Conclusion
     
    Remove Translation Translation
    Original Text

    Although cyber supply chain security has improved somewhat over the last five years, there is still cause for concern. IT and information security professionals at critical infrastructure organizations believe that the threat landscape is getting worse and that cyber supply chain security is growing more difficult. Furthermore, more than two-thirds of critical infrastructure organizations have experienced a multitude of types of security incidents, including those emanating from vulnerabilities in software they developed in-house. Finally, many critical infrastructure organizations are pursuing new types of IT initiatives like cloud computing, mobile applications, and IoT projects. These technologies are in their genesis phase and may be fraught with vulnerabilities. Meanwhile, cybersecurity best practices and skills around IT innovation also lag behind.

    cyber 공급 연쇄 안전이 마지막 5 년 내내 약간 향상하더라도, 고요한 우려 요인이 있다. 위협 조경이 더 나쁘게 되고 있다고, 그리고 cyber 공급 연쇄 안전이 더 곤란하게 성장하고 있다고 긴요한 기반 조직에 그리고 정보 안전 전문가는 믿는다. 게다가, 긴요한 기반 조직의 2/3 이상 그들이 조직내에서 개발한 소프트웨어에 있는 취약성에서 유출하는 그들을 포함하여 안전 사건의 유형의 군중을, 경험했다. 마지막으로, 많은 긴요한 기반 조직은 그것의 신형을 구름 계산, 이동할 수 있는 신청 그리고 IoT 프로젝트 같이 이니셔티브 추구하고 있다. 이 기술은 그들의 기원 단계에서 취약성을 내포하지도 모른다. 그 사이에, 그것의 주위에 cybersecurity 최상의 방법 그리고 기술은 또한 혁신 뒤에 뒤떨어진다.

    All of these factors add up to continuing cyber supply chain security complexities. Based upon the research data presented herein, ESG offers the following recommendations for critical infrastructure organizations, IT technology vendors, and the U.S. Federal Government.

    이 요인 전부는 계속되 cyber 공급 연쇄 안전 복합성까지 추가한다. 연구 자료에 기초를 두어 여기에, ESG 제안 긴요한 기반 조직을 위한 뒤에 오는 권고, 그것 기술 납품업자, 그리고 미국 선물했다. 연방 정부.

    For Critical Infrastructure Organizations

    긴요한 기반 조직을 위해

    ESG’s research indicates that not only are critical infrastructure organizations inadequately prepared for the current threat landscape, but most are compounding this problem by not doing enough to mitigate  the risks associated with cyber supply chain security. To address these shortcomings, critical infrastructure organizations should:

    ESG의 연구는 나타낸다 뿐만 아니라 부적당하게 현재 위협 조경을 위해 준비된 긴요한 기반 조직인, 그러나 최대량이 이젠 그만을 하서 감형하기 위하여 이 문제를 복잡하게 하고 있는  cyber 공급 연쇄 안전과 관련되었던 위험. 이 결손을 제시하기 위하여는, 긴요한 기반 조직은 아래의 지시에 따르지않으면 않되지 않는다:

    Assess cyber supply chain risk across the organization. Since the cyber supply chain includes a broad range of participants, including IT vendors, suppliers, business partners, and contractors, many critical infrastructure organizations delegate cyber supply chain security management to a variety of internal groups and individuals. While this makes sense at an operational level, it makes it impossible to get a comprehensive perspective of cyber supply chain security or accurately measure cyber supply chain risk. To alleviate this unacceptable situation, CISOs and risk officers should take the time to map out their entire cyber supply chain—every partner, IT equipment vendor, SaaS provider, supplier, etc. Clearly, this will take time and require ample resources, but an end-to-end and up-to-date map of the cyber supply chain is an essential foundation for situational awareness and proactive risk management.

    조직의 맞은편에 cyber 공급 연쇄 모험을 사정하십시오. cyber 공급 연쇄가 그것을 포함하여 참가자, 납품업자, 공급자, 동업자 및 계약자의 넓은 범위를 포함하기 때문에, 많은 긴요한 기반 조직은 다양한 내부 그룹 및 개인에 cyber 공급 연쇄 안전 관리를 파견한다. 이 운영 단계에 이해되는 동안, 에 의하여 cyber 공급 연쇄 안전의 포괄적인 원근법을 얻거나 정확하게 cyber 공급 연쇄 모험을 측정한 것을 불가능한 한다. 이 용납하기 어려운 상황을 완화하기 위하여는, CISOs와 모험 장교는 사슬 각 협동자, 그것 장비 납품업자, SaaS 공급자, 공급자, 등등 그들의 전체 cyber 공급을 밖으로 지도로 나타내는 시간을 걸려야 한다. 명확하게, 시간이 이것에 의하여 걸리고 충분한 자원을 요구할 것이다, 그러나 cyber 공급 연쇄의 철저한 최신 지도는 상황에 알맞은 의식 및 사전 행동적인 위험 관리를 위한 근본적인 기초이다.

