|
|
Conclusion
|
Although cyber supply chain security has improved somewhat over the last five years, there is still cause for concern. IT and information security professionals at critical infrastructure organizations believe that the threat landscape is getting worse and that cyber supply chain security is growing more difficult. Furthermore, more than two-thirds of critical infrastructure organizations have experienced a multitude of types of security incidents, including those emanating from vulnerabilities in software they developed in-house. Finally, many critical infrastructure organizations are pursuing new types of IT initiatives like cloud computing, mobile applications, and IoT projects. These technologies are in their genesis phase and may be fraught with vulnerabilities. Meanwhile, cybersecurity best practices and skills around IT innovation also lag behind.
|
Хотя обеспеченность цепи поставкы cyber улучшала несколько над последними 5 летами, будет неподвижное cause for concern. ОНО и профессионалы обеспеченностью информации на критически организациях инфраструктуры верят что ландшафт угрозой получает более плохим и что обеспеченность цепи поставкы cyber растет трудне. Furthermore, больше чем 2/3 из критически организаций инфраструктуры испытывало multitude типов случаев обеспеченностью, включая те от уязвимостей в средстве программирования, котор они начали in-house. Окончательно, много критически организаций инфраструктуры следуют новые Ны тип ЕГО инициативы как вычислять облака, передвижные применения, и проекты IoT. Эти технологии в их участке происхождения и могут быть чреваты с уязвимостями. Между тем, практики cybersecurity самые лучшие и искусства вокруг ЕГО рационализаторство также запаздывают позади.
|
|
All of these factors add up to continuing cyber supply chain security complexities. Based upon the research data presented herein, ESG offers the following recommendations for critical infrastructure organizations, IT technology vendors, and the U.S. Federal Government.
|
Весь из этих факторов добавляют до продолжая сложностей обеспеченностью цепи поставкы cyber. Основано на данных по исследования представил здесь, предложения ESG following рекомендации для критически организаций инфраструктуры, ОНО поставщики технологии, и США. Федеральное правительство.
|
For Critical Infrastructure Organizations
|
Для критически организаций инфраструктуры
|
|
ESG’s research indicates that not only are critical infrastructure organizations inadequately prepared for the current threat landscape, but most are compounding this problem by not doing enough to mitigate the risks associated with cyber supply chain security. To address these shortcomings, critical infrastructure organizations should:
|
Исследование ESG показывает not only будет критически организациями инфраструктуры недостаточно подготовленными для в настоящее время ландшафта угрозой, но большая часть смешивает эту проблему не делать достаточно для того чтобы mitigate риски связанные с обеспеченностью цепи поставкы cyber. Адресовать эти shortcomings, критически организации инфраструктуры:
|
|
Assess cyber supply chain risk across the organization. Since the cyber supply chain includes a broad range of participants, including IT vendors, suppliers, business partners, and contractors, many critical infrastructure organizations delegate cyber supply chain security management to a variety of internal groups and individuals. While this makes sense at an operational level, it makes it impossible to get a comprehensive perspective of cyber supply chain security or accurately measure cyber supply chain risk. To alleviate this unacceptable situation, CISOs and risk officers should take the time to map out their entire cyber supply chain—every partner, IT equipment vendor, SaaS provider, supplier, etc. Clearly, this will take time and require ample resources, but an end-to-end and up-to-date map of the cyber supply chain is an essential foundation for situational awareness and proactive risk management.
|
Определите риск цепи поставкы cyber через организацию. В виду того что цепь поставкы cyber вклюает обширный ряд участников, включая ЕЕ поставщики, поставщиков, бизнес-партнеров, и контракторов, много критически организаций инфраструктуры делегируют управление обеспеченностью цепи поставкы cyber к разнообразию внутренне групп и индивидуалов. Пока эт делает чувство на рабочем уровне, он делает его невозможно получить всестороннюю перспективу обеспеченности цепи поставкы cyber или точно измерить риск цепи поставкы cyber. Для того чтобы разрешить эту неприемлемую ситуацию, офицеры CISOs и риска должны принять время составить карту вне их вся поставка cyber цеп-каждые соучастник, ОНО поставщик оборудования, provider SaaS, поставщик, cEtc. Ясно, это примет время и потребует ample ресурсов, но сквозная и последняя карта цепи поставкы cyber будет необходимым учредительством для ситуативной осведомленности и proactive управления при допущении риска.
