Whenever you visit our websites, information may be collected using cookies and similar tools to improve your user experience and to enhance the performance of the website.
Closing this message means you accept the use of cookies.

 
Executive Summary
     
    Remove Translation Translation
    Original Text

    Overview

    Descripción

    The cyber supply chain is defined as follows:

    Se define la cadena de fuente del cyber como sigue:

    The entire set of key actors involved with/using cyber infrastructure: system end-users, policy makers, acquisition specialists, system integrators, network providers, and software/hardware suppliers. The organizational and process-level interactions between these constituencies are used to plan, build, manage, maintain, and defend the cyber infrastructure.”

    El sistema entero de con implicado agentes dominantes/que usa la infraestructura del cyber: usuarios finales del sistema, regidores, especialistas de la adquisición, integradores del sistema, abastecedores de red, y surtidores del software/del hardware. Las interacciones de organización y del proceso-nivel entre estos distritos electorales se utilizan para planear, para construir, para manejar, para mantener, y para defender la infraestructura del cyber.”

    While most cybersecurity incidents are attributable to online attacks, countless examples used insecure cyber supply chains, introducing new types of risks, threats, vulnerabilities, and even cyber-attacks. For example:

    Mientras que la mayoría de los incidentes del cybersecurity son atribuibles a los ataques en línea, los ejemplos incontables utilizaron las cadenas de fuente inseguras del cyber, introduciendo nuevos tipos de riesgos, amenazas, vulnerabilidades, e incluso cyber-las atacan. Por ejemplo:

    In 2008, the FBI seized $76 million of counterfeit Cisco equipment. According to an FBI presentation, the fake Cisco routers, switches, and cards were sold to the U.S. Navy, the U.S. Marine Corps., the U.S. Air Force, the U.S. Federal Aviation Administration, and even the FBI itself. One slide referred to the counterfeit Cisco equipment as a “critical infrastructure threat.”

    En 2008, el FBI agarró $76 millones de equipo falsificado de Cisco. Según una presentación de FBI, las rebajadoras, los interruptores, y las tarjetas falsos de Cisco fueron vendidos a los E.E.U.U. Marina de guerra, los E.E.U.U. Cuerpo de marina., los E.E.U.U. Fuerza aérea, los E.E.U.U. Administración federal de la aviación, e incluso el FBI sí mismo. Una diapositiva refirió al equipo falsificado de Cisco como “amenaza crítica de la infraestructura.”

    Security researchers who analyzed the 2010 Stuxnet attack on Iranian nuclear facilities believe that malware used to infect programmable logic controllers (PLCs) and modify Siemens Step 7 software was likely carried into the facilities by third-party contractors working with the Iranian government. These third-party contractors were identified, attacked, and compromised and then unknowingly transported Stuxnet into the Iranian nuclear facilities, most likely through the use of USB thumb drives.

    Los investigadores de la seguridad que analizaban el ataque 2010 de Stuxnet contra instalaciones nucleares iraníes creen que el malware usado para infectar a reguladores programables de la lógica (PLCs) y para modificar software del paso 7 de Siemens fue llevado probablemente en las instalaciones por los contratistas de tercera persona que trabajaban con el gobierno iraní. Estos contratistas de tercera persona fueron identificados, atacado, y comprometido y entonces unknowingly transportado Stuxnet en las instalaciones nucleares iraníes, muy probablemente con el uso de las impulsiones del pulgar del USB.

    In 2012, the Chairman and Ranking Member of the House Intelligence Committee, Mike Rogers (R-MI) and C.A. Dutch Ruppersberger (D-MD), released a report recommending that U.S. companies avoid using telecommunications equipment manufactured by Chinese telecommunications companies Huawei and ZTE. The report highlighted U.S. critical infrastructure interconnectivity and went on to warn of the heightened threat of cyber-espionage and predatory disruption or destruction of U.S. networks if U.S-based telecommunications networks were built by companies with known ties to the Chinese state, a country known to “aggressively steal valuable trade secrets and other sensitive data from American companies.”

