Outlook d'aujourd'hui sur des menaces de Cybersecurity plus mornes qu'en 2013

Défendre contre cyber-attaque représente une bataille perpétuelle pour des organismes critiques d'infrastructure faisant face à un paysage de plus en plus dangereux de menace. En fait, 31% de professionnels de sécurité travaillant aux organismes critiques d'infrastructure croient que le paysage de menace est aujourd'hui beaucoup plus mauvais qu'il était il y a de deux ans, alors qu'encore parole de 36% il est légèrement plus mauvaise (voir le schéma 1).

Il est intéressant de noter qu'ESG a posé à ceci la même question dans son projet de recherche 2010, 1  et il a produit de façon saisissante les résultats-68% semblables des répondants dits que le paysage de menace était plus mauvais dans 2010 comparés à 2008. Clairement, le paysage de menace devient plus dangereux sur une base annuelle sans le letup en vue. ESG trouve ces données préoccuper en particulier. LES États-Unis les citoyens dépendent des organismes critiques d'infrastructure pour les nécessités de base de la société moderne comme la nourriture, l'eau, le carburant, et les services de télécommunications. Etant donné le paysage de plus en plus dangereux de menace, des organismes critiques d'infrastructure sont chargés avec maintenir des services journaliers importants et défendre leurs réseaux d'une armée grandissante des cyber-criminels, des hacktivists, et des acteurs d'état de nation.

Note1 : Source : Rapport de recherches d'ESG, évaluant des vulnérabilités de sécurité de chaîne d'approvisionnements de Cyber dans les États-Unis Infrastructure critique, novembre 2010.

Ces la croyance au sujet du paysage de plus en plus dangereux de menace dépassent seuls des avis autant d'organismes critiques d'infrastructure que le visage constant cyber-attaque. Une majorité (68%) d'organismes critiques d'infrastructure a éprouvé un incident de sécurité au cours des deux dernières années, avec presque un tiers (31%) éprouvant un compromis de système en raison d'une attaque générique (c.-à-d., virus, Trojan, etc.) apportée dedans par le système d'un utilisateur, 26% rapportant une infraction de données due à équipement perdu/volé, et 25% d'organismes critiques d'infrastructure souffrant un certain type d'attaque d'initié (voir le schéma 2). De façon alarmante, plus que la moitié (53%) des organismes critiques d'infrastructure ont traité au moins deux de ces incidents de sécurité depuis 2013.

Les incidents de sécurité viennent toujours avec des ramifications liées au temps et à l'argent. Par exemple, presque la moitié (47%) des professionnels de cybersecurity travaillant aux organismes critiques d'infrastructure réclament que les incidents de sécurité l'ont exigée significatif heure/personnel pour la remédiation. Tandis que ceci place un fardeau inattendu sur des groupes LUI et de cybersecurity, d'autres conséquences liées aux incidents de sécurité étaient la parole sinistre-36% bien que les incidents de sécurité ont menée à la rupture d'un processus critique d'affaires ou des opérations commerciales, réclamation de 36% que les incidents de sécurité ont eu comme conséquence la rupture des applications ou de ELLE d'affaires disponibilité de systèmes, et le rapport de 32% que les incidents de sécurité ont mené à une infraction des données confidentielles (voir le schéma 3).

Ces données devraient être sujet d'inquiétude puisqu'un réussi cyber-attaque applications sur organismes critiques d'infrastructure des' et les processus pourraient avoir comme conséquence la rupture du courant électrique, des services de santé, ou la distribution de la nourriture. Ainsi, ces questions ont pu avoir un impact dévastateur sur les États-Unis citoyens et sécurité nationale.