|
|
Integrate cyber supply chain security into new IT initiatives. When asked why cyber supply chain security has become more difficult, 44% of cybersecurity professionals blamed new IT initiatives that have increased the cyber-attack surface. This isn’t surprising given massive adoption of technologies like cloud computing, IoT, and mobile applications over the past few years. Unfortunately, new IT initiatives often prioritize business objectives at the expense of strong cybersecurity. Given today’s threat landscape, this type of laissez-faire approach to cybersecurity must be expunged from the organization. To address and mitigate cyber supply chain risk, CEOs must lead by example with the goal of building a corporate culture that inculcates strong cybersecurity into all business processes, programs, and supporting IT initiatives.
|
Интегрируйте обеспеченность цепи поставкы cyber в новую ОНО инициативы. После того как я спрашивано почему обеспеченность цепи поставкы cyber была трудне, 44% из профессионалов cybersecurity обвинило ново ЕЕ инициативы которые увеличивали cyber-атакуют поверхность. Это не удивляет, котор дали массивнейшее принятие технологий как вычислять облака, IoT, и передвижные применения over the past few years. Несчастливо, ново ОНО инициативы часто prioritize деловые задачи за счет сильного cybersecurity. Дали сегодняшний ландшафт угрозой, этот тип подхода к laissez-faire к cybersecurity необходимо expunged от организации. Для того чтобы адресовать и mitigate риск цепи поставкы cyber, CEOs должно вести примером с целью строить корпоративную культуру которая внедряет сильное cybersecurity в все процессы, программы, и поддерживать дела ЕГО инициативы.
|
|
Fully integrate security into IT procurement. ESG data demonstrates that processes and procedures governing IT vendor security audits lack consistency and usefulness. As mentioned, best practices for IT vendor security audits should include the following steps:
|
Полно интегрируйте обеспеченность в ЕЕ поставка. Данные по ESG демонстрируют что процессы и процедуры управляя ИМ проверкы обеспеченностью поставщика нуждаются последовательности и пользе. Как упомянутые, самые лучшие практики для ЕГО проверкы обеспеченностью поставщика должны включить following шаги:
|
|
Audit all strategic IT vendors (including service providers, cloud service providers, and distributors).
|
Ревизуйте вся стратегическую ОНО поставщики (включая providers обслуживания, providers обслуживания облака, и раздатчики).
|
|
Follow a standard process for all vendor audits.
|
Последуйте за стандартным процессом для всех проверк поставщика.
|
|
Implement a corporate policy where IT vendor security audit metrics have a significant impact for all procurement decisions.
|
Снабдите корпоративную политику где ОНО metrics проверкы обеспеченностью поставщика имеет значительно удар для всех решений поставки.
|
|
A stringent audit process should pay for itself by lowering cyber supply chain risk over time. It will also send a clear message to IT vendors: Adhere to strong cybersecurity policies and procedures or hawk your insecure products and services elsewhere.
|
Stringent процесс проверкы должен оплатить для себя путем понижать риск цепи поставкы cyber над временем. Оно также пошлет ясно выраженное послание к ЕМУ поставщикам: Придерживайтесь к сильным политикам cybersecurity и процедурам или хоуку ваши insecure продукты и обслуживания в другом месте.
|
|
Address all aspects of software assurance. As in other findings in this report, critical infrastructure organizations have made progress on software assurance since 2010, but these improvements are based on additional tactical actions rather than an end-to-end strategic approach. Software assurance must be anchored by a secure software development lifecycle and the right skill set for secure software development. Furthermore, software assurance best practices must be followed with no exceptions. This demands an enterprise program for internally developed software as well as stringent controls on third-party software development, maintenance, and testing. Leading companies will also impose testing and quality standards on all commercial software.
