El primer estàndard espanyol UNEIX per a l'avaluació de ciberseguretat de productes TIC basat en LINX

La  Associació Espanyola de Normalització  (UNEIX) ha publicat la norma  UNEIX 320001  Metodologia d'avaluació LINX per a la ciberseguretat de productes TIC, convertint-se així en el primer estàndard espanyol per a l'avaluació de ciberseguretat de productes TIC basat en la metodologia LINX. UNEIX ajuda a aconseguir l'èxit en la transformació digital de les empreses a Espanya, a través dels estàndards.

La UNEIX 320001 estableix els requisits bàsics i defineix el marc de referència en l'àmbit de l'avaluació de ciberseguretat de productes TIC. LINX és la primera i més reconeguda certificació de ciberseguretat a Espanya per a nivells de seguretat mitjans i baixos, la qual cosa demostra la maduresa de la indústria a Espanya. Va ser desenvolupada fa tres anys pel CCN (Centre Criptogràfic Nacional) per poder avaluar els productes TIC de mitjana i baixa seguretat a un preu assequible per part del desenvolupador. Ara, es converteix en un estàndard UNEIX.

Comptar amb una certificació segons l'estàndard LINX permet, a més de millorar la ciberseguretat del producte que s'avalua, realitzar-se dins d'un temps i esforç fitats, la qual cosa es tradueix que siguin accessibles a tot tipus de desenvolupadors. A més, possibilita l'accés al catàleg de Productes de Seguretat CPSTIC, utilitzat com a referent de ciberseguretat a Espanya per a productes TIC, recomanat pel CCN. Per a l'obtenció d'una certificació sota la metodologia LINX és necessària una avaluació d'un laboratori acreditat per a tal efecte.

Abans de l'existència de LINX, les certificacions de ciberseguretat sota les quals es podien avaluar els productes TIC eren les desenvolupades en l'àmbit internacional, per exemple, Common Criteria. Aquest tipus d'estàndards orientats a nivells de seguretat alts, requereixen d'un esforç, temps i cost que són inassumibles per moltes empreses, especialment les pimes. Per aquest motiu neix LINX, una metodologia de les denominades "lleugeres" que permet l'expansió del concepte de certificació de ciberseguretat a nivell nacional.

Aquesta norma s'ha desenvolupat en el comitè tècnic de normalització CTN320 de UNE, con la participación y consenso de todas las partes implicadas. Gracias a la creación de un grupo de trabajo que se encargó de redactar las diferentes versiones tras los distintos comentarios surgidos, prevaleciendo el interés común de la industria. 

Cap a un LINX europeu

LINCE es una idea que surge en base a otro tipo de certificaciones ligeras implementadas en otros países europeos. Las necesidades de los diferentes gobiernos de toda Europa han impulsado la creación de certificaciones nacionales de ciberseguridad. Este es el caso de BSZ (Alemania), CSPN (Francia), BSPA (Países Bajos) y LINCE (España). Todas ellas son certificaciones ágiles y ligeras, centradas en el análisis de la vulnerabilidad y las pruebas de penetración, con un esfuerzo y una duración limitados.

El desarrollo de todas estas metodologías y su certificación corresponden directamente a cada país. Esto está creando una pequeña fragmentación en el mercado que exige un esquema ligero (o de tiempo predeterminado) en el ámbito europeo para no tener que certificar los productos en cada país.

De fet, a Europa s'està creant un nou estàndard que intenta pal·liar la fragmentació del mercat: FITCEM (Fixed-Estafi Cybersecurity Evaluation Methodology for ICT products) desenvolupat per CEN/CENELEC JTC13 WG3, l'aprovació de la qual s'espera en els propers mesos.

Contar con un producto que haya pasado una certificación a nivel europeo supondrá ventajas competitivas en Europa sin tener que llevar a cabo la certificación a nivel nacional en cada país.

L'aprovació de Norma UNEIX 32001 impulsarà el reconeixement de la metodologia LINX en l'àmbit europeu i permetrà als fabricants nacionals preparar-se per a les futures regulacions europees.

Font original de la notícia