O primeiro estándar español UNE para a avaliación de ciberseguridade de produtos TIC baseado en LINCE

A  Asociación Española de Normalización  (UNE) publicou a norma  UNE 320001  Metodoloxía de avaliación LINCE para a ciberseguridade de produtos TIC, converténdose así no primeiro estándar español para a avaliación de ciberseguridade de produtos TIC baseado na metodoloxía LINCE. UNE axuda a lograr o éxito na transformación dixital das empresas en España, a través dos estándares.

ÚNEA 320001 establece os requisitos básicos e define o marco de referencia no ámbito da avaliación de ciberseguridade de produtos TIC. LINCE é a primeira e máis recoñecida certificación de ciberseguridade en España para niveis de seguridade medios e baixos, o que demostra a madurez da industria en España. Foi desenvolvida fai tres anos polo CCN (Centro Criptográfico Nacional) para poder avaliar os produtos TIC de media e baixa seguridade a un prezo alcanzable por parte do desenvolvedor. Agora, convértese nun estándar UNE.

Contar con una certificación según el estándar LINCE permite, además de mejorar la ciberseguridad del producto que se evalúa, realizarse dentro de un tiempo y esfuerzo acotados, lo que se traduce en que sean accesibles a todo tipo de desarrolladores. Además, posibilita el acceso al catálogo de Productos de Seguridad CPSTIC, utilizado como referente de ciberseguridad en España para productos TIC, recomendado por el CCN. Para la obtención de una certificación bajo la metodología LINCE es necesaria una evaluación de un laboratorio acreditado para tal efecto.

Antes da existencia de LINCE, as certificacións de ciberseguridade baixo as que se podían avaliar os produtos TIC eran as desenvolvidas no ámbito internacional, por exemplo, Common Criteria. Este tipo de estándares orientados a niveis de seguridade altos, requiren dun esforzo, tempo e custo que son inasumibles por moitas empresas, especialmente as pemes. Por este motivo nace LINCE, unha metodoloxía das denominadas "lixeiras" que permite a expansión do concepto de certificación de ciberseguridade a nivel nacional.

Esta norma desenvolveuse no comité técnico de normalización CTN320 de UNE, coa participación e consenso de todas as partes implicadas. Grazas á creación dun grupo de traballo que se encargou de redactar as diferentes versións tras os distintos comentarios xurdidos, prevalecendo o interese común da industria. 

Cara a un LINCE europeo

LINCE é unha idea que xorde con base noutro tipo de certificacións lixeiras implementadas noutros países europeos. As necesidades dos diferentes gobernos de toda Europa impulsaron a creación de certificacións nacionais de ciberseguridade. Este é o caso de BSZ (Alemaña), CSPN (Francia), BSPA (Países Baixos) e LINCE (España). Todas elas son certificacións áxiles e lixeiras, centradas na análise da vulnerabilidade e as probas de penetración, cun esforzo e unha duración limitados.

El desarrollo de todas estas metodologías y su certificación corresponden directamente a cada país. Esto está creando una pequeña fragmentación en el mercado que exige un esquema ligero (o de tiempo predeterminado) en el ámbito europeo para no tener que certificar los productos en cada país.

De hecho, en Europa se está creando un nuevo estándar que intenta paliar la fragmentación del mercado: FITCEM (Fixed-Time Cybersecurity Evaluation Methodology for ICT products) desarrollado por CEN/CENELEC JTC13 WG3, cuya aprobación se espera en los próximos meses.

Contar cun produto que pasase unha certificación a nivel europeo suporá vantaxes competitivas en Europa sen ter que levar a cabo a certificación a nivel nacional en cada país.

La aprobación de Norma UNE 32001 impulsará el reconocimiento de la metodología LINCE en el ámbito europeo y permitirá a los fabricantes nacionales prepararse para las futuras regulaciones europeas.

Fonte orixinal da noticia