|
Conclusion
Although cyber supply chain security has improved somewhat over the last five years, there is still cause for concern. IT and information security professionals at critical infrastructure organizations believe that the threat landscape is getting worse and that cyber supply chain security is growing more difficult. Furthermore, more than two-thirds of critical infrastructure organizations have experienced a multitude of types of security incidents, including those emanating from vulnerabilities in software they developed in-house. Finally, many critical infrastructure organizations are pursuing new types of IT initiatives like cloud computing, mobile applications, and IoT projects. These technologies are in their genesis phase and may be fraught with vulnerabilities. Meanwhile, cybersecurity best practices and skills around IT innovation also lag behind.
|
Bien que la sécurité de chaîne d'approvisionnements de cyber se soit améliorée légèrement au cours des cinq dernières années, il y a de sujet d'inquiétude immobile. LUI et les professionnels de sécurité de l'information aux organismes critiques d'infrastructure croient que le paysage de menace devient plus mauvais et que la sécurité de chaîne d'approvisionnements de cyber se développe plus difficile. En outre, plus de deux-tiers d'organismes critiques d'infrastructure ont éprouvé une multitude de types d'incidents de sécurité, y compris ceux émanant des vulnérabilités dans le logiciel qu'ils ont développé intérieurement. En conclusion, beaucoup d'organismes critiques d'infrastructure poursuivent de nouveaux types de LUI des initiatives comme le calcul de nuage, les applications mobiles, et les projets d'IoT. Ces technologies sont dans leur phase de genèse et peuvent être chargées des vulnérabilités. En attendant, les meilleures pratiques en matière de cybersecurity et qualifications autour de LUI innovation traînent également derrière.
|
All of these factors add up to continuing cyber supply chain security complexities. Based upon the research data presented herein, ESG offers the following recommendations for critical infrastructure organizations, IT technology vendors, and the U.S. Federal Government.
|
Tous ces facteurs s'ajoutent jusqu'aux complexités continues de sécurité de chaîne d'approvisionnements de cyber. Basé sur les données de recherches a présenté ci-dessus, des offres d'ESG les recommandations suivantes pour des organismes critiques d'infrastructure, LUI des fournisseurs de technologie, et les États-Unis Gouvernement fédéral.
|
For Critical Infrastructure Organizations
|
Pour des organismes critiques d'infrastructure
|
ESG’s research indicates that not only are critical infrastructure organizations inadequately prepared for the current threat landscape, but most are compounding this problem by not doing enough to mitigate the risks associated with cyber supply chain security. To address these shortcomings, critical infrastructure organizations should:
|
La recherche d'ESG indique qui sont non seulement des organismes critiques d'infrastructure insuffisamment préparés pour le paysage courant de menace, mais les la plupart compliquent ce problème en ne faisant pas assez pour atténuer les risques se sont associés à la sécurité de chaîne d'approvisionnements de cyber. Pour adresser ces imperfections, les organismes critiques d'infrastructure devraient :
|
Assess cyber supply chain risk across the organization. Since the cyber supply chain includes a broad range of participants, including IT vendors, suppliers, business partners, and contractors, many critical infrastructure organizations delegate cyber supply chain security management to a variety of internal groups and individuals. While this makes sense at an operational level, it makes it impossible to get a comprehensive perspective of cyber supply chain security or accurately measure cyber supply chain risk. To alleviate this unacceptable situation, CISOs and risk officers should take the time to map out their entire cyber supply chain—every partner, IT equipment vendor, SaaS provider, supplier, etc. Clearly, this will take time and require ample resources, but an end-to-end and up-to-date map of the cyber supply chain is an essential foundation for situational awareness and proactive risk management.
|
Évaluez le risque de chaîne d'approvisionnements de cyber à travers l'organisation. Puisque la chaîne d'approvisionnements de cyber inclut une large gamme des participants, y compris ELLE des fournisseurs, des fournisseurs, des associés, et des entrepreneurs, beaucoup d'organismes critiques d'infrastructure délèguent la gestion de sécurité de chaîne d'approvisionnements de cyber à une variété de groupes et d'individus internes. Tandis que ce se comprend à un niveau opérationnel, il le rend impossible d'obtenir une perspective complète de sécurité de chaîne d'approvisionnements de cyber ou de mesurer exactement le risque de chaîne d'approvisionnements de cyber. Pour alléger cette situation inacceptable, les dirigeants de CISOs et de risque devraient prendre le temps de tracer dehors leur approvisionnement entier de cyber chaîne-chaque associé, LUI fournisseur d'équipement, fournisseur de SaaS, fournisseur, etc. Clairement, ceci prendra du temps et exigera les ressources suffisantes, mais une carte bout à bout et à jour de la chaîne d'approvisionnements de cyber est une base essentielle pour la conscience situationnelle et la gestion des risques proactive.
