El Estándar Abierto de Proveedores de Tecnología Confiable (O-TTPS) ( Mitigación de productos falsificados y contaminados maliciosamente ) es un estándar de The Open Group que también ha sido aprobado para su publicación como estándar de tecnología de la información por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional a través de ISO/IEC JTC 1 y ahora también se conoce como ISO/IEC 20243:2015. [1] El estándar consta de un conjunto de directrices, requisitos y recomendaciones que se alinean con las mejores prácticas para la seguridad de la cadena de suministro global y la integridad de los productos comerciales de tecnología de la información y la comunicación (TIC) disponibles en el mercado . [2] [3] Actualmente se encuentra en la versión 1.1. [4] [5] También se ha publicado una traducción al chino. [6]
El O-TTPS se desarrolló en respuesta a un panorama cambiante y a la creciente sofisticación de los ataques de ciberseguridad en todo el mundo. [7] La intención es ayudar a los proveedores a crear productos con integridad y permitir que sus clientes tengan más confianza en los productos tecnológicos que compran. [8] Las organizaciones de los sectores público y privado dependen en gran medida de los productos TIC COTS para ejecutar sus operaciones. Estos productos suelen producirse a nivel mundial, y el desarrollo y la fabricación se llevan a cabo en diferentes sitios en varios países. [9] El O-TTPS está diseñado para mitigar el riesgo de componentes falsificados y contaminados y para ayudar a garantizar la integridad del producto y la seguridad de la cadena de suministro durante todo el ciclo de vida del producto. [10] [11]
El Trusted Technology Forum (OTTF) del Open Group es un foro internacional independiente de proveedores que utiliza un proceso formal basado en el consenso para la colaboración y la toma de decisiones sobre la creación de estándares y programas de certificación para tecnología de la información, incluido el O-TTPS. [12] En el foro, proveedores, integradores y distribuidores de TIC trabajan con organizaciones y gobiernos para desarrollar estándares que especifiquen métodos seguros de ingeniería y fabricación junto con prácticas de seguridad de la cadena de suministro. [13]
La Guía de implementación para aprovechar proveedores de tecnología abierta y confiable en la cadena de suministro [14] proporciona un mapeo entre el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) [15] y las prácticas organizacionales relacionadas enumeradas en el O-TTPS. El NIST hizo referencia a O-TTPS en su publicación especial NIST 800-161 "Prácticas de gestión de riesgos de la cadena de suministro para organizaciones y sistemas de información federales" que brinda orientación a las agencias federales sobre la identificación, evaluación y mitigación de los riesgos de la cadena de suministro de TIC en todos los niveles de sus organizaciones. [dieciséis]
El estándar, desarrollado por expertos de la industria dentro del Foro, especifica prácticas organizacionales que brindan garantía contra productos falsificados y contaminados maliciosamente durante todo el ciclo de vida del producto COTS ICT. [17] El ciclo de vida descrito en la norma abarca las siguientes fases: diseño, abastecimiento, construcción, cumplimiento, distribución, mantenimiento y eliminación.
Las organizaciones pueden obtener la certificación de su cumplimiento del estándar a través del Programa de acreditación de proveedores de tecnología confiable de Open Group. [18] La conformidad con la norma es evaluada por evaluadores externos reconocidos. [19] Una vez que se ha evaluado con éxito que una organización cumple con el estándar, la organización se incluye públicamente en el Registro de Acreditación del Open Group. [20] El proceso de evaluación por terceros se rige por la Política de Acreditación y los Procedimientos de Evaluación. [21]
El esfuerzo para construir el estándar comenzó en enero de 2010 con una reunión organizada por The Open Group y que incluyó a importantes representantes de la industria y el Departamento de Defensa de los Estados Unidos y la NASA . El Foro Abierto de Tecnología Confiable se lanzó formalmente en diciembre de 2010 para desarrollar estándares industriales y mejorar la seguridad de las cadenas de suministro globales y la integridad de los productos TIC COTS. [22]
La primera publicación del Foro fue un documento técnico que describía el marco general de tecnología confiable en 2010. [23] El documento técnico se centró ampliamente en las mejores prácticas generales que siguen las buenas organizaciones comerciales al crear y entregar sus productos TIC COTS. Ese amplio enfoque se redujo a finales de 2010 y principios de 2011 para abordar las amenazas más destacadas de productos falsificados y contaminados maliciosamente, lo que dio lugar a la O-TTPS, que se centra específicamente en esas amenazas.
La primera versión de O-TTPS se publicó en abril de 2013. [24] La versión 1.1 del estándar O-TTPS se publicó en julio de 2014. [4] Esta versión fue aprobada por ISO/IEC en 2015 como ISO/IEC 20243:2015. .
El programa de acreditación O-TTPS comenzó en febrero de 2014. IBM fue la primera empresa en lograr la acreditación de conformidad con el estándar. [25]
El estándar y el programa de acreditación se mencionaron en un testimonio presentado ante el Congreso de los EE. UU. sobre el riesgo de la cadena de suministro y la ciberseguridad. [26] [27] La Sección 888 de la Ley de Autorización de Defensa Nacional para el año fiscal 2016 (Estándares para la adquisición de tecnología de la información segura y sistemas de seguridad cibernética) requiere que el Secretario de Defensa de los Estados Unidos realice una evaluación de O-TTPS o similar pública, abierta estándares tecnológicos e informar a los Comités de Servicios Armados del Senado y la Cámara de Representantes de los EE. UU. en el plazo de un año. [28]
{{cite journal}}
: Citar diario requiere |journal=
( ayuda )