Conclusion
     
    Remove Translation Translation
    Original Text

    Although cyber supply chain security has improved somewhat over the last five years, there is still cause for concern. IT and information security professionals at critical infrastructure organizations believe that the threat landscape is getting worse and that cyber supply chain security is growing more difficult. Furthermore, more than two-thirds of critical infrastructure organizations have experienced a multitude of types of security incidents, including those emanating from vulnerabilities in software they developed in-house. Finally, many critical infrastructure organizations are pursuing new types of IT initiatives like cloud computing, mobile applications, and IoT projects. These technologies are in their genesis phase and may be fraught with vulnerabilities. Meanwhile, cybersecurity best practices and skills around IT innovation also lag behind.

    cyberのサプライチェーンの保証が最後の5年にわたって幾分改良したが、静かな不安の原因がある。 脅威の景色がより悪くなっていること、そしてcyberのサプライチェーンの保証がより困難に育っていることを重大な下部組織の組織のそして情報セキュリティの専門家は信じる。 なお、重大な下部組織の組織の3分の2以上多数のタイプをのそれらが社内に開発したソフトウェアの脆弱性から出るそれらを含む保証事件、経験した。 最後に、多くの重大な下部組織の組織はそれの新型を雲の計算、移動式適用およびIoTのプロジェクトのような率先追求している。 これらの技術は起源段階に、脆弱性に満ちていかもしれない。 その間、それのまわりのcybersecurityの最良の方法そして技術はまた革新後ろ遅れる。

    All of these factors add up to continuing cyber supply chain security complexities. Based upon the research data presented herein, ESG offers the following recommendations for critical infrastructure organizations, IT technology vendors, and the U.S. Federal Government.

    これらの要因すべては継続cyberのサプライチェーンの保証複雑さに集計する。 研究データに基づいてここ、ESGの提供重大な下部組織の組織のための次の推薦、それ技術の売り手、そして米国示した。 連邦政府。

    For Critical Infrastructure Organizations

    重大な下部組織の組織のため

    ESG’s research indicates that not only are critical infrastructure organizations inadequately prepared for the current threat landscape, but most are compounding this problem by not doing enough to mitigate  the risks associated with cyber supply chain security. To address these shortcomings, critical infrastructure organizations should:

    ESGの研究は示す不十分に現在の脅威の景色のために準備される重大な下部組織の組織であるがただほとんどは十分をしないことによって軽減するにはこの問題を混合している  危険はcyberのサプライチェーンの保証と関連付けた。 これらの欠点に演説するためには、重大な下部組織の組織はべきである:

    Assess cyber supply chain risk across the organization. Since the cyber supply chain includes a broad range of participants, including IT vendors, suppliers, business partners, and contractors, many critical infrastructure organizations delegate cyber supply chain security management to a variety of internal groups and individuals. While this makes sense at an operational level, it makes it impossible to get a comprehensive perspective of cyber supply chain security or accurately measure cyber supply chain risk. To alleviate this unacceptable situation, CISOs and risk officers should take the time to map out their entire cyber supply chain—every partner, IT equipment vendor, SaaS provider, supplier, etc. Clearly, this will take time and require ample resources, but an end-to-end and up-to-date map of the cyber supply chain is an essential foundation for situational awareness and proactive risk management.

    構成を渡るcyberのサプライチェーンの危険を査定しなさい。 cyberのサプライチェーンがそれを含む関係者、売り手、製造者、共同経営者および建築業者の広い範囲を含んでいるので、多くの重大な下部組織の組織は色々内部グループおよび個人にcyberのサプライチェーンの保証管理に委託する。 これは業務計画レベルで意味を成している間、cyberのサプライチェーンの保証の広範囲の見通しを得るか、または正確にcyberのサプライチェーンの危険を測定することを不可能にする。 この受け入れられない状態を軽減するためには、CISOsおよび危険の役人は鎖あらゆるパートナー、それ装置の売り手、SaaSの提供者、製造者、等彼らの全体のcyberの供給の地図を描くのに時間をかけるべきである。 明らかに、これは時間をかけ、が十分な資源を要求する、cyberのサプライチェーンの端末相互および最新の地図は状況意識および順向のリスク管理のための必要な基礎である。