Cybersecurity aux organismes critiques d'infrastructure

Les organismes critiques d'infrastructure les croient-ils avoir les bons politiques, processus, qualifications, et technologies de cybersecurity pour adresser le paysage de plus en plus dangereux de menace ? Les résultats de cette enquête sont mélangés au mieux. Sur le côté, le taux de 37% politiques de cybersecurity de leurs organismes', les processus, et les technologies positifs comme excellentes et capables d'adresser presque toutes les menaces d'aujourd'hui. Il vaut la peine de noter que les estimations globales se sont améliorées depuis 2010 (voir le tableau 1). Tandis que cette amélioration est remarquable, 10% de professionnels critiques de sécurité d'infrastructure évaluent toujours leur organisation comme juste ou pauvres.

Pouvoir traiter la plupart des menaces peut être une amélioration de 2010, mais il n'est toujours pas assez. C'est particulièrement vrai donné le fait que le paysage de menace s'est développé plus difficile en même temps. Les organismes critiques d'infrastructure accomplissent le progrès, mais les mesures défensives ne progressent pas au même rythme que les possibilités blessantes des cyber-adversaires d'aujourd'hui et de cet espace de risque laissent les tous les États-Unis citoyens vulnérables.

Etant donné les implications de sécurité nationale de l'infrastructure critique, il n'étonne pas que le risque de cybersecurity est devenu une question de plus en plus importante de salle du conseil d'administration au cours des cinq dernières années. Presque la moitié (45%) des professionnels de cybersecurity évaluent aujourd'hui l'équipe exécutive de la gestion de leur organisation comme excellente, alors que seulement 25% les évaluait en tant qu'hautement en 2010 (voir le tableau 2). Alternativement, taux de 10% l'engagement du cybersecurity de l'équipe exécutive de gestion comme juste ou pauvrex en 2015, où 23% les a évalués ainsi en 2010. Ces résultats sont légèrement prévus donnés les infractions évidentes et préjudiciables de données des dernières années. Le cybersecurity critique d'infrastructure est également supérieur de l'esprit à Washington avec des législateurs, des agences civiles, et la branche exécutive. Par exemple, le cadre 2014 de cybersecurity du National Institute of Standards and Technology (NIST) (CSF) a été conduit par un ordre exécutif et est prévu pour aider la mesure critique d'organismes d'infrastructure et pour contrôler le cyber-risque plus efficacement. En raison de toute cette activité de cybersecurity, des conseils de corporation beaucoup davantage sont engagés dans le cybersecurity qu'ils étaient dans le passé, mais s'ils font asse'ou investissant dans les bons secteurs est encore incertain.

Les organismes critiques d'infrastructure modifient leurs stratégies de cybersecurity pour un certain nombre de raisons. Par exemple, parole de 37% que la stratégie de l'infosec de leur organisation est conduite par la nécessité de la soutenir nouveau des initiatives avec les meilleures pratiques en matière de sécurité forte. Ce probable se rapporte à LUI projette pour l'automation de processus qui incluent l'Internet des technologies de choses (IoT). Les projets d'IoT peuvent soutenir la productivité, mais ils présentent également de nouvelles vulnérabilités et ainsi le besoin de commandes additionnelles de sécurité. En outre, le point de 37% à protéger la confidentialité et l'intégrité sensibles de données de client, et 36% exigent la nécessité de protéger la confidentialité et l'intégrité internes de données (voir le schéma 4). Ce sont certainement des buts valables, mais ESG a été étonné que seulement 22% d'infrastructures critiques indiquent que leur stratégie de sécurité de l'information est conduite par l'empêchement/détectant des attaques visées et des menaces sophistiquées de malware. Après tout, 67% de professionnels de sécurité croient que le paysage de menace est aujourd'hui plus dangereux qu'il était il y a de deux ans, et 68% d'organismes ont souffert au moins un incident de sécurité au cours des deux dernières années. Puisque les organismes critiques d'infrastructure sont soumis aux attaques constantes, ESG est d'avis fortement que CISOs dans ces organismes devrait évaluer s'ils font assez pour empêcher, détecter, et répondre à moderne cyber-attaque.

