Odierna prospettiva sulle minacce di Cybersecurity più brulle di in 2013

Difendendo contro cyber-attaca rappresenta una battaglia perpetua per le organizzazioni critiche dell'infrastruttura che affrontano un paesaggio sempre più pericoloso di minaccia. Infatti, 31% dei professionisti di sicurezza che lavorano alle organizzazioni critiche dell'infrastruttura credono che il paesaggio di minaccia oggi sia molto più difettoso di era di due anni fa, mentre un'altra opinione di 36% esso è piuttosto più difettosa (si veda figura 1).

È interessante notare che ESG ha fatto questo la stessa domanda nel relativo progetto di ricerca 2010, 1  ed ha prodotto in maniera sconvolgente i risultati-68% simili dei dichiaranti detti che il paesaggio di minaccia era più difettoso in 2010 rispetto a 2008. Chiaramente, il paesaggio di minaccia sta ottenendo più pericoloso su una base annuale senza letup in vista. ESG scopre che questi dati specialmente si disturbano. Gli Stati Uniti i cittadini dipendono dalle organizzazioni critiche dell'infrastruttura per le necessità di base della società moderna come alimento, acqua, combustibile e servizi di telecomunicazioni. Dato il paesaggio sempre più pericoloso di minaccia, le organizzazioni critiche dell'infrastruttura sono tasked con effettuare i servizi giornalieri importanti e difendendo le loro reti da un esercito crescente dei cyber-criminali, i hacktivists e la nazione dichiarano gli attori.

Note1: Fonte: Rapporto di ricerca di ESG, valutante le vulnerabilità di sicurezza della catena di rifornimento di Cyber in Stati Uniti Infrastruttura critica, novembre 2010.

Questo la credenza circa il paesaggio sempre più pericoloso di minaccia va oltre le opinioni da solo altretante organizzazioni che critiche dell'infrastruttura la faccia costante cyber-attaca. Una maggioranza (68%) delle organizzazioni critiche dell'infrastruttura ha avvertito un avvenimento di sicurezza in questi ultimi due anni, con quasi un terzo (31%) che avvertono un compromesso del sistema come conseguenza di un attacco generico (cioè, virus, Trojan, ecc.) portato dentro dal sistema dell'utente, 26% che segnalano una frattura di dati dovuto apparecchiatura persa/rubata e 25% delle organizzazioni critiche dell'infrastruttura che soffrono un certo tipo di attacco del membro (si veda figura 2). In modo allarmante, più della metà (53%) delle organizzazioni critiche dell'infrastruttura si sono occupati almeno di due di questi avvenimenti di sicurezza dal 2013.

Gli avvenimenti di sicurezza vengono sempre con le ramificazioni connesse con tempo e soldi. Per esempio, quasi la metà (47%) dei professionisti di cybersecurity che lavorano alle organizzazioni critiche dell'infrastruttura sostiene che gli avvenimenti di sicurezza la hanno richiesta significativo tempo/personali per remediation. Mentre questo dispone una difficoltà inattesa sui gruppi di cybersecurity ed ESSO, altre conseguenze relative agli avvenimenti di sicurezza erano molto opinione più ominous-36% che gli avvenimenti di sicurezza hanno condotto alla rottura di un processo critico di affari o dei funzionamenti di affari, reclamo di 36% che gli avvenimenti di sicurezza hanno provocato la rottura delle applicazioni commerciali/gestionali o di ESSO disponibilità di sistemi e rapporto di 32% che gli avvenimenti di sicurezza hanno condotto ad una frattura dei dati confidenziali (si veda figura 3).

Questi dati dovrebbero essere tema di inquietudine poiché un riuscito cyber-attaca applicazioni su organizzazioni critiche dell'infrastruttura' ed i processi potrebbero provocare la rottura di corrente elettrica, i servizi di sanità, o la distribuzione di alimento. Quindi, queste edizioni hanno potuto avere un effetto devastating sugli Stati Uniti cittadini e sicurezza nazionale.

