Conclusion
     
    Remove Translation Translation
    Original Text

    Although cyber supply chain security has improved somewhat over the last five years, there is still cause for concern. IT and information security professionals at critical infrastructure organizations believe that the threat landscape is getting worse and that cyber supply chain security is growing more difficult. Furthermore, more than two-thirds of critical infrastructure organizations have experienced a multitude of types of security incidents, including those emanating from vulnerabilities in software they developed in-house. Finally, many critical infrastructure organizations are pursuing new types of IT initiatives like cloud computing, mobile applications, and IoT projects. These technologies are in their genesis phase and may be fraught with vulnerabilities. Meanwhile, cybersecurity best practices and skills around IT innovation also lag behind.

    Embora a segurança da corrente de fonte do cyber melhore um tanto sobre os últimos cinco anos, há um motivo de preocupação imóvel. E os profissionais da segurança da informação em organizações críticas do infrastructure acreditam que a paisagem da ameaça está começando mais má e que a segurança da corrente de fonte do cyber está crescendo mais difícil. Além disso, mais de dois terços de organizações críticas do infrastructure experimentaram um multitude dos tipos de incidents da segurança, including aquelas que emanating dos vulnerabilities no software que desenvolveram in-house. Finalmente, muitas organizações críticas do infrastructure estão perseguindo tipos novos dELE iniciativas como computar da nuvem, aplicações móveis, e projetos de IoT. Estas tecnologias são em sua fase do genesis e podem ser fraught com os vulnerabilities. Entrementes, as mais melhores práticas do cybersecurity e habilidades em torno dELE inovação retardam-se também atrás.

    All of these factors add up to continuing cyber supply chain security complexities. Based upon the research data presented herein, ESG offers the following recommendations for critical infrastructure organizations, IT technology vendors, and the U.S. Federal Government.

    Todos estes fatores adicionam até complexidades continuando da segurança da corrente de fonte do cyber. Baseado nos dados da pesquisa apresentou-se nisto, ofertas de ESG as seguintes recomendações para organizações críticas do infrastructure, ELE vendedores da tecnologia, e os ESTADOS UNIDOS. Governo federal.

    For Critical Infrastructure Organizations

    Para organizações críticas do Infrastructure

    ESG’s research indicates that not only are critical infrastructure organizations inadequately prepared for the current threat landscape, but most are compounding this problem by not doing enough to mitigate  the risks associated with cyber supply chain security. To address these shortcomings, critical infrastructure organizations should:

    A pesquisa de ESG indica que é não somente organizações críticas do infrastructure preparadas inadequada para a paisagem atual da ameaça, mas a maioria estão combinando este problema não fazendo bastantes para mitigate  os riscos associaram com a segurança da corrente de fonte do cyber. Para dirigir-se a estes shortcomings, as organizações críticas do infrastructure devem:

    Assess cyber supply chain risk across the organization. Since the cyber supply chain includes a broad range of participants, including IT vendors, suppliers, business partners, and contractors, many critical infrastructure organizations delegate cyber supply chain security management to a variety of internal groups and individuals. While this makes sense at an operational level, it makes it impossible to get a comprehensive perspective of cyber supply chain security or accurately measure cyber supply chain risk. To alleviate this unacceptable situation, CISOs and risk officers should take the time to map out their entire cyber supply chain—every partner, IT equipment vendor, SaaS provider, supplier, etc. Clearly, this will take time and require ample resources, but an end-to-end and up-to-date map of the cyber supply chain is an essential foundation for situational awareness and proactive risk management.

    Avalie o risco da corrente de fonte do cyber através da organização. Desde que a corrente de fonte do cyber inclui uma escala larga dos participants, including ELA vendedores, dos fornecedores, dos sócios de negócio, e dos contratantes, muitas organizações críticas do infrastructure delegam a gerência da segurança da corrente de fonte do cyber a uma variedade de grupos e de indivíduos internos. Quando este fizer o sentido em um nível operacional, faz impossível começar um perspective detalhado da segurança da corrente de fonte do cyber ou medir exatamente o risco da corrente de fonte do cyber. Para aliviar esta situação inaceitável, os oficiais de CISOs e de risco devem fazer exame do momento de traçar para fora sua fonte inteira do cyber corrente-cada sócio, ELE vendedor do equipamento, fornecedor de SaaS, fornecedor, etc. Claramente, isto fará exame do tempo e requererá recursos amplos, mas um mapa end-to-end e moderno da corrente de fonte do cyber é uma fundação essencial para a consciência situational e a gerência de risco proactive.