    Integrate cyber supply chain security into new IT initiatives. When asked why cyber supply chain security has become more difficult, 44% of cybersecurity professionals blamed new IT initiatives that have increased the cyber-attack surface. This isn’t surprising given massive adoption of technologies like cloud computing, IoT, and mobile applications over the past few years. Unfortunately, new IT initiatives often prioritize business objectives at the expense of strong cybersecurity. Given today’s threat landscape, this type of laissez-faire approach to cybersecurity must be expunged from the organization. To address and mitigate cyber supply chain risk, CEOs must lead by example with the goal of building a corporate culture that inculcates strong cybersecurity into all business processes, programs, and supporting IT initiatives.

    新しいにcyberのサプライチェーンの保証をそれ率先統合しなさい。 cyberのサプライチェーンの保証がより困難になぜなったか尋ねられたとき、cybersecurityの専門家の44%が新しいそれの責任にした増加した率先は表面をcyber攻撃する。 これは過去数年間にわたる雲の計算、IoTおよび移動式適用のような技術の意外ではないある特定の大きい採用ではない。 残念ながら、新しいそれは頻繁に強いcybersecurityを犠牲にして率先経営目標に順位をつける。 ある特定の今日の脅威の景色は構成から、このタイプのcybersecurityへの自由放任主義のアプローチ削除されなければならない。 cyberのサプライチェーンの危険に演説し、軽減し、CEOsはすべてのビジネス過程、プログラム、それを支えることに強いcybersecurityを率先教えこむ企業体質を造ることの目的の例によって導かなければならない。

    Fully integrate security into IT procurement. ESG data demonstrates that processes and procedures governing IT vendor security audits lack consistency and usefulness. As mentioned, best practices for IT vendor security audits should include the following steps:

    十分にそれに保証を調達統合しなさい。 ESGデータはそれを支配するプロセスおよびプロシージャが売り手のセキュリティ監査一貫性および実用性に欠けていることを示す。 述べられるように、それのための最良の方法は売り手のセキュリティ監査次のステップを含むべきである:

    Audit all strategic IT vendors (including service providers, cloud service providers, and distributors).

    すべての戦略的それ売り手監査しなさい(を含むサービス・プロバイダ、雲のサービス・プロバイダおよびディストリビューター)。

    Follow a standard process for all vendor audits.

    すべての売り手の監査のための標準的なプロセスに続きなさい。

    Implement a corporate policy where IT vendor security audit metrics have a significant impact for all procurement decisions.

    それが売り手のセキュリティ監査の測定基準すべての調達の決定のための重大な影響を有する団体の方針を実行しなさい。

    A stringent audit process should pay for itself by lowering cyber supply chain risk over time. It will also send a clear message to IT vendors: Adhere to strong cybersecurity policies and procedures or hawk your insecure products and services elsewhere.

    厳しい監査プロセスはそれ自身のcyberのサプライチェーンの危険をそのうちに下げることによって支払うべきである。 それはまたそれに明確なメッセージに売り手を差し向ける: 強いcybersecurityの方針およびプロシージャに付着させるか、またはあなたの不確かなプロダクトおよびサービスを他の所で咳払いで出しなさい。

    Address all aspects of software assurance. As in other findings in this report, critical infrastructure organizations have made progress on software assurance since 2010, but these improvements are based on additional tactical actions rather than an end-to-end strategic approach. Software assurance must be anchored by a secure software development lifecycle and the right skill set for secure software development. Furthermore, software assurance best practices must be followed with no exceptions. This demands an enterprise program for internally developed software as well as stringent controls on third-party software development, maintenance, and testing. Leading companies will also impose testing and quality standards on all commercial software.

