El primer estàndard espanyol UNEIX per a l'avaluació de ciberseguretat de productes TIC basat en LINX

La  Associació Espanyola de Normalització  (UNEIX) ha publicat la norma  UNEIX 320001  Metodologia d'avaluació LINX per a la ciberseguretat de productes TIC, convertint-se així en el primer estàndard espanyol per a l'avaluació de ciberseguretat de productes TIC basat en la metodologia LINX. UNEIX ajuda a aconseguir l'èxit en la transformació digital de les empreses a Espanya, a través dels estàndards.

La UNEIX 320001 estableix els requisits bàsics i defineix el marc de referència en l'àmbit de l'avaluació de ciberseguretat de productes TIC. LINX és la primera i més reconeguda certificació de ciberseguretat a Espanya per a nivells de seguretat mitjans i baixos, la qual cosa demostra la maduresa de la indústria a Espanya. Va ser desenvolupada fa tres anys pel CCN (Centre Criptogràfic Nacional) per poder avaluar els productes TIC de mitjana i baixa seguretat a un preu assequible per part del desenvolupador. Ara, es converteix en un estàndard UNEIX.

Comptar amb una certificació segons l'estàndard LINX permet, a més de millorar la ciberseguretat del producte que s'avalua, realitzar-se dins d'un temps i esforç fitats, la qual cosa es tradueix que siguin accessibles a tot tipus de desenvolupadors. A més, possibilita l'accés al catàleg de Productes de Seguretat CPSTIC, utilitzat com a referent de ciberseguretat a Espanya per a productes TIC, recomanat pel CCN. Per a l'obtenció d'una certificació sota la metodologia LINX és necessària una avaluació d'un laboratori acreditat per a tal efecte.

Abans de l'existència de LINX, les certificacions de ciberseguretat sota les quals es podien avaluar els productes TIC eren les desenvolupades en l'àmbit internacional, per exemple, Common Criteria. Aquest tipus d'estàndards orientats a nivells de seguretat alts, requereixen d'un esforç, temps i cost que són inassumibles per moltes empreses, especialment les pimes. Per aquest motiu neix LINX, una metodologia de les denominades "lleugeres" que permet l'expansió del concepte de certificació de ciberseguretat a nivell nacional.

Aquesta norma s'ha desenvolupat en el comitè tècnic de normalització CTN320 d'UNEIX, amb la participació i consens de totes les parts implicades. Gràcies a la creació d'un grup de treball que es va encarregar de redactar les diferents versions després dels diferents comentaris sorgits, prevalent l'interès comú de la indústria. 

Cap a un LINX europeu

LINX és una idea que sorgeix sobre la base d'un altre tipus de certificacions lleugeres implementades en altres països europeus. Les necessitats dels diferents governs de tota Europa han impulsat la creació de certificacions nacionals de ciberseguretat. Est és el cas de BSZ (Alemanya), CSPN (França), BSPA (Països Baixos) i LINX (Espanya). Totes elles són certificacions àgils i lleugeres, centrades en l'anàlisi de la vulnerabilitat i les proves de penetració, amb un esforç i una durada limitats.

El desenvolupament de totes aquestes metodologies i la seva certificació corresponen directament a cada país. Això està creant una petita fragmentació al mercat que exigeix un esquema lleuger (o de temps predeterminat) en l'àmbit europeu per no haver de certificar els productes a cada país.

De fet, a Europa s'està creant un nou estàndard que intenta pal·liar la fragmentació del mercat: FITCEM (Fixed-Estafi Cybersecurity Evaluation Methodology for ICT products) desenvolupat per CEN/CENELEC JTC13 WG3, l'aprovació de la qual s'espera en els propers mesos.

Comptar amb un producte que hagi passat una certificació a nivell europeu suposarà avantatges competitius a Europa sense haver de dur a terme la certificació a nivell nacional a cada país.

L'aprovació de Norma UNEIX 32001 impulsarà el reconeixement de la metodologia LINX en l'àmbit europeu i permetrà als fabricants nacionals preparar-se per a les futures regulacions europees.

Font original de la notícia