|
Conclusion
Although cyber supply chain security has improved somewhat over the last five years, there is still cause for concern. IT and information security professionals at critical infrastructure organizations believe that the threat landscape is getting worse and that cyber supply chain security is growing more difficult. Furthermore, more than two-thirds of critical infrastructure organizations have experienced a multitude of types of security incidents, including those emanating from vulnerabilities in software they developed in-house. Finally, many critical infrastructure organizations are pursuing new types of IT initiatives like cloud computing, mobile applications, and IoT projects. These technologies are in their genesis phase and may be fraught with vulnerabilities. Meanwhile, cybersecurity best practices and skills around IT innovation also lag behind.
|
Aunque la seguridad de la cadena de fuente del cyber ha mejorado algo durante los cinco años pasados, hay tema de inquietud inmóvil. ÉL y los profesionales de la seguridad de la información en las organizaciones críticas de la infraestructura creen que el paisaje de la amenaza está consiguiendo peor y que la seguridad de la cadena de fuente del cyber esté creciendo más difícil. Además, más de dos tercios de organizaciones críticas de la infraestructura ha experimentado una multiplicidad de tipos de incidentes de la seguridad, incluyendo ésos que emanaban de vulnerabilidades en software que desarrollaron en el local. Finalmente, muchas organizaciones críticas de la infraestructura están persiguiendo nuevos tipos de ÉL las iniciativas como computar de la nube, usos móviles, y los proyectos de IoT. Estas tecnologías son en su fase de la génesis y pueden ser cargadas con vulnerabilidades. Mientras tanto, las mejores prácticas del cybersecurity y habilidades alrededor de ÉL innovación también se retrasan detrás.
|
All of these factors add up to continuing cyber supply chain security complexities. Based upon the research data presented herein, ESG offers the following recommendations for critical infrastructure organizations, IT technology vendors, and the U.S. Federal Government.
|
Todos estos factores agregan hasta complejidades de continuación de la seguridad de la cadena de fuente del cyber. Basado sobre los datos de la investigación presentó adjunto, las ofertas de ESG las recomendaciones siguientes para las organizaciones críticas de la infraestructura, ÉL los vendedores de la tecnología, y los E.E.U.U. Gobierno federal.
|
For Critical Infrastructure Organizations
|
Para las organizaciones críticas de la infraestructura
|
ESG’s research indicates that not only are critical infrastructure organizations inadequately prepared for the current threat landscape, but most are compounding this problem by not doing enough to mitigate the risks associated with cyber supply chain security. To address these shortcomings, critical infrastructure organizations should:
|
La investigación de ESG indica que no sólo es organizaciones críticas de la infraestructura preparadas inadecuado para el paisaje actual de la amenaza, pero la mayoría está componiendo este problema no haciendo bastantes para atenuar los riesgos asociados a seguridad de la cadena de fuente del cyber. Tratar estos defectos, las organizaciones críticas de la infraestructura deben:
|
Assess cyber supply chain risk across the organization. Since the cyber supply chain includes a broad range of participants, including IT vendors, suppliers, business partners, and contractors, many critical infrastructure organizations delegate cyber supply chain security management to a variety of internal groups and individuals. While this makes sense at an operational level, it makes it impossible to get a comprehensive perspective of cyber supply chain security or accurately measure cyber supply chain risk. To alleviate this unacceptable situation, CISOs and risk officers should take the time to map out their entire cyber supply chain—every partner, IT equipment vendor, SaaS provider, supplier, etc. Clearly, this will take time and require ample resources, but an end-to-end and up-to-date map of the cyber supply chain is an essential foundation for situational awareness and proactive risk management.
|
Determine el riesgo de la cadena de fuente del cyber a través de la organización. Puesto que la cadena de fuente del cyber incluye una amplia gama de participantes, incluyendo ELLA los vendedores, de surtidores, de socios de negocio, y de contratistas, muchas organizaciones críticas de la infraestructura delegan a gerencia de la seguridad de la cadena de fuente del cyber a una variedad de grupos y de individuos internos. Mientras que este tiene sentido en un nivel operacional, hace imposible conseguir una perspectiva comprensiva de la seguridad de la cadena de fuente del cyber o medir exactamente riesgo de la cadena de fuente del cyber. Para aliviar esta situación inaceptable, los oficiales de CISOs y del riesgo deben tomar la época de traz hacia fuera su fuente entera del cyber cadena-cada socio, ÉL vendedor del equipo, abastecedor de SaaS, surtidor, etc. Claramente, esto tomará tiempo y requerirá recursos amplios, pero un mapa end-to-end y actualizado de la cadena de fuente del cyber es una fundación esencial para el conocimiento circunstancial y la gerencia de riesgo proactive.
