O primeiro estándar español UNE para a avaliación de ciberseguridade de produtos TIC baseado en LINCE

A  Asociación Española de Normalización  (UNE) publicou a norma  UNE 320001  Metodoloxía de avaliación LINCE para a ciberseguridade de produtos TIC, converténdose así no primeiro estándar español para a avaliación de ciberseguridade de produtos TIC baseado na metodoloxía LINCE. UNE axuda a lograr o éxito na transformación dixital das empresas en España, a través dos estándares.

ÚNEA 320001 establece os requisitos básicos e define o marco de referencia no ámbito da avaliación de ciberseguridade de produtos TIC. LINCE é a primeira e máis recoñecida certificación de ciberseguridade en España para niveis de seguridade medios e baixos, o que demostra a madurez da industria en España. Foi desenvolvida fai tres anos polo CCN (Centro Criptográfico Nacional) para poder avaliar os produtos TIC de media e baixa seguridade a un prezo alcanzable por parte do desenvolvedor. Agora, convértese nun estándar UNE.

Contar cunha certificación segundo o estándar LINCE permite, ademais de mellorar a ciberseguridade do produto que se avalía, realizarse dentro dun tempo e esforzo acoutados, o que se traduce en que sexan accesibles a todo tipo de desenvolvedores. Ademais, posibilita o acceso ao catálogo de Produtos de Seguridade CPSTIC, utilizado como referente de ciberseguridade en España para produtos TIC, recomendado polo CCN. Para a obtención dunha certificación baixo a metodoloxía LINCE é necesaria unha avaliación dun laboratorio acreditado para tal efecto.

Antes da existencia de LINCE, as certificacións de ciberseguridade baixo as que se podían avaliar os produtos TIC eran as desenvolvidas no ámbito internacional, por exemplo, Common Criteria. Este tipo de estándares orientados a niveis de seguridade altos, requiren dun esforzo, tempo e custo que son inasumibles por moitas empresas, especialmente as pemes. Por este motivo nace LINCE, unha metodoloxía das denominadas "lixeiras" que permite a expansión do concepto de certificación de ciberseguridade a nivel nacional.

Esta norma desenvolveuse no comité técnico de normalización CTN320 de UNE, coa participación e consenso de todas as partes implicadas. Grazas á creación dun grupo de traballo que se encargou de redactar as diferentes versións tras os distintos comentarios xurdidos, prevalecendo o interese común da industria. 

Cara a un LINCE europeo

LINCE é unha idea que xorde con base noutro tipo de certificacións lixeiras implementadas noutros países europeos. As necesidades dos diferentes gobernos de toda Europa impulsaron a creación de certificacións nacionais de ciberseguridade. Este é o caso de BSZ (Alemaña), CSPN (Francia), BSPA (Países Baixos) e LINCE (España). Todas elas son certificacións áxiles e lixeiras, centradas na análise da vulnerabilidade e as probas de penetración, cun esforzo e unha duración limitados.

O desenvolvemento de todas estas metodoloxías e a súa certificación corresponden directamente a cada país. Isto está a crear unha pequena fragmentación no mercado que esixe un esquema lixeiro (ou de tempo predeterminado) no ámbito europeo para non ter que certificar os produtos en cada país.

De feito, en Europa está a crearse un novo estándar que tenta paliar a fragmentación do mercado: FITCEM (Fixed-Estafe Cybersecurity Evaluation Methodology for ICT products) desenvolvido por CEN/CENELEC JTC13 WG3, cuxa aprobación se espera nos próximos meses.

Contar cun produto que pasase unha certificación a nivel europeo suporá vantaxes competitivas en Europa sen ter que levar a cabo a certificación a nivel nacional en cada país.

A aprobación de Norma UNE 32001 impulsará o recoñecemento da metodoloxía LINCE no ámbito europeo e permitirá aos fabricantes nacionais prepararse para as futuras regulacións europeas.

Fonte orixinal da noticia