Cybersecurity alle organizzazioni critiche dell'infrastruttura

Le organizzazioni critiche dell'infrastruttura le credono avere le giusti politiche, processi, abilità e tecnologie di cybersecurity per richiamare il paesaggio sempre più pericoloso di minaccia? I risultati di quell'inchiesta sono mescolati nel migliore dei casi. Sul lato, sul tasso di 37% politiche di cybersecurity delle loro organizzazioni', sui processi e sulle tecnologie positivi come eccellenti e capaci di richiamo de quasi tutte le minacce odierne. Vale la pena di notare che le valutazioni generali hanno migliorato dal 2010 (veda la tabella 1). Mentre questo miglioramento è considerevole, 10% dei professionisti critici di sicurezza dell'infrastruttura ancora valutano la loro organizzazione come la fiera o poveri.

Potere occuparsi della maggior parte delle minacce può essere un miglioramento da 2010, ma non è ancora abbastanza. Ciò è particolarmente allineare data il fatto che il paesaggio di minaccia si è sviluppato più difficile allo stesso tempo. Le organizzazioni critiche dell'infrastruttura stanno realizzare i progressi, ma le misure difensive non stanno progredendo allo stesso passo di le possibilità offensive di odierni cyber-avversari e di questo spacco di rischio lascia tutti gli Stati Uniti cittadini vulnerabili.

Dato le implicazioni di sicurezza nazionale dell'infrastruttura critica, non sta sorpresendo che il rischio di cybersecurity si è trasformato in in un'edizione sempre più importante della stanza di bordo in questi ultimi cinque anni. Quasi la metà (45%) dei professionisti di cybersecurity oggi valuta la squadra esecutiva dell'amministrazione della loro organizzazione come eccellente, mentre soltanto 25% li ha valutati come altamente in 2010 (veda la tabella 2). Alternativamente, tasso di 10% l'impegno di cybersecurity della squadra esecutiva dell'amministrazione come giusto o poveri in 2015, dove 23% le ha valutate così in 2010. Questi risultati piuttosto sono previsti forniti le fratture visibili ed offensive di dati degli anni ultimi. Il cybersecurity critico dell'infrastruttura è inoltre superiore della mente a Washington con i legislatori, le agenzie civili ed il ramo esecutivo. Per esempio, 2014 la struttura di cybersecurity di National Institute of Standards and Technology (NIST) (CSF) è stata guidata da un ordine esecutivo ed è intesa per aiutare la misura critica di organizzazioni dell'infrastruttura e per controllare più efficacemente il cyber-rischio. Come conseguenza di tutta questa attività di cybersecurity, i bordi corporativi molto di più sono agganciati in cybersecurity che erano nel passato, ma se stanno facendo abbastanza o investendo nelle giuste zone è ancora discutibile.

Le organizzazioni critiche dell'infrastruttura stanno modificando le loro strategie di cybersecurity per un certo numero di motivi. Per esempio, opinione di 37% che la strategia del infosec della loro organizzazione è guidata dalla necessità di sostenerla nuovo iniziative con le pratiche migliori di sicurezza forte. Questo probabile si riferisce si proietta per automazione trattata che include il Internet delle tecnologie di cose (IoT). I progetti IoT possono sostenere il rendimento, ma inoltre introducono le nuove vulnerabilità e così l'esigenza dei comandi supplementari di sicurezza. Ancora, il punto di 37% a proteggere la riservatezza ed integrità sensibili di dati del cliente e 36% dicono ad alta voce la necessità di proteggere la riservatezza e l'integrità interne di dati (si veda figura 4). Questi sono certamente obiettivi utili, ma ESG è stato sorprendo che soltanto 22% delle infrastrutture critiche dicono che la loro strategia di sicurezza delle informazioni sta guidanda evitando/che rileva gli attacchi designati e le minacce rese sofisticato del malware. Dopo tutto, 67% dei professionisti di sicurezza credono che il paesaggio di minaccia sia oggi più pericoloso che era di due anni fa e 68% delle organizzazioni hanno sofferto almeno un avvenimento di sicurezza in questi ultimi due anni. Poiché le organizzazioni critiche dell'infrastruttura sono ai attacchi costanti, ESG ritiene fortemente che CISOs in queste organizzazioni dovrebbe valutare se stanno facendo abbastanza per evitare, rilevare e rispondere a moderno cyber-attacchi.