|
Integrate cyber supply chain security into new IT initiatives. When asked why cyber supply chain security has become more difficult, 44% of cybersecurity professionals blamed new IT initiatives that have increased the cyber-attack surface. This isn’t surprising given massive adoption of technologies like cloud computing, IoT, and mobile applications over the past few years. Unfortunately, new IT initiatives often prioritize business objectives at the expense of strong cybersecurity. Given today’s threat landscape, this type of laissez-faire approach to cybersecurity must be expunged from the organization. To address and mitigate cyber supply chain risk, CEOs must lead by example with the goal of building a corporate culture that inculcates strong cybersecurity into all business processes, programs, and supporting IT initiatives.
|
Intégrez la sécurité de chaîne d'approvisionnements de cyber dans nouveau IL des initiatives. Une fois demandé pourquoi la sécurité de chaîne d'approvisionnements de cyber est devenue plus difficile, 44% de professionnels de cybersecurity l'a blâmée nouveau les initiatives qui ont augmenté cyber-attaquent la surface. Ceci n'étonne pas l'adoption massive donnée des technologies comme le calcul de nuage, l'IoT, et les applications mobiles au cours de ces dernières années. Malheureusement, nouveau IL des initiatives donnent la priorité souvent à des objectifs d'affaires aux dépens du cybersecurity fort. Le paysage d'aujourd'hui donné de menace, ce type d'approche de laissez-faire au cybersecurity doit être effacé de l'organisation. Pour adresser et atténuer le risque de chaîne d'approvisionnements de cyber, les Présidents doivent mener par exemple avec le but d'établir une culture d'entreprise qui inculque le cybersecurity fort dans tous les processus, programmes, et le support d'affaires de LUI des initiatives.
|
Fully integrate security into IT procurement. ESG data demonstrates that processes and procedures governing IT vendor security audits lack consistency and usefulness. As mentioned, best practices for IT vendor security audits should include the following steps:
|
Intégrez entièrement la sécurité dans ELLE fourniture. Les données d'ESG démontrent que les processus et les procédures les régissant sécurité de fournisseur audite la régularité et l'utilité de manque. En tant que pratiques mentionné et meilleur pour LUI le fournisseur que la sécurité audite devrait inclure les étapes suivantes :
|
Audit all strategic IT vendors (including service providers, cloud service providers, and distributors).
|
Auditez tout le stratégique IL des fournisseurs (fournisseurs de service y compris, fournisseurs de service de nuage, et distributeurs).
|
Follow a standard process for all vendor audits.
|
Suivez un processus standard pour tout le fournisseur audite.
|
Implement a corporate policy where IT vendor security audit metrics have a significant impact for all procurement decisions.
|
Mettez en application une politique de corporation où IL sécurité de fournisseur auditent la métrique ont un impact significatif pour toutes les décisions de fourniture.
|
A stringent audit process should pay for itself by lowering cyber supply chain risk over time. It will also send a clear message to IT vendors: Adhere to strong cybersecurity policies and procedures or hawk your insecure products and services elsewhere.
|
Un rigoureux audite le processus devrait payer lui-même en abaissant le risque de chaîne d'approvisionnements de cyber avec le temps. Il enverra également à un message clair LUI des fournisseurs : Adhérez aux politiques et aux procédures fortes de cybersecurity ou colportez vos produits et services peu sûrs ailleurs.
|
Address all aspects of software assurance. As in other findings in this report, critical infrastructure organizations have made progress on software assurance since 2010, but these improvements are based on additional tactical actions rather than an end-to-end strategic approach. Software assurance must be anchored by a secure software development lifecycle and the right skill set for secure software development. Furthermore, software assurance best practices must be followed with no exceptions. This demands an enterprise program for internally developed software as well as stringent controls on third-party software development, maintenance, and testing. Leading companies will also impose testing and quality standards on all commercial software.