|
Адресуйте все аспекты обеспечения средства программирования. Как в других заключениях в этом рапорте, критически организации инфраструктуры делают прогресс на обеспечении средства программирования с 2010, но эти улучшения основаны на дополнительных тактических действиях rather than сквозном стратегическом подходе. Обеспечение средства программирования должно быть поставлено на якорь безопасный lifecycle развития средства программирования и правым искусством установленными для безопасного развития средства программирования. Furthermore, практиками обеспечения средства программирования самыми лучшими необходимо последовать за без исключений. Это требует программе предпринимательства для внутренне начатого средства программирования также, как stringent управление на third-party развитии, обслуживании, и испытывать средства программирования. Leading компании также наведут испытывать и стандарта качества на всем коммерчески средстве программирования.
|
|
Formalize external IT security. When it comes to cyber supply chain security, risk associated with working with third-party partners must be managed and mitigated with the same care as internal activities like vulnerability scanning and patch management. In fact, strong cyber supply chain security has become an SEC mandate and will likely find its way to other industries beyond financial services. Once again, this demands a consistent, documented, and measurable approach for third parties that provide IT services to or consume them from an organization. Aside from legal contracts, governance frameworks, and certifications, CISOs should explore new types of cyber intelligence designed for monitoring third-party risk from vendors like BitSight and SecurityScorecard.
|
Оформите внешне ОНО обеспеченность. Когда оно приходит к обеспеченности цепи поставкы cyber, риском связанным с работой с third-party соучастниками необходимо управлять и mitigated с такой же внимательностью как внутренне деятельностями как скеннирование уязвимостью и управление заплаты. В действительности, сильная обеспеченность цепи поставкы cyber была мандатом SEC и вероятн путь свой к другим индустриям за финансовыми обслуживаниями. Еще раз, это требует последовательному, документируемому, и measurable подходу для третья лицо которые обеспечивают ЕГО обслуживает к или уничтожает их от организации. Кроме законных подрядов, рамок управления, и аттестаций, CISOs должно исследовать новые Ны тип сведении cyber конструированные для контролировать third-party риск от поставщиков как BitSight и SecurityScorecard.
|
|
Push for more help from Washington. Like many other critical issues, cybersecurity has been relegated into partisan politics and pork barrel programs. Critical infrastructure organizations should work together, come up with legislative recommendations, lobby for action, and make sure to keep the public aware of any partisan behavior or stalling in Washington.
|
Нажмите для больше помощи от вашингтона. Как много других критически вопросов, cybersecurity было relegated в однопартийную политику и программы казенного пирога. Критически организации инфраструктуры должны работать совместно, come up с законодательными рекомендациями, лоббируют для действия, и make sure держать публику осведомленно любых партизанских поведения или stalling в вашингтоне.
|
For the IT Industry
|
Для ОНО индустрия
|
|
IT product and service providers should view this report as a harbinger of things to come. Critical infrastructure organizations have much work ahead, but ESG data does indicate clear progress since 2010. It is therefore wise to recognize that critical infrastructure organizations are slowly but surely making strong cybersecurity a requirement for all IT vendors. To prepare for this security transition, the entire IT industry must:
|
ОНО providers продукта и обслуживания должно осмотреть этот рапорт как harbinger вещей для того чтобы прийти. Критически организации инфраструктуры имеют много работу вперед, но показано на данные по ESG ясно развивают с 2010. Поэтому велемудро узнать что критически организации инфраструктуры медленно но уверенно делают сильным cybersecurity требование для всех ОНО поставщики. Подготовить для этого перехода обеспеченностью, вся ОНО индустрия:
|
|
Build comprehensive internal cybersecurity programs. Several large IT vendors including Cisco, IBM, Microsoft, Oracle, and VMware have not only created strong cybersecurity programs internally, but also published details about these programs for customer review. Typically, these programs include features like cyber supply chain security management, secure product design, security testing, employee training, IT security, and security services and support. All IT vendors should study and emulate these programs to the best of their abilities.
