Conclusion
     
    Remove Translation Translation
    Original Text

    Although cyber supply chain security has improved somewhat over the last five years, there is still cause for concern. IT and information security professionals at critical infrastructure organizations believe that the threat landscape is getting worse and that cyber supply chain security is growing more difficult. Furthermore, more than two-thirds of critical infrastructure organizations have experienced a multitude of types of security incidents, including those emanating from vulnerabilities in software they developed in-house. Finally, many critical infrastructure organizations are pursuing new types of IT initiatives like cloud computing, mobile applications, and IoT projects. These technologies are in their genesis phase and may be fraught with vulnerabilities. Meanwhile, cybersecurity best practices and skills around IT innovation also lag behind.

    Anche se la sicurezza della catena di rifornimento del cyber ha migliorato piuttosto durante gli ultimi cinque anni, ci è tema di inquietudine tranquillo. ESSO ed i professionisti di sicurezza delle informazioni alle organizzazioni critiche dell'infrastruttura credono che il paesaggio di minaccia stia ottenendo più difettoso e che la sicurezza della catena di rifornimento del cyber sta sviluppandosi più difficile. Ancora, più di due terzi delle organizzazioni critiche dell'infrastruttura ha avvertito un gran numero di tipi di avvenimenti di sicurezza, compreso quelle che derivano dalle vulnerabilità nel software che si sono sviluppati in-house. Per concludere, molte organizzazioni critiche dell'infrastruttura stanno perseguendogli i nuovi tipi iniziative come la computazione della nube, le applicazioni mobili ed i progetti IoT. Queste tecnologie sono nella loro fase di genesi e possono essere cariche di vulnerabilità. Nel frattempo, le pratiche di cybersecurity e le abilità migliori intorno ESSO innovazione inoltre si ritardano dietro.

    All of these factors add up to continuing cyber supply chain security complexities. Based upon the research data presented herein, ESG offers the following recommendations for critical infrastructure organizations, IT technology vendors, and the U.S. Federal Government.

    Tutti questi fattori aggiungono fino alle complessità continue di sicurezza della catena di rifornimento del cyber. Basato sui dati di ricerca presentati qui, ESG offre le seguenti raccomandazioni per le organizzazioni critiche dell'infrastruttura, ESSO fornitori di tecnologia e gli Stati Uniti Governo federale.

    For Critical Infrastructure Organizations

    Per le organizzazioni critiche dell'infrastruttura

    ESG’s research indicates that not only are critical infrastructure organizations inadequately prepared for the current threat landscape, but most are compounding this problem by not doing enough to mitigate  the risks associated with cyber supply chain security. To address these shortcomings, critical infrastructure organizations should:

    La ricerca del ESG indica che non solo è organizzazioni critiche dell'infrastruttura per insufficientemente il paesaggio corrente di minaccia, ma la maggior parte stanno complicando questo problema non facendo abbastanza per attenuarsi  i rischi connessi con sicurezza della catena di rifornimento del cyber. Richiamare queste imperfezioni, le organizzazioni critiche dell'infrastruttura dovrebbero:

    Assess cyber supply chain risk across the organization. Since the cyber supply chain includes a broad range of participants, including IT vendors, suppliers, business partners, and contractors, many critical infrastructure organizations delegate cyber supply chain security management to a variety of internal groups and individuals. While this makes sense at an operational level, it makes it impossible to get a comprehensive perspective of cyber supply chain security or accurately measure cyber supply chain risk. To alleviate this unacceptable situation, CISOs and risk officers should take the time to map out their entire cyber supply chain—every partner, IT equipment vendor, SaaS provider, supplier, etc. Clearly, this will take time and require ample resources, but an end-to-end and up-to-date map of the cyber supply chain is an essential foundation for situational awareness and proactive risk management.

    Valuti il rischio della catena di rifornimento del cyber attraverso l'organizzazione. Poiché la catena di rifornimento del cyber include una vasta gamma di partecipanti, compreso ESSO fornitori, di fornitori, di soci di affari e di appaltatori, molte organizzazioni critiche dell'infrastruttura delegano l'amministrazione di sicurezza della catena di rifornimento del cyber una varietà di gruppi e di individui interni. Mentre questo ha il significato ad un livello operativo, lo rende impossible ottenere una prospettiva completa di sicurezza della catena di rifornimento del cyber o misurare esattamente il rischio della catena di rifornimento del cyber. Per alleviare questa situazione inaccettabile, gli ufficiali di rischio e di CISOs dovrebbero occorrere tempo tracciare fuori il loro intero rifornimento del cyber catena-ogni socio, ESSO fornitore dell'apparecchiatura, fornitore di SaaS, fornitore, ecc. Chiaramente, questo occorrerà tempo e richiederà le risorse ampie, ma un programma faccia a faccia ed aggiornato della catena di rifornimento del cyber è un fondamento essenziale per consapevolezza situazionale e l'amministrazione di rischio proactive.

