La UNE (Asociación Española de Normalización) acaba de publicar la norma UNE 320001 Metodología de evaluación LINCE para la ciberseguridad de productos TIC, convirtiéndose así en el primer estándar español para este producto.
Así, la UNE 320001 establece los requisitos básicos y define el marco de referencia en el ámbito de la evaluación de ciberseguridad de productos TIC. LINCE es la primera y más reconocida certificación de ciberseguridad en España para niveles de seguridad medios y bajos, lo que demuestra la madurez de la industria en España. Fue desarrollada hace tres años por el CCN (Centro Criptográfico Nacional) para poder evaluar los productos TIC de media y baja seguridad a un precio asequible por parte del desarrollador. Ahora, se convierte en un estándar UNE.
Contar con una certificación según el estándar LINCE permite, además de mejorar la ciberseguridad del producto que se evalúa, realizarse dentro de un tiempo y esfuerzo acotados, lo que se traduce en que sean accesibles a todo tipo de desarrolladores. Además, posibilita el acceso al catálogo de Productos de Seguridad CPSTIC, utilizado como referente de ciberseguridad en España para productos TIC, recomendado por el CCN. Para la obtención de una certificación bajo la metodología LINCE es necesaria una evaluación de un laboratorio acreditado para tal efecto.
Antes de la existencia de LINCE, las certificaciones de ciberseguridad bajo las que se podían evaluar los productos TIC eran las desarrolladas en el ámbito internacional, por ejemplo, Common Criteria. Este tipo de estándares orientados a niveles de seguridad altos, requieren de un esfuerzo, tiempo y coste que son inasumibles por muchas empresas, especialmente las pymes. Por este motivo nace LINCE, una metodología de las denominadas “ligeras” que permite la expansión del concepto de certificación de ciberseguridad a nivel nacional.
Esta norma se ha desarrollado en el comité técnico de normalización CTN320 de UNE, con la participación y consenso de todas las partes implicadas. Gracias a la creación de un grupo de trabajo que se encargó de redactar las diferentes versiones tras los distintos comentarios surgidos, prevaleciendo el interés común de la industria.
Para José Ruiz, editor de la norma y CTO de jtsec Beyond IT Security: “Tras comprobar su eficacia en decenas de productos, el siguiente paso lógico era que la metodología LINCE formara parte de un estándar normalizado a nivel nacional. Con ello se pretenden tres objetivos fundamentales en la industria española: concienciar y apoyar el uso de certificados de ciberseguridad en los productos TIC a nivel nacional, ampliar el alcance de la metodología LINCE pudiendo usarse en otros ámbitos y sectores y dar visibilidad a LINCE como metodología de certificación ligera a nivel europeo, representada por UNE en el comité europeo de normalización.”
Hacia un LINCE europeo
LINCE es una idea que surge en base a otro tipo de certificaciones ligeras implementadas en otros países europeos. Las necesidades de los diferentes gobiernos de toda Europa han impulsado la creación de certificaciones nacionales de ciberseguridad. Este es el caso de BSZ (Alemania), CSPN (Francia), BSPA (Países Bajos) y LINCE (España). Todas ellas son certificaciones ágiles y ligeras, centradas en el análisis de la vulnerabilidad y las pruebas de penetración, con un esfuerzo y una duración limitados.
El desarrollo de todas estas metodologías y su certificación corresponden directamente a cada país. Esto está creando una pequeña fragmentación en el mercado que exige un esquema ligero (o de tiempo predeterminado) en el ámbito europeo, para no tener que certificar los productos en cada país.
De hecho, en Europa se está creando un nuevo estándar que intenta paliar la fragmentación del mercado: FITCEM (Fixed-Time Cybersecurity Evaluation Methodology for ICT products) desarrollado por CEN/CENELEC JTC13 WG3, cuya aprobación se espera en los próximos meses.
Contar con un producto que haya pasado una certificación a nivel europeo supondrá ventajas competitivas en Europa sin tener que llevar a cabo la certificación a nivel nacional en cada país.
La aprobación de Norma UNE 32001 impulsará el reconocimiento de la metodología LINCE en el ámbito europeo y permitirá a los fabricantes nacionales prepararse para las futuras regulaciones europeas.
