Research Objectives |
Objectifs de recherches |
|
In order to explore cyber supply chain security practices and challenges further, ESG surveyed 303 IT and information security professionals representing large midmarket (500 to 999 employees) organizations and enterprise-class (1,000 employees or more) organizations in the United States within vertical industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS). All respondents were familiar with/responsible for their organization’s information security policies and procedures, especially with respect to the procurement of IT products and services. Respondents also had to be familiar with cyber supply chain security as defined previously. |
Afin d'explorer la sécurité de chaîne d'approvisionnements de cyber pratique et défie plus loin, ESG a examiné 303 LUI et des professionnels de sécurité de l'information représentant de grands organismes des employés du midmarket (500 à 999) et organismes d'entreprise-classe (1.000 employés ou plus) aux Etats-Unis dans des industries verticales indiquées en tant qu'infrastructure critique par les États-Unis Département de la sécurité de patrie (CSAD). Tous les répondants étaient au courant/responsables des politiques et des procédures de sécurité de l'information de leur organisation, particulièrement en ce qui concerne la fourniture de ELLE des produits et des services. Les répondants ont dû également être au courant de sécurité de chaîne d'approvisionnements de cyber comme défini précédemment. |
|
The survey was designed to answer the following questions: |
L'aperçu a été conçu pour répondre aux questions suivantes : |
|
1. Risk management |
1. Gestion des risques |
|
Has the organization experienced any security breaches? If so, what was the impact? |
L'organisation a-t-elle éprouvé des infractions de sécurité ? Si oui, quel était l'impact ? |
|
How would respondents rate the security threat landscape now compared with two years ago? Do respondents expect the threat landscape to get worse over the next two years? |
Comment les répondants évalueraient-ils le paysage de menace de sécurité maintenant comparé il y a à deux ans ? Les répondants s'attendent-ils à ce que le paysage de menace devienne plus mauvais au cours des deux années à venir ? |
|
How well prepared is the organization for the current threat landscape? |
À quel point préparée l'organisation est-elle pour le paysage courant de menace ? |
|
Is executive management supporting and investing in cybersecurity? |
La gestion exécutive soutenant et investissant est-elle dans le cybersecurity ? |
|
2. Procurement |
2. Fourniture |
|
How important are IT vendors’ security processes in customers’ procurement decisions? |
Combien important sont-il des décisions de fourniture dans clients de fournisseurs des' processus de sécurité' ? |
|
Do critical infrastructure organizations audit the development processes of vendors before purchasing IT products? If so, is there a common model for these audits? Are these standard activities and processes across the enterprise? |
Les organismes critiques d'infrastructure auditent-ils les procédés de développement des fournisseurs avant de l'acheter des produits ? Si oui, y a-t-il un modèle commun pour ces derniers audite-il ? Ces activités et processus standard sont-ils à travers l'entreprise ? |
|
Are vendor cybersecurity audits a critical component of IT procurement or do purchasing managers have the discretion to purchase from IT vendors with sub-par product and process security? |
Le fournisseur que cybersecurity audite un composant critique de LUI sont-ils la fourniture ou les directeurs d'achats ont-ils la discrétion pour acheter de ELLE des fournisseurs avec le produit de secondaire-pair et la sécurité de processus ? |
|
3. Software development |
3. Développement de logiciel |
|
Do critical infrastructure organizations include security considerations as part of their standard software development processes? |
Les organismes critiques d'infrastructure incluent-ils des considérations de sécurité en tant qu'élément de leurs procédés de développement de logiciel standard ? |
|
Have organizations experienced any security breaches related to internally developed software vulnerability? |
Les organismes ont-ils éprouvé des infractions de sécurité liées à la vulnérabilité intérieurement développée de logiciel ? |
|
Do critical infrastructure organizations require their internal developers to be trained in secure software development? |
Est-ce que organismes critiques d'infrastructure exigent de leurs réalisateurs internes d'être formés dans le développement bloqué de logiciel ? |
|
When organizations outsource their software development, are secure development processes a requirement for external outsourcers and contractors? |
Quand est-ce que des organismes leur développement de logiciel, les procédés bloqués de développement externalisent sont une condition pour des outsourcers et des entrepreneurs externes ? |
|
4. External IT security |
4. Externe IL sécurité |
|
To what extent do critical infrastructure organizations currently open their IT systems to external parties such as customers, suppliers, and business partners? |
Dans quelle mesure des organismes critiques d'infrastructure actuellement l'ouvrent leur les systèmes aux parties externes telles que des clients, des fournisseurs, et des associés ? |
|
To what extent do critical infrastructure organizations currently consume IT services and applications provided by external parties such as customers, suppliers, and business partners? |
Dans quelle mesure des organismes critiques d'infrastructure actuellement le consomment entretient et les applications fournies par les parties externes telles que des clients, des fournisseurs, et des associés ? |
|
How are these relationships secured? Are there formal processes and safeguards in place? |
Comment ces rapports sont-ils fixés ? Y a-t-il des processus et des sauvegardes formels en place ? |
|
5. The role of the U.S. Federal Government |
5. Le rôle des États-Unis Gouvernement fédéral |
|
Do cybersecurity professionals working at critical infrastructure organizations understand the U.S. government’s cybersecurity strategy? |
Faites les professionnels de cybersecurity travaillant aux organismes critiques d'infrastructure comprennent les États-Unis stratégie du cybersecurity du gouvernement ? |
|
Do critical infrastructure organizations believe that the Federal Government should do more or less in terms of cybersecurity defenses and strategies? |
Les organismes critiques d'infrastructure croient-ils que le gouvernement fédéral devrait faire plus ou moins en termes de défenses et stratégies de cybersecurity ? |
|
What if any specific actions should the Federal Government take? |
Queest-ce que si des actions spécifiques devraient le gouvernement fédéral prendre ? |
|
Survey participants represented industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS). These industries include agriculture and food, banking and finance, communications, defense industrial base, energy (utilities, oil, and gas), transportation systems, water supply, health care, etc. For more details, please see the Research Methodology and Respondent Demographics sections of this report. |
Examinez les industries représentées par participants indiquées en tant qu'infrastructure critique par les États-Unis Département de la sécurité de patrie (CSAD). Ces industries incluent l'agriculture et la nourriture, les opérations bancaires et les finances, les communications, la base industrielle de la défense, l'énergie (utilités, pétrole, et gaz), les systèmes de transport, l'approvisionnement en eau, la santé, etc. Pour plus de détails, voyez svp les sections de méthodologie de recherches et de démographie de répondant de ce rapport. |