    Integrate cyber supply chain security into new IT initiatives. When asked why cyber supply chain security has become more difficult, 44% of cybersecurity professionals blamed new IT initiatives that have increased the cyber-attack surface. This isn’t surprising given massive adoption of technologies like cloud computing, IoT, and mobile applications over the past few years. Unfortunately, new IT initiatives often prioritize business objectives at the expense of strong cybersecurity. Given today’s threat landscape, this type of laissez-faire approach to cybersecurity must be expunged from the organization. To address and mitigate cyber supply chain risk, CEOs must lead by example with the goal of building a corporate culture that inculcates strong cybersecurity into all business processes, programs, and supporting IT initiatives.

    Integre a segurança da corrente de fonte do cyber em novo ELE iniciativas. Quando perguntado porque a segurança da corrente de fonte do cyber se tornou mais difícil, 44% de profissionais do cybersecurity a responsabilizou novo as iniciativas que aumentaram cyber-atacam a superfície. Isto não está surpreendendo o adoption maciço dado das tecnologias como computar da nuvem, IoT, e o excesso móvel das aplicações o passado poucos anos. Infelizmente, novo iniciativas dá prioridade frequentemente a objetivos de negócio à custa do cybersecurity forte. A paisagem de hoje dada da ameaça, este tipo de aproximação do laissez-faire ao cybersecurity deve expunged da organização. Para dirigir-se e mitigate ao risco da corrente de fonte do cyber, CEOs deve conduzir pelo exemplo com o objetivo de construir uma cultura incorporada que inculcates o cybersecurity forte em todos os processos, em programas, e em o suportar do negócio iniciativas.

    Fully integrate security into IT procurement. ESG data demonstrates that processes and procedures governing IT vendor security audits lack consistency and usefulness. As mentioned, best practices for IT vendor security audits should include the following steps:

    Integre inteiramente a segurança nELA obtenção. Os dados de ESG demonstram que os processos e os procedimentos que governam OS exames da segurança do vendedor faltam a consistência e a utilidade. Como práticas mencionados, mais melhores para ELE os exames da segurança do vendedor devem incluir as seguintes etapas:

    Audit all strategic IT vendors (including service providers, cloud service providers, and distributors).

    Examine todo o estratégico ELE vendedores (fornecedores de serviço including, fornecedores de serviço da nuvem, e distribuidores).

    Follow a standard process for all vendor audits.

    Siga um processo padrão para todos os exames do vendedor.

    Implement a corporate policy where IT vendor security audit metrics have a significant impact for all procurement decisions.

    Execute uma política incorporada onde metrics do exame da segurança do vendedor tenha um impacto significativo para todas as decisões da obtenção.

    A stringent audit process should pay for itself by lowering cyber supply chain risk over time. It will also send a clear message to IT vendors: Adhere to strong cybersecurity policies and procedures or hawk your insecure products and services elsewhere.

    Um processo estrito do exame deve pagar por se abaixando o risco da corrente de fonte do cyber sobre o tempo. Emitirá também a uma mensagem desobstruída a ELE vendedores: Adira às políticas e aos procedimentos fortes do cybersecurity ou hawk seus produtos e serviços insecure em outra parte.

    Address all aspects of software assurance. As in other findings in this report, critical infrastructure organizations have made progress on software assurance since 2010, but these improvements are based on additional tactical actions rather than an end-to-end strategic approach. Software assurance must be anchored by a secure software development lifecycle and the right skill set for secure software development. Furthermore, software assurance best practices must be followed with no exceptions. This demands an enterprise program for internally developed software as well as stringent controls on third-party software development, maintenance, and testing. Leading companies will also impose testing and quality standards on all commercial software.

