IT-branschen ser ut att öppna betrodda Technology Forum för att hjälpa säkra leveranskedjor som stöder tekniska produkter

Lyssna på podcasten. Hitta det på iTunes / iPod och Podcast.com. Läs en fullständig utskrift eller ladda ner en kopia. Igen The Open Group.

J oin denna podcast diskussion i samband med den senaste Open Group konferens i Austin, Texas, för att undersöka The Open Group Trusted Technology Forum, även känd som OTTF, utformad för att hjälpa teknik förvärvare och köpare säkert genomföra globala inköp och supply chain handel.

Vi kommer att undersöka hur säkerhetsrisk för många företag och organisationer endast har ökat, även när dessa företag bilda viktiga partnerskap och integrerade leverantörsrelationer. Så hur kan alla spelare i en teknik ekosystem förstärknings försäkringar om att de andra deltagarna som ansluter sig till bästa praxis och ta lämpliga försiktighetsåtgärder?

Här för att hjälpa oss att bättre förstå hur etablerade standard bästa praxis och en tillhörande ackreditering tillvägagångssätt kan bidra till att göra leveranskedjorna starkare och säkrare är Dave Lounsbury, Chief Technical Officer på The Open Group, Steve Lipner, Senior Director of Security Engineering strategin inom Trustworthy Computing säkerhet på Microsoft, Joshua Brickman, chef för den federala certifieringsprogram Office på CA Technologies, och Andras Szakal, vice president och CTO på IBM: s federala Software Group. Diskussionen modereras av Dana Gardner, chefsanalytiker på Interarbor Solutions. [Upplysningar: The Open Group är en sponsor av BriefingsDirect podcasts.]

Här är några utdrag

L ounsbury: Ett underbart citationstecken som kommer ut med konferensen är att vi har flyttat hela världsekonomin att vara beroende av Internet, utan en backup plan. Någon w ho ser på världsekonomin kommer att se, inte bara är vi beroende av den för utbyte av värde i många fall, men även för information om hur vårt dagliga liv körs, trafik, hälsoinformation och sånt.

Det blir allt mycket viktigt att vi förstår alla aspekter av vad det innebär att ha förtroende i kedjan av komponenter som levererar att anslutning till oss, inte bara som tekniker, men som människor som bor i världen.

L ipner: Och angriparna blir mer beslutsamma och mer synlig över Internet ekosystemet. Leverantörer har intensifieras för att förbättra säkerheten i sitt produktutbud, men kunder berörs. Mycket av det vi gör i The Open Group och i OTTF handlar om att försöka ge dem ytterligare förtroende vad leverantörer gör, samt informera leverantörer vad de borde göra.

Enterprise Arkitekter Allt Utnyttja Advanced TOGAF9 för innovation, marknadsrespons och Governance Fördelar, Open Group Cloud Panel Prognoser Cloud s sporra Användbar övergångsfasen för Enterprise Architecture, The Open Group moln arbetsgrupp Advances Förståelse för Cloud användningsområden Fördelar för företag, Exploring the Role och inverkan av den öppna Trusted Technology Forum till en säker IT-produkter i globala leveranskedjor

B rickman: En av de saker som jag verkligen tycker om denna grupp är att du har alla ledare, alla som är imp ortant i detta utrymme, som arbetar tillsammans med ett gemensamt mål.

En av de saker som vi funderar över är om det finns en 100 procent felsäker lösning på cyber? Och det är verkligen inte. Det finns bara en bar som du kan ställa in, och frågan är hur mycket vill du göra angriparna spendera, innan de kan komma över det bar? Vad vi kommer att försöka göra är fastställa denna nivå, och arbetar tillsammans, känner jag mig väldigt uppmuntrande att vi får det, så långt.

Enterprise Software;? TechnologyOne tecken AU $ 6,2 affären med jordbruk, Samverkan, Vad är organiserande princip i dagens digitala arbetsplatsen,? Enterprise Software, söt SUSE! HPE hakar sig en Linux-distributioner, Enterprise Software, Apple att släppa iOS 10 den 13 september, MacOS Sierra den 20 september

S zakal: Vi kommer att utveckla en standard, eller är i färd med att utveckla en specifikation och slutligen ett certifieringsprogram, som kommer att validera leverantörer och mot att sta ndard.