    Integrate cyber supply chain security into new IT initiatives. When asked why cyber supply chain security has become more difficult, 44% of cybersecurity professionals blamed new IT initiatives that have increased the cyber-attack surface. This isn’t surprising given massive adoption of technologies like cloud computing, IoT, and mobile applications over the past few years. Unfortunately, new IT initiatives often prioritize business objectives at the expense of strong cybersecurity. Given today’s threat landscape, this type of laissez-faire approach to cybersecurity must be expunged from the organization. To address and mitigate cyber supply chain risk, CEOs must lead by example with the goal of building a corporate culture that inculcates strong cybersecurity into all business processes, programs, and supporting IT initiatives.

    새로운으로 cyber 공급 연쇄 안전을 그것 이니셔티브 통합하십시오. cyber 공급 연쇄 안전이 더 곤란하게 된지 왜 질문할 때, cybersecurity 전문가의 44%가 새로울 그것을 비난할 증가시킨 이니셔티브는 표면을 cyber 공격한다. 이것은 구름 계산, IoT 그리고 지난 몇년 동안에 이동할 수 있는 신청 같이 기술의 의외 주어진 다량 채용이 아니다. 불운하게, 새로운 강한 cybersecurity을 희생해서 사업 목표가 그것에 의하여 이니셔티브 수시로 우선순위를 매긴다. 주어진 오늘 위협 조경은 조직에서, cybersecurity에 자유 방임주의 접근의 이 유형 지워져야 한다. cyber 공급 연쇄 모험을 제시하고 감형해, CEOs는 모든 사업 과정, 프로그램, 그것 지원하기로 강한 cybersecurity를 이니셔티브 가르치는 사풍 건설의 목표를 가진 보기에 의하여 지도해야 한다.

    Fully integrate security into IT procurement. ESG data demonstrates that processes and procedures governing IT vendor security audits lack consistency and usefulness. As mentioned, best practices for IT vendor security audits should include the following steps:

    완전히 그것으로 안전을 조달 통합하십시오. ESG 자료는 그것을 경세하는 과정은과 절차가 납품업자 보안 검사 견실함과 유용성이 결여된ㄴ다는 것을 설명한다. 그것을 위한 언급한, 최상의 방법으로 납품업자 보안 검사는 뒤에 오는 단계를 포함해야 한다:

    Audit all strategic IT vendors (including service providers, cloud service providers, and distributors).

    모든 전략을 그것 납품업자 감사하십시오 (를 포함하여 서비스 제공자, 구름 서비스 제공자 및 분배자).

    Follow a standard process for all vendor audits.

    모든 납품업자 감사를 위한 표준 과정을 따르십시오.

    Implement a corporate policy where IT vendor security audit metrics have a significant impact for all procurement decisions.

    그것에는 납품업자 보안 검사 측정 규정 모든 조달 결정을 위한 뜻깊은 충격이 있는 법인 정책을 실행하십시오.

    A stringent audit process should pay for itself by lowering cyber supply chain risk over time. It will also send a clear message to IT vendors: Adhere to strong cybersecurity policies and procedures or hawk your insecure products and services elsewhere.

    엄격한 감사 과정은 자체적으로를 cyber 공급 연쇄 모험을 한동안 낮춰서 지불해야 한다. 그것은 또한 그것 명확한 메시지에게 납품업자를 보낼 것이다: 강한 cybersecurity 정책 및 절차에 고착하거나 당신의 불안한 제품 및 서비스를 다른 곳에 hawk.

    Address all aspects of software assurance. As in other findings in this report, critical infrastructure organizations have made progress on software assurance since 2010, but these improvements are based on additional tactical actions rather than an end-to-end strategic approach. Software assurance must be anchored by a secure software development lifecycle and the right skill set for secure software development. Furthermore, software assurance best practices must be followed with no exceptions. This demands an enterprise program for internally developed software as well as stringent controls on third-party software development, maintenance, and testing. Leading companies will also impose testing and quality standards on all commercial software.