    Integrate cyber supply chain security into new IT initiatives. When asked why cyber supply chain security has become more difficult, 44% of cybersecurity professionals blamed new IT initiatives that have increased the cyber-attack surface. This isn’t surprising given massive adoption of technologies like cloud computing, IoT, and mobile applications over the past few years. Unfortunately, new IT initiatives often prioritize business objectives at the expense of strong cybersecurity. Given today’s threat landscape, this type of laissez-faire approach to cybersecurity must be expunged from the organization. To address and mitigate cyber supply chain risk, CEOs must lead by example with the goal of building a corporate culture that inculcates strong cybersecurity into all business processes, programs, and supporting IT initiatives.

    Integri la sicurezza della catena di rifornimento del cyber in nuovo ESSO iniziative. Una volta chiesto perchè la sicurezza della catena di rifornimento del cyber è diventato più difficile, 44% dei professionisti di cybersecurity la ha incolpata nuovo le iniziative che hanno aumentato cyber-attacano la superficie. Ciò non sta sorpresendo la data approvazione voluminosa delle tecnologie come la computazione della nube, IoT e le applicazioni mobili durante questi ultimi anni. Purtroppo, nuovo iniziative dà la priorità spesso agli obiettivi di affari a scapito del cybersecurity forte. Il dato odierno paesaggio di minaccia, questo tipo di metodo di "laissez faire" al cybersecurity deve expunged dall'organizzazione. Per richiamare ed attenuare il rischio della catena di rifornimento del cyber, CEOs deve condurre dall'esempio con l'obiettivo di sviluppo della coltura corporativa che inculca il cybersecurity forte in tutti i processi, nei programmi e nel sostegno di affari ESSO iniziative.

    Fully integrate security into IT procurement. ESG data demonstrates that processes and procedures governing IT vendor security audits lack consistency and usefulness. As mentioned, best practices for IT vendor security audits should include the following steps:

    Completamente integri la sicurezza in ESSO acquisizione. I dati di ESG dimostrano che i processi e le procedure che li governano verifiche di sicurezza del fornitore difettano della consistenza e dell'utilità. Come pratiche accennate e migliori per ESSO le verifiche di sicurezza del fornitore dovrebbero includere i seguenti punti:

    Audit all strategic IT vendors (including service providers, cloud service providers, and distributors).

    Verifichi tutto lo strategico ESSO fornitori (fornitori di servizio compresi, fornitori di servizio della nube e distributori).

    Follow a standard process for all vendor audits.

    Segua un processo standard per tutte le verifiche del fornitore.

    Implement a corporate policy where IT vendor security audit metrics have a significant impact for all procurement decisions.

    Effettui una politica corporativa dove metrica di verifica di sicurezza del fornitore ha un effetto significativo per tutte le decisioni di acquisizione.

    A stringent audit process should pay for itself by lowering cyber supply chain risk over time. It will also send a clear message to IT vendors: Adhere to strong cybersecurity policies and procedures or hawk your insecure products and services elsewhere.

    Un processo rigoroso di verifica dovrebbe pagare se riducendo il rischio della catena di rifornimento del cyber col tempo. Inoltre trasmetterà ad un messaggio chiaro ESSO i fornitori: Aderisca alle politiche ed alle procedure forti di cybersecurity o hawk i vostri prodotti e servizi insicuri altrove.

    Address all aspects of software assurance. As in other findings in this report, critical infrastructure organizations have made progress on software assurance since 2010, but these improvements are based on additional tactical actions rather than an end-to-end strategic approach. Software assurance must be anchored by a secure software development lifecycle and the right skill set for secure software development. Furthermore, software assurance best practices must be followed with no exceptions. This demands an enterprise program for internally developed software as well as stringent controls on third-party software development, maintenance, and testing. Leading companies will also impose testing and quality standards on all commercial software.