Sicurezza della catena di rifornimento di Cyber

Come molte altre zone del cybersecurity, la sicurezza della catena di rifornimento del cyber sta sviluppandosi sempre più ingombrante. Infatti, 60% dei professionisti di sicurezza dicono che la sicurezza della catena di rifornimento del cyber è diventato molto più difficile (17%) o piuttosto più difficile (43%) durante gli ultimi due anni (si veda figura 5).

Perchè la sicurezza della catena di rifornimento del cyber è diventato più difficile? I percento di Forty-four sostengono che le loro organizzazioni gli hanno effettuato i nuovi tipi iniziative (computazione cioè, della nube, applicazioni mobili, IoT, progetti grandi di analytics di dati, ecc.), che hanno aumentato la superficie di attacco della catena di rifornimento del cyber; l'opinione di 39% che la loro organizzazione ha più ESSO fornitori che esso ha fatto due anni fa; e 36% dichiarano che la loro organizzazione ha consolidato ESSO e la sicurezza operativa di tecnologia, che ha aumentato la complessità del infosec (si veda figura 6).

Questi dati sono oggi indicativi del dichiarare di ESSO. Il fatto è che applicazioni, l'infrastruttura e prodotti sta evolvendo ad un passo aumentante, sta guidando i cambiamenti dinamici su una base costante e sta aumentando la superficie generale di attacco della catena di rifornimento del cyber. Ritrovamento sovraccaricato del personale del infosec e di CISOs esso difficile continuare con i cambiamenti dinamici di sicurezza della catena di rifornimento del cyber, conducenti ai rischi crescenti.

Sicurezza ed ESSO della catena di rifornimento di Cyber fornitori

I fornitori del prodotto di Cybersecurity, i fornitori di servizio ed i resellers sono una parte essenziale della catena di rifornimento generale del cyber. Di conseguenza, le loro politiche di cybersecurity e processi possono avere un effetto downstream profondo sui loro clienti, clienti dei loro clienti' e così via. Data la situazione, le organizzazioni critiche dell'infrastruttura includono spesso le considerazioni di cybersecurity quando gli prende le decisioni di acquisizione.

Appena che tipi di considerazioni di cybersecurity sono la maggior parte importante? Più di un terzo (35%) delle organizzazioni considera esperienza dei loro fornitori' ed annotazione di pista relativa alle vulnerabilità di sicurezza ed alle difficoltà successive. Cioè le organizzazioni critiche dell'infrastruttura stanno giudicando i fornitori dalla qualità del loro software e della loro risposta nelle vulnerabilità di riparazione del software quando presentano. Gli altri 35% considerano i loro fornitori' perizia e reputazione generali di sicurezza. Chiuda dietro, 32% considerano i loro fornitori' processi dell'amministrazione di rischio della catena di rifornimento del cyber, mentre 31% contemplano reputazione dei loro fornitori' e perizia di industria (si veda figura 7).

Chiaramente, le organizzazioni critiche dell'infrastruttura hanno un certo numero di considerazioni di cybersecurity per quanto riguarda il loro ESSO fornitori, ma molte di queste preoccupazioni, quali reputazione del fornitore e perizia, rimangono soggettive. Per controbilanciare queste considerazioni morbide, CISOs dovrebbe realmente stabilire una lista della metrica obiettiva quale il numero di CVEs connesso con le applicazioni specifiche del venditore di software e il timeframe medio fra la rilevazione di vulnerabilità ed i rilasci della zona di sicurezza. Questi tipi di metrica possono essere utili quando lo confronta competenza di sicurezza del fornitore uno contro di un altro.