|
Программы cybersecurity строения всесторонние внутренне. Несколько больших ОНО поставщики включая Cisco, IBM, Microsoft, оракул, и VMware not only создало сильные программы cybersecurity внутренне, но также опубликованные детали о этих программах для просмотрения клиента. Типично, эти программы вклюают характеристики как управление обеспеченностью цепи поставкы cyber, безопасный оформления изделия, испытывать обеспеченности, тренировка работника, ОНО обеспеченность, и службы безопасности и поддержка. Все, котор ОНО поставщики должно изучить и подражать эти программы к самому лучшему их способностей.
|
|
Take a solutions focus to cyber supply chain security. As secure as any one vendor’s products and processes are, business applications and IT infrastructure are composed of a myriad of connected piece parts working together. This means that IT vendors should take a proactive approach to engaging with product and services partners and participate fully in cybersecurity testing, deployment, and operations for complex IT solutions.
|
Примите фокус разрешений к обеспеченности цепи поставкы cyber. Как безопасно как продукты и процессы любого одного поставщика, использования в коммерческих целях и ОНО инфраструктура составлено мириад соединенных частей части работая совместно. Это намеревается что ОНО поставщики должно попытаться proactive приблизитьсяу к включать с продуктом и обслуживается соучастников и участвуется полно в испытывать, раскрытии, и деятельностях cybersecurity для комплекса ОНО разрешения.
|
|
Include strong security as part of customer engagements. Even the most diligent customers may not be aware of the cybersecurity intricacies of individual IT products. Smart vendors will work with customers to answer questions, recommend reference architectures, help them harden their products, and maintain a constant stream of communications.
|
Включите сильную обеспеченность как часть захватов клиента. Даже старательно клиенты не могут быть осведомленны замысловатостей cybersecurity индивидуала ОНО продукты. Франтовские поставщики будут работать с клиентами для того чтобы ответить вопросы, порекомендовать зодчеств справки, помочь их затвердеть их продукты, и поддержать постоянн поток сообщений.
|
For the U.S. Federal Government
|
Для США. Федеральное правительство
|
|
While cybersecurity continues to be topical in the halls of Congress, this and other ESG research reveals a growing gap between cybersecurity professionals and Washington. To alleviate this disconnect and truly engage with the cybersecurity community, the U.S. Federal Government should:
|
Пока cybersecurity продолжается быть злободневно в залах съезда, это и другое исследование ESG показывают зазор между профессионалами cybersecurity и вашингтоном. Разрешить этот disconnect и поистине включить с общиной cybersecurity, США. Федеральное правительство:
|
|
Start with clear and concise communications. ESG research indicates that only 22% of cybersecurity professionals working at critical infrastructure organizations have a clear understanding of the government’s cybersecurity agenda. This may be because there are too many cybersecurity voices at different agencies, an abundance of programs with confusing acronyms, and far more rhetoric than action. The U.S. government can only rectify this situation by developing a comprehensive strategy for cybersecurity for critical infrastructure industries. Of course, there is no shortage of documents and programs that claim to do this, but the cybersecurity community at large is looking for one program, bipartisan support, strong and cogent communication, and a visible government leader who actually “owns” cybersecurity. Sadly, many cybersecurity professionals view Washington as part of the problem rather than part of the solution. Government officials will not reverse this cynicism without an honest two-way dialogue, a mutually beneficial partnership, and a clear long-term strategy.
|
Начните с ясными и сжатыми сообщениями. Исследование ESG показывает что только 22% из профессионалов cybersecurity работая на критически организациях инфраструктуры имеют ясное понимание повестки дня cybersecurity правительства. Это может быть потому что будут too many голосов cybersecurity на по-разному агенствах, обилие программ с смущая акронимами, и значительно больше риторики чем действие. США. правительство может только выпрямить эту ситуацию путем начинать всеобъемлющую стратегию для cybersecurity для критически индустрий инфраструктуры. Of course, будет никакой недостаток документов и программы который требуют сделать это, но община cybersecurity на большом ищет одна программа, bipartisan поддержка, сильное и cogent сообщение, и видимый руководитель правительства которому фактическ «имеет» cybersecurity. Уныло, много профессионалов cybersecurity осматривают вашингтон как часть проблемы rather than разделяют разрешения. Государственные чиновники не обратят этот чинизм без честного двухстороннего диалога, взаимно полезного партнерства, и ясной долгосрочной стратегии.