    Dirija-se a todos os aspectos da garantia do software. Como em outros findings neste relatório, as organizações críticas do infrastructure fizeram o progresso na garantia do software desde 2010, mas estas melhorias são baseadas em ações táticas adicionais melhor que em uma aproximação estratégica end-to-end. A garantia do software deve ser escorada por um ciclo de vida seguro do desenvolvimento do software e pela habilidade direita ajustados para o desenvolvimento seguro do software. Além disso, práticas da garantia do software as mais melhores devem ser seguidas com nenhumas exceções. Isto exige um programa da empresa para o software internamente desenvolvido as well as controles estritos no desenvolvimento, na manutenção, e em testar third-party do software. As companhias principais imporã0 também padrões testar e de qualidade em todo o software comercial.

    Formalize external IT security. When it comes to cyber supply chain security, risk associated with working with third-party partners must be managed and mitigated with the same care as internal activities like vulnerability scanning and patch management. In fact, strong cyber supply chain security has become an SEC mandate and will likely find its way to other industries beyond financial services. Once again, this demands a consistent, documented, and measurable approach for third parties that provide IT services to or consume them from an organization. Aside from legal contracts, governance frameworks, and certifications, CISOs should explore new types of cyber intelligence designed for monitoring third-party risk from vendors like BitSight and SecurityScorecard.

    Formalize externo O segurança. Quando vem à segurança da corrente de fonte do cyber, o risco associado com trabalhar com sócios third-party deve ser controlado e mitigated com o mesmo cuidado que atividades internas como a exploração do vulnerability e a gerência do remendo. No fato, a segurança forte da corrente de fonte do cyber transformou-se um mandato do segundo e encontrará provavelmente sua maneira a outras indústrias além dos serviços financeiros. Uma vez que, isto exige uma aproximação consistente, outra vez documentada, e measurable para os terceiros partidos que a fornecem presta serviços de manutenção a ou consuma-os de uma organização. Com exceção dos contratos, das estruturas do governance, e das certificações legais, CISOs deve explorar os tipos novos de inteligência do cyber projetados monitorando o risco third-party dos vendedores como BitSight e SecurityScorecard.

    Push for more help from Washington. Like many other critical issues, cybersecurity has been relegated into partisan politics and pork barrel programs. Critical infrastructure organizations should work together, come up with legislative recommendations, lobby for action, and make sure to keep the public aware of any partisan behavior or stalling in Washington.

    Empurre para mais ajuda de Washington. Como muitas outras edições críticas, o cybersecurity relegated em programas partisan do tambor da política e da carne de porco. As organizações críticas do infrastructure devem trabalhar junto, vêm acima com recomendações legislativas, lobby para a ação, e certificam-se manter o público ciente de todo o comportamento ou stalling partisan em Washington.

    For the IT Industry

    Para ELE indústria

    IT product and service providers should view this report as a harbinger of things to come. Critical infrastructure organizations have much work ahead, but ESG data does indicate clear progress since 2010. It is therefore wise to recognize that critical infrastructure organizations are slowly but surely making strong cybersecurity a requirement for all IT vendors. To prepare for this security transition, the entire IT industry must:

    Fornecedores do produto e de serviço deve ver este relatório como um harbinger das coisas para vir. As organizações críticas do infrastructure têm muito trabalho adiante, mas os dados de ESG indicam claramente progridem desde 2010. É conseqüentemente sábio reconhecer que as organizações críticas do infrastructure estão fazendo lentamente mas certamente a cybersecurity forte uma exigência para tudo ELE vendedores. Para preparar-se para esta transição da segurança, o inteiro indústria deve:

    Build comprehensive internal cybersecurity programs. Several large IT vendors including Cisco, IBM, Microsoft, Oracle, and VMware have not only created strong cybersecurity programs internally, but also published details about these programs for customer review. Typically, these programs include features like cyber supply chain security management, secure product design, security testing, employee training, IT security, and security services and support. All IT vendors should study and emulate these programs to the best of their abilities.