Det är fokuserade på att bygga förtroende i en teknikleverantör organisation genom denna ackreditering program, underlättas genom endera av flera olika leveransmekanismer som vi arbetar med. Vi letar efter detta att bli ett globalt program med globala partners, när vi går vidare.

Global ansträngning; L ounsbury: Alla elektroniska eller informationssystem nu verkligen bygger på komponenter och mjukvara som levereras från hela världen. Vi har program som är utvecklat i en kontinent, hårdvara som är utvecklad i en annan, integrerat i en tredje, och använde g lobally.

Så vi verkligen behöver ha den typ av globala standarder och engagemang som Andras har hänvisat till, så att det är att en bar för alla klart för att kunna betraktas som en leverantör av pålitliga komponenter.

[Det har] skett en förändring i dessa attacker, från bara störande attacker, till de som är inriktade på monetarisering av IT-brott och exfiltration av data. Så det spektrum av hot ökar en hel del. Mer sofistikerade angripare söker smalare och smalare angrepps varje gång. Så att vi verkligen behöver se över hela spektrumet av hur detta IT-tekniken blir fram för att åtgärda det.

L ipner: Taglinen vi har använt för The Open Group TTF är “Bygg med integritet, Köp med förtroende.” Vi förstår verkligen att kunderna vill ha förtroende för hårdvara och mjukvara för IT-produkter som de köper.

Vi anser att det är upp till leverantörerna, som arbetar tillsammans med andra medlemmar i IT-samhället, för att fastställa de bästa metoderna och sedan formulera dem, så att organisationer uppåt och nedåt i distributionskedjan kommer att veta vad de borde göra för att säkerställa att kundernas förtroende .

S zakal: [I detta mål] avslutade vi det vita papperet tidigare i år, under det första kvartalet. Vitboken var visionär i naturen, och det var uppenbarligen avsedd att hjälpa våra väljare förstå mål OTTF.

Men för att verkligen göra detta till en normativ specifikation och utforma ett program, kring vilken du skulle ha överensstämmelse och kunna mäta leverantörernas överensstämmelse med denna specifikation, måste vi utveckla en specifikation med normativ språk.

Första utkastet

W e’re efterbehandling upp det som vi talar och vi kommer att ha ett första utkast här inom den närmaste månaden. Vi vill ha det hela specifikationen går igenom företagets översyn under fjärde kvartalet i år.

Samtidigt kommer vi att arbeta på ackreditering politik och överensstämmelsekriterier och beviskrav som krävs för att faktiskt ha ett certifieringsprogram, samtidigt som man fortsätter att ha kontakt med andra utvärderingssystem som är intresserade av att samarbeta med oss. I en global internationell miljö, det är mycket viktigt, eftersom det finns mer än en av dessa regimer som vi kommer att behöva existera samtidigt, och samarbetar med.

Under nästa år kommer vi att ha slutfört ackrediteringen programmet och har börjat testning av processen, troligen behöva göra vissa justeringar på vägen. Vi tittar på gång inom den första hälften av 2012 för att ha en utbildning för att börja upprampning.

Forumet i sig fortsätter att samarbeta med regeringen och alla våra väljare. Som ni vet, vi har flera regeringsmedlemmar som är en del av TTF och de är lika viktiga som någon av de andra medlemmarna. Vi fortsätter att ge uppdatering till många av de regeringar som vi arbetar med globalt för att säkerställa att de förstår målen för TTF och hur de kan ge värde synergistiskt med vad vi gör, som vi skulle till dem.

B rickman: Vi har gjort enorma framsteg på inslagning upp vår ram och få den redo för den första översynen.

Vi har också mött flera regeringstjänstemän. Jag kan inte säga vilka de är, men vad som har varit bra om det är att de är mycket positiv till det arbete som vi gör, de stöder vad vi gör och vill fortsätta denna diskussion.

Det är väldigt mycket ett partnerskap, och vi känner för det är inte bara en industri-ledda projekt, där vi har deltagare från folk som kan mycket vara konsumenterna för detta initiativ.

Säkerhetsmedvetande

L ounsbury: En mycket tydlig möjliga resultatet är att det kommer att finnas ett antal enkla riktlinjer och de som kan genomföras av ett brett spektrum av leverantörer, där en konsument kan se och säga, “Dessa folks har följt god praxis De har bakat. säker teknik, säker konstruktion och säkra logistikprocesser i sin sak, och därför är jag mer bekväm att hantera dem som en partner. ”

Naturligtvis, vad sätt är att inte bara du sluta med mer förtroende i leveranskedjan och komponenterna för att få till den leveranskedjan, men också att det tar lite arbete från din tallrik. Du behöver inte investera så mycket att utvärdera dina leverantörer, eftersom du kan använda allmänt tillgängliga och allmänt förstås slags bästa praxis.