    En 2012, el presidente y el miembro de la graduación del comité de la inteligencia de la casa, Mike Rogers (R-MI) y el C.A. Ruppersberger holandés (D-MD), lanzado un informe que recomienda los esos E.E.U.U. las compañías evitan de usar el equipo de las telecomunicaciones fabricado por las compañías chinas Huawei y ZTE de las telecomunicaciones. El informe destacó los E.E.U.U. el interconnectivity crítico de la infraestructura y se encendió advertir de la amenaza aumentada del cyber-espionaje e interrupción o destrucción rapaz de los E.E.U.U. las redes si las redes de telecomunicaciones de U.S-based fueron construidas por las compañías con los lazos sabidos al estado chino, un país conocido “roban agresivamente los secretos comerciales del objeto de valor y otros datos sensibles de las compañías americanas.”

    According to documents leaked by Edward Snowden, the National Security Agency (NSA) intercepted networking equipment built in the United States, added backdoors for remote access capabilities, and then shipped these devices to their recipients abroad. When the hacked networking equipment was deployed online, it was programmed to phone home to NSA-controlled servers. "In one recent case, after several months a beacon implanted through supply-chain interdiction called back to the NSA covert infrastructure," said Glenn Greenwald, a reporter at the Guardian at the time. Greenwald further quoted the leaked NSA report: "This call back provided us (i.e., NSA) with access to further exploit the device and survey the network."

    Según los documentos escapados por Edward Snowden, la agencia de la seguridad nacional (NSA) interceptó el equipo del establecimiento de una red construido en los Estados Unidos, backdoors agregados para las capacidades de acceso alejado, y después envió estos dispositivos a sus recipientes al exterior. Cuando el equipo cortado del establecimiento de una red fue desplegado en línea, fue programado telefonar a casa a los servidores NSA-controlados. “En un caso reciente, después de varios meses un faro implantado con la prohibición de la proveer-cadena llamada de nuevo a la infraestructura secreta del NSA,” dijo a Glenn Greenwald, reportero en el guarda en ese entonces. Greenwald más futuro cotizó el informe escapado del NSA: “Esta llamada detrás proveyó de nosotros (es decir, el NSA) el acceso para explotar más lejos el dispositivo y para examinar la red.”

    The 2013 data breach at U.S. retailer Target exposed the personal and credit card data of more than 110 million consumers. Security researchers believe that this attack began with a spear phishing attack on a Target HVAC contractor, Fazio Mechanical, of Sharpsburg, PA. Cyber-attackers used an e-mail message to compromise a PC at Fazio Mechanical a few months before the attack and then downloaded password-stealing malware onto the system. The perpetrator then used legitimate Fazio credentials to log onto the Target network and ultimately carry out the attack.

    La abertura de 2013 datos en los E.E.U.U. la blanco del minorista expuso los datos de la tarjeta personal y de crédito de más de 110 millones de consumidores. Los investigadores de la seguridad creen que este ataque comenzó con un ataque phishing de la lanza contra un contratista de la HVAC de la blanco, Fazio mecánico, de Sharpsburg, PA. los Cyber-atacantes utilizaron un mensaje del E-mail para comprometer una PC en Fazio mecánico algunos meses antes del ataque y después transfirieron contraseña-robar directamente el malware sobre el sistema. Las credenciales legítimas entonces usadas de Fazio del autor a registrar sobre la red de la blanco y para realizar en última instancia el ataque.

    While cyber supply chain security incidents like these threaten businesses and consumers alike, any type of cyber-attack on critical infrastructure organizations could result in massive societal disruption threatening national security. These concerns are exacerbated by numerous events such as:

    Mientras que los incidentes de la seguridad de la cadena de fuente del cyber como éstos amenazan a negocios y a consumidores igualmente, cualquier tipo de cyber-ataca en organizaciones críticas de la infraestructura podría dar lugar a la interrupción societal masiva que amenaza seguridad nacional. Estas preocupaciones son exacerbadas por acontecimientos numerosos por ejemplo:

    The Siberian gas pipeline explosion of 1982. In 1982, CIA agents learned of a Russian plot to steal western technologies for updating its outdated gas pipeline system. Armed with this knowledge, the CIA intervened with a covert operation. Unbeknownst to Soviet agents, software stolen in France was actually booby-trapped by the CIA and programmed to create havoc in a series of pumps, values, and turbines and increase pressure across the entire pipeline. Once installed, the malicious software caused a massive explosion. Leaked government documents referred to this event as, “the most monumental non-nuclear explosion ever seen from space,” in the summer of 1982.