|
Adressez tous les aspects d'assurance de logiciel. Comme dans d'autres résultats dans ce rapport, les organismes critiques d'infrastructure ont accompli le progrès sur l'assurance de logiciel depuis 2010, mais ces améliorations sont basées sur des actions tactiques additionnelles plutôt qu'une approche stratégique bout à bout. L'assurance de logiciel doit être ancrée par un cycle de vie bloqué de développement de logiciel et la bonne compétence réglés pour le développement bloqué de logiciel. En outre, pratiques en matière d'assurance de logiciel les meilleures doivent être suivies sans des exceptions. Ceci exige un programme d'entreprise pour le logiciel intérieurement développé aussi bien que des commandes rigoureuses sur le tiers développement, entretien, et essai de logiciel. Les principales compagnies imposeront également des standards d'essai et de qualité à tout le logiciel commercial.
|
Formalize external IT security. When it comes to cyber supply chain security, risk associated with working with third-party partners must be managed and mitigated with the same care as internal activities like vulnerability scanning and patch management. In fact, strong cyber supply chain security has become an SEC mandate and will likely find its way to other industries beyond financial services. Once again, this demands a consistent, documented, and measurable approach for third parties that provide IT services to or consume them from an organization. Aside from legal contracts, governance frameworks, and certifications, CISOs should explore new types of cyber intelligence designed for monitoring third-party risk from vendors like BitSight and SecurityScorecard.
|
Formalisez-externe LE sécurité. Quand il vient à la sécurité de chaîne d'approvisionnements de cyber, le risque lié à travailler avec de tiers associés doit être contrôlé et atténué avec le même soin que des activités internes comme le balayage de vulnérabilité et la gestion de pièce rapportée. En fait, la sécurité forte de chaîne d'approvisionnements de cyber est devenue un mandat de sec et trouvera probablement son chemin à d'autres industries au delà des services financiers. , Ceci exige une approche cohérente, de nouveau documentée, et mesurable pour les tiers qui la fournissent entretient à ou les consomme d'une organisation. Hormis les contrats, les cadres de gouvernement, et les certifications légaux, CISOs devrait explorer de nouveaux types d'intelligence de cyber conçus pour surveiller le tiers risque des fournisseurs comme BitSight et SecurityScorecard.
|
Push for more help from Washington. Like many other critical issues, cybersecurity has been relegated into partisan politics and pork barrel programs. Critical infrastructure organizations should work together, come up with legislative recommendations, lobby for action, and make sure to keep the public aware of any partisan behavior or stalling in Washington.
|
Poussez pour plus d'aide de Washington. Comme beaucoup d'autres questions critiques, le cybersecurity a été relégué dans des programmes partisans de baril de la politique et de porc. Les organismes critiques d'infrastructure devraient fonctionner ensemble, proposent des recommandations législatives, incitent à l'action, et veillent à maintenir le public averti de n'importe quel comportement ou perte de vitesse partisan à Washington.
|
For the IT Industry
|
Pour IL industrie
|
IT product and service providers should view this report as a harbinger of things to come. Critical infrastructure organizations have much work ahead, but ESG data does indicate clear progress since 2010. It is therefore wise to recognize that critical infrastructure organizations are slowly but surely making strong cybersecurity a requirement for all IT vendors. To prepare for this security transition, the entire IT industry must:
|
IL des fournisseurs de produit et de service devrait regarder ce rapport comme harbinger des choses pour venir. Les organismes critiques d'infrastructure ont beaucoup de travail en avant, mais les données d'ESG indiquent clairement progressent depuis 2010. Il est donc sage d'identifier que les organismes critiques d'infrastructure prévoient lentement mais sûrement à cybersecurity fort une exigence pour tous IL des fournisseurs. Pour se préparer à cette transition de sécurité, l'entier IL industrie doit :
|
Build comprehensive internal cybersecurity programs. Several large IT vendors including Cisco, IBM, Microsoft, Oracle, and VMware have not only created strong cybersecurity programs internally, but also published details about these programs for customer review. Typically, these programs include features like cyber supply chain security management, secure product design, security testing, employee training, IT security, and security services and support. All IT vendors should study and emulate these programs to the best of their abilities.