Le pratiche migliori di sicurezza della catena di rifornimento di Cyber dettano che le organizzazioni valutano i processi di sicurezza, le procedure e le misure di sicurezza di tecnologia usate da tutto il loro ESSO fornitori. Per misurargli le pratiche di cybersecurity i fornitori, alcune organizzazioni critiche dell'infrastruttura conducono le verifiche proactive di sicurezza dei fornitori di servizio della nube, dei fornitori di software, dei fornitori di fissaggi, dei fornitori di servizi professionali che lo installano ed adattano per il cliente sistemi e di VARs/distributori che lo trasportano attrezzature e/o servizi.

Sono queste verifiche di sicurezza pratica normale? La ricerca di ESG rivela i risultati mixed. In media, appena sotto 50% delle organizzazioni critiche dell'infrastruttura verifichi sempre tutti i tipi di ESSO fornitori, un miglioramento notevole da 2010 in cui 28% delle organizzazioni critiche dell'infrastruttura lo ha verificato sempre loro fornitori. Tuttavia, ci è abbondanza tranquilla di stanza per miglioramento. Per esempio, 18% delle organizzazioni non verificano attualmente i processi di sicurezza e le procedure dei resellers, di VARs e dei distributori. Mentre l'avvenimento di Snowden indica, questi esperti di distribuzione può essere usato per interdiction della catena di rifornimento per l'introduzione il codice cattivo, i firmware, o dei backdoors in ESSO apparecchiatura per condurre un attacco designato o uno spionaggio industriale (si veda figura 8).

Verifiche di sicurezza del fornitore sembra essere una responsabilità comune con la squadra di cybersecurity che svolge un ruolo di sostegno. General amministrazione ha certa responsabilità del valutarla sicurezza del fornitore a due terzi (67%) delle organizzazioni, mentre la squadra di cybersecurity è dentro poco più della metà responsabile (51%) delle organizzazioni (si veda figura 9).

Questi risultati sono in qualche modo curiosi. Dopo tutto, perchè la squadra di cybersecurity non sarebbe responsabile di ESSO verifiche di sicurezza del fornitore in una certa capienza? Forse alcune organizzazioni lo osservano verifiche di sicurezza del fornitore come formalità facente parte la responsabilità della squadra di acquisizione, o lo richiamano verifiche di sicurezza del fornitore con lavoro di ufficio standard “del checkbox„ da solo. Senza riguardo al motivo, verifiche di sicurezza del fornitore fornirà il valore marginale senza svista hands-on di cybersecurity durante il processo.

Verifiche di sicurezza del fornitore varia ampiamente in termini di larghezza e profondità, in modo da ESG ha desiderato una certa comprensione nei meccanismi più comuni usati come componente del processo di verifica. Poco più della metà (54%) delle organizzazioni conduce una revisione hands-on storia di sicurezza dei loro fornitori'; la documentazione di revisione di 52%, i processi, la metrica di sicurezza ed i personali si sono riferiti processi di sicurezza della catena di rifornimento del cyber ai loro fornitori'; e rassegna di 51% verifiche interne di sicurezza dei loro fornitori' (si veda figura 10).

Naturalmente, molte organizzazioni includono alcuni di questi meccanismi come componente del loro ESSO verifiche di sicurezza del fornitore per ottenere una prospettiva più completa. Tuttavia, molte di queste considerazioni di verifica sono basate sulle prestazioni storiche. ESG suggerisce che le revisioni storiche sono completate con un certo tipo di sicurezza che controllano e/o un'intelligenza di cybersecurity che si ripartisce in moda da potere valutare più meglio le organizzazioni i rischi di sicurezza della catena di rifornimento del cyber in tempo reale.

Per valutare le politiche, i processi ed i comandi di cybersecurity con consistenza, tutti che verifiche di sicurezza del fornitore dovrebbe aderirsi ad una metodologia convenzionale e documentata. La ricerca di ESG indica che la metà di tutte le organizzazioni critiche dell'infrastruttura conduce un processo convenzionale di verifica di sicurezza in tutti i casi, mentre l'altra metà ha certa flessibilità deviare da convenzionale ESSO processi di verifica di sicurezza del fornitore occasionalmente (si veda figura 11). Vale la pena di notare che 57% delle organizzazioni di servizi finanziari hanno un processo convenzionale di verifica di sicurezza per ESSO fornitori che devono essere seguiti in tutti i casi, in contrasto con 47% delle organizzazioni in altre industrie. Ciò è un'altra indicazione che le ditte di servizi finanziari tendono ad avere le politiche e processi avanzati e più rigorosi di cybersecurity che quelle da altre industrie.