    La explosión siberiana de la tubería del gas de 1982. En 1982, los agentes de la Cia aprendieron de un diagrama ruso de robar las tecnologías occidentales para poner al día su sistema anticuado de la tubería del gas. Armado con este conocimiento, la Cia intervino con una operación secreta. Unbeknownst a los agentes soviéticos, software robado en Francia fue instalado trampas explosivas por la Cia y programado realmente para crear estrago en una serie de las bombas, los valores, y las turbinas y presión del aumento a través de la tubería entera. Una vez que estuvo instalado, el software malévolo causara una explosión masiva. Los documentos escapados del gobierno refirieron a este acontecimiento como, “la explosión no nuclear más monumental considerada siempre de espacio,” en el verano de 1982.

    The Aurora test of 2007. In 2007, Idaho National Labs ran an experiment called Aurora. The experiment simulated a cyber-attack and used a computer program to rapidly open and close a diesel generator’s circuit breakers so they were out-of-phase from the rest of the electric grid. In a now famous video, this remote attack caused a 2.25 megawatt diesel generator to bounce, shake, smoke, and eventually blow up. The entire process took less than three minutes, but researchers believe that a true cyber-attack could have destroyed the generator in less time. This experiment proved that a knowledgeable cyber-adversary could cause massive disruptions to the U.S. power grid. Furthermore, a diesel generator like the one destroyed in this experiment could take months to build, ship, and replace, meaning that a cyber-attack like Aurora could have long-term national security implications.

    La prueba del Aurora de 2007. En 2007, los laboratorios nacionales de Idaho funcionaron un experimento llamado Aurora. El experimento simuló cyber-ataca y utilizó un programa de computadora para abrirse rápidamente y cierra los interruptores de un generador del diesel así que estaban desfasados del resto de la rejilla eléctrica. En un vídeo ahora famoso, este ataque alejado hizo un generador diesel de 2.25 megavatios para despedir, para sacudarir, para fumar, y para hacer saltar eventual. El proceso entero tomó menos de tres minutos, pero los investigadores creen que un verdad cyber-ataca habría podido destruir el generador en menos tiempo. Este experimento probó que un cyber-adversario bien informado podría causar interrupciones masivas a los E.E.U.U. rejilla de la energía. Además, un generador diesel como el destruido en este experimento podría llevar meses la estructura, enviar, y substituir, significando que cyber-ataque como Aurora podría tener implicaciones a largo plazo de la seguridad nacional.

    The cyber-attacks on Estonia in 2007. In 2007, the Estonian government removed a Soviet-era statue, the Bronze Soldier of Tallinn, from the city. This action was taken as an insult by Russian nationals within Estonia and some members of the Russian cybersecurity community within and outside the government. In April 2007, the small Baltic nation experienced a wave of devastating distributed denial-of-service (DDOS) attacks that disrupted the services of the Estonian banks, broadcasters, ministries, newspapers, and parliament. The Estonian attacks are sometimes referred to as the first documented acts of cyberwar.

    Cyber-ataca en Estonia en 2007. En 2007, el gobierno estonio quitó una estatua de la Soviet-era, el soldado de bronce de Tallinn, de la ciudad. Esta acción fue tomada como insulto por los nacionales rusos dentro de Estonia y algunos miembros de la comunidad rusa del cybersecurity dentro y fuera del gobierno. En abril de 2007, la nación báltica pequeña experimentó una onda de devastar los ataques distribuidos del negación-de-servicio (DDOS) que interrumpieron los servicios de los bancos, de los locutores, de los ministerios, de los periódicos, y del parlamento estonios. Los ataques estonios se refieren a veces como los actos primero documentados del cyberwar.

