Estándar abierto de proveedor de tecnología confiable

El Estándar Abierto de Proveedores de Tecnología Confiable (O-TTPS) ( Mitigación de productos falsificados y contaminados maliciosamente ) es un estándar de The Open Group que también ha sido aprobado para su publicación como estándar de tecnología de la información por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional a través de ISO/IEC JTC 1 y ahora también se conoce como ISO/IEC 20243:2015. ^[1] El estándar consta de un conjunto de directrices, requisitos y recomendaciones que se alinean con las mejores prácticas para la seguridad de la cadena de suministro global y la integridad de los productos comerciales de tecnología de la información y la comunicación (TIC) disponibles en el mercado . ^{[2] [3]} Actualmente se encuentra en la versión 1.1. ^{[4] [5]} También se ha publicado una traducción al chino. ^[6]

Fondo

El O-TTPS se desarrolló en respuesta a un panorama cambiante y a la creciente sofisticación de los ataques de ciberseguridad en todo el mundo. ^[7] La ​​intención es ayudar a los proveedores a crear productos con integridad y permitir que sus clientes tengan más confianza en los productos tecnológicos que compran. ^[8] Las organizaciones de los sectores público y privado dependen en gran medida de los productos TIC COTS para ejecutar sus operaciones. Estos productos suelen producirse a nivel mundial, y el desarrollo y la fabricación se llevan a cabo en diferentes sitios en varios países. ^[9] El O-TTPS está diseñado para mitigar el riesgo de componentes falsificados y contaminados y para ayudar a garantizar la integridad del producto y la seguridad de la cadena de suministro durante todo el ciclo de vida del producto. ^{[10] [11]}

El Trusted Technology Forum (OTTF) del Open Group es un foro internacional independiente de proveedores que utiliza un proceso formal basado en el consenso para la colaboración y la toma de decisiones sobre la creación de estándares y programas de certificación para tecnología de la información, incluido el O-TTPS. ^[12] En el foro, proveedores, integradores y distribuidores de TIC trabajan con organizaciones y gobiernos para desarrollar estándares que especifiquen métodos seguros de ingeniería y fabricación junto con prácticas de seguridad de la cadena de suministro. ^[13]

La Guía de implementación para aprovechar proveedores de tecnología abierta y confiable en la cadena de suministro ^[14] proporciona un mapeo entre el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) ^[15] y las prácticas organizacionales relacionadas enumeradas en el O-TTPS. El NIST hizo referencia a O-TTPS en su publicación especial NIST 800-161 "Prácticas de gestión de riesgos de la cadena de suministro para organizaciones y sistemas de información federales" que brinda orientación a las agencias federales sobre la identificación, evaluación y mitigación de los riesgos de la cadena de suministro de TIC en todos los niveles de sus organizaciones. ^[dieciséis]

Objetivo

El estándar, desarrollado por expertos de la industria dentro del Foro, especifica prácticas organizacionales que brindan garantía contra productos falsificados y contaminados maliciosamente durante todo el ciclo de vida del producto COTS ICT. ^[17] El ciclo de vida descrito en la norma abarca las siguientes fases: diseño, abastecimiento, construcción, cumplimiento, distribución, mantenimiento y eliminación.

Medición y Certificación

Las organizaciones pueden obtener la certificación de su cumplimiento del estándar a través del Programa de acreditación de proveedores de tecnología confiable de Open Group. ^[18] La conformidad con la norma es evaluada por evaluadores externos reconocidos. ^[19] Una vez que se ha evaluado con éxito que una organización cumple con el estándar, la organización se incluye públicamente en el Registro de Acreditación del Open Group. ^[20] El proceso de evaluación por terceros se rige por la Política de Acreditación y los Procedimientos de Evaluación. ^[21]

Historia

El esfuerzo para construir el estándar comenzó en enero de 2010 con una reunión organizada por The Open Group y que incluyó a importantes representantes de la industria y el Departamento de Defensa de los Estados Unidos y la NASA . El Foro Abierto de Tecnología Confiable se lanzó formalmente en diciembre de 2010 para desarrollar estándares industriales y mejorar la seguridad de las cadenas de suministro globales y la integridad de los productos TIC COTS. ^[22]

La primera publicación del Foro fue un documento técnico que describía el marco general de tecnología confiable en 2010. ^[23] El documento técnico se centró ampliamente en las mejores prácticas generales que siguen las buenas organizaciones comerciales al crear y entregar sus productos TIC COTS. Ese amplio enfoque se redujo a finales de 2010 y principios de 2011 para abordar las amenazas más destacadas de productos falsificados y contaminados maliciosamente, lo que dio lugar a la O-TTPS, que se centra específicamente en esas amenazas.