Sécurité de chaîne d'approvisionnements de Cyber

Comme beaucoup d'autres secteurs de cybersecurity, la sécurité de chaîne d'approvisionnements de cyber se développe de plus en plus encombrante. En fait, 60% de professionnels de sécurité indiquent que la sécurité de chaîne d'approvisionnements de cyber est devenue beaucoup plus difficile (17%) ou légèrement plus difficile (43%) au cours des deux dernières années (voir le schéma 5).

Pourquoi la sécurité de chaîne d'approvisionnements de cyber est-elle devenue plus difficile ? Les pour cent de Forty-four réclament que leurs organismes ont mis en application de nouveaux types de LUI les initiatives (calcul c.-à-d., de nuage, applications mobiles, IoT, grands projets d'analytics de données, etc.), qui ont augmenté la surface d'attaque de chaîne d'approvisionnements de cyber ; la parole de 39% que leur organisation a plus IL des fournisseurs que lui a fait il y a deux ans ; et le déclarer de 36% que leur organisation a consolidé LUI et la sécurité opérationnelle de technologie, qui a augmenté la complexité d'infosec (voient le schéma 6).

Ces données sont indicatives de l'état de ELLES aujourd'hui. Le fait est qu'IL les applications, l'infrastructure, et les produits évoluent à un rythme croissant, conduisent les changements dynamiques sur une base constante et augmentent la surface globale d'attaque de chaîne d'approvisionnements de cyber. Trouvaille surchargée de personnel de CISOs et d'infosec il difficile à suivre les changements dynamiques de sécurité de chaîne d'approvisionnements de cyber, menant aux risques de escalade.

Sécurité et LUI de chaîne d'approvisionnements de Cyber fournisseurs

Les fournisseurs de produit de Cybersecurity, les fournisseurs de service, et les revendeurs sont une partie essentielle de la chaîne d'approvisionnements globale de cyber. En conséquence, leurs politiques de cybersecurity et processus peuvent avoir un impact descendant profond sur leurs clients, clients de leurs clients', et ainsi de suite. Compte tenu de cette situation, les organismes critiques d'infrastructure incluent souvent des considérations de cybersecurity en lui prenant des décisions de fourniture.

Est-ce qu'au juste quels types de considérations de cybersecurity sont les la plupart important ? Plus d'un tiers (35%) d'organismes expérience considèrent leurs fournisseurs' et expérience professionnelle liée aux vulnérabilités de sécurité et aux difficultés suivantes. En d'autres termes, les organismes critiques d'infrastructure jugent des fournisseurs par la qualité de leur logiciel et de leur réponse dans des vulnérabilités de réparation de logiciel quand ils surgissent. Encore 35% considèrent leurs fournisseurs' expertise et réputation globales de sécurité. Fermez-vous derrière, 32% considèrent leurs fournisseurs' des processus de gestion des risques de chaîne d'approvisionnements de cyber, alors que 31% réputation contemplent leurs fournisseurs' et expertise d'industrie (voir le schéma 7).

Clairement, les organismes critiques d'infrastructure ont un certain nombre de considérations de cybersecurity concernant le leur IL des fournisseurs, mais plusieurs de ces soucis, tels que la réputation de fournisseur et l'expertise, restent subjectifs. Pour équilibrer ces considérations douces, CISOs devrait vraiment établir une liste de métrique objective telle que le nombre de CVEs lié aux applications spécifiques de fournisseur indépendant de logiciels et au calendrier moyen entre la révélation de vulnérabilité et les dégagements de pièce rapportée de sécurité. Ces types de métrique peuvent être utiles en le comparant la compétence de la sécurité du fournisseur un contre d'une autre personne.

Pratiques en matière de sécurité de chaîne d'approvisionnements de Cyber les meilleures dictent que les organismes évaluent les processus de sécurité, les procédures, et les sauvegardes de technologie employées par tout le leur IL des fournisseurs. Afin de mesurer les pratiques en matière de cybersecurity de LUI les fournisseurs, une certaine sécurité proactive d'infrastructure de conduite critique d'organismes audite des fournisseurs de service de nuage, des fournisseurs de logiciel, des fabricants de matériel, des fournisseurs de services professionnels qui l'installent et adaptent aux besoins du client des systèmes, et du VARs/des distributeurs qui le livrent équipement et/ou services.

