Perspectiva de hoy en las amenazas de Cybersecurity más tristes que en 2013

El defender contra cyber-ataca representa una batalla perpetua para las organizaciones críticas de la infraestructura que hacen frente a un paisaje cada vez más peligroso de la amenaza. De hecho, los 31% de profesionales de la seguridad que trabajan en las organizaciones críticas de la infraestructura creen que el paisaje de la amenaza es hoy mucho peor que era hace dos años, mientras que otra opinión del 36% él es algo peor (véase el cuadro 1).

Es interesante observar que ESG hizo a esto misma pregunta en su proyecto de investigación 2010, 1  y produjo llamativo resultados-68% similares de los respondedores dichos que el paisaje de la amenaza era peor en 2010 comparados con 2008. Claramente, el paisaje de la amenaza está consiguiendo más peligroso sobre una base anual sin letup en vista. ESG encuentra estos datos particularmente el preocupar. LOS E.E.U.U. los ciudadanos dependen de las organizaciones críticas de la infraestructura para las necesidades básicas de la sociedad moderna como el alimento, el agua, el combustible, y los servicios de telecomunicaciones. Dado el paisaje cada vez más peligroso de la amenaza, las organizaciones críticas de la infraestructura son tasked con mantener servicios diarios importantes y defender sus redes de un ejército creciente de cyber-criminales, de hacktivists, y de agentes del estado de la nación.

Note1: Fuente: Informe de la investigación de ESG, determinando vulnerabilidades de la seguridad de la cadena de fuente de Cyber dentro de los E.E.U.U. Infraestructura crítica, noviembre de 2010.

Este la creencia sobre el paisaje cada vez más peligroso de la amenaza va más allá de opiniones solamente tantas organizaciones críticas de la infraestructura que la cara constante cyber-ataca. Una mayoría (el 68%) de organizaciones críticas de la infraestructura experimentó un incidente de la seguridad sobre los últimos dos años, con casi una mitad (el 31%) que experimentaba un compromiso del sistema como resultado de un ataque genérico (es decir, virus, Trojan, etc.) traído adentro por el sistema de un usuario, el 26% divulgando una abertura de los datos debido al equipo perdido/robado, y el 25% de organizaciones críticas de la infraestructura que sufrían un cierto tipo de ataque del iniciado (véase el cuadro 2). Alarmantemente, más que la mitad (el 53%) de las organizaciones críticas de la infraestructura han tratado por lo menos de dos de estos incidentes de la seguridad desde 2013.

Los incidentes de la seguridad vienen siempre con las ramificaciones asociadas a tiempo y a dinero. Por ejemplo, la mitad (el 47%) de los profesionales del cybersecurity que trabajan en las organizaciones críticas de la infraestructura demanda casi que los incidentes de la seguridad la requirieron significativo hora/personal para la remediación. Mientras que esto pone una carga inesperada en grupos ÉL y del cybersecurity, otras consecuencias relacionadas con los incidentes de la seguridad eran la opinión más siniestra-36% lejana que los incidentes de la seguridad condujeron a la interrupción de un proceso crítico del negocio o de las operaciones de negocio, demanda del 36% que los incidentes de la seguridad dieron lugar a la interrupción de los usos o de ELLA de negocio disponibilidad de sistemas, y el informe del 32% que los incidentes de la seguridad condujeron a una abertura de datos confidenciales (véase el cuadro 3).

Estos datos deben ser tema de inquietud puesto que un acertado cyber-ataca en usos de las organizaciones críticas de la infraestructura los' y los procesos podrían dar lugar a la interrupción de la corriente eléctrica, a los servicios del cuidado médico, o a la distribución del alimento. Así, estas ediciones podían tener un impacto devastador en los E.E.U.U. ciudadanos y seguridad nacional.