    Richiami tutte le funzioni di assicurazione del software. Come in altri risultati in questo rapporto, le organizzazioni critiche dell'infrastruttura hanno realizzare i progressi su assicurazione del software dal 2010, ma questi miglioramenti sono basati sulle azioni tattiche supplementari piuttosto che su un metodo strategico faccia a faccia. L'assicurazione del software deve essere ancorata da un lifecycle sicuro di sviluppo del software e dalla giusta abilità regolati per sviluppo sicuro del software. Ancora, le pratiche migliori di assicurazione del software devono essere seguite senza le eccezioni. Ciò richiede un programma di impresa per software internamente sviluppato così come i comandi rigorosi su sviluppo, su manutenzione e sulla prova di terzi del software. Le aziende principali inoltre imporranno i campioni di qualità e di prova a tutto il software commerciale.

    Formalize external IT security. When it comes to cyber supply chain security, risk associated with working with third-party partners must be managed and mitigated with the same care as internal activities like vulnerability scanning and patch management. In fact, strong cyber supply chain security has become an SEC mandate and will likely find its way to other industries beyond financial services. Once again, this demands a consistent, documented, and measurable approach for third parties that provide IT services to or consume them from an organization. Aside from legal contracts, governance frameworks, and certifications, CISOs should explore new types of cyber intelligence designed for monitoring third-party risk from vendors like BitSight and SecurityScorecard.

    Formalizzilo esterno sicurezza. Quando viene a sicurezza della catena di rifornimento del cyber, il rischio connesso con il funzionamento con i soci di terzi deve essere controllato ed attenuarsi con la stessa cura delle attività interne come l'esame di vulnerabilità e l'amministrazione della zona. Infatti, la sicurezza forte della catena di rifornimento del cyber si è trasformata in in un mandato di sec e probabilmente troverà il relativo senso ad altre industrie oltre i servizi finanziari. , Questo richiede un metodo costante, ancora una volta documentato e misurabile per i terzi che lo forniscono assiste a o li consumano da un'organizzazione. Oltre ai contratti, alle strutture di controllo ed alle certificazioni legali, CISOs dovrebbe esplorare i nuovi tipi di intelligenze del cyber progettati per il controllo del rischio di terzi dai fornitori come BitSight e SecurityScorecard.

    Push for more help from Washington. Like many other critical issues, cybersecurity has been relegated into partisan politics and pork barrel programs. Critical infrastructure organizations should work together, come up with legislative recommendations, lobby for action, and make sure to keep the public aware of any partisan behavior or stalling in Washington.

    Spinga per più aiuto da Washington. Come molte altre edizioni critiche, il cybersecurity è stato relegato nei programmi partigiani del barilotto del porco e di politica. Le organizzazioni critiche dell'infrastruttura dovrebbero funzionare insieme, offrono le raccomandazioni legislative, incitano per azione e si assicurano mantenere il pubblico informato di tutto il comportamento o stalling partigiano a Washington.

    For the IT Industry

    Per ESSO industria

    IT product and service providers should view this report as a harbinger of things to come. Critical infrastructure organizations have much work ahead, but ESG data does indicate clear progress since 2010. It is therefore wise to recognize that critical infrastructure organizations are slowly but surely making strong cybersecurity a requirement for all IT vendors. To prepare for this security transition, the entire IT industry must:

    Fornitori di servizio e del prodotto dovrebbe osservare questo rapporto come harbinger delle cose per venire. Le organizzazioni critiche dell'infrastruttura hanno molto lavoro avanti, ma i dati di ESG indicano chiaramente progrediscono dal 2010. È quindi saggio riconoscere che le organizzazioni critiche dell'infrastruttura lentamente ma certamente stanno rendendo a cybersecurity forte un requisito di tutti ESSO fornitori. Prepararsi per questa transizione di sicurezza, l'intero industria deve:

    Build comprehensive internal cybersecurity programs. Several large IT vendors including Cisco, IBM, Microsoft, Oracle, and VMware have not only created strong cybersecurity programs internally, but also published details about these programs for customer review. Typically, these programs include features like cyber supply chain security management, secure product design, security testing, employee training, IT security, and security services and support. All IT vendors should study and emulate these programs to the best of their abilities.