Verifiche di sicurezza del fornitore coinvolge la raccolta di dati, l'analisi, le valutazioni e la risoluzione finale. Da una prospettiva notante, poco più della metà (51%) delle organizzazioni critiche dell'infrastruttura impiega la metrica/scorecards convenzionali in cui fornitori deve raggiungere un determinato profilo di cybersecurity per qualificarsi come fornitore approvato. Il resto delle organizzazioni critiche dell'infrastruttura ha guida di riferimento-32% meno rigorosa non avere un processo convenzionale di revisione del fornitore ma metrica specifica per la qualificazione del fornitore, mentre comportamento di 16% un processo informale di revisione (si veda figura 12).

In generale, la ricerca di ESG indica che molte organizzazioni critiche non stanno facendogli abbastanza diligence dovuto con verifiche di cybersecurity del fornitore. Per minimizzare il rischio di avvenimento di sicurezza della catena di rifornimento del cyber, le pratiche migliori di verifica del fornitore dovrebbero includere i seguenti tre punti:

1. L'organizzazione verifica sempre i processi interni di sicurezza di strategico ESSO fornitori.

1. L'organizzazione usa un processo standard convenzionale di verifica per tutti ESSO verifiche del fornitore.

2. L'organizzazione impiega la metrica/scorecards convenzionali in cui fornitori deve eccedere una soglia notante per qualificarsi per ESSO che comprano l'approvazione.

Quando ESG ha valutato le organizzazioni critiche dell'infrastruttura con questa serie di ESSO punti di verifica del fornitore, i risultati estremamente stavano affliggendo. Per esempio, in media, soltanto 14% della popolazione totale di indagine si è aderito a tutti e tre i punti di pratica migliori quando verifica la sicurezza dei loro fornitori strategici dell'infrastruttura (veda la tabella 3). Poiché i fornitori strategici dell'infrastruttura sono verificati il più spesso, è sicuro supporre che più meno di 14% della popolazione totale di indagine segue queste pratiche migliori quando verifica la sicurezza dei fornitori del software, fornitori di servizio della nube, i servizi professionali consolida e distributori.

È inoltre notevole che i dati di ESG mostrano a miglioramenti marginali per quanto riguarda ESSO la sicurezza del fornitore che verifica le pratiche migliori durante i cinque anni ultimi. In 2010, soltanto 10% delle organizzazioni critiche dell'infrastruttura ha seguito tutti e sei i punti di pratica migliori, mentre 14% fanno così in 2015. Chiaramente, ci è ancora stanza molto per miglioramento.

Senza riguardo alle mancanze di verifica di sicurezza, molte organizzazioni critiche dell'infrastruttura sono in qualche modo bullish circa il loro ESSO sicurezza dei fornitori'. In media, 41% dei professionisti di cybersecurity valutano tutti i tipi di ESSO fornitori come eccellenti in termini di loro impegno a e comunicazioni circa i loro processi e procedure interni di sicurezza, condotti dai fornitori strategici dell'infrastruttura che realizzano una valutazione eccellente da 49% dei professionisti di cybersecurity esaminati (si veda figura 13).

Le organizzazioni critiche dell'infrastruttura lo hanno dato loro fornitori valutazioni più positive di sicurezza in 2015 rispetto a 2010. Per esempio, soltanto 19% delle organizzazioni critiche dell'infrastruttura ha valutato i loro fornitori strategici dell'infrastruttura come eccellenti in 2010 rispetto a 49% di 2015. Molti fornitori ha riconosciuto l'importanza di sviluppo il cybersecurity nei prodotti e dei processi durante questo timeframe ed è molto più prossimo circa i loro miglioramenti di cybersecurity. Ancora, le organizzazioni critiche dell'infrastruttura hanno aumentato la quantità di diligence dovuto di sicurezza del fornitore durante gli ultimi cinque anni, conducente alla visibilità più grande ed alle valutazioni migliorate del fornitore.