Cybersecurity en las organizaciones críticas de la infraestructura

¿Las organizaciones críticas de la infraestructura las creen tener las políticas, los procesos, las habilidades, y las tecnologías derechos del cybersecurity para tratar el paisaje cada vez más peligroso de la amenaza? Los resultados de esa investigación se mezclan en el mejor de los casos. En el lado, la tarifa del 37% políticas del cybersecurity de sus organizaciones', los procesos, y las tecnologías positivos como excelentes y capaces de tratar casi todas las amenazas de hoy. Vale el observar de que los grados totales han mejorado desde 2010 (véase la tabla 1). Mientras que esta mejora es significativa, los 10% de profesionales críticos de la seguridad de la infraestructura todavía clasifican a su organización como justa o a pobres.

El poder ocuparse de la mayoría de las amenazas puede ser una mejora a partir de 2010, pero todavía no es bastante. Éste es especialmente verdad dado el hecho de que el paisaje de la amenaza ha crecido más difícil al mismo tiempo. Las organizaciones críticas de la infraestructura están haciendo progreso, pero las medidas defensivas no están progresando en el mismo paso que las capacidades ofensivas de cyber-adversarios de hoy y de este boquete del riesgo salen de todos los E.E.U.U. ciudadanos vulnerables.

Dado las implicaciones de la seguridad nacional de la infraestructura crítica, no está sorprendiendo que el riesgo del cybersecurity se ha convertido en una edición cada vez más importante del sitio de tablero sobre los últimos cinco años. La mitad (el 45%) de los profesionales del cybersecurity clasifica casi hoy a equipo ejecutivo de la gerencia de su organización como excelente, mientras que el solamente 25% los clasificaron como altamente en 2010 (véase la tabla 2). Alternativomente, tarifa del 10% la comisión del cybersecurity del equipo ejecutivo de la gerencia como justa o pobres en 2015, donde el 23% los clasificaron tan en 2010. Estos resultados algo esperan dados las aberturas visibles y perjudiciales de los datos del pasado pocos años. El cybersecurity crítico de la infraestructura es también superior de mente en Washington con los legisladores, las agencias civiles, y el rama ejecutivo. Por ejemplo, el marco 2014 del cybersecurity del National Institute of Standards and Technology (NIST) (CSF) fue conducido por una orden ejecutiva y se piensa para ayudar a medida crítica de las organizaciones de la infraestructura y para manejar cyber-riesgo más con eficacia. Como resultado de toda esta actividad del cybersecurity, contratan a los tableros corporativos mucho más a cybersecurity que estaban en el pasado, pero si están haciendo bastantes o invirtiendo en las áreas derechas sigue siendo cuestionable.

Las organizaciones críticas de la infraestructura están modificando sus estrategias del cybersecurity por un número de razones. Por ejemplo, opinión del 37% que la estrategia del infosec de su organización es conducida por la necesidad de apoyarla nuevo las iniciativas con las mejores prácticas de la seguridad fuerte. Este probable le refiere proyecta para la automatización de proceso que incluye el Internet de las tecnologías de las cosas (IoT). Los proyectos de IoT pueden alentar productividad, pero también introducen nuevas vulnerabilidades y así la necesidad de controles adicionales de la seguridad. Además, el punto del 37% a proteger secreto e integridad sensibles de los datos del cliente, y los 36% dicen en voz alta la necesidad de proteger secreto e integridad internos de los datos (véase el cuadro 4). Éstas son ciertamente metas de mérito, pero ESG fue sorprendido que los solamente 22% de infraestructuras críticas dicen que su estrategia de la seguridad de la información está siendo conducida previniendo/que detecta ataques apuntados y amenazas sofisticadas del malware. Después de todo, los 67% de profesionales de la seguridad creen que el paisaje de la amenaza es hoy más peligroso que era hace dos años, y los 68% de organizaciones han sufrido por lo menos un incidente de la seguridad sobre los últimos dos años. Puesto que las organizaciones críticas de la infraestructura están bajo ataque constante, ESG se siente fuertemente que CISOs en estas organizaciones debe determinar si él está haciendo bastantes para prevenir, detectar, y responder a moderno cyber-ataca.