|
|
Treat cybersecurity as a national security rather than a political issue. After years of political wrangling, the Cybersecurity Act of 2012 received bipartisan support in the Senate Homeland Security and Governmental Affairs Committee. Unfortunately, the bill never proceeded to the senate floor for a vote. Why? It was a presidential election year, so finger pointing took precedence over collaboration. The cybersecurity legislation remains. In August 2015, the senate left Washington for recess without passing a pending cybersecurity bill on public/private threat intelligence sharing. While politicians continue to give stump speeches about data breaches, cyber-adversaries, and national security concerns, cybersecurity legislation continues to languish. Frustrated by this inactivity, President Obama issued several executive orders in this area. One of these led to the promising NIST cybersecurity framework—a good addition but more of a suggestion than anything else. The U.S. has faced an unprecedented wave of cybercrime and cyber-espionage over the past few years with no end in sight. It’s time for the President and congress to:
|
Обработайте cybersecurity как национальная безопасность rather than политический вопрос. После лет политический wrangling, поступок Cybersecurity 2012 получил bipartisan поддержку в обеспеченности Homeland сената и правительственном комитете дел. Несчастливо, счет никогда не продолжал к полу сената для вотума. Почему? Было годом президентского выбора, поэтому указывать перста принял предшествование над сотрудничеством. Остаток законодательства cybersecurity. В августе 2015, сенат оставил вашингтон на гнездо без утверждать ожидающий решения счет cybersecurity на общественный/приватный делить сведении угрозой. Пока политиканы продолжаются дать речи пня о проломах данных, cyber-adversaries, и заботах национальной безопасности, законодательство cybersecurity продолжается к languish. Я расстроен этой неактивностью, президент Obama выдал несколько распоряжения президента в этой OBLASTи. Одно из этих вело к добавлению перспективнейших рамок- cybersecurity NIST хорошему но больше из предложения чем что-нибудь еще. США. смотрит на unprecedented волну cybercrime и cyber-шпионства over the past few years без конца в визировании. Будет временем для президента и съезда:
|
|
Fund cybersecurity education programs.
|
Программы образования cybersecurity фондом.
|
|
Expand the Cyber Corps program as a way to exchange cybersecurity training and tuition funding for public service.
|
Расширьте программу корпуса Cyber как дорога обменять тренировкой и tuition cybersecurity фондируя для общественной службы.
|
|
Improve the hiring process and compensation structure for federal cybersecurity professionals.
|
Улучшите нанимая структуру процесса и компенсации для федеральных профессионалов cybersecurity.
|
|
Create incentives for cybersecurity investments.
|
Создайте стимулы для облечений cybersecurity.
|
|
Work as an equal partner with the cybersecurity community at large. Make sure that federal cybersecurity programs in this area are equally accessible to all cybersecurity professionals in all industries and locations—not just within a few hundred miles of Washington D.C.
|
Работайте как равноправные партнеры с общиной cybersecurity на большом. Make sure что федеральные программы cybersecurity в этой OBLASTи равн доступны к всем профессионалам cybersecurity в всех индустриях и положениях-не как раз в пределах немного 100 миль d.c. вашингтона.
|
|
Create and promote standards like STIX and TAXII for threat intelligence sharing.
|
Создайте и повысьте стандарты как STIX и TAXII для делить сведении угрозой.
|
|
Share threat intelligence and best practices.
|
Сведения угрозой доли и самые лучшие практики.
|
|
Limit liabilities to organizations that truly commit to strong cyber supply chain security.
|
Ограничивайте пассивы к организациям поистине поручают к сильной обеспеченности цепи поставкы cyber.
|
|
Impose penalties on organizations that continue to minimize cybersecurity.
|
Наведите штрафы на организациях продолжаются уменьшить cybersecurity.
|
|
|