    Programmi interni globali di cybersecurity di configurazione. Parecchi grandi fornitori compreso Cisco, IBM, Microsoft, Oracle e VMware non solo ha generato i programmi forti di cybersecurity internamente, ma i particolari anche pubblicati circa questi programmi per la revisione del cliente. Tipicamente, questi programmi includono le caratteristiche come l'amministrazione di sicurezza della catena di rifornimento del cyber, progettazione sicura, prova di sicurezza, addestramento degli impiegati, ESSO sicurezza e servizi e supporto di sicurezza. Tutti che fornitori dovrebbe studiare ed emulare questi programmi al la cosa migliore delle loro abilità.

    Take a solutions focus to cyber supply chain security. As secure as any one vendor’s products and processes are, business applications and IT infrastructure are composed of a myriad of connected piece parts working together. This means that IT vendors should take a proactive approach to engaging with product and services partners and participate fully in cybersecurity testing, deployment, and operations for complex IT solutions.

    Prenda un fuoco delle soluzioni a sicurezza della catena di rifornimento del cyber. Sicuro quanto i prodotti ed i processi di tutto il un fornitore sono, le applicazioni commerciali/gestionali e l'infrastruttura si compone di miriade dei pezzi collegati che funzionano insieme. Ciò significa che fornitori dovrebbe adottare un metodo proactive all'aggancio con il prodotto ed assiste i soci e partecipa completamente alla prova, allo schieramento ed ai funzionamenti di cybersecurity per il complesso ESSO soluzioni.

    Include strong security as part of customer engagements. Even the most diligent customers may not be aware of the cybersecurity intricacies of individual IT products. Smart vendors will work with customers to answer questions, recommend reference architectures, help them harden their products, and maintain a constant stream of communications.

    Includa la sicurezza forte come componente degli impegni del cliente. Neppure i clienti più diligenti non possono essere informati delle complessità di cybersecurity dell'individuo ESSO prodotti. I fornitori astuti lavoreranno con i clienti per rispondere alle domande, suggerire le architetture di riferimento, per aiutarli ad indurire i loro prodotti e per effettuare un flusso costante delle comunicazioni.

    For the U.S. Federal Government

    Per gli Stati Uniti Governo federale

    While cybersecurity continues to be topical in the halls of Congress, this and other ESG research reveals a growing gap between cybersecurity professionals and Washington. To alleviate this disconnect and truly engage with the cybersecurity community, the U.S. Federal Government should:

    Mentre il cybersecurity continua ad essere d'attualità nei corridoi del congresso, questo e l'altra ricerca di ESG rivelano uno spacco crescente fra i professionisti di cybersecurity e Washington. Per alleviare questa sconnessione ed allineare agganciarsi con la Comunità di cybersecurity, gli Stati Uniti Il governo federale dovrebbe:

    Start with clear and concise communications. ESG research indicates that only 22% of cybersecurity professionals working at critical infrastructure organizations have a clear understanding of the government’s cybersecurity agenda. This may be because there are too many cybersecurity voices at different agencies, an abundance of programs with confusing acronyms, and far more rhetoric than action. The U.S. government can only rectify this situation by developing a comprehensive strategy for cybersecurity for critical infrastructure industries. Of course, there is no shortage of documents and programs that claim to do this, but the cybersecurity community at large is looking for one program, bipartisan support, strong and cogent communication, and a visible government leader who actually “owns” cybersecurity. Sadly, many cybersecurity professionals view Washington as part of the problem rather than part of the solution. Government officials will not reverse this cynicism without an honest two-way dialogue, a mutually beneficial partnership, and a clear long-term strategy.

    Inizi con le comunicazioni libere e concise. La ricerca di ESG indica che soltanto 22% dei professionisti di cybersecurity che lavorano alle organizzazioni critiche dell'infrastruttura hanno una comprensione libera dell'ordine del giorno di cybersecurity del governo. Ciò può essere perché ci è troppe voci di cybersecurity alle agenzie differenti, un'abbondanza dei programmi con le sigle confondenti e la molto più retorica che l'azione. Gli Stati Uniti il governo può rettificare soltanto questa situazione sviluppando una strategia completa per il cybersecurity per le industrie critiche dell'infrastruttura. Naturalmente, non ci sono scarsità dei documenti e programmi che sostengono fare questa, ma la Comunità di cybersecurity nel suo insieme sta cercando un programma, supporto bipartisan, comunicazione forte e valida e un capo visibile di governo che realmente “possiede„ il cybersecurity. Tristemente, molti professionisti di cybersecurity osservano Washington come componente del problema piuttosto che parte della soluzione. I funzionari di governo non invertiranno questo cynicism senza un dialogo bidirezionale onesto, un'associazione reciprocamente favorevole e una strategia di lunga durata libera.