Seguridad de la cadena de fuente de Cyber

Como muchas otras áreas del cybersecurity, la seguridad de la cadena de fuente del cyber está creciendo cada vez más incómoda. De hecho, los 60% de profesionales de la seguridad dicen que la seguridad de la cadena de fuente del cyber ha llegado a ser mucho más difícil (el 17%) o algo más difícil (el 43%) durante los dos años pasados (véase el cuadro 5).

¿Por qué la seguridad de la cadena de fuente del cyber ha llegado a ser más difícil? Los por ciento de Forty-four demandan que sus organizaciones han puesto nuevos tipos en ejecución de ÉL las iniciativas (el computar es decir, de la nube, los usos móviles, IoT, los proyectos grandes del analytics de los datos, etc.), que han aumentado la superficie del ataque de la cadena de fuente del cyber; la opinión del 39% que su organización tiene más ÉL los surtidores que él hizo hace dos años; y el estado del 36% que su organización ha consolidado LO y la seguridad operacional de la tecnología, que ha aumentado complejidad del infosec (véase el cuadro 6).

Estos datos son indicativos del estado de ELLOS hoy. El hecho es que los usos, infraestructura, y los productos se está desarrollando en un paso de aumento, está conduciendo cambios dinámicos sobre una base constante y está aumentando la superficie total del ataque de la cadena de fuente del cyber. Hallazgo sobrecargado del personal de CISOs y del infosec él difícil de continuar con los cambios dinámicos de la seguridad de la cadena de fuente del cyber, conduciendo a los riesgos de extensión.

Seguridad y ÉL de la cadena de fuente de Cyber surtidores

Los vendedores del producto de Cybersecurity, los abastecedores de servicio, y los revendedores son una parte esencial de la cadena de fuente total del cyber. Por consiguiente, sus políticas del cybersecurity y procesos pueden tener un impacto en sentido descendiente profundo en sus clientes, clientes de sus clientes', y así sucesivamente. Dada la situación, las organizaciones críticas de la infraestructura incluyen a menudo consideraciones del cybersecurity al tomarle decisiones de la consecución.

¿Apenas qué tipos de consideraciones del cybersecurity son la mayoría importante? Más de una mitad (el 35%) de organizaciones considera experiencia a sus vendedores' y expediente de pista relacionado con las vulnerabilidades de la seguridad y los arreglos subsecuentes. Es decir las organizaciones críticas de la infraestructura están juzgando a vendedores por la calidad de su software y de su sensibilidad en vulnerabilidades del software que fijan cuando se presentan. Otros 35% consideran a sus vendedores' maestría y reputación totales de la seguridad. Ciérrese detrás, los 32% consideran a sus vendedores' los procesos de la gerencia de riesgo de la cadena de fuente del cyber, mientras que los 31% comtemplaban reputación a sus vendedores' y maestría de la industria (véase el cuadro 7).

Claramente, las organizaciones críticas de la infraestructura tienen un número de consideraciones del cybersecurity con respecto a su ÉL los vendedores, pero muchas de estas preocupaciones, tales como reputación del vendedor y maestría, siguen siendo subjetivas. Para contrapesar estas consideraciones suaves, CISOs debe realmente establecer una lista de la métrica objetiva tal como el número de CVEs asociado a los usos específicos del ISV y al timeframe medio entre el acceso de la vulnerabilidad y los lanzamientos del remiendo de la seguridad. Estos tipos de métricas pueden ser provechosos al compararlo la habilidad de la seguridad del vendedor uno contra de otra persona.