    ソフトウェア保証のすべての面に演説しなさい。 このレポートの他の調査結果でように、重大な下部組織の組織は2010年以来のソフトウェア保証で進歩をしたが、これらの改善は端末相互の戦略的なアプローチよりもむしろ付加的な戦術行動に基づいている。 ソフトウェア保証は安全なソフトウェア開発のために置かれる安全なソフトウェア開発のライフサイクルおよび右の技術によって固定しなければならない。 なお、ソフトウェア保証の最良の方法は例外無しで続かれなければならない。 これは第三者のソフトウェア開発、維持、およびテストの厳しい制御と同様、内部的に開発されたソフトウェアのための企業プログラムを要求する。 一流の会社はまたすべての商業ソフトウェアにテストおよび品質規格を課す。

    Formalize external IT security. When it comes to cyber supply chain security, risk associated with working with third-party partners must be managed and mitigated with the same care as internal activities like vulnerability scanning and patch management. In fact, strong cyber supply chain security has become an SEC mandate and will likely find its way to other industries beyond financial services. Once again, this demands a consistent, documented, and measurable approach for third parties that provide IT services to or consume them from an organization. Aside from legal contracts, governance frameworks, and certifications, CISOs should explore new types of cyber intelligence designed for monitoring third-party risk from vendors like BitSight and SecurityScorecard.

    外面をそれ保証形式化しなさい。 cyberのサプライチェーンの保証に関しては、第三者パートナーと働くこととの準を脆弱性のスキャンおよびパッチ管理のような内部活動と同じ心配と管理され、軽減されなければならない危険にさらしなさい。 実際は、強いcyberのサプライチェーンの保証はSECの命令になり、金融サービスを越える他の企業に多分方法を見つける。 再度、これはそれを提供する第三者のための一貫した要求する、文書化され、そして測定可能なアプローチをに整備するか、または組織からのそれらを消費する。 法的契約、支配フレームワークおよび証明は別として、CISOsはBitSightおよびSecurityScorecardのような売り手からの監視の第三者の危険のために設計されているcyberの知性の新型を探検するべきである。

    Push for more help from Washington. Like many other critical issues, cybersecurity has been relegated into partisan politics and pork barrel programs. Critical infrastructure organizations should work together, come up with legislative recommendations, lobby for action, and make sure to keep the public aware of any partisan behavior or stalling in Washington.

    ワシントン州からのより多くの助けのための押し。 他の多くの深刻な問題のように、cybersecurityは派閥中心の政治およびポークバレル法案プログラムに移管された。 重大な下部組織の組織は協力するべきで立法推薦を思い付き、行為のために説得運動し、そしてワシントン州で公衆を党派の行動かごまかしをわかっている保つことを確かめる。

    For the IT Industry

    のためそれ企業

    IT product and service providers should view this report as a harbinger of things to come. Critical infrastructure organizations have much work ahead, but ESG data does indicate clear progress since 2010. It is therefore wise to recognize that critical infrastructure organizations are slowly but surely making strong cybersecurity a requirement for all IT vendors. To prepare for this security transition, the entire IT industry must:

    それは事の先触れとして来るためにプロダクトおよびサービス・プロバイダこのレポートを見るべきである。 重大な下部組織の組織に前方の多くの仕事があるが、ESGデータは2010年以来進歩する明らかに示す。 従って重大な下部組織の組織がゆっくり確かに強いcybersecurityにすべてのための条件をそれ売り手作るが、ことを確認することは賢い。 この保証転移のために準備するためには、全体それは企業下記のとおりしなければならない:

    Build comprehensive internal cybersecurity programs. Several large IT vendors including Cisco, IBM, Microsoft, Oracle, and VMware have not only created strong cybersecurity programs internally, but also published details about these programs for customer review. Typically, these programs include features like cyber supply chain security management, secure product design, security testing, employee training, IT security, and security services and support. All IT vendors should study and emulate these programs to the best of their abilities.

