Unterricht auszutauschen, die gegen allgemeinen Service finanzieren.

Improve the hiring process and compensation structure for federal cybersecurity professionals.

Verbessern Sie den anstellenprozeß und die Ausgleich Struktur für Bundescybersecurity Fachleute.

Create incentives for cybersecurity investments.

Verursachen Sie Anreize für cybersecurity Investitionen.

Work as an equal partner with the cybersecurity community at large. Make sure that federal cybersecurity programs in this area are equally accessible to all cybersecurity professionals in all industries and locations—not just within a few hundred miles of Washington D.C.

Arbeiten Sie als gleicher Partner mit der cybersecurity Gemeinschaft an großem. Überprüfen Sie, ob Bundescybersecurity Programme in diesem Bereich zu allen cybersecurity Fachleuten in allen Industrien und in Positionen-nicht gerade innerhalb einiger hundert Meilen Washington DCs gleichmäßig zugänglich sind

Create and promote standards like STIX and TAXII for threat intelligence sharing.

Verursachen Sie und fördern Sie Standards wie STIX und TAXII für das Drohungintelligenzteilen.

Share threat intelligence and best practices.

Anteildrohungintelligenz und beste Praxis.

Limit liabilities to organizations that truly commit to strong cyber supply chain security.

Begrenzen Sie Verbindlichkeiten auf Einteilungen, die wirklich an der starken cyber Versorgungsmaterial-Kette Sicherheit festlegen.

Impose penalties on organizations that continue to minimize cybersecurity.

Erlegen Sie Strafen Einteilungen auf, die fortfahren, cybersecurity herabzusetzen.