Prácticas de la seguridad de la cadena de fuente de Cyber las mejores dictan que las organizaciones determinan los procesos de la seguridad, los procedimientos, y las salvaguardias de la tecnología usadas por todo el su ÉL los surtidores. Para medir las prácticas del cybersecurity de ÉL los vendedores, algunas organizaciones críticas de la infraestructura conducen intervenciones proactive de la seguridad de los abastecedores de servicio de la nube, de los abastecedores de software, de los fabricantes de hardware, de los vendedores de los servicios profesionales que lo instalan y modifican para requisitos particulares los sistemas, y de VARs/de las distribuidores que lo entregan equipo y/o los servicios.

¿Son estas intervenciones de la seguridad costumbre? La investigación de ESG revela resultados mezclados. En promedio, apenas debajo del 50% de organizaciones críticas de la infraestructura revise siempre todos los tipos de ÉL los surtidores, una mejora marcada a partir de 2010 en que el 28% de organizaciones críticas de la infraestructura lo revisaron siempre su los surtidores. Sin embargo, hay un montón inmóvil de sitio para la mejora. Por ejemplo, los 18% de organizaciones no revisan los procesos de la seguridad y los procedimientos de revendedores, de VARs, y de distribuidores actualmente. Mientras que el incidente de Snowden indica, éstos los especialistas de la distribución puede ser utilizado para la prohibición de la cadena de fuente para introducir código malévolo, los soportes lógico inalterable, o los backdoors en ÉL equipo para conducir un ataque apuntado o un espionaje industrial (véase el cuadro 8).

Las intervenciones de la seguridad del vendedor aparece ser una responsabilidad compartida con el equipo del cybersecurity que desempeña un papel de soporte. General gerencia tiene cierta responsabilidad de determinarla seguridad del vendedor en dos tercios (el 67%) de organizaciones, mientras que el equipo del cybersecurity es adentro la mitad excesiva justa responsable (el 51%) de organizaciones (véase el cuadro 9).

Estos resultados son algo curiosos. ¿Después de todo, porqué el equipo del cybersecurity no sería responsable de ÉL las intervenciones de la seguridad del vendedor en una cierta capacidad? Quizás algunas organizaciones lo ven las intervenciones de la seguridad del vendedor como formalidad, parte de la responsabilidad del equipo de la consecución, o lo tratan las intervenciones de la seguridad del vendedor con papeleo estándar del “checkbox” solamente. Sin importar la razón, las intervenciones de la seguridad del vendedor proporcionará valor marginal sin descuido con manos del cybersecurity a través del proceso.

Las intervenciones de la seguridad del vendedor varía extensamente en términos de anchura y profundidad, así que ESG deseó una cierta penetración en los mecanismos mas comunes usados como parte del proceso de la intervención. La mitad excesiva justa (el 54%) de organizaciones conduce una revisión con manos historia de la seguridad de sus vendedores'; la documentación de la revisión del 52%, los procesos, la métrica de la seguridad, y el personal se relacionaron con procesos de la seguridad de la cadena de fuente del cyber de sus vendedores los'; y revisión del 51% intervenciones internas de la seguridad de sus vendedores' (véase el cuadro 10).

Por supuesto, muchas organizaciones incluyen varios de estos mecanismos como parte de su ÉL las intervenciones de la seguridad del vendedor para conseguir una perspectiva más comprensiva. Sin embargo, muchas de estas consideraciones de la intervención se basan sobre funcionamiento histórico. ESG sugiere que las revisiones históricas estén suplidas con un cierto tipo de seguridad que supervisa y/o la inteligencia del cybersecurity que comparte de modo que las organizaciones puedan determinar mejor riesgos de la seguridad de la cadena de fuente del cyber en tiempo real.

