To address these issues, President Obama and various senators and congressman have proposed several cybersecurity programs such as the NIST Cybersecurity Framework and an increase in threat intelligence sharing between critical infrastructure organizations and federal intelligence and law enforcement agencies. Of course, federal cybersecurity discussions are nothing new. Recognizing a national security vulnerability, President Clinton first addressed critical infrastructure protection (CIP) with Presidential Decision Directive 63 (PDD-63) in 1998. Soon thereafter, Deputy Defense Secretary John Hamre cautioned the U.S. Congress about CIP by warning of a potential “cyber Pearl Harbor.” Hamre stated that a devastating cyber-attack, “… is not going to be against Navy ships sitting in a Navy shipyard. It is going to be against commercial infrastructure.” |
Para tratar estas ediciones, presidente Obama y los varios senadores y miembro del Congreso han propuesto varios programas del cybersecurity tales como el marco del NIST Cybersecurity y un aumento en la inteligencia de la amenaza que compartía entre las organizaciones críticas de la infraestructura y las agencias federales de la aplicación de la inteligencia y de ley. Por supuesto, las discusiones federales del cybersecurity son nada nuevo. Reconociendo una vulnerabilidad de la seguridad nacional, presidente Clinton primero trató la protección crítica de la infraestructura (CIP) con el directorio presidencial 63 (PDD-63) de la decisión en 1998. Pronto después de eso, diputado Defense Secretary Juan Hamre advirtió los E.E.U.U. Congreso sobre el CIP por la advertencia “de un puerto de perla potencial del cyber.” Hamre indicó que un devastador cyber-ataca, “… no va a estar contra las naves de la marina de guerra que se sentaban en un astillero de la marina de guerra. Va a estar contra la infraestructura comercial.” |
Security professionals working at critical infrastructure industries have been directly or indirectly engaged with U.S. Federal Government cybersecurity programs and initiatives through several presidential administrations. Given this lengthy timeframe, ESG wondered whether these security professionals truly understood the U.S. government’s cybersecurity strategy. |
Los profesionales de la seguridad que trabajaban en las industrias críticas de la infraestructura han estado directamente o han enganchado indirectamente con programas e iniciativas del cybersecurity del gobierno federal de los E.E.U.U. a través de varias administraciones presidenciales. Dado este timeframe muy largo, ESG se preguntaba si estos profesionales de la seguridad entendían verdad los E.E.U.U. estrategia del cybersecurity del gobierno. |
According to Figure 4, the results are mixed at best. One could easily conclude that the data resembles a normal curve in which the majority of respondents believe that the U.S. government’s cybersecurity strategy is somewhat clear while the rest of the survey population is distributed between those that believe that the U.S. government’s cybersecurity strategy is very clear and those that say it is unclear. ESG views the results somewhat differently, however. In spite of over 20 years of U.S. Federal cybersecurity discussions, many security professionals remain uncertain about what the government plans to do in this space. Clearly, the U.S. Federal Government needs to clarify its mission, its objectives, and its timeline with cybersecurity professionals to gain their trust and enlist their support for public/private programs. |
Según el cuadro 4, los resultados se mezclan en el mejor de los casos. Uno podría concluir fácilmente que los datos se asemejan a una curva normal en la cual la mayoría de respondedores crea que los E.E.U.U. la estrategia del cybersecurity del gobierno está algo clara mientras que el resto de la población del examen se distribuye entre los que crean que los E.E.U.U. la estrategia del cybersecurity del gobierno está muy clara y las que la dicen son confusas. ESG ve los resultados algo diferentemente, sin embargo. A pesar sobre de 20 años de discusiones federales del cybersecurity de los E.E.U.U., muchos profesionales de la seguridad siguen siendo inciertos sobre lo que los planes del gobierno a hacer en este espacio. Claramente, el gobierno federal de los E.E.U.U. necesita clarificar su misión, sus objetivos, y su timeline con los profesionales del cybersecurity para ganar su confianza y para alistar su ayuda para los programas públicos/privados. |
While critical infrastructure security professionals may be tentative about the Federal Government’s strategy, they would also like to see Washington become more engaged. Nearly half (45%) of critical infrastructure organizations believe that the U.S. Federal Government should be significantly more active with cybersecurity strategies and defenses while 38% believe that the U.S. Federal Government should be somewhat more active with cybersecurity strategies and defenses (see Figure 5). |
Mientras que los profesionales críticos de la seguridad de la infraestructura pueden ser tentativos sobre la estrategia del gobierno federal, también quisieran ver Washington engancharse. La mitad (el 45%) de las organizaciones críticas de la infraestructura cree casi que el gobierno federal de los E.E.U.U. debe estar considerablemente más activo con estrategias y defensas del cybersecurity mientras que los 38% creen que el gobierno federal de los E.E.U.U. debe ser algo más activo con estrategias y defensas del cybersecurity (véase el cuadro 5). |
Finally, ESG asked the entire survey population of security professionals what types of cybersecurity actions the U.S. government should take. Nearly half (47%) believe that Washington should create better ways to share security information with the private sector. This aligns well with President Obama’s executive order urging companies to share cybersecurity threat information with the Federal Government and one another. Cybersecurity professionals have numerous other suggestions as well. Some of these could be considered government cybersecurity enticements. For example, 37% suggest more funding for cybersecurity education programs while 36% would like more incentives like tax breaks or matching funds for organizations that invest in cybersecurity. Alternatively, many cybersecurity professionals recommend more punitive or legislative measures—44% believe that the Federal Government should create a “black list” of vendors with poor product security (i.e., the cybersecurity equivalent of a scarlet letter), 40% say that the Federal Government should limit its IT purchasing to vendors that display a superior level of security, and 40% endorse more stringent regulations like PCI DSS or the institution of laws with higher fines for data breaches (see Figure 6). |
Finalmente, ESG preguntó a población entera del examen de los profesionales de la seguridad qué tipos de acciones del cybersecurity los E.E.U.U. el gobierno debe tomar. (El 47%) crea casi a medias que Washington debe crear maneras mejores de compartir la información de la seguridad con el sector privado. Esto alinea bien con la pedido ejecutiva de presidente Obama que impulsa a compañías compartir la información de la amenaza del cybersecurity con el gobierno federal y el otro. Los profesionales de Cybersecurity tienen numeroso otras sugerencias también. Algunos de éstos se podían considerar las tentaciones del cybersecurity del gobierno. Por ejemplo, los 37% sugieren el financiamiento para los programas de la educación del cybersecurity mientras que el 36% quisieran más incentivos como roturas de impuesto o fondos que emparejan para las organizaciones que invierten en cybersecurity. Alternativomente, muchos profesionales del cybersecurity recomiendan más punitivo o las medidas-44% legislativas creen que el gobierno federal debe crear una “lista negra” de vendedores con seguridad pobre del producto (es decir, el equivalente del cybersecurity de una letra del escarlata), la opinión del 40% que el gobierno federal debe limitarla su que compra a los vendedores que exhiben un nivel superior de la seguridad, y los 40% endosan regulaciones más rigurosas como PCI DSS o la institución de leyes con multas más altas para los datos practica una abertura (véase el cuadro 6). |