    The cyber-theft of the F-35 Joint Strike Fighter and other military secrets. In 2015, NSA documents leaked by former contractor, Edward Snowden, revealed that cyber-attackers in China obtained more than 50 terabytes of data from U.S. defense contractors and government networks. This data included detailed plans about the F-35 Joint Strike Fighter’s stealth radar and engine. By learning about these and other design points, Chinese defense companies were able to include similar designs and technologies in China’s new stealth jet, the J-20. The secret also could allow Chinese air defenses to target the F-35 in a future conflict.

    El cyber-hurto del combatiente de la huelga del empalme F-35 y de otros secretos militares. En 2015, los documentos del NSA se escaparon por el contratista anterior, Edward Snowden, revelaron que los cyber-atacantes en China obtuvieron más de 50 Terabyte de datos de los E.E.U.U. contratistas de defensa y redes del gobierno. Estos datos incluyeron planes detallados sobre el radar y el motor del stealth del empalme F-35 del combatiente de la huelga. Aprendiendo sobre éstos y otro los puntos del diseño, las compañías chinas de la defensa podían incluir diseños similares y las tecnologías en el nuevo stealth de China echan en chorro, el J-20. El secreto también podía permitir que los rucursos de defensa aérea chinos apunten el F-35 en un conflicto futuro.

    The potential for a devastating cyber-attack on U.S. critical infrastructure has had Washington’s attention for a number of years. In 1998, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about critical infrastructure protection (CIP) by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.”

    El potencial para un devastador cyber-ataca en los E.E.U.U. la infraestructura crítica ha tenido atención de Washington por un número de años. En 1998, diputado Defense Secretary Juan Hamre advirtió los E.E.U.U. Congreso sobre la protección crítica de la infraestructura (CIP) por la advertencia “de un puerto de perla potencial del cyber.” Hamre indicó que un devastador cyber-ataca “… no va a estar contra las naves de la marina de guerra que se sientan en un astillero de la marina de guerra. Va a estar contra la infraestructura comercial.”

    After taking office, President Obama stated:

    Después de tomar la oficina, presidente Obama indicó:

    “From now on, our digital infrastructure, the networks and computers we depend on every day will be treated as they should be; as a strategic national asset. Protecting this infrastructure will be a national security priority. We will ensure that these networks are secure, trustworthy, and resilient. We will deter, prevent, detect, and defend against attacks and recover quickly from any disruptions or damage.”

    “De ahora en adelante, nuestra infraestructura digital, las redes y las computadoras que dependemos de diario serán tratadas como deben ser; como activo nacional estratégico. La protección de esta infraestructura será una prioridad de la seguridad nacional. Nos aseguraremos de que estas redes sean seguras, dignas de confianza, y resistentes. Disuadiremos, prevendremos, detectaremos, y defenderemos contra ataques y nos recuperaremos rápidamente de cualesquiera interrupciones o daño.”

    In 2012, defense secretary, Leon Panetta, echoed these earlier warnings, stating that the U.S. faced a potential “cyber Pearl Harbor,” and was vulnerable to an increasing number of foreign hackers who could disrupt U.S.-based power grids, transportation networks, financial systems, and the government itself. Finally, in February 2015 at a cybersecurity summit held at Stanford University, President Obama announced five priorities to strengthen the U.S. approach to cybersecurity threats:

    En 2012, la secretaria de la defensa, Leon Panetta, repitió estas detecciones tempranas, indicando que los E.E.U.U. hizo frente “a un puerto de perla potencial del cyber,” y era vulnerable a un número de aumento de los hackers extranjeros que podrían interrumpir los E.E.U.U. - rejillas basadas de la energía, redes del transporte, sistemas financieros, y el gobierno sí mismo. Finalmente, en febrero de 2015 en el cybersecurity una cumbre sostuvo en la universidad de Stanford, presidente Obama anunció cinco prioridades para consolidar los E.E.U.U. acercamiento a las amenazas del cybersecurity:

    1. Protecting the country's critical infrastructure—our most important information systems—from cyber-threats.

    1. Protegiendo el país crítico infraestructura-nuestra information más importante sistema-de cyber-amenaza.

    2. Improving the country’s ability to identify and report cyber-incidents so that we can respond in a timely manner.

    2. Mejorando la capacidad del país de identificar y de divulgar cyber-incidentes de modo que poder responder de una manera oportuna.