    소프트웨어 보험의 모든 양상을 다루십시오. 이 보고에 있는 다른 발견에서 것과 같이, 긴요한 기반 조직은 2010년부터 소프트웨어 보험에 진전을 보였다, 그러나 이 개선은 추가적인 전술상 활동 보다는 오히려 철저한 전략 접근에 근거한다. 소프트웨어 보험은 안전한 소프트웨어 개발을 위해 놓인 안전한 소프트웨어 개발 생활사 및 적당한 기술에 의해 정박되어야 한다. 게다가, 소프트웨어 보험 최상의 방법은 예외 없이 지켜져야 한다. 이것은 제삼자 소프트웨어 개발, 정비, 및 시험에 엄격한 통제 뿐만 아니라 내부에 개발한 소프트웨어를 위한 기업 프로그램을 요구한다. 주요한 회사는 또한 모든 상업적인 소프트웨어에 시험 그리고 품질 규격을 부과할 것이다.

    Formalize external IT security. When it comes to cyber supply chain security, risk associated with working with third-party partners must be managed and mitigated with the same care as internal activities like vulnerability scanning and patch management. In fact, strong cyber supply chain security has become an SEC mandate and will likely find its way to other industries beyond financial services. Once again, this demands a consistent, documented, and measurable approach for third parties that provide IT services to or consume them from an organization. Aside from legal contracts, governance frameworks, and certifications, CISOs should explore new types of cyber intelligence designed for monitoring third-party risk from vendors like BitSight and SecurityScorecard.

    외부를 그것 안전 공인하십시오. 그것이 cyber 공급 연쇄 안전에 올 때, 제삼자 협동자와 일과 관련된 모험은 취약성 스캐닝과 헝겊 조각 관리 같이 내부 활동과 동일한 배려로 처리되고 감형되어야 한다. 실제로, 강한 cyber 공급 연쇄 안전은 SEC 위임이 되고 금융 서비스 저쪽에 다른 기업에 아마 그것의 길을 찾을 것이다. 다시 한번, 이것은 그것을 제공하는 제3자를 위한 일관되고 요구한다, 문서화하곤, 잴 수 있는 접근을에 서비스하거나 조직에서 그들을 소모한다. 법적인 계약, 지배 기구 및 증명서을 제외하고, CISOs는 BitSight와 SecurityScorecard 같이 납품업자에게서 감시 제삼자 모험을 위해 디자인된 cyber 정보의 신형을 탐구해야 한다.

    Push for more help from Washington. Like many other critical issues, cybersecurity has been relegated into partisan politics and pork barrel programs. Critical infrastructure organizations should work together, come up with legislative recommendations, lobby for action, and make sure to keep the public aware of any partisan behavior or stalling in Washington.

    워싱톤에서 도움 더를 위한 강요. 다른 많은 긴요한 문제점 같이, cybersecurity는 파당중심 정치 및 정치적 선심 공세 프로그램으로 이관되었다. 긴요한 기반 조직은 함께 작동해야 하고, 입법상 권고 가 떠오르고, 활동을 위해 로비 운동하고, 워싱톤에 있는 공중을 어떤 게릴라 대원 행동 또는 실속든지를 깨닫는 유지하는 것을 확인한다.

    For the IT Industry

    를 위해 그것 기업

    IT product and service providers should view this report as a harbinger of things to come. Critical infrastructure organizations have much work ahead, but ESG data does indicate clear progress since 2010. It is therefore wise to recognize that critical infrastructure organizations are slowly but surely making strong cybersecurity a requirement for all IT vendors. To prepare for this security transition, the entire IT industry must:

    그것은 것의 예고로 오기 위하여 제품과 서비스 제공자 이 보고를 전망해야 한다. 긴요한 기반 조직에는 전방 다량 일이 있다, 그러나 ESG 자료는 2010년부터 점진한다 분명히 나타낸다. 그러므로 긴요한 기반 조직이 느리고 그러나 확실하게 강한 cybersecurity에게 모두를 위한 그것 납품업자 요청하고 있다는 것을 인식하는 것이 총명하다. 이 안전 과도를 위해 준비하기 위하여는, 전체 그것은 기업 아래의 지시에 따르지않으면 않되지 않는다:

    Build comprehensive internal cybersecurity programs. Several large IT vendors including Cisco, IBM, Microsoft, Oracle, and VMware have not only created strong cybersecurity programs internally, but also published details about these programs for customer review. Typically, these programs include features like cyber supply chain security management, secure product design, security testing, employee training, IT security, and security services and support. All IT vendors should study and emulate these programs to the best of their abilities.