Para determinar las políticas, los procesos, y los controles del cybersecurity con consistencia, todos lo que las intervenciones de la seguridad del vendedor debe adherir a una metodología formal, documentada. La investigación de ESG indica que la mitad de todas las organizaciones críticas de la infraestructura conduce un proceso formal de la intervención de la seguridad en todos los casos, mientras que la otra mitad tiene cierta flexibilidad de desviarse de formal ÉL los procesos de la intervención de la seguridad del vendedor en la ocasión (véase el cuadro 11). Vale el observar de que los 57% de organizaciones de servicios financieros tienen un proceso formal de la intervención de la seguridad para ELLOS los vendedores que deben ser seguidos en todos los casos, en comparación con el 47% de organizaciones en otras industrias. Ésta es otra indicación que las firmas de los servicios financieros tienden para tener políticas y procesos avanzados y más rigurosos del cybersecurity que ésos de otras industrias.

Las intervenciones de la seguridad del vendedor implica la colección de datos, el análisis, evaluaciones, y la toma de decisión final. De una perspectiva que anota, apenas la mitad del excedente (el 51%) de las organizaciones críticas de la infraestructura emplea métricas/los scorecards formales donde los vendedores debe lograr cierto perfil del cybersecurity para calificar como surtidor aprobado. El resto de las organizaciones críticas de la infraestructura tiene pautas-32% menos rigurosas tener un proceso formal de la revisión del vendedor pero ningunas métricas específicas para la calificación del vendedor, mientras que conducta del 16% un proceso informal de la revisión (véase el cuadro 12).

Total, la investigación de ESG indica que muchas organizaciones críticas no están haciendo bastante diligencia debida con ELLA las intervenciones del cybersecurity del vendedor. Para reducir al mínimo el riesgo de un incidente de la seguridad de la cadena de fuente del cyber, prácticas de la intervención del vendedor las mejores tendrían que incluir los tres pasos siguientes:

1. La organización revisa siempre los procesos internos de la seguridad de estratégico ÉL los vendedores.

1. La organización utiliza un proceso estándar formal de la intervención para todos ÉL las intervenciones del vendedor.

2. La organización emplea métrica/los scorecards formales donde los vendedores debe exceder un umbral que anota para calificar para ELLA que compran la aprobación.

Cuando ESG determinó organizaciones críticas de la infraestructura con esta serie de ÉL los pasos de la intervención del vendedor, los resultados se apenaban extremadamente. Por ejemplo, en promedio, el solamente 14% de la población total del examen adhirieron a los tres mejores pasos de la práctica al revisar la seguridad de sus vendedores estratégicos de la infraestructura (véase la tabla 3). Puesto que revisan a los vendedores estratégicos de la infraestructura lo más a menudo posible, es seguro asumir que menos el de 14% de la población total del examen sigue estas mejores prácticas al revisar la seguridad de los vendedores del software, abastecedores de servicio de la nube, los servicios profesionales ponen firme, y las distribuidores.

Es también digno de mención que los datos de ESG demuestran a mejoras marginales con respecto LES la seguridad del vendedor que revisa las mejores prácticas en los cinco años pasados. En 2010, el solamente 10% de organizaciones críticas de la infraestructura siguieron los seis mejores pasos de la práctica, mientras que los 14% hacen tan en 2015. Claramente, hay muchos inmóviles de sitio para la mejora.

Sin importar deficiencias de la intervención de la seguridad, muchas organizaciones críticas de la infraestructura son algo bullish sobre su ÉL seguridad de los vendedores'. En promedio, los 41% de profesionales del cybersecurity clasifican todos los tipos de ELLOS los vendedores como excelentes en términos de su comisión a y comunicaciones sobre sus procesos y procedimientos internos de la seguridad, conducidos por los vendedores estratégicos de la infraestructura que alcanzan un grado excelente a partir de la 49% de los profesionales del cybersecurity examinados (véase el cuadro 13).