    Programas internos detalhados do cybersecurity da configuração. Diversos grandes vendedores including Cisco, IBM, Microsoft, Oracle, e VMware criou não somente programas fortes do cybersecurity internamente, mas detalhes também publicados sobre estes programas para a revisão do cliente. Tipicamente, estes programas incluem características como a gerência da segurança da corrente de fonte do cyber, projeto de produto seguro, testar da segurança, treinamento de empregado, ELE segurança, e serviços e sustentação da segurança. Tudo que vendedores deve estudar e emular estes programas ao mais melhor de suas abilidades.

    Take a solutions focus to cyber supply chain security. As secure as any one vendor’s products and processes are, business applications and IT infrastructure are composed of a myriad of connected piece parts working together. This means that IT vendors should take a proactive approach to engaging with product and services partners and participate fully in cybersecurity testing, deployment, and operations for complex IT solutions.

    Faça exame de um foco das soluções à segurança da corrente de fonte do cyber. Tão seguro quanto produtos e processos de todo o um vendedor são, as aplicações de negócio e infrastructure é composto de uma miríade das únicas peças conectadas que trabalham junto. Isto significa que vendedores deve fazer exame de uma aproximação proactive a acoplar com produto e presta serviços de manutenção a sócios e participa inteiramente em testar, em distribuição, e em operações do cybersecurity para o complexo ELE soluções.

    Include strong security as part of customer engagements. Even the most diligent customers may not be aware of the cybersecurity intricacies of individual IT products. Smart vendors will work with customers to answer questions, recommend reference architectures, help them harden their products, and maintain a constant stream of communications.

    Inclua a segurança forte como parte dos acoplamentos do cliente. Mesmo os clientes os mais diligent não podem estar cientes dos intricacies do cybersecurity do indivíduo ELE produtos. Os vendedores espertos trabalharão com clientes para responder a perguntas, recomendar arquiteturas da referência, para ajudar-lhes endurecer seus produtos, e para manter um córrego constante das comunicações.

    For the U.S. Federal Government

    Para os ESTADOS UNIDOS. Governo federal

    While cybersecurity continues to be topical in the halls of Congress, this and other ESG research reveals a growing gap between cybersecurity professionals and Washington. To alleviate this disconnect and truly engage with the cybersecurity community, the U.S. Federal Government should:

    Quando o cybersecurity continuar a ser tópico nos salões do Congress, este e a outra pesquisa de ESG revelam uma abertura crescente entre profissionais do cybersecurity e Washington. Para aliviar esta disconexão e para acoplá-la verdadeiramente com a comunidade do cybersecurity, os ESTADOS UNIDOS. O governo federal deve:

    Start with clear and concise communications. ESG research indicates that only 22% of cybersecurity professionals working at critical infrastructure organizations have a clear understanding of the government’s cybersecurity agenda. This may be because there are too many cybersecurity voices at different agencies, an abundance of programs with confusing acronyms, and far more rhetoric than action. The U.S. government can only rectify this situation by developing a comprehensive strategy for cybersecurity for critical infrastructure industries. Of course, there is no shortage of documents and programs that claim to do this, but the cybersecurity community at large is looking for one program, bipartisan support, strong and cogent communication, and a visible government leader who actually “owns” cybersecurity. Sadly, many cybersecurity professionals view Washington as part of the problem rather than part of the solution. Government officials will not reverse this cynicism without an honest two-way dialogue, a mutually beneficial partnership, and a clear long-term strategy.

    Comece com comunicações desobstruídas e concisas. A pesquisa de ESG indica que somente 22% dos profissionais do cybersecurity que trabalham em organizações críticas do infrastructure têm uma compreensão desobstruída da agenda do cybersecurity do governo. Isto pode ser porque há vozes demais do cybersecurity em agências diferentes, uma abundância de programas com acrônimos confundindo, e distante mais rhetoric do que a ação. Os ESTADOS UNIDOS. o governo pode somente retificar esta situação desenvolvendo uma estratégia detalhada para o cybersecurity para indústrias críticas do infrastructure. Naturalmente, não há nenhuma falta dos originais e programas que reivindicam fazer esta, mas a comunidade do cybersecurity em grande está procurando um programa, sustentação bipartisan, uma comunicação forte e cogent, e um líder visível do governo que realmente “possua” o cybersecurity. Sadly, muitos profissionais do cybersecurity vêem Washington como parte do problema melhor que parte da solução. Os oficiais de governo não inverterão este cynicism sem um diálogo em dois sentidos honesto, uma parceria mutuamente benéfica, e uma estratégia a longo prazo desobstruída.

