O primeiro estándar español UNE para a avaliación de ciberseguridade de produtos TIC baseado en LINCE

A  Asociación Española de Normalización  (UNE) publicou a norma  UNE 320001  Metodoloxía de avaliación LINCE para a ciberseguridade de produtos TIC, converténdose así no primeiro estándar español para a avaliación de ciberseguridade de produtos TIC baseado na metodoloxía LINCE. UNE axuda a lograr o éxito na transformación dixital das empresas en España, a través dos estándares.

ÚNEA 320001 establece os requisitos básicos e define o marco de referencia no ámbito da avaliación de ciberseguridade de produtos TIC. LINCE é a primeira e máis recoñecida certificación de ciberseguridade en España para niveis de seguridade medios e baixos, o que demostra a madurez da industria en España. Foi desenvolvida fai tres anos polo CCN (Centro Criptográfico Nacional) para poder avaliar os produtos TIC de media e baixa seguridade a un prezo alcanzable por parte do desenvolvedor. Agora, convértese nun estándar UNE.

Contar cunha certificación segundo o estándar LINCE permite, ademais de mellorar a ciberseguridade do produto que se avalía, realizarse dentro dun tempo e esforzo acoutados, o que se traduce en que sexan accesibles a todo tipo de desenvolvedores. Ademais, posibilita o acceso ao catálogo de Produtos de Seguridade CPSTIC, utilizado como referente de ciberseguridade en España para produtos TIC, recomendado polo CCN. Para a obtención dunha certificación baixo a metodoloxía LINCE é necesaria unha avaliación dun laboratorio acreditado para tal efecto.

Antes da existencia de LINCE, as certificacións de ciberseguridade baixo as que se podían avaliar os produtos TIC eran as desenvolvidas no ámbito internacional, por exemplo, Common Criteria. Este tipo de estándares orientados a niveis de seguridade altos, requiren dun esforzo, tempo e custo que son inasumibles por moitas empresas, especialmente as pemes. Por este motivo nace LINCE, unha metodoloxía das denominadas "lixeiras" que permite a expansión do concepto de certificación de ciberseguridade a nivel nacional.

Esta norma desenvolveuse no comité técnico de normalización CTN320 de UNE, coa participación e consenso de todas as partes implicadas. Grazas á creación dun grupo de traballo que se encargou de redactar as diferentes versións tras os distintos comentarios xurdidos, prevalecendo o interese común da industria. 

Cara a un LINCE europeo

LINCE es una idea que surge en base a otro tipo de certificaciones ligeras implementadas en otros países europeos. Las necesidades de los diferentes gobiernos de toda Europa han impulsado la creación de certificaciones nacionales de ciberseguridad. Este es el caso de BSZ (Alemania), CSPN (Francia), BSPA (Países Bajos) y LINCE (España). Todas ellas son certificaciones ágiles y ligeras, centradas en el análisis de la vulnerabilidad y las pruebas de penetración, con un esfuerzo y una duración limitados.

O desenvolvemento de todas estas metodoloxías e a súa certificación corresponden directamente a cada país. Isto está a crear unha pequena fragmentación no mercado que esixe un esquema lixeiro (ou de tempo predeterminado) no ámbito europeo para non ter que certificar os produtos en cada país.

De hecho, en Europa se está creando un nuevo estándar que intenta paliar la fragmentación del mercado: FITCEM (Fixed-Time Cybersecurity Evaluation Methodology for ICT products) desarrollado por CEN/CENELEC JTC13 WG3, cuya aprobación se espera en los próximos meses.

Contar con un producto que haya pasado una certificación a nivel europeo supondrá ventajas competitivas en Europa sin tener que llevar a cabo la certificación a nivel nacional en cada país.

A aprobación de Norma UNE 32001 impulsará o recoñecemento da metodoloxía LINCE no ámbito europeo e permitirá aos fabricantes nacionais prepararse para as futuras regulacións europeas.

Fonte orixinal da noticia