    造りの広範囲の内部cybersecurityプログラム。 複数の大きいそれはCisco、IBM、マイクロソフト、OracleおよびVMwareを含む売り手強いcybersecurityプログラム、顧客の検討のためのこれらのプログラムについてのまた出版された細部しか内部的に作成しなかった。 通常、これらのプログラムはcyberのサプライチェーンの保証管理、安全な製品設計、それテストする、従業員訓練保証のような特徴が保証およびセキュリティ・サービスおよびサポート含まれている。 それが売り手これらのプログラムを出来る限り調査し、競争するべきであるすべて。

    Take a solutions focus to cyber supply chain security. As secure as any one vendor’s products and processes are, business applications and IT infrastructure are composed of a myriad of connected piece parts working together. This means that IT vendors should take a proactive approach to engaging with product and services partners and participate fully in cybersecurity testing, deployment, and operations for complex IT solutions.

    cyberのサプライチェーンの保証に解決の焦点を持って行きなさい。 あらゆる1人の売り手のプロダクトおよびプロセス安全、ビジネス・アプリケーションはあり、それは協力する接続された部分部品の無数で下部組織構成される。 これはプロダクトとの従事に売り手予防的なアプローチを取るべきである意味し、パートナーを整備し、そして複合体のためのcybersecurityテスト、配置および操作にそれ解決ことを十分に加わる。

    Include strong security as part of customer engagements. Even the most diligent customers may not be aware of the cybersecurity intricacies of individual IT products. Smart vendors will work with customers to answer questions, recommend reference architectures, help them harden their products, and maintain a constant stream of communications.

    顧客の約束の一部として強いセキュリティを含みなさい。 最も勤勉な顧客はそれプロダクト個人のcybersecurityの複雑さに気づかないかもしれない。 スマートな売り手は顧客と質問に答え、参照の建築を推薦し、彼らのプロダクトを堅くするために助けコミュニケーションの一定した流れを維持するために働く。

    For the U.S. Federal Government

    米国のため。 連邦政府

    While cybersecurity continues to be topical in the halls of Congress, this and other ESG research reveals a growing gap between cybersecurity professionals and Washington. To alleviate this disconnect and truly engage with the cybersecurity community, the U.S. Federal Government should:

    cybersecurityが議会のホールで項目であり続ける間、これおよび他のESGの研究はcybersecurityの専門家とワシントン州間の成長するギャップを明らかにする。 この接続解除を軽減し、cybersecurityのコミュニティと偽りなく従事するため、米国。 連邦政府はべきである:

    Start with clear and concise communications. ESG research indicates that only 22% of cybersecurity professionals working at critical infrastructure organizations have a clear understanding of the government’s cybersecurity agenda. This may be because there are too many cybersecurity voices at different agencies, an abundance of programs with confusing acronyms, and far more rhetoric than action. The U.S. government can only rectify this situation by developing a comprehensive strategy for cybersecurity for critical infrastructure industries. Of course, there is no shortage of documents and programs that claim to do this, but the cybersecurity community at large is looking for one program, bipartisan support, strong and cogent communication, and a visible government leader who actually “owns” cybersecurity. Sadly, many cybersecurity professionals view Washington as part of the problem rather than part of the solution. Government officials will not reverse this cynicism without an honest two-way dialogue, a mutually beneficial partnership, and a clear long-term strategy.

    明確で、簡潔なコミュニケーションを用いる開始。 ESGの研究は重大な下部組織の組織で働いているcybersecurityの専門家の22%だけに政府のcybersecurityの議題の明確な理解があることを示す。 これは余りにも多くのcybersecurityの声、多量の混同の略称のプログラム、および行為異なった代理店によりずっとより多くの修辞があるのでそうかもしれない。 米国。 政府は重大な下部組織工業のcybersecurityのための広範囲の作戦の開発によってだけこの状態を調整できる。 当然、これをするように要求するが全体のcybersecurityのコミュニティは1つのプログラム、二党派サポート、強く、説得力があるコミュニケーションおよび実際にcybersecurityを「所有する」目に見える政府のリーダー捜しているプログラムおよび文書の不足がない。 悲しげに、多くのcybersecurityの専門家は解決の部分よりもむしろ問題の一部としてワシントン州を見る。 国家公務員は正直な対面ダイアログ、相互に有利なパートナーシップおよび明確な長期戦略なしではこの皮肉を逆転させない。

