En julio de 2024, FUJIFILM Innovación Comercial obtuvo la certificación ISO/IEC evaluada por terceros, convirtiéndose en una de las solo 13 empresas*1 del mundo con esta certificación.
Con la propagación de Internet, la seguridad de la información se ha vuelto más importante que nunca en el mundo.
Hoy en día, la seguridad se ha vuelto más compleja y debe garantizarse no solo para firmware y hardware, sino también para toda la cadena de suministro. ISO/IEC20243 exige garantía de calidad de los socios comerciales de la cadena de suministro. Hablamos con los miembros de departamentos relacionados que asumieron con audacia el desafío de obtener esta certificación.
- * 1: Hasta diciembre de 2024
Kitazawa: Hemos estado trabajando en medidas de seguridad para productos como impresoras multifunción durante muchos años, que se remontan a los días de la antigua Fuji Xerox, que creo que muchas personas conocen. Específicamente, al implementar medidas como equipar impresoras multifunción con funciones para evitar el acceso no autorizado, la intercepción y la manipulación de datos de comunicación, hemos logrado la calificación más alta de AAAis en la evaluación NIST SP 800-171/172*2 (JaSRO)*3, así como la certificación ISO/IEC 15408*4 y otras. Por otro lado, se puede decir que las medidas de seguridad no solo dentro de la compañía, sino también a lo largo de la cadena de suministro, incluidas las piezas y el software, son un nuevo problema en el sentido de que su importancia ha comenzado a llamar la atención en los últimos años.
- * 2: Una pauta de normas de seguridad establecida por las agencias gubernamentales de los EE. UU.
- * 3: AAAis para el nivel de cumplimiento con NIST SP800-171/172 de JaSRO.
- * 4: Un estándar internacional para el diseño y las operaciones de seguridad de tecnología de la información con las MFP.
Doi: El contexto de esto es el creciente número de casos a nivel mundial en los que los programas maliciosos están integrados en el software del producto distribuido en la cadena de suministro, lo que resulta en ataques a los sistemas de información de los clientes que utilizan los productos finales. La certificación ISO/IEC20243 que hemos obtenido es una norma internacional destinada a reducir el riesgo de que se reemplacen o integren piezas y programas no autorizados, así como productos falsificados, en la cadena de suministro de productos. Al obtener la certificación, es posible mantener y fortalecer las medidas contra los riesgos de seguridad ocultos en toda la cadena de suministro.
Kitazawa: Algunos fabricantes fueron líderes en la adquisición de la certificación ISO/IEC20243. En el futuro, a medida que FUJIFILM Innovación Comercial expanda su negocio más allá de la región Asia-Pacífico al resto del mundo, creemos que es importante tener un sistema que pueda garantizar los estándares de seguridad internacionales, por lo que avanzamos para obtener la certificación.
Okochi: Aunque los requisitos necesarios para obtener la certificación están claramente especificados por el organismo emisor de la certificación, no existe una definición específica de cómo lograr cada requisito, por lo que debemos considerar medidas que se adapten a los procesos de nuestra compañía. Esto no fue fácil. Por lo tanto, decidimos primero aclarar la interpretación de cada requisito, luego compararlo con los procesos existentes de la cadena de suministro para confirmar si se cumplen los requisitos, y revisar o agregar al proceso donde se necesitan mejoras.
Realizamos un proceso de dos pasos organizando sistemáticamente el contenido, llevando a cabo la autocertificación basada en nuestra propia autoevaluación y luego avanzamos con la certificación evaluada por terceros. Una de las características de esta iniciativa es que realizamos un análisis detallado de amenazas para averiguar qué tipo de riesgos de seguridad podrían esperarse en la cadena de suministro de nuestra compañía y nuestros proveedores, inspeccionamos nuestros procesos en función de esa información y tomamos las contramedidas necesarias. Si los riesgos no se identifican lo suficiente, habría omisiones en las contramedidas, por lo que el personal involucrado mantuvo muchas discusiones.