La primera versión de O-TTPS se publicó en abril de 2013. ^[24] La versión 1.1 del estándar O-TTPS se publicó en julio de 2014. ^[4] Esta versión fue aprobada por ISO/IEC en 2015 como ISO/IEC 20243:2015. .

El programa de acreditación O-TTPS comenzó en febrero de 2014. IBM fue la primera empresa en lograr la acreditación de conformidad con el estándar. ^[25]

El estándar y el programa de acreditación se mencionaron en un testimonio presentado ante el Congreso de los EE. UU. sobre el riesgo de la cadena de suministro y la ciberseguridad. ^{[26] [27]} La ​​Sección 888 de la Ley de Autorización de Defensa Nacional para el año fiscal 2016 (Estándares para la adquisición de tecnología de la información segura y sistemas de seguridad cibernética) requiere que el Secretario de Defensa de los Estados Unidos realice una evaluación de O-TTPS o similar pública, abierta estándares tecnológicos e informar a los Comités de Servicios Armados del Senado y la Cámara de Representantes de los EE. UU. en el plazo de un año. ^[28]

Ver también

• Seguridad de la cadena de suministro
• Componentes electrónicos falsificados
• Organización Internacional de Normalización
• Comercial listo para usar
• Tecnología de información y comunicaciones

Referencias

1. "ISO/IEC 20243:2015". ISO.org . ISO.org . Consultado el 24 de septiembre de 2015 .
2. Bartol, Nadya (23 de mayo de 2016). "ADN de las prácticas de seguridad de la cadena de suministro cibernético: completar el rompecabezas utilizando un conjunto diverso de disciplinas". Tecnonovación . 34 (7): 354–361. doi :10.1016/j.technovation.2014.01.005.
3. Whitman, Dave (marzo de 2015). "Ciberseguridad en las cadenas de suministro". En LeClair, Jane; Keeley, Gregory (eds.). Ciberseguridad en nuestras vidas digitales . Prensa del Hudson Whitman Excelsior College. ISBN 978-0-9898451-4-4.
4. "Biblioteca de publicaciones de Open Group". opengroup.org . El grupo abierto . Consultado el 22 de junio de 2015 .
5. "ISO/IEC 20243:2015 - Tecnología de la información - Estándar abierto de proveedor de tecnología confiable (O-TTPS) - Mitigación de productos falsificados y contaminados maliciosamente". YO ASI . Consultado el 23 de mayo de 2016 .
6. "Estándar abierto de proveedor de tecnología confiable 1.1 (chino)". Biblioteca de publicaciones del grupo abierto . El grupo abierto . Consultado el 6 de junio de 2016 .
7. "Seguridad de la cadena de suministro de TI: revisión de los esfuerzos del gobierno y la industria". Cámara de Representantes de Estados Unidos.
8. Messmer, Ellen. "El Departamento de Defensa quiere una cadena de suministro global segura de alta tecnología". Mundo de la Red . IDG (Grupo Internacional de Datos) . Consultado el 30 de marzo de 2015 .
9. Lennon, Mike (9 de marzo de 2012). "La USCC publica un informe sobre las capacidades chinas para operaciones cibernéticas y espionaje cibernético". Semana de la Seguridad . No. 9 de marzo de 2012. Wired Business Media . Consultado el 25 de enero de 2016 .
10. "Ciberseguridad: un examen de la cadena de suministro de las comunicaciones (testimonio ante el Subcomité de Comunicaciones y Tecnología del Comité de Energía y Comercio de la Cámara de Representantes de EE. UU." (PDF) . Consejo de la Industria de Tecnología de la Información . Consultado el 24 de septiembre de 2015 .
11. Prince, Brian (5 de marzo de 2012). "El consorcio impulsa estándares de seguridad para la cadena de suministro de tecnología". Semana de la seguridad . No. 5 de marzo de 2012. Wired Business Media . Consultado el 25 de enero de 2016 .
12. "Membresía". opengroup.org.