|
Programmes internes complets de cybersecurity de construction. Plusieurs grands IL des fournisseurs comprenant Cisco, IBM, Microsoft, Oracle, et VMware ont non seulement créé des programmes forts de cybersecurity intérieurement, mais des détails également édités au sujet de ces programmes pour la revue de client. Typiquement, ces programmes incluent des dispositifs comme la gestion de sécurité de chaîne d'approvisionnements de cyber, conception de produits bloquée, sécurité examinant, formation du personnel, IL sécurité, et services de sécurité et appui. Tous qu'IL des fournisseurs devrait étudier et émuler ces programmes au meilleur de leurs capacités.
|
Take a solutions focus to cyber supply chain security. As secure as any one vendor’s products and processes are, business applications and IT infrastructure are composed of a myriad of connected piece parts working together. This means that IT vendors should take a proactive approach to engaging with product and services partners and participate fully in cybersecurity testing, deployment, and operations for complex IT solutions.
|
Prenez un foyer de solutions à la sécurité de chaîne d'approvisionnements de cyber. Aussi bloqué que les produits et les processus de n'importe quel un fournisseur sont, les applications d'affaires et IL infrastructure se composent de myriade de pièces reliées fonctionnant ensemble. Ceci signifie qu'IL des fournisseurs devrait adopter une approche proactive à engager dans le produit et entretient des associés et participe entièrement à déterminer, à déploiement, et à opérations de cybersecurity le complexe IL des solutions.
|
Include strong security as part of customer engagements. Even the most diligent customers may not be aware of the cybersecurity intricacies of individual IT products. Smart vendors will work with customers to answer questions, recommend reference architectures, help them harden their products, and maintain a constant stream of communications.
|
Incluez la sécurité forte en tant qu'élément des engagements de client. Même les clients les plus diligents peuvent ne pas se rendre compte des complexités de cybersecurity de l'individu IL des produits. Les fournisseurs futés travailleront avec des clients pour répondre à des questions, pour recommander des architectures de référence, pour les aider à durcir leurs produits, et pour maintenir un jet constant des communications.
|
For the U.S. Federal Government
|
Pour les États-Unis Gouvernement fédéral
|
While cybersecurity continues to be topical in the halls of Congress, this and other ESG research reveals a growing gap between cybersecurity professionals and Washington. To alleviate this disconnect and truly engage with the cybersecurity community, the U.S. Federal Government should:
|
Tandis que le cybersecurity continue à être topique dans les halls du congrès, ceci et toute autre recherche d'ESG indique un espace croissant entre les professionnels de cybersecurity et Washington. Pour alléger ce débranchement et engager dans vraiment la communauté de cybersecurity, les États-Unis Le gouvernement fédéral devrait :
|
Start with clear and concise communications. ESG research indicates that only 22% of cybersecurity professionals working at critical infrastructure organizations have a clear understanding of the government’s cybersecurity agenda. This may be because there are too many cybersecurity voices at different agencies, an abundance of programs with confusing acronyms, and far more rhetoric than action. The U.S. government can only rectify this situation by developing a comprehensive strategy for cybersecurity for critical infrastructure industries. Of course, there is no shortage of documents and programs that claim to do this, but the cybersecurity community at large is looking for one program, bipartisan support, strong and cogent communication, and a visible government leader who actually “owns” cybersecurity. Sadly, many cybersecurity professionals view Washington as part of the problem rather than part of the solution. Government officials will not reverse this cynicism without an honest two-way dialogue, a mutually beneficial partnership, and a clear long-term strategy.
|
Commencez par des communications claires et concises. La recherche d'ESG indique que seulement 22% de professionnels de cybersecurity travaillant aux organismes critiques d'infrastructure ont un arrangement clair de l'ordre du jour du cybersecurity du gouvernement. Ceci peut se produire parce qu'il y a trop de voix de cybersecurity à différentes agences, une abondance de programmes avec des acronymes confondants, et bien plus de rhétorique que l'action. Les États-Unis le gouvernement peut seulement rectifier cette situation en développant une stratégie complète pour le cybersecurity pour des industries critiques d'infrastructure. Naturellement, il n'y a aucun manque de documents et programmes qui prétendent faire ceci, mais la communauté de cybersecurity dans son ensemble recherche un programme, appui biparti, communication forte et incontestable, et un chef évident de gouvernement que réellement « possède » le cybersecurity. Tristement, beaucoup de professionnels de cybersecurity regardent Washington en tant qu'élément du problème plutôt que partie de la solution. Les fonctionnaires de gouvernement ne renverseront pas ce cynisme sans dialogue bi-directionnel honnête, association mutuellement salutaire, et stratégie à long terme claire.