Doi: Internamente, la colaboración con los departamentos de adquisiciones y producción fue esencial. Estos departamentos están trabajando para mejorar QCD (calidad, costo, entrega) como su principal prioridad diaria, por lo que se siente como un aumento de la carga de trabajo simplemente decirles: “Cambie o agregue procesos para obtener la certificación de seguridad”. Por lo tanto, para evitar la mezcla de piezas no autorizadas y productos falsificados, analizamos mutuamente si es posible cumplir con los requisitos de certificación combinando los procesos existentes sin tomar medidas excesivas, y trabajamos con una política de minimizar los cambios y las adiciones a los procesos. Lo mismo se aplica a nuestros proveedores, ya que no podemos obligarlos a actuar excesivamente priorizando solo nuestras solicitudes y lógica. Gracias a la comprensión de nuestros proveedores de nuestra postura a través de muchos años de iniciativas de adquisición sostenible*5, cooperaron con nosotros en nuestras actividades para obtener esta certificación, pero hemos hecho todo lo posible para minimizar la carga de trabajo de los proveedores.
- * 5: Adquirir materias primas y piezas de los proveedores mientras se enfoca en el medioambiente, los derechos humanos/laborales, la seguridad y la salud, la filosofía corporativa, etc.
Por ejemplo, cuando se transportan piezas a un proveedor o a nuestra empresa, existe un riesgo de seguridad de que un tercero pueda abrir el empaque y manipular los bienes durante el proceso. Por lo tanto, los requisitos de certificación recomendaron el uso de etiquetas adhesivas de empaque que dejan rastros cuando se retiran, para que las irregularidades puedan detectarse de inmediato. Sin embargo, si este método se aplica tal como está, resultará en costos y horas de trabajo significativos para los proveedores. Por lo tanto, decidimos presentar la lógica de que nuestras bases de producción tienen un sistema implementado para detectar esencialmente la irregularidad oculta en las piezas a través de inspecciones de calidad que se realizan al recibir piezas, fabricar impresoras multifunción y antes del envío.
Tanihata: Creo que la dificultad con las medidas de seguridad es el equilibrio. Esto se aplica tanto a las impresoras multifunción como a la cadena de suministro. Cuanto más exhaustivas sean las medidas de seguridad, menos conveniente será para los clientes que usen las impresoras multifunción, y más probable será que sea una carga para los proveedores y los departamentos de Adquisiciones/Producción, por lo que esto presenta un dilema. Me doy cuenta todos los días de que es difícil encontrar el equilibrio ideal dentro de estas medidas.
Por otro lado, no hay duda de que las necesidades sociales para una seguridad más sólida están aumentando, y las leyes y regulaciones también se están volviendo más estrictas. Personalmente, la parte gratificante de este trabajo es pensar en las mejores contramedidas para lidiar con estos cambios dinámicos. Creemos que FUJIFILM Innovación Comercial necesita desarrollar aún más sus esfuerzos mientras vigila las tendencias en las industrias de PC y servidores, que están implementando medidas de seguridad avanzadas.
Kitazawa: Me gustaría contribuir a la expansión del mercado global desde una perspectiva de seguridad. Con este fin, consideramos que es un desafío comunicar eficazmente nuestras medidas de seguridad, incluida la adquisición de esta certificación, a nuestros clientes como parte del valor que proporcionamos.
Doi: Debido a que nuestra compañía tiene muchos productos distintos del hardware, como software y servicios en la nube, se requieren varias medidas de seguridad. Además de implementar con firmeza estas medidas de seguridad, nos gustaría fortalecer nuestro atractivo para los clientes para que las medidas de seguridad puedan conducir a un aumento en el valor de nuestros productos.
Okochi: Creo que nuestra empresa es una de las principales empresas en medidas de seguridad en la industria de impresoras multifunción. Sin embargo, mantener esa posición no es fácil. Me gustaría hacer de FUJIFILM Innovación Comercial una compañía más fuerte al reflejar constantemente nuevas ideas y tecnologías con respecto a la seguridad en nuestros productos y cadena de suministro.
Tanihata: Continuaremos desarrollando productos mientras nos mantenemos siempre al tanto de las últimas tecnologías y tendencias competitivas, para que podamos ofrecer valor en el campo de la seguridad que nuestro personal de ventas querrá presentar activamente a nuestros clientes.
PDF: 739KB