    구조 종합 내부 cybersecurity 프로그램. 몇몇 큰 그것은 Cisco, IBM, 마이크로소프트, Oracle 및 VMware를 포함하여 납품업자 뿐만 아니라 강한 cybersecurity 프로그램, 또한 고객 검토를 위한 이 프로그램에 관하여 간행한 세부사항을 내부에 창조했다. 전형적으로, 이 프로그램은 cyber 공급 연쇄 안전 관리, 안전한 상품 디자인, 그것 시험하는, 종업원 훈련 안전 같이 특징을 안전 및 안전 서비스 및 지원 포함한다. 그것이 납품업자 이 프로그램을 그들이 할 수 있는 최대 노력으로 공부하고 겨뤄야 하는 모두.

    Take a solutions focus to cyber supply chain security. As secure as any one vendor’s products and processes are, business applications and IT infrastructure are composed of a myriad of connected piece parts working together. This means that IT vendors should take a proactive approach to engaging with product and services partners and participate fully in cybersecurity testing, deployment, and operations for complex IT solutions.

    cyber 공급 연쇄 안전에 해결책 초점을 가지고 가십시오. 어떤 1명의 납품업자든지 제품과 과정 처럼 안전한, 영업 신청은 이고 그것은 함께 작동하는 연결된 조각 부속의 무수로 기반 구성된다. 이것은 제품으로 접전에 납품업자 사전 대비형 접근 방식을 시도해야 한ㄴ다는 것을 의미하고 협동자를 서비스하고 복합물을 위한 cybersecurity 시험, 배치 그리고 가동에 그것 해결책 완전히 참가한다.

    Include strong security as part of customer engagements. Even the most diligent customers may not be aware of the cybersecurity intricacies of individual IT products. Smart vendors will work with customers to answer questions, recommend reference architectures, help them harden their products, and maintain a constant stream of communications.

    고객 교전의 한 부분으로 튼튼한 안보를 포함하십시오. 가장 근면한 고객 조차 그것 제품 개인의 cybersecurity 복잡과에 대해 인식하고 있지 않을 지도 모른다. 똑똑한 납품업자는 고객과 질문에 응답하고, 참고 건축술을 추천하고, 그들의 제품을 강하게 할 것을 돕고, 커뮤니케이션의 일정한 시내를 유지하기 위하여 일할 것이다.

    For the U.S. Federal Government

    미국을 위해. 연방 정부

    While cybersecurity continues to be topical in the halls of Congress, this and other ESG research reveals a growing gap between cybersecurity professionals and Washington. To alleviate this disconnect and truly engage with the cybersecurity community, the U.S. Federal Government should:

    cybersecurity가 의회의 강당에서 화제 인 것을 계속하는 동안, 이것과 다른 ESG 연구는 cybersecurity 전문가와 워싱톤 사이 성장 간격을 계시한다. 이 차단을 완화하고 cybersecurity 지역 사회와 정말 접전하기 위하여, 미국. 연방 정부는 일 것인다:

    Start with clear and concise communications. ESG research indicates that only 22% of cybersecurity professionals working at critical infrastructure organizations have a clear understanding of the government’s cybersecurity agenda. This may be because there are too many cybersecurity voices at different agencies, an abundance of programs with confusing acronyms, and far more rhetoric than action. The U.S. government can only rectify this situation by developing a comprehensive strategy for cybersecurity for critical infrastructure industries. Of course, there is no shortage of documents and programs that claim to do this, but the cybersecurity community at large is looking for one program, bipartisan support, strong and cogent communication, and a visible government leader who actually “owns” cybersecurity. Sadly, many cybersecurity professionals view Washington as part of the problem rather than part of the solution. Government officials will not reverse this cynicism without an honest two-way dialogue, a mutually beneficial partnership, and a clear long-term strategy.

    명확하고 간결한 커뮤니케이션에서 시작. ESG 연구는 긴요한 기반 조직에 일해 cybersecurity 전문가의 단지 22%에는 정부의 cybersecurity 예정표의 명확한 이해가 다는 것을 나타낸다. 이것은 다른 기관에 너무 많은 cybersecurity 음성, 혼동 약어를 가진 프로그램의 풍부, 및 활동 보다는 수사학이 멀리 더 있기 때문일지도 모른다. 미국. 정부는 긴요한 기반 공업을 위한 cybersecurity를 위한 포괄적인 전략을 개발해서 서만 이 상황을 조정할 수 있다. 당연히, 이것을 하는 것을 주장하는 프로그램 및 문서의 부족 이 없다, 그러나 큰에 cybersecurity 지역 사회는 1개의 프로그램, 초당파 지원, 강하고 적절한 커뮤니케이션 및 실제로 cybersecurity를 "소유하는" 보이는 정부 지도자 찾고 있다. 슬프게, 많은 cybersecurity 전문가는 문제의 한 부분으로 워싱톤을 전망하고 보다는 오히려 해결책의 분해한다. 정직한 양용 대화, 상호적으로 유리한 공동체정신 및 명확한 장기 전략 없이 이 냉소가 정부 관리에 의하여 반전하지 않을 것이다.