Sont-elles ces la sécurité audite-elle la technique normalisée ? La recherche d'ESG indique des résultats mélangés. En moyenne, juste au-dessous de 50% d'organismes critiques d'infrastructure auditez toujours tous les types de LUI les fournisseurs, une amélioration marquée de 2010 où 28% d'organismes critiques d'infrastructure l'a toujours audité leur des fournisseurs. Néanmoins, il y a d'abondance immobile de pièce pour l'amélioration. Par exemple, 18% d'organismes n'auditent pas les processus de sécurité et les procédures des revendeurs, du VARs, et des distributeurs actuellement. Pendant que l'incident de Snowden indique, ceux-ci IL des spécialistes en distribution peut être employé pour l'interdiction de chaîne d'approvisionnements pour présenter le code malveillant, les progiciels, ou les backdoors dans LUI équipement pour conduire une attaque visée ou un espionnage industriel (voir le schéma 8).

IL sécurité de fournisseur audite semblent être une responsabilité partagée avec l'équipe de cybersecurity jouant un rôle de support. Général IL gestion a une certaine responsabilité de l'évaluer sécurité de fournisseur à deux-tiers (67%) d'organismes, alors que l'équipe de cybersecurity est dedans un peu plus de la moitié responsable (51%) des organismes (voir le schéma 9).

Ces résultats sont quelque peu curieux. Après tout, pourquoi l'équipe de cybersecurity ne serait-elle pas responsable de LUI fournisseur que la sécurité audite dans une certaine capacité ? Peut-être la vue de quelques organismes qu'IL sécurité de fournisseur audite comme formalité, une partie de la responsabilité de l'équipe de fourniture, ou l'adressent fournisseur la sécurité audite avec seules des écritures standard de « checkbox ». Indépendamment de la raison, IL fournisseur que la sécurité audite fournira la valeur marginale sans inadvertance à commande manuelle de cybersecurity dans tout le processus.

IL sécurité de fournisseur audite changent considérablement en termes de largeur et profondeur, ainsi ESG a voulu de la perspicacité dans les mécanismes les plus communs utilisés en tant qu'élément du processus d'auditer. Un peu plus de la moitié (54%) des organismes conduisent un examen à commande manuelle histoire de sécurité de leurs fournisseurs' ; la documentation de revue de 52%, les processus, la métrique de sécurité, et le personnel se sont reliés processus de sécurité de chaîne d'approvisionnements de cyber à leurs fournisseurs des' ; et revue de 51% que leurs fournisseurs' la sécurité interne audite (voir le schéma 10).

Naturellement, beaucoup d'organismes incluent plusieurs de ces mécanismes en tant qu'élément du leur IL fournisseur que la sécurité audite pour obtenir une perspective plus complète. Néanmoins, beaucoup de ces derniers auditent des considérations sont basés sur l'exécution historique. ESG suggère que des revues historiques soient complétées avec un certain type de sécurité surveillant et/ou une intelligence de cybersecurity partageant de sorte que les organismes puissent mieux évaluer des risques de sécurité de chaîne d'approvisionnements de cyber en temps réel.

Pour évaluer les politiques, les processus, et les commandes de cybersecurity avec la régularité, tous IL fournisseur que la sécurité audite devrait adhérer à une méthodologie formelle et documentée. La recherche d'ESG indique que la moitié de tous les organismes critiques d'infrastructure conduisent une sécurité formelle auditent le processus dans tous les cas, alors que l'autre moitié ont de la flexibilité de dévier de formel IL fournisseur que la sécurité auditent des processus occasionnellement (voir le schéma 11). Il vaut la peine de noter que 57% d'organismes de services financiers font auditer une sécurité formelle le processus pour EUX les fournisseurs qui doivent être suivis dans tous les cas, par opposition à 47% d'organismes dans d'autres industries. C'est une autre indication que les sociétés de services financiers tendent à avoir des politiques et des processus plus avancés et plus rigoureux de cybersecurity que ceux d'autres industries.