|
Integrate cyber supply chain security into new IT initiatives. When asked why cyber supply chain security has become more difficult, 44% of cybersecurity professionals blamed new IT initiatives that have increased the cyber-attack surface. This isn’t surprising given massive adoption of technologies like cloud computing, IoT, and mobile applications over the past few years. Unfortunately, new IT initiatives often prioritize business objectives at the expense of strong cybersecurity. Given today’s threat landscape, this type of laissez-faire approach to cybersecurity must be expunged from the organization. To address and mitigate cyber supply chain risk, CEOs must lead by example with the goal of building a corporate culture that inculcates strong cybersecurity into all business processes, programs, and supporting IT initiatives.
|
Integre la seguridad de la cadena de fuente del cyber en nuevo ÉL las iniciativas. Cuando estaba preguntado porqué la seguridad de la cadena de fuente del cyber ha llegado a ser más difícil, el 44% de profesionales del cybersecurity la culparon nuevo las iniciativas que han aumentado cyber-atacan la superficie. Esto no está sorprendiendo la adopción masiva dada de tecnologías como computar de la nube, IoT, y usos móviles durante los últimos años. Desafortunadamente, nuevo las iniciativas da la prioridad a menudo a objetivos de negocio a expensas de cybersecurity fuerte. El paisaje de hoy dado de la amenaza, este tipo de acercamiento del liberalismo al cybersecurity se debe expunged de la organización. Para tratar y para atenuar riesgo de la cadena de fuente del cyber, CEOs debe conducir por ejemplo con la meta de construir una cultura corporativa que inculque cybersecurity fuerte en todos los procesos, los programas, y el soporte del negocio de ÉL las iniciativas.
|
Fully integrate security into IT procurement. ESG data demonstrates that processes and procedures governing IT vendor security audits lack consistency and usefulness. As mentioned, best practices for IT vendor security audits should include the following steps:
|
Integre completamente la seguridad en ELLA consecución. Los datos de ESG demuestran que los procesos y los procedimientos que los gobiernan las intervenciones de la seguridad del vendedor carecen consistencia y utilidad. Como prácticas mencionadas, mejores para ÉL las intervenciones de la seguridad del vendedor deben incluir los pasos siguientes:
|
Audit all strategic IT vendors (including service providers, cloud service providers, and distributors).
|
Revise todo el estratégico ÉL los vendedores (abastecedores de servicio incluyendo, los abastecedores de servicio de la nube, y las distribuidores).
|
Follow a standard process for all vendor audits.
|
Siga un proceso estándar para todas las intervenciones del vendedor.
|
Implement a corporate policy where IT vendor security audit metrics have a significant impact for all procurement decisions.
|
Ponga una política en ejecución corporativa donde métrica de la intervención de la seguridad del vendedor tiene un impacto significativo para todas las decisiones de la consecución.
|
A stringent audit process should pay for itself by lowering cyber supply chain risk over time. It will also send a clear message to IT vendors: Adhere to strong cybersecurity policies and procedures or hawk your insecure products and services elsewhere.
|
Un proceso riguroso de la intervención debe pagar sí mismo bajando riesgo de la cadena de fuente del cyber en un cierto plazo. También enviará un mensaje claro ÉL a vendedores: Adhiera a las políticas y a los procedimientos fuertes del cybersecurity o hawk sus productos y servicios inseguros a otra parte.
|
Address all aspects of software assurance. As in other findings in this report, critical infrastructure organizations have made progress on software assurance since 2010, but these improvements are based on additional tactical actions rather than an end-to-end strategic approach. Software assurance must be anchored by a secure software development lifecycle and the right skill set for secure software development. Furthermore, software assurance best practices must be followed with no exceptions. This demands an enterprise program for internally developed software as well as stringent controls on third-party software development, maintenance, and testing. Leading companies will also impose testing and quality standards on all commercial software.