    3. Engaging with international partners to promote internet freedom and build support for an open, interoperable, secure, and reliable cyberspace.

    3. Enganchando con los socios internacionales para promover la libertad del Internet y para construir la ayuda para un abierto, interoperable, asegure, y Cyberspace confiable.

    4. Securing federal networks by setting clear security targets and holding agencies accountable for meeting those targets.

    4. Asegurando redes federales fijando blancos claras de la seguridad y llevando a cabo las agencias responsables de satisfacer esas blancos.

    5. Shaping a cyber-savvy workforce and moving beyond passwords in partnership with the private sector.

    5. Formar a una mano de obra de la cyber-comprensión y mudanza más allá de contraseñas en sociedad con el sector privado.

    There is clear evidence that the U.S. critical infrastructure faces a state of constant cyber-attack and a successful breach could have devastating consequences. Are critical infrastructure organizations adequately prepared to defend themselves? Do they have the right controls and oversight in place for cyber supply chain security? Are government agencies providing critical infrastructure organizations with the right programs and support? This ESG research report is intended to explore the answers to these important questions.

    Hay la evidencia clara que los E.E.U.U. la infraestructura crítica hace frente a un estado de constante cyber-ataca y una abertura acertada podría tener consecuencias devastadoras. ¿Las organizaciones críticas de la infraestructura están preparadas adecuadamente para defenderse? ¿Tienen los controles y el descuido derechos en el lugar para la seguridad de la cadena de fuente del cyber? ¿Las agencias de estatal están proveyendo de organizaciones críticas de la infraestructura los programas derechos y las apoyan? Este informe de la investigación de ESG se piensa para explorar las respuestas a estas preguntas importantes.

    Report Conclusions

    Divulgue las conclusiones

    ESG surveyed 303 IT and cybersecurity professionals representing large midmarket (500 to 999 employees) organizations and enterprise-class (1,000 employees or more) organizations in the United States within 16 vertical industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS).

    ESG examinó a 303 profesionales ÉL y del cybersecurity que representaban organizaciones grandes los empleados del midmarket (500 a 999) y organizaciones de la empresa-clase (1.000 empleados o más) en los Estados Unidos dentro de 16 industrias verticales señaladas como infraestructura crítica por los E.E.U.U. Departamento de la seguridad de la patria (ADO).

    The survey focused on critical infrastructure organizations’ current cybersecurity processes in general and cyber supply chain security awareness and safeguards in particular. Based on the data collected, ESG concludes:

    El examen se centró en procesos actuales del cybersecurity de las organizaciones críticas de la infraestructura los' en general y conocimiento y las salvaguardias de la seguridad de la cadena de fuente del cyber particularmente. De acuerdo con los datos cerco, ESG concluye:

    The threat landscape has grown more dangerous for critical infrastructure organizations. Nearly one-third (31%) of critical infrastructure organizations believe that the threat landscape (i.e., cyber-adversaries, cyber-attacks, exploits, malware, etc.) is much worse today than it was two years ago, while another 36% say that the threat landscape has grown somewhat worse in the past two years. Alarmingly, only 37% of critical infrastructure organizations rate their cybersecurity policies, processes, and technology safeguards as excellent and capable of addressing almost all of today’s threats. The remaining 63% aren’t nearly as confident.

    El paisaje de la amenaza ha crecido más peligroso para las organizaciones críticas de la infraestructura. Casi una mitad (el 31%) de organizaciones críticas de la infraestructura cree que el paisaje de la amenaza (es decir, los cyber-adversarios, cyber-atacan, las hazañas, malware, etc.) es hoy mucho peor que él era hace dos años, mientras que otra opinión del 36% que el paisaje de la amenaza ha crecido algo peor en los últimos dos años. Alarmantemente, los solamente 37% de organizaciones críticas de la infraestructura clasifican sus políticas del cybersecurity, procesos, y salvaguardias de la tecnología como excelentes y capaces de tratar casi todas las amenazas de hoy. Los 63% restantes no están casi como confidentes.