IL sécurité de fournisseur audite impliquent la collecte de données, l'analyse, les évaluations, et la prise de décision finale. D'une perspective de marquage, un peu plus de la moitié (51%) des organismes critiques d'infrastructure utilisent la métrique/scorecards formels où IL des fournisseurs doit atteindre un certain profil de cybersecurity pour qualifier en tant que fournisseur approuvé. Le reste des organismes critiques d'infrastructure ont les directives-32% moins rigoureuses n'avoir un processus formel de revue de fournisseur mais aucune métrique spécifique pour la qualification de fournisseur, alors que conduite de 16% un processus sans cérémonie de revue (voir le schéma 12).

De façon générale, la recherche d'ESG indique que beaucoup d'organismes critiques ne font pas assez de diligence avec ELLE fournisseur que le cybersecurity audite. Pour réduire au minimum le risque d'un incident de sécurité de chaîne d'approvisionnements de cyber, le fournisseur auditent les meilleures pratiques devrait inclure les trois étapes suivantes :

1. L'organisation audite toujours les processus internes de sécurité de stratégique IL des fournisseurs.

1. L'organisation emploie une norme formelle auditent le processus pour tous qu'IL le fournisseur audite.

2. L'organisation utilise la métrique/scorecards formels où ELLE des fournisseurs doit excéder un seuil de marquage pour qualifier pour ELLE achetant l'approbation.

Quand les organismes critiques évalués par ESG d'infrastructure par cette série de ELLE fournisseur auditent des étapes, les résultats affligeaient extrêmement. Par exemple, en moyenne, seulement 14% de la population totale d'aperçu a adhéré à chacune des trois meilleures étapes de pratique en auditant la sécurité de leurs fournisseurs stratégiques d'infrastructure (voir le tableau 3). Puisque des fournisseurs stratégiques d'infrastructure sont audités le plus souvent, il est sûr de supposer que moins de 14% de la population totale d'aperçu suit ces meilleures pratiques en auditant la sécurité des fournisseurs de logiciel, fournisseurs de service de nuage, les services professionnels affermit, et des distributeurs.

Il est également à noter que les données d'ESG montrent à des améliorations marginales concernant ELLES la sécurité de fournisseur auditant les meilleures pratiques en cinq dernières années. En 2010, seulement 10% d'organismes critiques d'infrastructure a suivi chacune des six meilleures étapes de pratique, alors que 14% font ainsi en 2015. Clairement, il y a beaucoup immobile de pièce pour l'amélioration.

Indépendamment de la sécurité auditez les insuffisances, beaucoup d'organismes critiques d'infrastructure sont quelque peu têtus au sujet du leur IL sécurité de fournisseurs'. En moyenne, 41% de professionnels de cybersecurity évaluent tous les types de EUX des fournisseurs comme excellents en termes de leur engagement à et communications au sujet de leurs processus et procédures internes de sécurité, menés par les fournisseurs stratégiques d'infrastructure réalisant une excellente estimation à partir de 49% des professionnels de cybersecurity examinés (voir le schéma 13).

Les organismes critiques d'infrastructure l'ont donné leur des fournisseurs des estimations plus positives de sécurité dans 2015 comparés à 2010. Par exemple, seulement 19% d'organismes critiques d'infrastructure a évalué leurs fournisseurs stratégiques d'infrastructure comme excellents dans 2010 comparés à 49% de 2015. Beaucoup IL des fournisseurs ont identifié l'importance d'établir le cybersecurity dans des produits et les processus pendant ce calendrier et sont beaucoup plus reçu au sujet de leurs améliorations de cybersecurity. En outre, les organismes critiques d'infrastructure ont augmenté la quantité de diligence de sécurité de fournisseur au cours des cinq dernières années, menant à une plus grande visibilité et à des estimations améliorées de fournisseur.

