Research Objectives |
Objetivos da pesquisa |
|
In order to explore cyber supply chain security practices and challenges further, ESG surveyed 303 IT and information security professionals representing large midmarket (500 to 999 employees) organizations and enterprise-class (1,000 employees or more) organizations in the United States within vertical industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS). All respondents were familiar with/responsible for their organization’s information security policies and procedures, especially with respect to the procurement of IT products and services. Respondents also had to be familiar with cyber supply chain security as defined previously. |
A fim explorar a segurança da corrente de fonte do cyber pratica e desafia mais mais, ESG examinou 303 ELE e os profissionais da segurança da informação que representam organizações grandes empregados do midmarket (500 a 999) e organizações da empresa-classe (1.000 empregados ou mais) nos Estados Unidos dentro das indústrias verticais designadas como o infrastructure crítico pelos ESTADOS UNIDOS. Departamento da segurança do Homeland (sistema de alimentação de originais). Todos os respondents eram familiares com/responsáveis para políticas e procedimentos da segurança da informação da sua organização, especialmente com respeito à obtenção dELA produtos e serviços. Os Respondents também tiveram que ser familiares com a segurança da corrente de fonte do cyber como definido previamente. |
|
The survey was designed to answer the following questions: |
O exame foi projetado responder às seguintes perguntas: |
|
1. Risk management |
1. Gerência de risco |
|
Has the organization experienced any security breaches? If so, what was the impact? |
A organização experimentou alguma ruptura da segurança? Se assim, que era o impacto? |
|
How would respondents rate the security threat landscape now compared with two years ago? Do respondents expect the threat landscape to get worse over the next two years? |
Como os respondents avaliariam a paisagem da ameaça da segurança comparada agora com os dois anos há? Os respondents esperam a paisagem da ameaça começar mais má sobre os dois anos seguintes? |
|
How well prepared is the organization for the current threat landscape? |
Como poço preparado é a organização para a paisagem atual da ameaça? |
|
Is executive management supporting and investing in cybersecurity? |
Está a gerência executiva que suporta e que investing no cybersecurity? |
|
2. Procurement |
2. Obtenção |
|
How important are IT vendors’ security processes in customers’ procurement decisions? |
Como importante é decisões da obtenção nos clientes dos vendedores' processos da segurança'? |
|
Do critical infrastructure organizations audit the development processes of vendors before purchasing IT products? If so, is there a common model for these audits? Are these standard activities and processes across the enterprise? |
As organizações críticas do infrastructure examinam os processos do desenvolvimento dos vendedores antes de comprá-lo produtos? Se assim, há um modelo comum para estes exames? São estes atividades e processos padrão através da empresa? |
|
Are vendor cybersecurity audits a critical component of IT procurement or do purchasing managers have the discretion to purchase from IT vendors with sub-par product and process security? |
São os exames do cybersecurity do vendedor um componente crítico dELE obtenção ou gerentes comprando tenha a discreção para comprar dELA vendedores com produto do secundário-par e segurança do processo? |
|
3. Software development |
3. Desenvolvimento do software |
|
Do critical infrastructure organizations include security considerations as part of their standard software development processes? |
As organizações críticas do infrastructure incluem considerações da segurança como parte de seus processos do desenvolvimento do software padrão? |
|
Have organizations experienced any security breaches related to internally developed software vulnerability? |
As organizações experimentaram alguma ruptura da segurança relacionada ao vulnerability internamente desenvolvido do software? |
|
Do critical infrastructure organizations require their internal developers to be trained in secure software development? |
As organizações críticas do infrastructure requerem seus colaboradores internos ser treinadas no desenvolvimento seguro do software? |
|
When organizations outsource their software development, are secure development processes a requirement for external outsourcers and contractors? |
Quando outsource das organizações seu desenvolvimento do software, são os processos seguros do desenvolvimento uma exigência para outsourcers e contratantes externos? |
|
4. External IT security |
4. Externo ELE segurança |
|
To what extent do critical infrastructure organizations currently open their IT systems to external parties such as customers, suppliers, and business partners? |
A que extensão as organizações críticas do infrastructure abrem-na atualmente seu sistemas aos partidos externos tais como clientes, fornecedores, e sócios de negócio? |
|
To what extent do critical infrastructure organizations currently consume IT services and applications provided by external parties such as customers, suppliers, and business partners? |
A que extensão as organizações críticas do infrastructure consomem-na atualmente prestam serviços de manutenção e as aplicações fornecidas por partidos externos tais como clientes, fornecedores, e sócios de negócio? |
|
How are these relationships secured? Are there formal processes and safeguards in place? |
Como estes relacionamentos são fixados? Há processos e proteções formais no lugar? |
|
5. The role of the U.S. Federal Government |
5. O papel dos ESTADOS UNIDOS. Governo federal |
|
Do cybersecurity professionals working at critical infrastructure organizations understand the U.S. government’s cybersecurity strategy? |
Faça os profissionais do cybersecurity que trabalham em organizações críticas do infrastructure compreendem os ESTADOS UNIDOS. estratégia do cybersecurity do governo? |
|
Do critical infrastructure organizations believe that the Federal Government should do more or less in terms of cybersecurity defenses and strategies? |
As organizações críticas do infrastructure acreditam que o governo federal deve fazer mais ou menos nos termos de defesas e de estratégias do cybersecurity? |
|
What if any specific actions should the Federal Government take? |
Que se alguma ação específica deve o governo federal fazer exame? |
|
Survey participants represented industries designated as critical infrastructure by the U.S. Department of Homeland Security (DHS). These industries include agriculture and food, banking and finance, communications, defense industrial base, energy (utilities, oil, and gas), transportation systems, water supply, health care, etc. For more details, please see the Research Methodology and Respondent Demographics sections of this report. |
Examine as indústrias representadas participants designadas como o infrastructure crítico pelos ESTADOS UNIDOS. Departamento da segurança do Homeland (sistema de alimentação de originais). Estas indústrias incluem a agricultura e o alimento, a operação bancária e as finanças, as comunicações, base industrial da defesa, energia (utilidades, óleo, e gás), sistemas do transporte, fonte de água, cuidado de saúde, etc. Para mais detalhes, veja por favor as seções da metodologia da pesquisa e do Demographics do Respondent deste relatório. |