UNE publica el primer estándar español para la evaluación de ciberseguridad de productos TIC basado en LINCE
La Asociación Española de Normalización (UNE) ha publicado la norma UNE 320001 Metodología de evaluación LINCE para la ciberseguridad de productos TIC, convirtiéndose así en el primer estándar español para la evaluación de ciberseguridad de productos TIC basado en la metodología LINCE, según ha informado la organización.
La UNE 320001 establece los requisitos básicos y define el marco de referencia en el ámbito de la evaluación de ciberseguridad de productos TIC.
LINCE es la primera y más reconocida certificación de ciberseguridad en España para niveles de seguridad medios y bajos y fue desarrollada hace tres años por el Centro Criptográfico Nacional (CNN). Ahora, se convierte en un estándar UNE.
Para UNE, «contar con una certificación según el estándar LINCE permite, además de mejorar la ciberseguridad del producto que se evalúa, realizarse dentro de un tiempo y esfuerzo acotados, lo que se traduce en que sean accesibles a todo tipo de desarrolladores».
El editor de la norma y CTO de jtsec Beyond IT Security, José Ruiz, ha destacado que el siguiente paso lógico era que la metodología LINCE formara parte de un estándar normalizado a nivel nacional.
«Con ello se pretenden tres objetivos fundamentales en la industria española: concienciar y apoyar el uso de certificados de ciberseguridad en los productos TIC a nivel nacional, ampliar el alcance de la metodología LINCE y darle visibilidad como metodología de certificación ligera a nivel europeo, representada por UNE en el comité europeo de normalización», ha añadido Ruiz.
UN LINCE A NIVEL EUROPEO
LINCE es una idea que surge en base a otro tipo de certificaciones ligeras implementadas en otros países europeos. Las necesidades de los diferentes gobiernos de toda Europa han impulsado la creación de certificaciones nacionales de ciberseguridad, como es el caso de BSZ (Alemania), CSPN (Francia), BSPA (Países Bajos) y LINCE (España).
El desarrollo de todas estas metodologías y su certificación corresponden directamente a cada país, por lo que está creando una pequeña fragmentación en el mercado que exige un esquema ligero (o de tiempo predeterminado) en el ámbito europeo para no tener que certificar los productos en cada país, según UNE.
En esta línea, en Europa se está creando un nuevo estándar que intenta paliar la fragmentación del mercado: FITCEM (Fixed-Time Cybersecurity Evaluation Methodology for ICT products), desarrollado por CEN/CENELEC JTC13 WG3 y cuya aprobación será en los próximos meses.