13. "Foro de tecnología confiable de Open Group". opengroup.org . El grupo abierto . Consultado el 11 de mayo de 2015 .
14. "Guía de implementación para aprovechar proveedores de tecnología abierta y confiable en la cadena de suministro". Recursos de la industria de ciberseguridad de NIST.Gov . El grupo abierto . Consultado el 24 de septiembre de 2015 .
15. "Marco de ciberseguridad". NIST.Gobernador . NIST.Gobernador . Consultado el 24 de septiembre de 2015 .
16. Boyens, Jon (abril de 2015). "Prácticas de gestión de riesgos de la cadena de suministro para organizaciones y sistemas de información federales". Instituto Nacional de Tecnología y Estándares. doi : 10.6028/NIST.SP.800-161 . {{cite journal}}: Citar diario requiere |journal=( ayuda )
17. "Resumen ejecutivo del testimonio de The Open Group en la audiencia del Subcomité de Investigaciones y Supervisión de Energía y Comercio de la Cámara de Representantes sobre seguridad de la cadena de suministro de TI: revisión de los esfuerzos del gobierno y la industria" (PDF) . Energycommerce.house.gov . Congreso de Estados Unidos . Consultado el 6 de junio de 2016 .
18. "Programa de acreditación de grupos abiertos". Grupo Abierto . Grupo Abierto . Consultado el 22 de junio de 2015 .
19. "Registro de Tasadores Reconocidos". opengroup.org . El grupo abierto . Consultado el 11 de mayo de 2015 .
20. "Registro de tecnología confiable de Open Group". El grupo abierto . El grupo abierto . Consultado el 22 de junio de 2015 .
21. "Política de acreditación del Estándar abierto de proveedores de tecnología confiable (O-TTPS)" (PDF) . El grupo abierto . El grupo abierto . Consultado el 25 de enero de 2016 .
22. "The Open Group anuncia la formación de un foro de tecnología confiable para identificar las mejores prácticas para asegurar la cadena de suministro de tecnología global". opengroup.org . Grupo Abierto . Consultado el 16 de abril de 2015 .
23. "Marco de tecnología abierta y confiable". opengroup.org . El grupo abierto . Consultado el 13 de abril de 2015 .
24. "O-TTPS". opengroup.org . El grupo abierto . Consultado el 11 de mayo de 2015 .
25. "Ingeniería segura de IBM". ibm.com . IBM Corp. Consultado el 13 de abril de 2015 .
26. "Comité de Energía y Comercio, Cámara de Representantes de Estados Unidos". Comité de Comercio y Energía de la Cámara de Representantes de los Estados Unidos . Consultado el 13 de abril de 2015 .
27. "Senado de Estados Unidos, Comercio, Ciencia y Transporte". Senado de Estados Unidos . Consultado el 13 de abril de 2015 .
28. "Ley de Autorización de Defensa Nacional para el Año Fiscal 2016 (S. 1356)". GovTrack.us . Consultado el 23 de mayo de 2016 .

enlaces externos

• http://csrc.nist.gov/scrm/references.html
• http://www.afcea.org/committees/cyber/documents/Supplychain.pdf
• https://www.networkworld.com/article/716997/malware-cybercrime-defense-department-wants-secure-global-high-tech-supply-chain.html
• http://www.computerworlduk.com/news/security/3343185/the-open-group-previews-o-ttps-security-standard-for-supply-chains/
• http://www.opengroup.org/subjectareas/trusted-technology
• http://www.infoworld.com/article/2613780/supply-chain-management/supply-chain-2013--stop-playing-whack-a-mole-with-security-threats.html
• http://washingtontechnology.com/microsites/2012/sewp-2012/04-program-office-takes-leadership-role.aspx
• https://www.dhs.gov/news/2011/01/06/securing-global-supply-chain
• http://blogs.ca.com/2013/04/12/the-launch-of-the-open-trusted-technology-provider-standard/?intcmp=searchresultclick&resultnum=1