Les nouvelles ne sont pas tout bonnes car au moins 12% d'organismes critiques d'infrastructure sont seulement disposés à les donner leur des fournisseurs' des processus et des procédures internes de sécurité un satisfaisant, foire, ou estimation pauvre. ESG est particulièrement concerné par des estimations liées aux revendeurs, VARs, et les distributeurs depuis 24% d'organismes critiques d'infrastructure évaluent leurs processus et procédures comme satisfaisantes, foire, ou pauvres internes de sécurité. Ceci préoccupe particulièrement puisque le schéma 10 indique que 18% d'organismes critiques d'infrastructure n'exécutent pas la sécurité auditent sur des revendeurs, VARs, et des distributeurs. Basé sur toutes ces données, il s'avère que les organismes critiques d'infrastructure demeurent vulnérables aux attaques de cybersecurity (comme l'interdiction de chaîne d'approvisionnements) émanant des revendeurs, de VARs, et des distributeurs.

IL matériel et logiciel est souvent développé, examiné, assemblé, ou fabriqué en pays multiples avec des degrés variables de protection de brevet ou d'inadvertance légale. Certains de ces pays sont « les lits chauds » connus du cybercrime ou même du cyber-espionnage état-commandité. Donné ces réalités, on penserait que les organismes critiques d'infrastructure traceraient soigneusement les origines du IL des produits achetés et employés par leurs sociétés.

Les données d'ESG suggèrent que la plupart des sociétés soient au moins quelque peu sûres au sujet de la lignée géographique du leur IL des capitaux (voir le schéma 14). Il devrait également noter qu'il y a eu des améliorations mesurables de ce secteur car 41% d'organismes critiques d'infrastructure sont très confiants qu'ils connaissent le pays en lequel leur IL des produits de matériel et de logiciel ont été à l'origine développés et/ou fabriqués comparé seulement à 24% de 2010. De nouveau, ESG attribue ce progrès aux améliorations de LUI diligence de sécurité de fournisseur, plus grande inadvertance de sécurité de chaîne d'approvisionnements dans IL la communauté de fournisseur, et conscience globale accrue de sécurité de chaîne d'approvisionnements de cyber à travers la communauté entière de cybersecurity au cours des cinq dernières années.

Tandis que les professionnels de cybersecurity le donnaient à des estimations positives au leur des fournisseurs' sécurité et sont assez confiants au sujet des origines du leur IL matériel et logiciel, ils restent vulnérables en raison du matériel peu sûr et le logiciel qui l'évitent de façon ou d'autre sécurité de fournisseur audite, tombe par les fissures, et l'extrémité vers le haut dans des environnements de production. En fait, la majorité (58%) d'organismes critiques d'infrastructure admettent qu'ils emploient les produits peu sûrs et/ou les services qui sont un sujet d'inquiétude (voir le schéma 15). Un IL produit ou vulnérabilité de service pourrait représenter « le lien faible » proverbial que cela mène à l'cyber-attaquent sur la grille de puissance, le réseau d'atmosphère, ou l'approvisionnement en eau.

Sécurité de chaîne d'approvisionnements de Cyber et assurance de logiciel

L'assurance de logiciel est un autre principe principal de sécurité de chaîne d'approvisionnements de cyber car elle adresse les risques liés à une attaque de cybersecurity visant le logiciel d'affaires. Les États-Unis Le département de la défense définit l'assurance de logiciel comme :

« Le niveau de la confiance qui le logiciel est exempt des vulnérabilités, intentionnellement a conçu dans le logiciel ou accidentellement s'est inséré à tout moment pendant son cycle de vie, et que le logiciel fonctionne de la façon prévue. »

Les organismes critiques d'infrastructure tendent à l'avoir sophistiqué des conditions, ainsi il vient en tant qu'aucune surprise que 40% d'organismes examinés développent une quantité significative de logiciel pour l'usage interne tandis qu'encore 41% d'organismes développent une quantité modérée de logiciel pour l'usage interne (voir le schéma 16).

