La Asociación de la Industria de las Telecomunicaciones (TIA) ha anunciado el lanzamiento del primer estándar de seguridad de la cadena de suministro SCS 9001, desarrollado específicamente para la tecnología de la información y las comunicaciones (industria de las TIC), incluido el software, el hardware y los servicios que se conectan a las redes globales.
El objetivo del nuevo estándar es verificar la seguridad cibernética y física de extremo a extremo en toda la infraestructura de red de TIC. Para ello, el SCS 9001 se creó como un estándar basado en procesos con un programa de auditoría y certificación independiente para proveedores y proveedores de servicios para verificar que los procesos y controles de seguridad críticos estén implementados para sus productos y soluciones.
El SCS 9001 se basa en un sistema de gestión de calidad (QMS) que pone en práctica las pautas y mejores prácticas de la industria, como ISO 27001, las propuestas de Praga, los estándares NIST relevantes y los criterios CSIS para seguridad y confianza.
Tras 20 meses de trabajo del Grupo de Trabajo de Seguridad de la Cadena de Suministro del Foro QuEST de TIA y sus subcomités de expertos, el 31 de diciembre de 2021 se aprobó oficialmente el lanzamiento de SCS 9001.
Las etapas finales del proceso de desarrollo incluyeron una invitación para retroalimentación y comentarios sobre el borrador del estándar a más de 90 empresas y gobiernos de todo el mundo. Esto generó cerca de 500 comentarios diferentes que han sido revisados y abordados por el Grupo de Trabajo.
Soluciones de brechas de cobertura
El grupo de trabajo identificó todas las brechas de cobertura conocidas que existían en el panorama de los estándares de TIC, las cuales se abordaron mediante el uso de medidas, controles y procesos probados y enfocados que ayudan a las organizaciones a reducir significativamente su riesgo de infiltraciones y ataques cibernéticos.
Las organizaciones tienen la posibilidad de verificar que sus productos cumplan con el estándar aprobado por la industria con un programa de auditoría y certificación independiente autorizados por TIA.
Además, las organizaciones que cumplan con SCS 9001 recibirán informes de referencia de seguridad trimestrales y anuales anónimos para realizar un seguimiento del rendimiento de su organización frente a los mejores, peores y promedios resultados de la industria. Estos datos ayudarán a impulsar la mejora continua en toda la industria, especialmente a medida que las tecnologías avanzan y evolucionan.