|
Trate todos los aspectos del aseguramiento del software. Como en otros resultados en este informe, las organizaciones críticas de la infraestructura han hecho progreso en aseguramiento del software desde 2010, pero estas mejoras se basan en acciones tácticas adicionales más bien que un acercamiento estratégico end-to-end. El aseguramiento del software se debe anclar por un ciclo de vida seguro del desarrollo del software y la habilidad derecha fijados para el desarrollo seguro del software. Además, prácticas del aseguramiento del software las mejores se deben seguir sin excepciones. Esto exige un programa de la empresa para el software internamente desarrollado así como controles rigurosos en el desarrollo, el mantenimiento, y la prueba de tercera persona del software. Las compañías principales también impondrán estándares de la prueba y de calidad ante todo el software comercial.
|
Formalize external IT security. When it comes to cyber supply chain security, risk associated with working with third-party partners must be managed and mitigated with the same care as internal activities like vulnerability scanning and patch management. In fact, strong cyber supply chain security has become an SEC mandate and will likely find its way to other industries beyond financial services. Once again, this demands a consistent, documented, and measurable approach for third parties that provide IT services to or consume them from an organization. Aside from legal contracts, governance frameworks, and certifications, CISOs should explore new types of cyber intelligence designed for monitoring third-party risk from vendors like BitSight and SecurityScorecard.
|
Formalícelo externo seguridad. Cuando viene a la seguridad de la cadena de fuente del cyber, el riesgo asociado al trabajo con los socios de tercera persona se debe manejar y atenuar con el mismo cuidado que actividades internas como la exploración de la vulnerabilidad y la gerencia del remiendo. De hecho, la seguridad fuerte de la cadena de fuente del cyber se ha convertido en un mandato del SEC y encontrará probablemente su manera a otras industrias más allá de servicios financieros. De nuevo, esto exige un acercamiento constante, documentado, y mensurable para los terceros que lo proporcionan mantiene a o los consume de una organización. Aparte de contratos, de armazones del gobierno, y de certificaciones legales, CISOs debe explorar los nuevos tipos de inteligencia del cyber diseñados para supervisar riesgo de tercera persona de vendedores como BitSight y SecurityScorecard.
|
Push for more help from Washington. Like many other critical issues, cybersecurity has been relegated into partisan politics and pork barrel programs. Critical infrastructure organizations should work together, come up with legislative recommendations, lobby for action, and make sure to keep the public aware of any partisan behavior or stalling in Washington.
|
Impulse más ayuda de Washington. Como muchas otras ediciones críticas, el cybersecurity se ha relegado en programas partisanos del barril de la política y del cerdo. Las organizaciones críticas de la infraestructura deben trabajar juntas, suben con recomendaciones legislativas, cabildean para la acción, y se cercioran de mantener al público enterado de cualquier comportamiento o stalling partisano Washington.
|
For the IT Industry
|
Para ÉL industria
|
IT product and service providers should view this report as a harbinger of things to come. Critical infrastructure organizations have much work ahead, but ESG data does indicate clear progress since 2010. It is therefore wise to recognize that critical infrastructure organizations are slowly but surely making strong cybersecurity a requirement for all IT vendors. To prepare for this security transition, the entire IT industry must:
|
Los abastecedores del producto y de servicio debe ver este informe como harbinger de cosas para venir. Las organizaciones críticas de la infraestructura tienen mucho trabajo a continuación, pero los datos de ESG indican claramente progresan desde 2010. Es por lo tanto sabio reconocer que las organizaciones críticas de la infraestructura lentamente pero seguramente están haciendo cybersecurity fuerte un requisito para todos ÉL los vendedores. Prepararse para esta transición de la seguridad, el entero industria debe:
|
Build comprehensive internal cybersecurity programs. Several large IT vendors including Cisco, IBM, Microsoft, Oracle, and VMware have not only created strong cybersecurity programs internally, but also published details about these programs for customer review. Typically, these programs include features like cyber supply chain security management, secure product design, security testing, employee training, IT security, and security services and support. All IT vendors should study and emulate these programs to the best of their abilities.