Les vulnérabilités de logiciel continuent à représenter un vecteur important de menace pour cyber-attaque. Par exemple, l'infraction 2015 et les investigations de données de Verizon rapportent constaté que les attaques d'application de Web ont expliqué 9.4% de modèles de classification d'incident dans les infractions confirmées de données. Depuis mal écrits, le logiciel peu sûr en pourrait représenter un risque significatif aux opérations commerciales, ESG a demandé à des répondants d'évaluer leurs organismes sur la sécurité de leur logiciel intérieurement développé. Les résultats changent considérablement : 47% de répondants indiquent qu'ils sont très confiants dans la sécurité du logiciel intérieurement développé de leur organisation, mais 43% sont seulement quelque peu confiants et encore 8% restent neutres (voir le schéma 17).

Il y a une légère augmentation au niveau de confiance au cours des cinq dernières années en tant que 36% de professionnels de cybersecurity travaillant aux organismes critiques d'infrastructure étaient très confiant dans la sécurité du logiciel intérieurement développé de leur organisation dans 2010 comparés à 47% aujourd'hui. Mais c'est une amélioration marginale au mieux.

Pour évaluer la sécurité de logiciel plus objectivement, ESG a demandé à des répondants si leur organisation a jamais éprouvé un incident de sécurité directement lié au compromis du logiciel intérieurement développé. Pendant qu'il s'avère, un tiers d'organismes critiques d'infrastructure ont éprouvé un ou plusieurs incidents de sécurité qui ont été directement liés au compromis du logiciel intérieurement développé (voir le schéma 18).

D'une perspective d'industrie, 39% de sociétés de services financiers ont éprouvé un incident de sécurité directement lié au compromis du logiciel intérieurement développé comparé à 30% d'organismes d'autres industries critiques d'infrastructure. Ceci se produit malgré le fait que des services financiers tendent à avoir avancé des qualifications de cybersecurity et à des ressources proportionnées de cybersecurity. ESG trouve ces données préoccuper en particulier puisque cyber-attaquez sur les États-Unis importants la banque a pu perturber le système financier domestique, effectuer les marchés globaux, et causer la panique massive du consommateur.

Les organismes critiques d'infrastructure identifient les risques liés au logiciel peu sûr et utilisent activement une variété de commandes de sécurité et de programmes d'assurance de logiciel. Il est également le plus facile mettre en application le plus populaire de ces derniers car 51% des organismes examinés ont déployé des murs à l'épreuve du feu d'application pour bloquer l'application-couche cyber-attaquent comme les injections et le croix-emplacement de SQL scripting (XSS). En plus des murs à l'épreuve du feu se déployants d'application, environ la moitié des organismes critiques d'infrastructure examinés également incluez les outils de essai de sécurité en tant qu'élément de leurs procédés de développement de logiciel, en mesurant leur sécurité de logiciel par rapport aux normes publiquement disponibles, en fournissant le développement bloqué de logiciel s'exerçant aux réalisateurs internes, et adoptant des processus bloqués de cycle de vie de développement de logiciel (voir le schéma 19). Naturellement, beaucoup d'organismes sont engagés dans plusieurs de ces activités simultanément afin de soutenir la sécurité de leur logiciel du cru.

Les programmes de développement bloqués de logiciel sont certainement une étape dans la bonne direction, mais l'efficacité d'assurance de logiciel est une fonction de deux facteurs : les types de programmes utilisés et la régularité de ces programmes. La recherche d'ESG indique qu'un peu plus de la moitié des organismes critiques d'infrastructure traitent des procédés et des procédures bloqués de développement de logiciel comme mandat d'entreprise, ainsi il est probable que ces sociétés aient une méthodologie bloquée cohérente de développement de logiciel à travers l'organisation.

