accesskey_mod_content

El primer estándar español UNE para la evaluación de ciberseguridad de productos TIC basado en LINCE

29 enero 2021

La norma UNE 320001 establece los requisitos y define el marco de referencia en el ámbito de la evaluación de ciberseguridad de productos TIC.

La  Asociación Española de Normalización(Abre en nueva ventana)  (UNE) ha publicado la norma  UNE 320001(Abre en nueva ventana)  Metodología de evaluación LINCE para la ciberseguridad de productos TIC, convirtiéndose así en el primer estándar español para la evaluación de ciberseguridad de productos TIC basado en la metodología LINCE. UNE ayuda a lograr el éxito en la transformación digital de las empresas en España, a través de los estándares.

La UNE 320001 establece los requisitos básicos y define el marco de referencia en el ámbito de la evaluación de ciberseguridad de productos TIC. LINCE es la primera y más reconocida certificación de ciberseguridad en España para niveles de seguridad medios y bajos, lo que demuestra la madurez de la industria en España. Fue desarrollada hace tres años por el CCN (Centro Criptográfico Nacional)(Abre en nueva ventana) para poder evaluar los productos TIC de media y baja seguridad a un precio asequible por parte del desarrollador. Ahora, se convierte en un estándar UNE.

Contar con una certificación según el estándar LINCE permite, además de mejorar la ciberseguridad del producto que se evalúa, realizarse dentro de un tiempo y esfuerzo acotados, lo que se traduce en que sean accesibles a todo tipo de desarrolladores. Además, posibilita el acceso al catálogo de Productos de Seguridad CPSTIC, utilizado como referente de ciberseguridad en España para productos TIC, recomendado por el CCN. Para la obtención de una certificación bajo la metodología LINCE es necesaria una evaluación de un laboratorio acreditado para tal efecto.

Antes de la existencia de LINCE, las certificaciones de ciberseguridad bajo las que se podían evaluar los productos TIC eran las desarrolladas en el ámbito internacional, por ejemplo, Common Criteria. Este tipo de estándares orientados a niveles de seguridad altos, requieren de un esfuerzo, tiempo y coste que son inasumibles por muchas empresas, especialmente las pymes. Por este motivo nace LINCE, una metodología de las denominadas "ligeras" que permite la expansión del concepto de certificación de ciberseguridad a nivel nacional.

Esta norma se ha desarrollado en el comité técnico de normalización CTN320 de UNE, con la participación y consenso de todas las partes implicadas. Gracias a la creación de un grupo de trabajo que se encargó de redactar las diferentes versiones tras los distintos comentarios surgidos, prevaleciendo el interés común de la industria. 

Hacia un LINCE europeo

LINCE es una idea que surge en base a otro tipo de certificaciones ligeras implementadas en otros países europeos. Las necesidades de los diferentes gobiernos de toda Europa han impulsado la creación de certificaciones nacionales de ciberseguridad. Este es el caso de BSZ (Alemania), CSPN (Francia), BSPA (Países Bajos) y LINCE (España). Todas ellas son certificaciones ágiles y ligeras, centradas en el análisis de la vulnerabilidad y las pruebas de penetración, con un esfuerzo y una duración limitados.

El desarrollo de todas estas metodologías y su certificación corresponden directamente a cada país. Esto está creando una pequeña fragmentación en el mercado que exige un esquema ligero (o de tiempo predeterminado) en el ámbito europeo para no tener que certificar los productos en cada país.

De hecho, en Europa se está creando un nuevo estándar que intenta paliar la fragmentación del mercado: FITCEM (Fixed-Time Cybersecurity Evaluation Methodology for ICT products) desarrollado por CEN/CENELEC JTC13 WG3, cuya aprobación se espera en los próximos meses.

Contar con un producto que haya pasado una certificación a nivel europeo supondrá ventajas competitivas en Europa sin tener que llevar a cabo la certificación a nivel nacional en cada país.

La aprobación de Norma UNE 32001 impulsará el reconocimiento de la metodología LINCE en el ámbito europeo y permitirá a los fabricantes nacionales prepararse para las futuras regulaciones europeas.

Fuente original de la noticia(Abre en nueva ventana)

  • Seguridad