    Treat cybersecurity as a national security rather than a political issue. After years of political wrangling, the Cybersecurity Act of 2012 received bipartisan support in the Senate Homeland Security and Governmental Affairs Committee. Unfortunately, the bill never proceeded to the senate floor for a vote. Why? It was a presidential election year, so finger pointing took precedence over collaboration. The cybersecurity legislation remains. In August 2015, the senate left Washington for recess without passing a pending cybersecurity bill on public/private threat intelligence sharing. While politicians continue to give stump speeches about data breaches, cyber-adversaries, and national security concerns, cybersecurity legislation continues to languish. Frustrated by this inactivity, President Obama issued several executive orders in this area. One of these led to the promising NIST cybersecurity framework—a good addition but more of a suggestion than anything else. The U.S. has faced an unprecedented wave of cybercrime and cyber-espionage over the past few years with no end in sight. It’s time for the President and congress to:

    Trate o cybersecurity como uma segurança nacional melhor que uma edição política. Após anos de wrangling político, o ato de Cybersecurity de 2012 recebeu a sustentação bipartisan na segurança do Homeland do Senate e no comitê governamental dos casos. Infelizmente, a conta nunca proseguiu ao assoalho do senate para um voto. Por que? Era um ano presidencial da eleição, assim que apontar do dedo fêz exame da precedência sobre a colaboração. O remains da legislação do cybersecurity. Em agosto 2015, o senate saiu de Washington para o rebaixo sem passar uma conta pendente do cybersecurity compartilhar público/confidencial da inteligência da ameaça. Quando os políticos continuarem a dar discursos do stump sobre rupturas dos dados, cyber-adversários, e interesses da segurança nacional, a legislação do cybersecurity continua a languish. Frustrado por este inactivity, o presidente Obama emitiu diversas ordens executivas nesta área. Um destes conduziu à adição boa da estrutura-um prometedora do cybersecurity do NIST mas a mais de uma sugestão do que qualquer outra coisa. Os ESTADOS UNIDOS. enfrentou uma onda unprecedented do excesso do cybercrime e do cyber-espionage o passado poucos anos com nenhuma extremidade na vista. É hora para o presidente e o congress:

    Fund cybersecurity education programs.

    Programas da instrução do cybersecurity do fundo.

    Expand the Cyber Corps program as a way to exchange cybersecurity training and tuition funding for public service.

    Expanda o programa do corpo de Cyber como uma maneira trocar o treinamento e a taxa de matrícula do cybersecurity que financíam pelo serviço público.

    Improve the hiring process and compensation structure for federal cybersecurity professionals.

    Melhore o processo e a estrutura empregando da compensação para profissionais federais do cybersecurity.

    Create incentives for cybersecurity investments.

    Críe incentives para investimentos do cybersecurity.

    Work as an equal partner with the cybersecurity community at large. Make sure that federal cybersecurity programs in this area are equally accessible to all cybersecurity professionals in all industries and locations—not just within a few hundred miles of Washington D.C.

    Trabalhe como um sócio igual com a comunidade do cybersecurity em grande. Certifique-se de que os programas federais do cybersecurity nesta área são ingualmente acessíveis a todos os profissionais do cybersecurity em todas as indústrias e posições-não apenas dentro de algumas cem milhas da C.C. de Washington

    Create and promote standards like STIX and TAXII for threat intelligence sharing.

    Críe e promova padrões como STIX e TAXII para compartilhar da inteligência da ameaça.

    Share threat intelligence and best practices.

    Inteligência da ameaça da parte e as mais melhores práticas.

    Limit liabilities to organizations that truly commit to strong cyber supply chain security.

    Limite responsabilidades às organizações que cometem verdadeiramente à segurança forte da corrente de fonte do cyber.

    Impose penalties on organizations that continue to minimize cybersecurity.

    Imponha penalidades nas organizações que continuam a minimizar o cybersecurity.