Alternativement, 42% des organismes critiques d'infrastructure examinés mettent en application des procédés et des procédures bloqués de développement de logiciel en tant que mandats départementaux ou de ligne-de-affaires (voir le schéma 20). Les processus décentralisés de sécurité de logiciel comme ces derniers peuvent mener à la variabilité énorme où quelques départements instituent des programmes forts d'assurance de logiciel alors que d'autres pas. En outre, les programmes de développement bloqués de logiciel peuvent changer dans toute l'entreprise où un département fournit la formation et les processus formels tandis qu'un autre déploie simplement un mur à l'épreuve du feu d'application. Pendant que la vieille énonciation disparaît, « une pomme gâtée peut abîmer le groupe entier » - un département simple qui déploie le logiciel intérieurement développé peu sûr peut ouvrir la porte à endommager cyber-attaque qu'impact l'entreprise entière et perturbent des services critiques d'infrastructure comme la distribution de produits alimentaires, la santé, ou les télécommunications.

Les organismes critiques d'infrastructure mettent en application des programmes de développement bloqués de logiciel pour un certain nombre de raisons, y compris adhérer aux meilleures pratiques en matière de cybersecurity général (63%), couvrant les mandats de normalisation de conformité (55%), et les même coûts de abaissement en fixant des bogues de sécurité de logiciel dans le procédé de développement (voir le schéma 21).

Il est également à noter que 27% d'organismes critiques d'infrastructure établissent des programmes de développement bloqués de logiciel en prévision de la nouvelle législation. Ces organismes peuvent penser en termes de cadre de cybersecurity de NIST (CSF) d'abord présenté en février 2014. Bien que la conformité au CSF soit aujourd'hui volontaire, elle peut se transformer en une gestion des risques commune et une norme de normalisation de conformité qui remplace d'autres règlements de gouvernement et d'industrie comme FISMA, GLBA, HIPAA, et PCI-DSS à l'avenir. En outre, le CSF peut également devenir une norme pour benchmarking LA risque en tant qu'élément de l'assurance de cyber garantissant et peut être employé primes d'assurance pour déterminer organismes des'. Donné ces possibilités, les organismes critiques d'infrastructure seraient sages de consulter le CSF, d'évaluer des recommandations de CSF pour la sécurité de logiciel, et d'employer le CSF pour guider leurs processus et commandes de sécurité de logiciel dans la mesure du possible.

Hormis les mesures continues de sécurité de logiciel prises aujourd'hui, les organismes critiques d'infrastructure ont également le plan de plans-28% de futur pour inclure les outils de essai de sécurité spécifique en tant qu'élément du développement de logiciel, 25% ajoutera des murs à l'épreuve du feu d'application de Web à leur infrastructure, et 24% louera des lotisseurs et des directeurs de développement avec des qualifications bloquées de développement de logiciel (voir le schéma 22). Ces plans ambitieux indiquent que CISOs identifient leurs insuffisances de sécurité de développement de logiciel et prennent des précautions afin d'atténuer le risque.

Quelques développement de logiciel, entretien, et activités de essai sont souvent externalisés à de tiers entrepreneurs et fournisseurs de service. C'est le cas à la moitié des organismes critiques d'infrastructure qui ont participé à cette enquête de recherches d'ESG (voir le schéma 23).

En tant qu'élément de ces rapports, beaucoup d'organismes critiques d'infrastructure placent des conditions contractuelles de cybersecurity spécifique sur de tiers associés de développement de logiciel. Par exemple, sécurité de mandat de 43% déterminant en tant qu'élément du procédé d'acceptation, des contrôles de fond de demande de 41% sur de tiers réalisateurs de logiciel, et des projets de développement de logiciel de revue de 41% des vulnérabilités de sécurité (voir le schéma 24).