    Treat cybersecurity as a national security rather than a political issue. After years of political wrangling, the Cybersecurity Act of 2012 received bipartisan support in the Senate Homeland Security and Governmental Affairs Committee. Unfortunately, the bill never proceeded to the senate floor for a vote. Why? It was a presidential election year, so finger pointing took precedence over collaboration. The cybersecurity legislation remains. In August 2015, the senate left Washington for recess without passing a pending cybersecurity bill on public/private threat intelligence sharing. While politicians continue to give stump speeches about data breaches, cyber-adversaries, and national security concerns, cybersecurity legislation continues to languish. Frustrated by this inactivity, President Obama issued several executive orders in this area. One of these led to the promising NIST cybersecurity framework—a good addition but more of a suggestion than anything else. The U.S. has faced an unprecedented wave of cybercrime and cyber-espionage over the past few years with no end in sight. It’s time for the President and congress to:

    政治問題よりもむしろ国家安全保障としてcybersecurityを扱いなさい。 政治口論の年後に、2012のCybersecurityの行為は上院の自国の保安および政府の出来事委員会の二党派サポートを受け取った。 残念ながら、手形は投票のための上院床に決して進まなかった。 なぜか。 それは大統領選挙年だった、従って指の指すことは共同に優先した。 cybersecurityの立法は残る。 2015年8月では、上院は公共か私用脅威の知性の共有で未決のcybersecurityの法案を可決しないで休憩のためのワシントン州を去った。 政治家がデータ違反、cyber敵および国家安全保障の心配についての切り株スピーチを与え続ける間、cybersecurityの立法は憂鬱な生活を送り続ける。 この不活動によって失望させて、Obama大統領はこの区域の複数の政令を出した。 これらの1つは有望なNISTのcybersecurityフレームワークよい付加何か他のものより提案の多くに導いた。 米国。 視力の端無しで過去数年間にわたるcybercrimeそしてcyber諜報活動の前例のない波に直面した。 それは大統領および議会の時間である:

    Fund cybersecurity education programs.

    資金のcybersecurityの教育プログラム。

    Expand the Cyber Corps program as a way to exchange cybersecurity training and tuition funding for public service.

    公共事業のためにcybersecurityの訓練および授業料の資金を交換する方法としてCyber隊プログラムを拡大しなさい。

    Improve the hiring process and compensation structure for federal cybersecurity professionals.

    中央政府cybersecurityの専門家のための雇用プロセスそして補償の構造を改良しなさい。

    Create incentives for cybersecurity investments.

    cybersecurityの投資のための刺激を作成しなさい。

    Work as an equal partner with the cybersecurity community at large. Make sure that federal cybersecurity programs in this area are equally accessible to all cybersecurity professionals in all industries and locations—not just within a few hundred miles of Washington D.C.

    全体のcybersecurityのコミュニティを持つ等しいパートナーとして働かせなさい。 この区域の中央政府cybersecurityプログラムが数百マイルのWashington D.C.内のすべての企業そして位置ないのすべてのcybersecurityの専門家にとって均等に入手しやすいちょうどことを確かめなさい

    Create and promote standards like STIX and TAXII for threat intelligence sharing.

    脅威の知性の共有のためのSTIXそしてTAXIIのような標準を作成し、促進しなさい。

    Share threat intelligence and best practices.

    分け前の脅威の知性および最良の方法。

    Limit liabilities to organizations that truly commit to strong cyber supply chain security.

    強いcyberのサプライチェーンの保証に偽りなく託す組織への限界の責任。

    Impose penalties on organizations that continue to minimize cybersecurity.

    cybersecurityを最小にし続ける組織に罰を課しなさい。