Las organizaciones críticas de la infraestructura lo dieron su los vendedores grados más positivos de la seguridad en 2015 comparados con 2010. Por ejemplo, el solamente 19% de organizaciones críticas de la infraestructura clasificaron a sus vendedores estratégicos de la infraestructura como excelentes en 2010 comparados con el 49% de 2015. Muchos los vendedores ha reconocido la importancia de construir cybersecurity en productos y procesos durante este timeframe y es mucho más próximo sobre sus mejoras del cybersecurity. Además, las organizaciones críticas de la infraestructura han aumentado la cantidad de diligencia debida de la seguridad del vendedor durante los cinco años pasados, conduciendo a mayor visibilidad y a grados mejorados del vendedor.

Las noticias no son todo buenas como por lo menos los 12% de organizaciones críticas de la infraestructura están solamente dispuestos a darlas su los vendedores los' procesos y procedimientos internos de la seguridad un satisfactorio, feria, o grado pobre. ESG se refiere especialmente a los grados asociados a los revendedores, VARs, y las distribuidores desde el 24% de organizaciones críticas de la infraestructura clasifican sus procesos y procedimientos como satisfactorios, feria, o pobres internos de la seguridad. Esto está preocupando especialmente puesto que el cuadro 10 revela que los 18% de organizaciones críticas de la infraestructura no realizan intervenciones de la seguridad en revendedores, VARs, y distribuidores. Basado sobre todos estos datos, aparece que las organizaciones críticas de la infraestructura siguen siendo vulnerables a los ataques del cybersecurity (como la prohibición de la cadena de fuente) que emanan de revendedores, de VARs, y de distribuidores.

Hardware y software se desarrolla, se prueba, está montado, o fabricado a menudo en países múltiples con grados que varían de la protección de la patente o del descuido legal. Algunos de estos países son “camas calientes sabidas” del cybercrime o aún del cyber-espionaje estado-patrocinado. Dado estas realidades, uno pensaría que las organizaciones críticas de la infraestructura remontarían cuidadosamente los orígenes del ÉL los productos comprados y usados por sus firmas.

Los datos de ESG sugieren que la mayoría de las firmas estén por lo menos algo seguras sobre el linaje geográfico de su ÉL los activos (véase el cuadro 14). Debe también ser observado que ha habido mejoras mensurables en esta área pues los 41% de las organizaciones críticas de la infraestructura son muy confidentes que conocen el país en el cual su los productos del hardware y de software fue desarrollada y/o fabricada originalmente comparado con el solamente 24% de 2010. De nuevo, ESG atribuye este progreso a las mejoras en ÉL diligencia debida de la seguridad del vendedor, mayor descuido de la seguridad de la cadena de fuente dentro del ÉL comunidad del vendedor, y conocimiento total creciente de la seguridad de la cadena de fuente del cyber a través de la comunidad entera del cybersecurity sobre los últimos cinco años.

Mientras que los profesionales del cybersecurity lo dieron a grados positivos a su los vendedores' seguridad y son bastante confidentes sobre los orígenes de su ÉL hardware y software, siguen siendo vulnerables debido a el hardware inseguro y el software que lo evita de alguna manera las intervenciones de la seguridad del vendedor, cae a través de las grietas, y de extremo para arriba en ambientes de la producción. De hecho, la mayoría (el 58%) de organizaciones críticas de la infraestructura admite que utilizan los productos inseguros y/o los servicios que son una tema de inquietud (véase el cuadro 15). Uno producto o vulnerabilidad del servicio podría representar el “acoplamiento débil proverbial” que ése conduce a cyber-ataca en la rejilla de la energía, la red de la atmósfera, o el abastecimiento de agua.

Seguridad de la cadena de fuente de Cyber y aseguramiento del software

El aseguramiento del software es otro tenet dominante de la seguridad de la cadena de fuente del cyber pues trata los riesgos asociados a un ataque del cybersecurity que apunta software del negocio. Los E.E.U.U. El departamento de la defensa define aseguramiento del software como:

“El nivel de la confianza que el software está libre de las vulnerabilidades, diseñadas intencionalmente en el software o insertadas accidentalmente en cualquier momento durante su ciclo de vida, y que funciona el software de la manera prevista.”