Le notizie non sono tutto il buone poichè almeno 12% delle organizzazioni critiche dell'infrastruttura sono soltanto disposti a darle loro fornitori' processi e procedure interni di sicurezza un soddisfacente, fiera, o povera valutazione. ESG è interessato particolarmente delle valutazioni connesse con i resellers, VARs ed i distributori da 24% delle organizzazioni critiche dell'infrastruttura valutano i loro processi e procedure come soddisfacenti, fiera, o poveri interni di sicurezza. Ciò sta disturbandosi particolarmente poiché figura 10 rivela che 18% delle organizzazioni critiche dell'infrastruttura non effettuano le verifiche di sicurezza sui resellers, su VARs e sui distributori. Basato su tutti questi dati, sembra che le organizzazioni critiche dell'infrastruttura rimangano vulnerabili agli attacchi di cybersecurity (come interdiction della catena di rifornimento) che emanano dai resellers, da VARs e dai distributori.

Fissaggi e software spesso è messo a punto, sperimentato, montato, o è prodotto in paesi multipli con i gradi di variazione di protezione di brevetto o della svista legale. Alcuni di questi paesi sono “basi calde„ conosciute di cybercrime o persino di cyber-spionaggio dichiarare-patrocinato. Dato queste realtà, si penserebbe che le organizzazioni critiche dell'infrastruttura seguissero con attenzione le origini del ESSO prodotti comprati ed usati dalle loro ditte.

I dati del ESG suggeriscono che la maggior parte delle ditte sono almeno in qualche modo determinate circa il lineage geografico del loro ESSO beni (si veda figura 14). Dovrebbe anche essere notato che ci sono stati miglioramenti misurabili in questa zona poichè 41% delle organizzazioni critiche dell'infrastruttura sono molto sicuri che conoscono il paese in cui loro di prodotto software e dei fissaggi originalmente è stata sviluppata e/o prodotto stata rispetto a soltanto 24% di 2010. Ancora una volta, ESG attribuisce questo progresso ai miglioramenti in ESSO diligence dovuto di sicurezza del fornitore, svista più grande di sicurezza della catena di rifornimento all'interno del ESSO Comunità del fornitore e consapevolezza generale aumentata di sicurezza della catena di rifornimento del cyber attraverso l'intera Comunità di cybersecurity in questi ultimi cinque anni.

Mentre i professionisti di cybersecurity lo hanno dato a valutazioni positive al loro fornitori' sicurezza e sono ragionevolmente sicuri circa le origini del loro ESSO fissaggi e software, rimangono vulnerabili a causa di fissaggi insicuri ed il software che lo aggira in qualche modo verifiche di sicurezza del fornitore, cade attraverso le crepe e l'estremità in su negli ambienti di produzione. Infatti, la maggior parte (58%) delle organizzazioni critiche dell'infrastruttura ammette che usano i prodotti insicuri e/o i servizi che sono un tema di inquietudine (si veda figura 15). Uno prodotto o la vulnerabilità di servizio potrebbe rappresentare “il collegamento debole„ che proverbial quello conduce all'cyber-attaca sulla griglia di alimentazione, la rete dell'atmosfera, o il rifornimento idrico.

Sicurezza della catena di rifornimento di Cyber ed assicurazione del software

L'assicurazione del software è un altro tenet chiave di sicurezza della catena di rifornimento del cyber poichè richiama i rischi connessi con un attacco di cybersecurity che designa il software come bersaglio di affari. Gli Stati Uniti Il reparto di difesa definisce l'assicurazione del software come:

“Il livello di riservatezza che il software è intenzionalmente esente dalle vulnerabilità, ha progettato nel software o casualmente ha inserito in qualunque momento durante il relativo lifecycle e che il software funziona nel modo progettato.„

Le organizzazioni critiche dell'infrastruttura tendono ad renderle sofisticato requisiti, in modo da viene come nessuna sorpresa che 40% delle organizzazioni esaminate sviluppano una quantità significativa di software per uso interno mentre gli altri 41% delle organizzazioni sviluppano una quantità moderata di software per uso interno (si veda figura 16).