Från leverantören perspektiv är det bra eftersom vi redan se platser där ett företag, som ett finansföretag, kommer att gå till en leverantör och säga, “Vi måste utvärdera dig. Här är vår checklista.” Naturligtvis skulle säljaren måste ta itu med många olika checklistor för att stänga verksamheten, och detta kommer att ge dem någon gemensam utgångspunkt.

Naturligtvis är alla kommer att anpassa och bygga på vad som minimi bar är, beroende på vilken typ av verksamhet de är i. Men åtminstone det ger alla en gemensam utgångspunkt, en gemensam referenspunkt, en del gemensam vokabulär för hur de kommer att prata om hur de gör dessa bedömningar och göra dessa köpbeslut.

L ipner: Om vi ​​uppnår det slags framgång som vi strävar efter och förutse, ser du kraven för TTF, inte bara i RFP, men också potentiellt i statliga policydokument runt om i världen, i princip syftar till att öka förtroendet hos breda samlingar av produkter att länder och företag använder.

B rickman: En av de saker som kommer att hända är att när företag börjar gå ut och testa detta, som med någon annan standard, kommer standarden 1,0 utvecklas till något som kommer att bli mer german, och som Steve sade kommer förhoppningsvis att antas runt om i världen.

Agile och användbar, jag tror inte att någon vill att det ska bli en koloss. Vi vill att det ska vara smidig, användbar, och definitivt något läsbart och kan uppnås för företag som inte är multinationella miljarder dollar företag, men också företag som bara ute försöker sälja sin del av kakan i utrymmet. Det är i slutändan målet för oss alla, att se till att detta är en rimlig prestation.

L ounsbury: Detta är en annan sak som har kommit ut ur våra möten. Vi har hört ett antal gånger att regeringar, naturligtvis, känner behov av att skydda sin infrastruktur och sina ekonomier, men har också en insikt om att på grund av den snabba tekniska utvecklingen och den snabba utvecklingen av säkerhetshot att det är svårt för dem att hinna med. Det är egentligen inte rätt fordon.

Det är verkligen en stark preferens. USA strategi på detta område är att låta industrin ta ledningen. En av anledningarna till detta är det faktum att industrin kan utvecklas, i själva verket måste utvecklas, i takt med den kommersiella marknaden. Annars skulle de inte vara i näringslivet.

Så vi verkligen vill få det första insats i marken och få detta att fungera, som Josua sade. Men det finns en viss förväntan att med tiden kommer industrin att driva utvecklingen av säkerhetsrutiner och säkerhetspolicy, som de OTTF utvecklar i takt med kommersiella marknaden, så att regeringar inte kommer att behöva göra den typen av reglering som kan inte hålla upp.

S zakal: Ett av våra mål är att se till att lönsamheten av specifikationen själv, bästa praxis, uppdateras med jämna mellanrum. Vi pratar om potentiellt årligen. Och med nya tekniker och tillämpning av potentiellt ny teknik för att se till att tillhandahållare genomför bästa praxis för utveckling teknik, säker teknik, och supply chain integritet.

Det kommer att vara mycket viktigt för oss att fortsätta att utvecklas dessa bästa praxis under en tid och inte låta dem falla i ett tillstånd av statisk förfall.

Jag är väldigt entusiastisk, eftersom många av medlemmarna är mycket överens om att detta är något som måste hända för att verkligen höja ribban på industrin, när vi går framåt, och hjälpa hela branschen anta praxis och sedan gå vidare i vår resa att säkra vår kritisk infrastruktur.

L ounsbury: Anledningen till att vi har kunnat göra de framsteg vi har är att vi har den kompetens inom säkerhet från alla dessa stora företag och myndigheter som deltar i TTF. Det bästa sättet att upprätthålla den valutan och hävdar att enheten är för människor som har problem, om du är på köpsidan eller expertis från båda sidor, för att komma in och delta.

Hands-on medvetenhet

Y ou har fått praktisk kunskap om marknaden och få denna i och tillade att kunskap om vad som krävs för att specifikationen och hjälpa flytta sin utveckling tillsammans är absolut det bästa man kan göra.