Las organizaciones críticas de la infraestructura tienden para haber sofisticadolo los requisitos, así que viene como ninguna sorpresa que los 40% de organizaciones examinadas desarrollen una cantidad significativa de software para el uso interno mientras que otros 41% de organizaciones desarrollan una cantidad moderada de software para el uso interno (véase el cuadro 16).

Las vulnerabilidades del software continúan representando un vector importante de la amenaza para cyber-atacan. Por ejemplo, la abertura 2015 y las investigaciones de los datos de Verizon divulgan encontrado que los ataques del uso de la tela explicaron 9.4% de patrones de la clasificación del incidente dentro de las aberturas confirmadas de los datos. Desde cualesquiera escritos mal, el software inseguro podría representar un riesgo significativo a las operaciones de negocio, ESG pidió que los respondedores clasificaran sus organizaciones en la seguridad de su software internamente desarrollado. Los resultados varían grandemente: los 47% de respondedores dicen que son muy confidentes en la seguridad del software internamente desarrollado de su organización, pero los 43% son solamente algo confidentes y otros 8% siguen siendo neutrales (véase el cuadro 17).

Hay un aumento leve en el nivel de la confianza sobre los últimos cinco años como 36% de profesionales del cybersecurity que trabajan en las organizaciones críticas de la infraestructura era muy confidente en la seguridad del software internamente desarrollado de su organización en 2010 comparados con el 47% hoy. Pero esto es una mejora marginal en el mejor de los casos.

Para determinar seguridad del software más objetivo, ESG preguntó a respondedores si su organización experimentó siempre un incidente de la seguridad relacionado directamente con el compromiso del software internamente desarrollado. Mientras que resulta, una mitad de organizaciones críticas de la infraestructura ha experimentado un o vario incidentes de la seguridad que fueron relacionados directamente con el compromiso del software internamente desarrollado (véase el cuadro 18).

De una perspectiva de la industria, los 39% de firmas de los servicios financieros han experimentado un incidente de la seguridad relacionado directamente con el compromiso del software internamente desarrollado comparado con el 30% de organizaciones de otras industrias críticas de la infraestructura. Esto sucede a pesar de que los servicios financieros tiende para haber avanzado habilidades del cybersecurity y recursos adecuados del cybersecurity. ESG encuentra estos datos particularmente el preocupar puesto que cyber-ataque en un E.E.U.U. importantes el banco podía interrumpir el sistema financiero doméstico, afectar mercados globales, y causar pánico masivo del consumidor.

Las organizaciones críticas de la infraestructura reconocen los riesgos asociados a software inseguro y están empleando activamente una variedad de controles de la seguridad y de programas del aseguramiento del software. El más popular de éstos es también el más fácil de poner en ejecución pues los 51% de las organizaciones examinadas han desplegado cortafuegos del uso para bloquear uso-capa cyber-ataca por ejemplo las inyecciones y el cruz-sitio del SQL scripting (XSS). Además de cortafuegos del uso que despliegan, sobre la mitad de las organizaciones críticas de la infraestructura examinadas también incluya las herramientas de prueba de la seguridad como parte de sus procesos del desarrollo del software, midiendo su seguridad del software contra estándares público disponibles, proporcionando el desarrollo seguro del software que entrena a los reveladores internos, y adoptando procesos seguros del ciclo de vida del desarrollo del software (véase el cuadro 19). Por supuesto, muchas organizaciones se contratan a varias de estas actividades simultáneamente para alentar la seguridad de su software de cosecha propia.

Los programas de desarrollo seguros del software son ciertamente un paso en la dirección correcta, pero la eficacia del aseguramiento del software es una función de dos factores: los tipos de programas empleados y la consistencia de estos programas. La investigación de ESG revela que apenas la mitad del excedente de las organizaciones críticas de la infraestructura trata procesos y procedimientos seguros del desarrollo del software como mandato de la empresa, así que es probable que estas firmas tengan una metodología segura constante del desarrollo del software a través de la organización.