Le vulnerabilità del software continuano a rappresentare un vettore importante di minaccia per cyber-attaca. Per esempio, la frattura 2015 e le indagini di dati di Verizon segnalano trovato che gli attacchi di applicazione di fotoricettore hanno rappresentato 9.4% dei modelli di classificazione di avvenimento all'interno delle fratture confermate di dati. Da c'è ne scritti male, il software insicuro potrebbe rappresentare un rischio significativo ai funzionamenti di affari, ESG ha chiesto ai dichiaranti di valutare le loro organizzazioni sulla sicurezza del loro software internamente sviluppato. I risultati variano notevolmente: 47% dei dichiaranti dicono che sono molto sicure nella sicurezza del software internamente sviluppato della loro organizzazione, ma 43% sono soltanto in qualche modo sicuri e gli altri 8% rimangono neutri (si veda figura 17).

Ci è un aumento leggero nel livello di riservatezza in questi ultimi cinque anni come 36% dei professionisti di cybersecurity che lavorano alle organizzazioni critiche dell'infrastruttura era molto sicuro nella sicurezza del software internamente sviluppato della loro organizzazione in 2010 rispetto oggi a 47%. Ma questo è un miglioramento marginale nel migliore dei casi.

Per valutare più obiettivamente la sicurezza del software, ESG ha chiesto a dichiaranti a se la loro organizzazione avvertisse mai un avvenimento di sicurezza direttamente relativo al compromesso di software internamente sviluppato. Mentre risulta, un terzo delle organizzazioni critiche dell'infrastruttura ha avvertito un o parecchio avvenimento di sicurezza che direttamente sono stati collegati con il compromesso di software internamente sviluppato (si veda figura 18).

Da una prospettiva di industria, 39% delle ditte di servizi finanziari hanno avvertito un avvenimento di sicurezza direttamente relativo al compromesso di software internamente sviluppato rispetto a 30% delle organizzazioni da altre industrie critiche dell'infrastruttura. Ciò accade malgrado il fatto che servizi finanziari tende ad avanzare le abilità di cybersecurity e le risorse sufficienti di cybersecurity. ESG scopre che questi dati specialmente si disturbano poiché cyber-attacchi sugli Stati Uniti importanti la banca ha potuto interrompere il sistema finanziario domestico, avere effetto sui mercati globali e causare il panico voluminoso del consumatore.

Le organizzazioni critiche dell'infrastruttura riconoscono i rischi connessi con software insicuro ed attivamente stanno impiegando una varietà di comandi di sicurezza e di programmi di assicurazione del software. Il più popolare di questi è inoltre il più facile da effettuare poichè 51% delle organizzazioni esaminate hanno schierato le pareti refrattarie di applicazione per ostruire lo applicazione-strato cyber-attacano quali le iniezioni e il traversa-luogo di SQL che scripting (XSS). Oltre che le pareti refrattarie schieranti di applicazione, circa la metà delle organizzazioni critiche dell'infrastruttura esaminate anche includa gli attrezzi difficili di sicurezza come componente dei loro processi di sviluppo del software, misurando la loro sicurezza del software in rapporto ai campioni pubblicamente disponibili, fornendo lo sviluppo sicuro del software che addestra agli sviluppatori interni ed adottante i processi sicuri di lifecycle di sviluppo del software (si veda figura 19). Naturalmente, molte organizzazioni sono agganciate simultaneamente in alcune di queste attività per sostenere la sicurezza del loro software homegrown.

I programmi di sviluppo sicuri del software sono certamente un punto nel giusto senso, ma l'efficacia di assicurazione del software è una funzione di due fattori: i tipi di programmi impiegati e la consistenza di questi programmi. La ricerca di ESG rivela che poco più della metà delle organizzazioni critiche dell'infrastruttura tratta i processi e le procedure sicuri di sviluppo del software come mandato di impresa, in modo da è probabile che queste ditte hanno una metodologia sicura costante di sviluppo del software attraverso l'organizzazione.

