Introduction
     
    Remove Translation Translation
    Original Text

    Research Objectives

    Forschung Zielsetzungen

    In order to explore cyber supply chain security practices and challenges further, ESG surveyed 303 IT and information security professionals representing large midmarket (500 to 999 employees) organizations and enterprise-class (1,000 employees or more) organizations in the United States within vertical industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS). All respondents were familiar with/responsible for their organization’s information security policies and procedures, especially with respect to the procurement of IT products and services. Respondents also had to be familiar with cyber supply chain security as defined previously.

    Zwecks cyber Versorgungsmaterial-Kette Sicherheit zu erforschen übt und fordert weiter heraus, überblickte ESG 303 ES und die Informationen Sicherheit Fachleute, die große midmarket darstellen (500 bis 999 Angestellte) Einteilungen und Unternehmenkategorie (1.000 Angestellte oder mehr) Einteilungen in den Vereinigten Staaten innerhalb der vertikalen Industrien, die als kritische Infrastruktur durch die US gekennzeichnet wurden Abteilung der Heimat-Sicherheit (AVW). Alle Antwortenden waren, mit/verantwortlich für politischen Richtlinien und Verfahren Sicherheit Informationen ihrer Einteilung vertraut, besonders in Bezug auf die Beschaffung von IHR Produkte und Dienstleistungen. Antwortende mußten mit cyber Versorgungsmaterial-Kette Sicherheit vertraut auch sein, wie vorher definiert.

    The survey was designed to answer the following questions:

    Die übersicht war entworfen, um die folgenden Fragen zu beantworten:

    1. Risk management

    1. Risikomanagement

    Has the organization experienced any security breaches? If so, what was the impact?

    Hat die Einteilung irgendwelche Sicherheit Brüche erfahren? Wenn so, war was die Auswirkung?

    How would respondents rate the security threat landscape now compared with two years ago? Do respondents expect the threat landscape to get worse over the next two years?

    Mit wie würden Antwortende die Sicherheit Drohungveranschlagen Landschaft, die jetzt zwei Jahren vor verglichen wurde? Erwarten Antwortende die Drohunglandschaft, um über den folgenden zwei Jahren schlechter zu erhalten?

    How well prepared is the organization for the current threat landscape?

    Wie gut ist die Einteilung für die gegenwärtige Drohunglandschaft vorbereitet?

    Is executive management supporting and investing in cybersecurity?

    Ist das Executivmanagement, das im cybersecurity sich stützt und investiert?

    2. Procurement

    2. Beschaffung

    How important are IT vendors’ security processes in customers’ procurement decisions?

    Ist ES in den Verkäufer' Sicherheit Prozesse Kunden' Beschaffung Entscheidungen wie wichtig?

    Do critical infrastructure organizations audit the development processes of vendors before purchasing IT products? If so, is there a common model for these audits? Are these standard activities and processes across the enterprise?

    Revidieren kritische Infrastruktureinteilungen die Entwicklung Prozesse der Verkäufer, bevor sie ES Produkte kaufen? Wenn so, gibt es ein allgemeines Modell für diese Bilanzen? Sind diese Standardtätigkeiten und Prozesse über dem Unternehmen?

    Are vendor cybersecurity audits a critical component of IT procurement or do purchasing managers have the discretion to purchase from IT vendors with sub-par product and process security?

    Sind Verkäufer cybersecurity Bilanzen ein kritischer Bestandteil von IHM Beschaffung, oder Leiter der Einkaufsabteilung haben Sie die Diskretion zum Kaufen von IHR Verkäufer mit Vor-gleichheit Produkt und Prozeßsicherheit?

    3. Software development

    3. Software-Entwicklung

    Do critical infrastructure organizations include security considerations as part of their standard software development processes?

    Schließen kritische Infrastruktureinteilungen Sicherheit Betrachtungen als Teil ihrer Standard-Software Entwicklung Prozesse ein?

    Have organizations experienced any security breaches related to internally developed software vulnerability?

    Haben Einteilungen irgendwelche Sicherheit Brüche erfahren, die auf innerlich entwickelter Software-Verwundbarkeit bezogen werden?

    Do critical infrastructure organizations require their internal developers to be trained in secure software development?

    Erfordern kritische Infrastruktureinteilungen ihre internen Entwickler, in der sicheren Software-Entwicklung ausgebildet zu werden?

    When organizations outsource their software development, are secure development processes a requirement for external outsourcers and contractors?

    Wann Einteilungen outsource ihre Software-Entwicklung, sind sichere Entwicklung Prozesse eine Bedingung für externe outsourcers und Fremdfirmen?

    4. External IT security

    4. Extern ES Sicherheit

    To what extent do critical infrastructure organizations currently open their IT systems to external parties such as customers, suppliers, and business partners?

    In welchem Ausmass kritische Infrastruktureinteilungen z.Z., öffnen ihr ES Systeme zu den externen Parteien wie Kunden, Lieferanten und Teilhabern?

    To what extent do critical infrastructure organizations currently consume IT services and applications provided by external parties such as customers, suppliers, and business partners?

    In welchem Ausmass kritische Infrastruktureinteilungen z.Z., verbrauchen ES instandhält und die Anwendungen, die von den externen Parteien wie Kunden, Lieferanten und Teilhabern zur Verfügung gestellt werden?

    How are these relationships secured? Are there formal processes and safeguards in place?

    Wie werden diese Verhältnisse gesichert? Gibt es formale Prozesse und Schutz an der richtigen Stelle?

    5. The role of the U.S. Federal Government

    5. Die Rolle der US Bundesregierung

    Do cybersecurity professionals working at critical infrastructure organizations understand the U.S. government’s cybersecurity strategy?

    Tun Sie die cybersecurity Fachleute, die an den kritischen Infrastruktureinteilungen arbeiten, verstehen die US Strategie cybersecurity der Regierung?

    Do critical infrastructure organizations believe that the Federal Government should do more or less in terms of cybersecurity defenses and strategies?

    Glauben kritische Infrastruktureinteilungen, daß die Bundesregierung mehr oder weniger in cybersecurity Verteidigung und Strategien ausgedrückt tun sollte?

    What if any specific actions should the Federal Government take?

    Was wenn sollten irgendwelche spezifischen Tätigkeiten die Bundesregierung nehmen?

    Survey participants represented industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS). These industries include agriculture and food, banking and finance, communications, defense industrial base, energy (utilities, oil, and gas), transportation systems, water supply, health care, etc. For more details, please see the Research Methodology and Respondent Demographics sections of this report.

    Überblicken Sie die Teilnehmer dargestellten Industrien, die als kritische Infrastruktur durch die US gekennzeichnet werden Abteilung der Heimat-Sicherheit (AVW). Diese Industrien schließen Landwirtschaft und Nahrung, Bankverkehr und Finanzierung, Kommunikationen, industrielle Basis der Verteidigung, Energie (Dienstprogramme, öl und Gas), Transportsysteme, Wasserversorgung, Gesundheitspflege, etc. ein. Für mehr Details sehen Sie bitte die Forschung Verfahren- und Antwortend-Demographieabschnitte dieses Reports.