Alternativomente, los 42% de las organizaciones críticas de la infraestructura examinadas ponen procesos y procedimientos seguros del desarrollo en ejecución del software como mandatos departamentales o del línea-de-negocio (véase el cuadro 20). Los procesos descentralizados de la seguridad del software como éstos pueden conducir a la enorme variabilidad donde algunos departamentos instituyen programas fuertes del aseguramiento del software mientras que no lo hacen otros. Además, los programas de desarrollo seguros del software pueden variar a través de la empresa donde un departamento proporciona el entrenamiento y procesos formales mientras que otro despliega simplemente un cortafuego del uso. Mientras que va el viejo refrán, “una mala manzana puede estropear el manojo entero” - un solo departamento que despliega software internamente desarrollado inseguro puede abrir la puerta en dañar cyber-ataca que impacto la empresa entera e interrumpe servicios críticos de la infraestructura como la distribución de los alimentos, el cuidado médico, o telecomunicaciones.

Las organizaciones críticas de la infraestructura están poniendo los programas de desarrollo en ejecución seguros del software por un número de razones, incluyendo adherir a las mejores prácticas del cybersecurity general (el 63%), resolviendo los mandatos reguladores de la conformidad (el 55%), y los costes que bajan uniformes fijando insectos de la seguridad del software en el proceso del desarrollo (véase el cuadro 21).

Es también digno de mención que los 27% de organizaciones críticas de la infraestructura están estableciendo programas de desarrollo seguros del software en anticipación de la nueva legislación. Estas organizaciones pueden pensar en términos de marco del cybersecurity del NIST (CSF) primero introducido en febrero de 2014. Aunque la conformidad con el CSF es hoy voluntario, puede desarrollarse en una gerencia de riesgo común y un estándar regulador de la conformidad que reemplace otras regulaciones del gobierno y de la industria como FISMA, GLBA, HIPAA, y PCI-DSS en el futuro. Además, el CSF puede también convertirse en un estándar para benchmarking LO riesgo como parte del seguro del cyber que subscribe y se puede utilizar determinar primas de seguro de las organizaciones las'. Dado estas posibilidades, las organizaciones críticas de la infraestructura serían sabias consultar el CSF, determinar las recomendaciones del CSF para la seguridad del software, y utilizar el CSF para dirigir sus procesos y controles de la seguridad del software donde sea posible.

Aparte de las acciones en curso de la seguridad del software tomadas hoy, las organizaciones críticas de la infraestructura también tienen plan de los planes-28% del futuro para incluir las herramientas de prueba de la seguridad específica como parte del desarrollo del software, el 25% agregarán cortafuegos del uso de la tela a su infraestructura, y el 24% emplearán a los reveladores y a encargados del desarrollo con habilidades seguras del desarrollo del software (véase el cuadro 22). Estos planes ambiciosos indican que CISOs reconoce sus deficiencias de la seguridad del desarrollo del software y está tomando precauciones para atenuar riesgo.

Algún desarrollo del software, mantenimiento, y actividades de prueba son outsourced a menudo a los contratistas y a los abastecedores de servicio de tercera persona. Éste es el caso en la mitad de las organizaciones críticas de la infraestructura que participaron en esta encuesta sobre la investigación de ESG (véase el cuadro 23).

Como parte de estas relaciones, muchas organizaciones críticas de la infraestructura ponen requisitos contractuales del cybersecurity específico en socios de tercera persona del desarrollo del software. Por ejemplo, seguridad del mandato del 43% que prueba como parte del proceso de la aceptación, de cheques del fondo de la demanda del 41% en los reveladores de tercera persona del software, y de proyectos del desarrollo del software de la revisión del 41% para las vulnerabilidades de la seguridad (véase el cuadro 24).