Det är vår steady state, och naturligtvis sätt att komma igång på det är att gå och titta på materialet. Den vita papper är ute. Jag förväntar vi kommer att göra ögonblicksbilder av tidiga versioner av detta som skulle vara tillgängligt, så att folk kan ta en titt på dem. Eller, kom till en Open Group Conference och lära sig om vad vi gör.

S zakal: Som försäljare, skulle vi vill se minimal reglering och det är helt enkelt den typ av djur. För oss att bedriva vår verksamhet och sänka kostnaderna för inträde på marknaden, jag tror att det är viktigt.

Jag tror att det är viktigt att vi ger ledarskap inom industrin för att säkerställa att vi följer de bästa metoderna för att säkerställa integriteten för de produkter som vi tillhandahåller. Det är genom att industrin ledarskap som vi kommer att undvika potentiellt skadliga regler i olika regionala miljöer.

Vi absolut inte skulle vilja se olika regler pop-up på olika platser i världen. Det gör för mycket rörig teknik insättnings möjlighet för oss. Vi hoppas att genom att faktiskt få engagerade och ge några självreglering, kommer vi inte se ytterligare statliga eller internationella regler.

L ipner: En av de saker som min erfarenhet har lärt mig är att kunderna är mycket medvetna om dessa dagar av säkerhet, produktintegritet, och vikten av leverantörer att uppmärksamma dessa frågor. Att ha en robust program som TTF och certifieringar som den föreställer sig kommer att ge kunderna förtroende, och de kommer att uppmärksamma det. Det kommer att ändra sitt beteende på marknaden, även utan formella regler, B rickman. Industrin sätter standarden är en idé som har kastats runt ett tag, och jag tror att det är bra att se oss slutligen gör det på detta område, eftersom vi vet våra saker bäst.

Vi kommer att försöka att ställa in en standard, där vi ger information till allmänheten om vad våra produkter gör och vad vi gör så långt som bästa praxis. Vid slutet av dagen det förvärvande organet, eller vad som helst, kommer att behöva fatta beslut, och de kommer att göra intelligenta beslut, baserade på att titta på folk som väljer att gå igenom detta och folk som väljer att inte gå igenom det;. den kommer att fortsätta

T han dåliga nyheter som fortsätter att komma ut kommer att fortsätta att hända. Det enda som de kommer att kunna göra är att se till de företag som är experter på detta för att försöka hjälpa dem med det, och de kommer att få en del av det med de företag som går genom dessa utvärderingar. Det är ingen tvekan om det.

Vid slutet av dagen, är detta ackrediteringsprogram kommer att skaka ut de produkter och företag som verkligen följer de bästa metoderna för säker teknik och supply chain bästa praxis.

S zakal: Runt november vi kommer att gå igenom företagets granskning av specifikationen och vi kommer att publicera det under det fjärde kvartalet.

Vi kommer också att kontakter med vår regering och internationella partner under den tiden och vi kommer också att se fram emot flera kommande konferenser inom The Open Group där vi bedriver dessa verksamheter. Vi kommer att värva några av våra partners att tala under dessa händelser vår räkning.

När vi går in i 2012, kommer vi att arbeta på ackreditering programmet, särskilt de kriterier för överensstämmelse och ackreditering politik och kontakter igen med några av våra internationella partner om denna fråga. Förhoppningsvis kommer vi, om allt går bra och enligt plan, kom ut 2012 med ett livskraftigt program.

L ounsbury: Andras har täckt det väl. Naturligtvis kan du alltid ta reda på mer genom att gå till www.opengroup.org och titta på vår hemsida för information om OTTF. Du kan hitta utkast av alla dokument som har offentliggjorts hittills och det kommer att vara vår vita papper och, naturligtvis, mer information om hur att engagera sig.

Lyssna på podcasten. Hitta det på iTunes / iPod och Podcast.com. Läs en fullständig utskrift eller ladda ner en kopia. Igen The Open Group.

Du kanske också är intresserad av

? TechnologyOne tecknar AU $ 6,2 affär med jordbruk

Vad är organiserande princip i dagens digitala arbetsplats?

Söt SUSE! HPE hakar sig en Linux-distributioner

Apple att släppa iOS 10 den 13 september, MacOS Sierra den 20 september