    Treat cybersecurity as a national security rather than a political issue. After years of political wrangling, the Cybersecurity Act of 2012 received bipartisan support in the Senate Homeland Security and Governmental Affairs Committee. Unfortunately, the bill never proceeded to the senate floor for a vote. Why? It was a presidential election year, so finger pointing took precedence over collaboration. The cybersecurity legislation remains. In August 2015, the senate left Washington for recess without passing a pending cybersecurity bill on public/private threat intelligence sharing. While politicians continue to give stump speeches about data breaches, cyber-adversaries, and national security concerns, cybersecurity legislation continues to languish. Frustrated by this inactivity, President Obama issued several executive orders in this area. One of these led to the promising NIST cybersecurity framework—a good addition but more of a suggestion than anything else. The U.S. has faced an unprecedented wave of cybercrime and cyber-espionage over the past few years with no end in sight. It’s time for the President and congress to:

    국가 안보로 cybersecurity 보다는 오히려 정치 쟁점을 대우하십시오. 정치적인 논쟁의 년 후에, 2012의 Cybersecurity 행위는 상원 국토 안보 및 정치 사변 위원회에 있는 초당파 지원을 받았다. 불운하게, 계산서는 투표를 위한 상원의원석에 결코 진행하지 않았다. 왜? 대통령 선거 년이었다, 그래서 손가락 가르키는 것은 협력 우선했다. cybersecurity 입법은 남아 있다. 2015년 8월에서는, 상원은 공중 개인에게 위협 정보 공유하기에 팬딩되어 있는 cybersecurity 법안을 통과시키기 없이 오목면을 위한 워싱톤을 떠났다. 정치가가 자료 개척, cyber 상대 및 국가 안보 관심사에 관하여 선거 연설을 주는 것을 계속하는 동안, cybersecurity 입법은 약해지는 것을 계속한다. 이 비활동에 의해 좌절시키, Obama 대통령은 이 지역에 있는 몇몇 대통령령을 발행했다. 이들중 하나는 유망한 NIST cybersecurity 기구 좋은 추가 그러나 다른것 보다는 제안의 더 많은 것에 지도했다. 미국. 광경에 있는 끝 없이 컴퓨터 위반과 cyber 간첩행위의 전례가 없는 파를 지난 몇년 동안에 직면했다. 대통령 및 의회를 위한 시간 이다:

    Fund cybersecurity education programs.

    기금 cybersecurity 교육 프로그램.

    Expand the Cyber Corps program as a way to exchange cybersecurity training and tuition funding for public service.

    공공 봉사를 위해 cybersecurity 훈련과 수업 funding를 교환하는 방법으로 Cyber 군단 프로그램을 확장하십시오.

    Improve the hiring process and compensation structure for federal cybersecurity professionals.

    연방 cybersecurity 전문가를 위한 고용 과정과 보상 구조를 개량하십시오.

    Create incentives for cybersecurity investments.

    cybersecurity 투자를 위한 동기유발을 창조하십시오.

    Work as an equal partner with the cybersecurity community at large. Make sure that federal cybersecurity programs in this area are equally accessible to all cybersecurity professionals in all industries and locations—not just within a few hundred miles of Washington D.C.

    큰에 cybersecurity 지역 사회와 가진 동등한 협동자로 일하십시오. 이 지역에 있는 연방 cybersecurity 프로그램이 워싱턴 D.C.의 몇백 마일 내의 모든 기업 그리고 위치 아닙니다에 있는 모든 cybersecurity 전문가에 동등하게 접근 가능하다는 것을 다만 확인하십시오

    Create and promote standards like STIX and TAXII for threat intelligence sharing.

    위협 정보 공유하기를 위한 STIX 그리고 TAXII 같이 기준을 창조하고 승진시키십시오.

    Share threat intelligence and best practices.

    몫 위협 정보와 최상의 방법.

    Limit liabilities to organizations that truly commit to strong cyber supply chain security.

    강한 cyber 공급 연쇄 안전에 정말 투입하는 조직에 한계 책임.

    Impose penalties on organizations that continue to minimize cybersecurity.

    cybersecurity를 극소화하는 것을 계속하는 조직에 형벌을 부과하십시오.