|
Programas internos comprensivos del cybersecurity de la estructura. Varios grandes los vendedores incluyendo Cisco, IBM, Microsoft, Oracle, y VMware no sólo ha creado programas fuertes del cybersecurity internamente, pero los detalles también publicados sobre estos programas para la revisión del cliente. Típicamente, estos programas incluyen características como la gerencia de la seguridad de la cadena de fuente del cyber, diseño de producto seguro, prueba de la seguridad, entrenamiento de empleado, ÉL seguridad, y los servicios y ayuda de seguridad. Todos lo que los vendedores debe estudiar y emular estos programas al mejor de sus capacidades.
|
Take a solutions focus to cyber supply chain security. As secure as any one vendor’s products and processes are, business applications and IT infrastructure are composed of a myriad of connected piece parts working together. This means that IT vendors should take a proactive approach to engaging with product and services partners and participate fully in cybersecurity testing, deployment, and operations for complex IT solutions.
|
Lleve un foco de las soluciones la seguridad de la cadena de fuente del cyber. Tan seguro como los productos y los procesos de cualquier un vendedor son, los usos de negocio e infraestructura se compone de una miríada de las piezas conectadas que trabajan junto. Esto significa que los vendedores debe llevar un acercamiento proactive el acoplamiento con el producto y mantiene a socios y participa completamente en la prueba, el despliegue, y operaciones del cybersecurity para el complejo ÉL las soluciones.
|
Include strong security as part of customer engagements. Even the most diligent customers may not be aware of the cybersecurity intricacies of individual IT products. Smart vendors will work with customers to answer questions, recommend reference architectures, help them harden their products, and maintain a constant stream of communications.
|
Incluya la seguridad fuerte como parte de contratos del cliente. Incluso los clientes más diligentes pueden no estar enterados de las intrincaciones del cybersecurity del individuo ÉL los productos. Los vendedores elegantes trabajarán con los clientes para contestar a preguntas, para recomendar arquitecturas de la referencia, para ayudarles a endurecer sus productos, y para mantener una corriente constante de comunicaciones.
|
For the U.S. Federal Government
|
Para los E.E.U.U. Gobierno federal
|
While cybersecurity continues to be topical in the halls of Congress, this and other ESG research reveals a growing gap between cybersecurity professionals and Washington. To alleviate this disconnect and truly engage with the cybersecurity community, the U.S. Federal Government should:
|
Mientras que el cybersecurity continúa siendo tópico en los pasillos del congreso, el éste y la otra investigación de ESG revela un boquete cada vez mayor entre los profesionales del cybersecurity y Washington. Para aliviar esta desconexión y enganchar verdad con la comunidad del cybersecurity, los E.E.U.U. El gobierno federal debe:
|
Start with clear and concise communications. ESG research indicates that only 22% of cybersecurity professionals working at critical infrastructure organizations have a clear understanding of the government’s cybersecurity agenda. This may be because there are too many cybersecurity voices at different agencies, an abundance of programs with confusing acronyms, and far more rhetoric than action. The U.S. government can only rectify this situation by developing a comprehensive strategy for cybersecurity for critical infrastructure industries. Of course, there is no shortage of documents and programs that claim to do this, but the cybersecurity community at large is looking for one program, bipartisan support, strong and cogent communication, and a visible government leader who actually “owns” cybersecurity. Sadly, many cybersecurity professionals view Washington as part of the problem rather than part of the solution. Government officials will not reverse this cynicism without an honest two-way dialogue, a mutually beneficial partnership, and a clear long-term strategy.
|
Comience con comunicaciones claras y sucintas. La investigación de ESG indica que los solamente 22% de profesionales del cybersecurity que trabajan en las organizaciones críticas de la infraestructura tienen una comprensión clara de la agenda del cybersecurity del gobierno. Esto puede ser porque hay demasiadas voces del cybersecurity en diversas agencias, una abundancia de programas con siglas de confusión, y lejos más retórico que la acción. Los E.E.U.U. el gobierno puede rectificar solamente esta situación desarrollando una estrategia comprensiva para el cybersecurity para las industrias críticas de la infraestructura. Por supuesto, no hay escasez de documentos y los programas que demandan hacer esto, pero la comunidad del cybersecurity en grande está buscando un programa, ayuda de dos partidos políticos, comunicación fuerte y fuerte, y un líder visible del gobierno que realmente “posea” cybersecurity. Tristemente, muchos profesionales del cybersecurity ven Washington como parte del problema más bien que parte de la solución. Los oficiales del gobierno no invertirán este cinismo sin un diálogo de dos vías honesto, una sociedad mutuamente beneficiosa, y una estrategia a largo plazo clara.