Alternativamente, 42% delle organizzazioni critiche dell'infrastruttura esaminate effettuano i processi e le procedure sicuri di sviluppo del software come mandati di linea-de-commercio o dipartimentali (si veda figura 20). I processi decentralizzati di sicurezza del software come questi possono condurre a variabilità tremenda dove alcuni reparti istituiscono i programmi forti di assicurazione del software mentre altri non. Ancora, i programmi di sviluppo sicuri del software possono variare durante l'impresa dove un reparto fornisce l'addestramento ed i processi convenzionali mentre un altro schiera semplicemente una parete refrattaria di applicazione. Mentre il vecchio detto va, “una mela difettosa può rovinare il mazzo intero„ - un singolo reparto che schiera il software internamente sviluppato insicuro può aprire il portello a danneggiare cyber-attaca che effetto l'intera impresa ed interrompe i servizi critici dell'infrastruttura come distribuzione di viveri, sanità, o le telecomunicazioni.

Le organizzazioni critiche dell'infrastruttura stanno effettuando i programmi di sviluppo sicuri del software per un certo numero di motivi, compreso aderirsi alle pratiche migliori di cybersecurity generale (63%), addossandosi i mandati regolatori di conformità (55%) e gli oneri d'abbassamento perfino riparando gli insetti di sicurezza del software nel processo di sviluppo (si veda figura 21).

È inoltre notevole che 27% delle organizzazioni critiche dell'infrastruttura stanno stabilendo i programmi di sviluppo sicuri del software in previsione di nuova legislazione. Queste organizzazioni possono pensare in termini di struttura di cybersecurity del NIST (CSF) in primo luogo introdotta nel febbraio 2014. Anche se la conformità al CSF è oggi volontario, può evolversi in un'amministrazione di rischio comune ed in un campione regolatore di conformità che sostituisce altre regolazioni di industria e di governo come FISMA, GLBA, HIPAA e PCI-DSS in avvenire. Ancora, il CSF può anche trasformarsi in in un campione per benchmarking rischio come componente di assicurazione del cyber che sottoscrive e può essere usato determinare premi di assicurazione di organizzazioni'. Dato queste possibilità, le organizzazioni critiche dell'infrastruttura sarebbero saggie da consultare il CSF, da valutare le raccomandazioni di CSF per sicurezza del software e da usare il CSF per guidare i loro processi e comandi di sicurezza del software ove possibile.

Oltre alle azioni continue di sicurezza del software intraprese oggi, le organizzazioni critiche dell'infrastruttura inoltre hanno programma di programmi-28% di futuro per includere gli attrezzi difficili di sicurezza specifica come componente di sviluppo del software, 25% aggiungerà le pareti refrattarie di applicazione di fotoricettore alla loro infrastruttura e 24% assumerà gli sviluppatori ed i responsabili di sviluppo con le abilità sicure di sviluppo del software (si veda figura 22). Questi programmi ambiziosi indicano che CISOs riconosce le loro mancanze di sicurezza di sviluppo del software e sta prendendo le precauzioni per attenuare il rischio.

Alcuni sviluppo del software, manutenzione ed attività difficili sono spesso outsourced agli appaltatori ed ai fornitori di servizio di terzi. Ciò è il caso alla metà delle organizzazioni critiche dell'infrastruttura che hanno partecipato a questa indagine di ricerca di ESG (si veda figura 23).

Come componente di questi rapporti, molte organizzazioni critiche dell'infrastruttura dispongono i requisiti contrattuali di cybersecurity specifico sui soci di terzi di sviluppo del software. Per esempio, sicurezza del mandato di 43% che esamina come componente del processo di accettazione, dei controlli della priorità bassa della domanda di 41% sugli sviluppatori di terzi del software e dei progetti di sviluppo del software di rassegna di 41% a vulnerabilità di sicurezza (si veda figura 24).