    Critical infrastructure organizations are under attack. A majority (68%) of critical infrastructure organizations have experienced various cybersecurity incidents over the past two years, including compromises of an employee system, data breaches due to lost or stolen equipment, insider attacks, and breaches of physical security. Over one-third (36%) of these security incidents resulted in the disruption of a business process and/or critical operations. The ramification is clear: Cyber-attacks are already impacting critical infrastructure operations and could certainly disrupt services.

    Las organizaciones críticas de la infraestructura están bajo ataque. Una mayoría (el 68%) de organizaciones críticas de la infraestructura ha experimentado varios incidentes del cybersecurity sobre los últimos dos años, incluyendo compromisos de un sistema del empleado, las aberturas de los datos debido al equipo perdido o robado, a los ataques del iniciado, y a las aberturas de la seguridad física. Sobre una mitad (el 36%) de estos incidentes de la seguridad dio lugar a la interrupción de un proceso del negocio y/o de operaciones críticas. La ramificación está clara: Cyber-ataca están afectando operaciones críticas de la infraestructura y podría ya interrumpir ciertamente servicios.

    Cyber supply chain security is growing more difficult. A majority (60%) of critical infrastructure organizations believe that cyber supply chain security is much more difficult or somewhat more difficult than it was two years ago. Of those that believe that cyber supply chain security has become more difficult, 44% equate this change to new types of IT initiatives that increased the cyber supply chain security attack surface, 39% say that they have more IT suppliers than two years ago, and 36% have consolidated IT and operational technology (OT) security, increasing cyber supply chain complexity.

    La seguridad de la cadena de fuente de Cyber está creciendo más difícil. Una mayoría (el 60%) de organizaciones críticas de la infraestructura cree que la seguridad de la cadena de fuente del cyber es mucho más difícil o algo más difícil que él era hace dos años. De los que crean que la seguridad de la cadena de fuente del cyber ha llegado a ser más difícil, los 44% comparan este cambio a los nuevos tipos de ELLOS las iniciativas que aumentaron la superficie del ataque de la seguridad de la cadena de fuente del cyber, opinión del 39% que tienen más ÉL los surtidores que hace dos años, y los 36% han consolidado LO y la seguridad operacional de la tecnología (OT), aumentando complejidad de la cadena de fuente del cyber.

    IT vendor cybersecurity audits remain haphazard. While more critical infrastructure organizations audit their IT supplier’s security processes and metrics today than five years ago, audit processes remain somewhat ad-hoc. For example, only 14% of the critical infrastructure organizations surveyed audit the cybersecurity practices of all strategic IT infrastructure vendors, use standard processes for these IT vendor audits, and use the results of these audits as formal guidelines for IT procurement decisions. In spite of progress in IT security auditing over the past five years, many critical infrastructure organizations still treat IT vendor security as a check-box exercise rather than a serious risk management requirement.

    Las intervenciones del cybersecurity del vendedor sigue siendo casual. Mientras que organizaciones más críticas de la infraestructura lo revisan los procesos y la métrica de la seguridad de su surtidor hoy que hace cinco años, los procesos de la intervención siguen siendo algo ad hoc. Por ejemplo, los solamente 14% de las organizaciones críticas de la infraestructura examinadas revisan las prácticas del cybersecurity de todo el estratégico ÉL los vendedores de la infraestructura, utilizan los procesos estándares para éstos ÉL las intervenciones del vendedor, y utilizan los resultados de estas intervenciones como pautas formales para ELLOS las decisiones de la consecución. A pesar de progreso en ELLA la seguridad que revisa sobre los últimos cinco años, muchas organizaciones críticas de la infraestructura todavía trata LA seguridad del vendedor como ejercicio de la comprobar-caja más bien que un requisito serio de la gerencia de riesgo.

    Critical infrastructure organizations continue to employ risky IT technologies. As evidence of continuing cyber supply chain security risk, 58% of critical infrastructure organizations admit that they use products or services from IT vendors that have product and/or internal process security issues that are cause for concern.

    Las organizaciones críticas de la infraestructura continúan empleándolo aventurado las tecnologías. Como evidencia de continuar riesgo de la seguridad de la cadena de fuente del cyber, los 58% de organizaciones críticas de la infraestructura admiten que utilizan productos o servicios de ÉL los vendedores que tienen el producto y/o ediciones de seguridad de proceso internas que son tema de inquietud.