|
Treat cybersecurity as a national security rather than a political issue. After years of political wrangling, the Cybersecurity Act of 2012 received bipartisan support in the Senate Homeland Security and Governmental Affairs Committee. Unfortunately, the bill never proceeded to the senate floor for a vote. Why? It was a presidential election year, so finger pointing took precedence over collaboration. The cybersecurity legislation remains. In August 2015, the senate left Washington for recess without passing a pending cybersecurity bill on public/private threat intelligence sharing. While politicians continue to give stump speeches about data breaches, cyber-adversaries, and national security concerns, cybersecurity legislation continues to languish. Frustrated by this inactivity, President Obama issued several executive orders in this area. One of these led to the promising NIST cybersecurity framework—a good addition but more of a suggestion than anything else. The U.S. has faced an unprecedented wave of cybercrime and cyber-espionage over the past few years with no end in sight. It’s time for the President and congress to:
|
Trate el cybersecurity como seguridad nacional más bien que una edición política. Después de años de discutir político, el acto de Cybersecurity de 2012 recibió la ayuda de dos partidos políticos en la seguridad de la patria del senado y el comité gubernamental de los asuntos. Desafortunadamente, la cuenta nunca procedió al piso del senado para un voto. ¿Por qué? Era un año presidencial de la elección, así que el señalar del dedo tomó precedencia sobre la colaboración. El restos de la legislación del cybersecurity. En agosto de 2015, el senado salió de Washington para la hendidura sin aprobar una cuenta pendiente del cybersecurity en compartir público/privado de la inteligencia de la amenaza. Mientras que los políticos continúan dando discursos del tocón acerca de aberturas de los datos, de cyber-adversarios, y de preocupaciones de la seguridad nacional, la legislación del cybersecurity continúa languish. Frustrado por esta inactividad, presidente Obama publicó varias órdenes ejecutivas en esta área. Uno de éstos condujo a la buena adición del NIST del armazón-uno prometedor del cybersecurity pero más de una sugerencia que todo lo demás. Los E.E.U.U. ha hecho frente a una onda sin precedente del cybercrime y del cyber-espionaje durante los últimos años sin extremo en vista. Es hora para el presidente y el congreso:
|
Fund cybersecurity education programs.
|
Programas de la educación del cybersecurity del fondo.
|
Expand the Cyber Corps program as a way to exchange cybersecurity training and tuition funding for public service.
|
Amplíe el programa del cuerpo de Cyber como manera de intercambiar el entrenamiento y la cuota del cybersecurity que financian para el servicio público.
|
Improve the hiring process and compensation structure for federal cybersecurity professionals.
|
Mejore el proceso y la estructura de la remuneración que emplean para los profesionales federales del cybersecurity.
|
Create incentives for cybersecurity investments.
|
Cree los incentivos para las inversiones del cybersecurity.
|
Work as an equal partner with the cybersecurity community at large. Make sure that federal cybersecurity programs in this area are equally accessible to all cybersecurity professionals in all industries and locations—not just within a few hundred miles of Washington D.C.
|
Trabaje como socio igual con la comunidad del cybersecurity en grande. Cerciórese de que los programas federales del cybersecurity en esta área sean igualmente accesibles a todos los profesionales del cybersecurity en todas las industrias y localizaciones-no apenas dentro de algunas cientos millas de C.C. de Washington
|
Create and promote standards like STIX and TAXII for threat intelligence sharing.
|
Cree y promueva los estándares como STIX y TAXII para compartir de la inteligencia de la amenaza.
|
Share threat intelligence and best practices.
|
Inteligencia de la amenaza de la parte y las mejores prácticas.
|
Limit liabilities to organizations that truly commit to strong cyber supply chain security.
|
Limite las responsabilidades a las organizaciones que confían verdad a la seguridad fuerte de la cadena de fuente del cyber.
|
Impose penalties on organizations that continue to minimize cybersecurity.
|
Imponga las penas ante las organizaciones que continúan reduciendo al mínimo cybersecurity.
|
|
|