Research Objectives |
Obiettivi di ricerca |
|
In order to explore cyber supply chain security practices and challenges further, ESG surveyed 303 IT and information security professionals representing large midmarket (500 to 999 employees) organizations and enterprise-class (1,000 employees or more) organizations in the United States within vertical industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS). All respondents were familiar with/responsible for their organization’s information security policies and procedures, especially with respect to the procurement of IT products and services. Respondents also had to be familiar with cyber supply chain security as defined previously. |
Per esplorare la sicurezza della catena di rifornimento del cyber si esercita in e sfida più ulteriormente, ESG ha esaminato 303 ESSO e professionisti di sicurezza delle informazioni che rappresentano le grandi organizzazioni impiegati del midmarket (500 - 999) e le organizzazioni del impresa-codice categoria (1.000 impiegati o più) negli Stati Uniti all'interno delle industrie verticali indicate come infrastruttura critica dagli Stati Uniti Reparto di sicurezza della patria (DHS). Tutti i dichiaranti erano al corrente di/responsabile delle politiche e delle procedure di sicurezza delle informazioni della loro organizzazione, particolarmente riguardo all'acquisizione di ESSO prodotti e servizi. I dichiaranti anche hanno dovuto essere al corrente di sicurezza della catena di rifornimento del cyber come definito precedentemente. |
|
The survey was designed to answer the following questions: |
L'indagine è stata destinata per rispondere alle seguenti domande: |
|
1. Risk management |
1. Amministrazione di rischio |
|
Has the organization experienced any security breaches? If so, what was the impact? |
L'organizzazione ha avvertito delle fratture di sicurezza? In caso affermativo, che cosa era l'effetto? |
|
How would respondents rate the security threat landscape now compared with two years ago? Do respondents expect the threat landscape to get worse over the next two years? |
Come i dichiaranti valuterebbero il paesaggio di minaccia di sicurezza ora rispetto a due anni fa? I dichiaranti invitare il paesaggio di minaccia per ottenere più difettoso nel corso dei due anni futuri? |
|
How well prepared is the organization for the current threat landscape? |
Come preparata è l'organizzazione per il paesaggio corrente di minaccia? |
|
Is executive management supporting and investing in cybersecurity? |
È l'amministrazione esecutiva che sostiene e che investe in cybersecurity? |
|
2. Procurement |
2. Acquisizione |
|
How important are IT vendors’ security processes in customers’ procurement decisions? |
Quanto importante è decisioni di acquisizione nei clienti dei fornitori' processi di sicurezza'? |
|
Do critical infrastructure organizations audit the development processes of vendors before purchasing IT products? If so, is there a common model for these audits? Are these standard activities and processes across the enterprise? |
Le organizzazioni critiche dell'infrastruttura verificano i processi di sviluppo dei fornitori prima dell'acquisto ESSO prodotti? In caso affermativo, è ci un modello comune per queste verifiche? Sono questi attività e processi standard attraverso l'impresa? |
|
Are vendor cybersecurity audits a critical component of IT procurement or do purchasing managers have the discretion to purchase from IT vendors with sub-par product and process security? |
Sono le verifiche di cybersecurity del fornitore un componente critico di ESSO acquisizione o i responsabili di acquisto hanno la discrezione per comprare da ESSO i fornitori con il prodotto di secondario-par e la sicurezza di processo? |
|
3. Software development |
3. Sviluppo del software |
|
Do critical infrastructure organizations include security considerations as part of their standard software development processes? |
Le organizzazioni critiche dell'infrastruttura includono le considerazioni di sicurezza come componente dei loro processi di sviluppo del software standard? |
|
Have organizations experienced any security breaches related to internally developed software vulnerability? |
Le organizzazioni hanno avvertito delle fratture di sicurezza relative alla vulnerabilità internamente sviluppata del software? |
|
Do critical infrastructure organizations require their internal developers to be trained in secure software development? |
Le organizzazioni critiche dell'infrastruttura richiedono i loro sviluppatori interni essere addestrate nello sviluppo sicuro del software? |
|
When organizations outsource their software development, are secure development processes a requirement for external outsourcers and contractors? |
Quando outsource di organizzazioni il loro sviluppo del software, sono i processi sicuri di sviluppo un requisito dei outsourcers e degli appaltatori esterni? |
|
4. External IT security |
4. Esterno ESSO sicurezza |
|
To what extent do critical infrastructure organizations currently open their IT systems to external parties such as customers, suppliers, and business partners? |
In che misura attualmente organizzazioni critiche dell'infrastruttura lo aprono loro sistemi ai partiti esterni quali i clienti, i fornitori ed i soci di affari? |
|
To what extent do critical infrastructure organizations currently consume IT services and applications provided by external parties such as customers, suppliers, and business partners? |
In che misura attualmente organizzazioni critiche dell'infrastruttura lo consumano assiste e le applicazioni fornite dai partiti esterni quali i clienti, i fornitori ed i soci di affari? |
|
How are these relationships secured? Are there formal processes and safeguards in place? |
Come questi rapporti sono assicurati? È ci processi e misure di sicurezza convenzionali sul posto? |
|
5. The role of the U.S. Federal Government |
5. Il ruolo degli Stati Uniti Governo federale |
|
Do cybersecurity professionals working at critical infrastructure organizations understand the U.S. government’s cybersecurity strategy? |
Faccia i professionisti di cybersecurity che lavorano alle organizzazioni critiche dell'infrastruttura capiscono gli Stati Uniti strategia di cybersecurity del governo? |
|
Do critical infrastructure organizations believe that the Federal Government should do more or less in terms of cybersecurity defenses and strategies? |
Le organizzazioni critiche dell'infrastruttura credono che il governo federale dovrebbe fare più o meno in termini di difese e strategie di cybersecurity? |
|
What if any specific actions should the Federal Government take? |
Che cosa se delle azioni specifiche dovrebbero il governo federale prendere? |
|
Survey participants represented industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS). These industries include agriculture and food, banking and finance, communications, defense industrial base, energy (utilities, oil, and gas), transportation systems, water supply, health care, etc. For more details, please see the Research Methodology and Respondent Demographics sections of this report. |
Esamini le industrie rappresentate partecipanti indicate come infrastruttura critica dagli Stati Uniti Reparto di sicurezza della patria (DHS). Queste industrie includono l'agricoltura ed alimento, operazioni bancarie e finanza, comunicazioni, base industriale della difesa, energia (programmi di utilità, petrolio e gas), sistemi del trasporto, rifornimento idrico, sanità, ecc. Per più particolari, veda prego le sezioni di metodologia di ricerca e di Demographics del dichiarante di questo rapporto. |