    Third-party IT relationships exacerbate cyber supply chain risk. Critical infrastructure services often rely on a vast network of connected organizations. Fifty eight percent of the organizations surveyed claim that they use IT services or business applications provided by third parties, while 48% provide IT service or business application access to third-party business partners. Of those critical infrastructure organizations with these types of external IT relationships, 38% provide IT access to more than 100 third-party organizations, while 27% consume IT services and business applications from more than 100 third parties. Most critical infrastructure organizations protect these third-party IT relationships with security controls and some oversight, but these safeguards are not nearly as formal or process-oriented as they should be.

    De tercera persona las relaciones exacerba riesgo de la cadena de fuente del cyber. Los servicios críticos de la infraestructura confían a menudo en una red extensa de organizaciones conectadas. Cincuenta ocho por ciento de las organizaciones examinadas demandan que lo utilizan mantienen o los usos de negocio proporcionados por los terceros, mientras que los 48% lo proporcionan servicio o acceso del uso de negocio a los socios de negocio de tercera persona. De esas organizaciones críticas de la infraestructura con estos tipos de externo las relaciones, el 38% lo proporciona acceso a más de 100 organizaciones de tercera persona, mientras que los 27% lo consumen mantienen y los usos de negocio de más de 100 terceros. La mayoría de las organizaciones críticas de la infraestructura protegen estos de tercera persona ÉL las relaciones con controles de la seguridad y un cierto descuido, pero estas salvaguardias no son casi tan formales o proceso-orientadas como deben ser.

    Software security remains a major concern. One-third of critical infrastructure organizations have experienced some type of security incident directly related to the compromise of internally developed software. This is particularly concerning since critical infrastructure services depend upon specialized processes often requiring homegrown software. To address software vulnerabilities, many critical infrastructure organizations have put secure software development processes in place, but only half of these firms implement these methodologies across the entire enterprise.

    La seguridad del software sigue siendo una preocupación importante. Una mitad de organizaciones críticas de la infraestructura ha experimentado un cierto tipo de incidente de la seguridad relacionado directamente con el compromiso del software internamente desarrollado. Esto está tratando particularmente puesto que los servicios críticos de la infraestructura dependen de los procesos especializados que requieren a menudo software de cosecha propia. Para tratar vulnerabilidades del software, muchas organizaciones críticas de la infraestructura han puesto procesos seguros del desarrollo del software en lugar, pero solamente la mitad de estas firmas pone estas metodologías en ejecución a través de la empresa entera.

    Critical infrastructure organizations want more help from Washington. Only 22% of cybersecurity professionals working at critical infrastructure organizations believe that the U.S. government’s cybersecurity strategy is extremely clear and thorough, while the remaining 88% are somewhat confused by Washington. Additionally, 45% believe that the U.S. government should be significantly more active with cybersecurity strategies and defenses. Those on the critical infrastructure cybersecurity front lines would like Washington to create better methods for sharing security intelligence with the private sector, black list IT vendors with poor cybersecurity track records, and limit government IT purchases to those vendors with demonstrably superior product and process security.

    Las organizaciones críticas de la infraestructura desean más ayuda de Washington. Los solamente 22% de profesionales del cybersecurity que trabajan en las organizaciones críticas de la infraestructura creen que los E.E.U.U. la estrategia del cybersecurity del gobierno es extremadamente clara y cuidadosa, mientras que los 88% restantes son confundidos algo por Washington. Además, los 45% creen que los E.E.U.U. el gobierno debe estar considerablemente más activo con estrategias y defensas del cybersecurity. Ésos en las líneas delanteras del cybersecurity crítico de la infraestructura quisieran que Washington creara métodos mejores para compartir inteligencia de la seguridad con el sector privado, la lista negra ÉL los vendedores con los expedientes de pista pobres del cybersecurity, y el gobierno del límite que compra a esos vendedores con seguridad demostrable superior del producto y del proceso.
    Remove Translation
    Next Chapter
    To the Top