    Treat cybersecurity as a national security rather than a political issue. After years of political wrangling, the Cybersecurity Act of 2012 received bipartisan support in the Senate Homeland Security and Governmental Affairs Committee. Unfortunately, the bill never proceeded to the senate floor for a vote. Why? It was a presidential election year, so finger pointing took precedence over collaboration. The cybersecurity legislation remains. In August 2015, the senate left Washington for recess without passing a pending cybersecurity bill on public/private threat intelligence sharing. While politicians continue to give stump speeches about data breaches, cyber-adversaries, and national security concerns, cybersecurity legislation continues to languish. Frustrated by this inactivity, President Obama issued several executive orders in this area. One of these led to the promising NIST cybersecurity framework—a good addition but more of a suggestion than anything else. The U.S. has faced an unprecedented wave of cybercrime and cyber-espionage over the past few years with no end in sight. It’s time for the President and congress to:

    Tratti il cybersecurity come sicurezza nazionale piuttosto che un'edizione politica. Dopo gli anni di wrangling politico, la Legge di Cybersecurity di 2012 ha ricevuto il supporto bipartisan nella sicurezza della patria del senato e nel comitato governativo di affari. Purtroppo, la fattura non ha continuato mai al pavimento del senato per un voto. Perchè? Era un anno presidenziale di elezione, in modo da indicare della barretta ha preso la precedenza sopra collaborazione. Il remains di legislazione di cybersecurity. Nell'agosto 2015, il senato ha lasciato Washington per l'incavo senza passare di una fattura in attesa di cybersecurity sulla compartecipazione pubblica/riservata di intelligenza di minaccia. Mentre i politici continuano a dare i discorsi del ceppo sulle fratture di dati, sugli cyber-avversari e sulle preoccupazioni di sicurezza nazionale, la legislazione di cybersecurity continua a languish. Frustrato da questo inactivity, il presidente Obama ha pubblicato parecchi ordini esecutivi in questa zona. Uno di questi ha condotto alla buona aggiunta del NIST della struttura-un promising di cybersecurity ma a più di un suggerimento che niente altro. Gli Stati Uniti ha affrontato un'onda senza precedente di cybercrime e di cyber-spionaggio durante questi ultimi anni senza l'estremità in vista. È tempo per il presidente ed il congresso:

    Fund cybersecurity education programs.

    Programmi di formazione di cybersecurity del fondo monetario.

    Expand the Cyber Corps program as a way to exchange cybersecurity training and tuition funding for public service.

    Espanda il programma di corpo di Cyber come senso scambiare l'addestramento e le tasse scolastiche di cybersecurity che costituiscono un fondo per per servizio pubblico.

    Improve the hiring process and compensation structure for federal cybersecurity professionals.

    Migliori il processo e la struttura assumenti della compensazione per i professionisti federali di cybersecurity.

    Create incentives for cybersecurity investments.

    Generi i motivi per gli investimenti di cybersecurity.

    Work as an equal partner with the cybersecurity community at large. Make sure that federal cybersecurity programs in this area are equally accessible to all cybersecurity professionals in all industries and locations—not just within a few hundred miles of Washington D.C.

    Funzioni come socio uguale con la Comunità di cybersecurity nel suo insieme. Assicuri che i programmi federali di cybersecurity in questa zona sono ugualmente accessibili a tutti i professionisti di cybersecurity in tutte le industrie e posizioni-non appena entro alcune cento miglia di DC di Washington

    Create and promote standards like STIX and TAXII for threat intelligence sharing.

    Generi e promuova i campioni come STIX e TAXII per la compartecipazione di intelligenza di minaccia.

    Share threat intelligence and best practices.

    Intelligenza di minaccia della parte e pratiche migliori.

    Limit liabilities to organizations that truly commit to strong cyber supply chain security.

    Limiti le responsabilità alle organizzazioni che allineare commettono a sicurezza forte della catena di rifornimento del cyber.

    Impose penalties on organizations that continue to minimize cybersecurity.

    Applichi le sanzioni alle organizzazioni che continuano a minimizzare il cybersecurity.