|
Treat cybersecurity as a national security rather than a political issue. After years of political wrangling, the Cybersecurity Act of 2012 received bipartisan support in the Senate Homeland Security and Governmental Affairs Committee. Unfortunately, the bill never proceeded to the senate floor for a vote. Why? It was a presidential election year, so finger pointing took precedence over collaboration. The cybersecurity legislation remains. In August 2015, the senate left Washington for recess without passing a pending cybersecurity bill on public/private threat intelligence sharing. While politicians continue to give stump speeches about data breaches, cyber-adversaries, and national security concerns, cybersecurity legislation continues to languish. Frustrated by this inactivity, President Obama issued several executive orders in this area. One of these led to the promising NIST cybersecurity framework—a good addition but more of a suggestion than anything else. The U.S. has faced an unprecedented wave of cybercrime and cyber-espionage over the past few years with no end in sight. It’s time for the President and congress to:
|
Traitez le cybersecurity comme sécurité nationale plutôt qu'une question politique. Après des années de se disputer politique, l'acte de Cybersecurity de 2012 a reçu l'appui biparti au sein de la sécurité de patrie de sénat et du Comité gouvernemental d'affaires. Malheureusement, la facture n'a jamais procédé au plancher de sénat pour une voix. Pourquoi ? C'était une année présidentielle d'élection, ainsi l'indication par les doigts a eu la priorité au-dessus de la collaboration. Les restes de législation de cybersecurity. En août 2015, le sénat a quitté Washington pour la cavité sans passer une facture en attente de cybersecurity sur partage public/privé d'intelligence de menace. Tandis que les politiciens continuent à donner des discours de tronçon concernant des infractions de données, des cyber-adversaires, et des soucis de sécurité nationale, la législation de cybersecurity continue à languir. Frustré par cette inactivité, le Président Obama a publié plusieurs ordres exécutifs dans ce secteur. Un de ces derniers a mené à la bonne addition de NIST de cadre-un prometteur de cybersecurity mais à plus d'une suggestion que toute autre chose. Les États-Unis a fait face à une vague sans précédent de cybercrime et de cyber-espionnage au cours de ces dernières années sans l'extrémité en vue. Il est temps pour le président et le congrès :
|
Fund cybersecurity education programs.
|
Programmes d'éducation de cybersecurity de fonds.
|
Expand the Cyber Corps program as a way to exchange cybersecurity training and tuition funding for public service.
|
Augmentez le programme de corps de Cyber comme manière d'échanger la formation et l'instruction de cybersecurity plaçant pour le service public.
|
Improve the hiring process and compensation structure for federal cybersecurity professionals.
|
Améliorez le processus et la structure de location de compensation pour les professionnels fédéraux de cybersecurity.
|
Create incentives for cybersecurity investments.
|
Créez les incitations pour des investissements de cybersecurity.
|
Work as an equal partner with the cybersecurity community at large. Make sure that federal cybersecurity programs in this area are equally accessible to all cybersecurity professionals in all industries and locations—not just within a few hundred miles of Washington D.C.
|
Travaillez en tant qu'associé égal avec la communauté de cybersecurity dans son ensemble. Assurez-vous que les programmes fédéraux de cybersecurity dans ce secteur sont également accessibles à tous les professionnels de cybersecurity dans tous les industries et endroits-non juste au-dessous de quelques cent milles de DC de Washington
|
Create and promote standards like STIX and TAXII for threat intelligence sharing.
|
Créez et favorisez les normes comme STIX et TAXII pour le partage d'intelligence de menace.
|
Share threat intelligence and best practices.
|
Intelligence de menace de part et meilleures pratiques.
|
Limit liabilities to organizations that truly commit to strong cyber supply chain security.
|
Limitez les responsabilités aux organismes qui commettent vraiment à la sécurité forte de chaîne d'approvisionnements de cyber.
|
Impose penalties on organizations that continue to minimize cybersecurity.
|
Appliquez les sanctions aux organismes qui continuent à réduire au minimum le cybersecurity.
|
|
|