Research Objectives |
Objetivos de la investigación |
|
In order to explore cyber supply chain security practices and challenges further, ESG surveyed 303 IT and information security professionals representing large midmarket (500 to 999 employees) organizations and enterprise-class (1,000 employees or more) organizations in the United States within vertical industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS). All respondents were familiar with/responsible for their organization’s information security policies and procedures, especially with respect to the procurement of IT products and services. Respondents also had to be familiar with cyber supply chain security as defined previously. |
Para explorar seguridad de la cadena de fuente del cyber practica y desafía más lejos, ESG examinó 303 ÉL y los profesionales de la seguridad de la información que representaban organizaciones grandes los empleados del midmarket (500 a 999) y organizaciones de la empresa-clase (1.000 empleados o más) en los Estados Unidos dentro de las industrias verticales señaladas como infraestructura crítica por los E.E.U.U. Departamento de la seguridad de la patria (ADO). Todos los respondedores estaban al corriente/responsable de las políticas y de los procedimientos de la seguridad de la información de su organización, especialmente con respecto a la consecución de ELLA los productos y los servicios. Los respondedores también tuvieron que estar al corriente de seguridad de la cadena de fuente del cyber según lo definido previamente. |
|
The survey was designed to answer the following questions: |
El examen fue diseñado para contestar a las preguntas siguientes: |
|
1. Risk management |
1. Gerencia de riesgo |
|
Has the organization experienced any security breaches? If so, what was the impact? |
¿La organización ha experimentado aberturas de la seguridad? ¿Si es así cuál era el impacto? |
|
How would respondents rate the security threat landscape now compared with two years ago? Do respondents expect the threat landscape to get worse over the next two years? |
¿Cómo los respondedores clasificarían el paisaje de la amenaza de la seguridad ahora comparado con hace dos años? ¿Los respondedores esperan que el paisaje de la amenaza consiga peor durante los dos años próximos? |
|
How well prepared is the organization for the current threat landscape? |
¿Como de bien preparada es la organización para el paisaje actual de la amenaza? |
|
Is executive management supporting and investing in cybersecurity? |
¿Está la gerencia ejecutiva que apoya y que invierte en cybersecurity? |
|
2. Procurement |
2. Consecución |
|
How important are IT vendors’ security processes in customers’ procurement decisions? |
¿Cómo importante es las decisiones de la consecución de los clientes de los vendedores los' procesos de la seguridad en'? |
|
Do critical infrastructure organizations audit the development processes of vendors before purchasing IT products? If so, is there a common model for these audits? Are these standard activities and processes across the enterprise? |
¿Las organizaciones críticas de la infraestructura revisan los procesos del desarrollo de vendedores antes de comprarlo los productos? ¿Si es así hay un modelo común para estas intervenciones? ¿Son estas actividades y procesos estándares a través de la empresa? |
|
Are vendor cybersecurity audits a critical component of IT procurement or do purchasing managers have the discretion to purchase from IT vendors with sub-par product and process security? |
¿Son las intervenciones del cybersecurity del vendedor un componente crítico de ÉL consecución o los encargados que compran tenga la discreción para comprar de ELLA a vendedores con el producto de la secundario-igualdad y la seguridad del proceso? |
|
3. Software development |
3. Desarrollo del software |
|
Do critical infrastructure organizations include security considerations as part of their standard software development processes? |
¿Las organizaciones críticas de la infraestructura incluyen consideraciones de la seguridad como parte de sus procesos del desarrollo del software de estándar? |
|
Have organizations experienced any security breaches related to internally developed software vulnerability? |
¿Las organizaciones han experimentado aberturas de la seguridad relacionadas con la vulnerabilidad internamente desarrollada del software? |
|
Do critical infrastructure organizations require their internal developers to be trained in secure software development? |
¿Las organizaciones críticas de la infraestructura requieren sus reveladores internos ser entrenadas en el desarrollo seguro del software? |
|
When organizations outsource their software development, are secure development processes a requirement for external outsourcers and contractors? |
¿Cuándo outsource de las organizaciones su desarrollo del software, son los procesos seguros del desarrollo un requisito para los outsourcers y los contratistas externos? |
|
4. External IT security |
4. Externo ÉL seguridad |
|
To what extent do critical infrastructure organizations currently open their IT systems to external parties such as customers, suppliers, and business partners? |
¿En qué medida las organizaciones críticas de la infraestructura lo abrieron su lo hacen actualmente los sistemas a los partidos externos tales como clientes, surtidores, y socios de negocio? |
|
To what extent do critical infrastructure organizations currently consume IT services and applications provided by external parties such as customers, suppliers, and business partners? |
¿En qué medida las organizaciones críticas de la infraestructura lo consumieron mantiene y lo hacen actualmente los usos proporcionados por los partidos externos tales como clientes, surtidores, y socios de negocio? |
|
How are these relationships secured? Are there formal processes and safeguards in place? |
¿Cómo se aseguran estas relaciones? ¿Hay los procesos y las salvaguardias formales en lugar? |
|
5. The role of the U.S. Federal Government |
5. El papel de los E.E.U.U. Gobierno federal |
|
Do cybersecurity professionals working at critical infrastructure organizations understand the U.S. government’s cybersecurity strategy? |
Haga a profesionales del cybersecurity que trabajan en las organizaciones críticas de la infraestructura entienden los E.E.U.U. ¿estrategia del cybersecurity del gobierno? |
|
Do critical infrastructure organizations believe that the Federal Government should do more or less in terms of cybersecurity defenses and strategies? |
¿Las organizaciones críticas de la infraestructura creen que el gobierno federal debe hacer más o menos en términos de defensas y estrategias del cybersecurity? |
|
What if any specific actions should the Federal Government take? |
¿Qué si acciones específicas deben el gobierno federal tomar? |
|
Survey participants represented industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS). These industries include agriculture and food, banking and finance, communications, defense industrial base, energy (utilities, oil, and gas), transportation systems, water supply, health care, etc. For more details, please see the Research Methodology and Respondent Demographics sections of this report. |
Examine las industrias representadas los participantes señaladas como infraestructura crítica por los E.E.U.U. Departamento de la seguridad de la patria (ADO). Estas industrias incluyen agricultura y alimento, las actividades bancarias y las finanzas, las comunicaciones, base industrial de la defensa, energía (utilidades, aceite, y gas), los sistemas del transporte, abastecimiento de agua, cuidado médico, etc. Para más detalles, vea por favor las secciones de la metodología de la investigación y del Demographics del respondedor de este informe. |