El pasado mes de abril de 2019, entró en vigor el marco europeo de certificación de productos, procesos y servicios de ciberseguridad. Este marco responde a una necesidad que aparece recogida, claramente, en el documento publicado por la Comisión Europea como pilar de la política industrial de Seguridad de la unión, en el año 2012, en la que se incluye en su plan de acción una industria de seguridad innovadora y competitiva.
🔊Artículo disponible en audio a pie de página🔊
De la fragmentación al marco de certificación. Antecedentes
En dicho plan, se identifica como acción clave “superar la fragmentación del mercado a través de: la creación de estándares europeos o estándares internacionales, la armonización de la certificación de la Unión Europea o de procedimientos de evaluación de la conformidad para las tecnologías de seguridad y una mejor explotación de las sinergias entre tecnologías de seguridad y de defensa.
En concreto, superar la fragmentación del mercado en función del tipo de producto, establecer prioridades de actuación, de nuevo, no por sector, sino por tipo de producto, que pueda cumplir con mayor facilidad los requisitos del mercado único, a través de reglamentos y procedimientos armonizados, sobre la base de su elevado potencial de mercado y su impacto en una amplia sección del público y los trabajadores.
Implantación del marco regulatorio
Dos años después de entrar en vigor el marco de certificación, estamos aún tratando de salir de una pandemia que nos ha traído, además de sus devastadores y obvios efectos, un aumento exponencial del uso y la hiper conectividad de las tecnologías.
Entretanto, la Agencia Europea de Ciberseguridad (ENISA) obtiene el mandato de la Comisión e inicia los trabajos para la implantación de los esquemas. Apoya y promueve el desarrollo y la aplicación de la política de la Unión en materia de certificación de la ciberseguridad de productos, servicios y procesos por los siguientes medios:
- Controlar permanentemente los avances en los ámbitos de normalización relacionados y recomendar unas especificaciones técnicas.
- Evaluar los esquemas europeos de certificación de la ciberseguridad.
- Preparar propuestas de esquemas europeos de certificación de la ciberseguridad.
- Participar en las revisiones interpares de conformidad.
Adicionalmente, ENISA recopilará y publicará directrices, desarrollará buenas prácticas, relativas a los requisitos de ciberseguridad de los productos, servicios y procesos de las tecnologías de la información y la comunicación (TIC), en cooperación con las autoridades nacionales de certificación de la ciberseguridad y con la industria, de una manera formal, estructurada y transparente.
Primeros esquemas
Uno de los principales factores para generar una brecha, independientemente del factor humano (siendo este la principal causa), es la carencia de la seguridad en la fase de diseño de los productos y servicios, más comúnmente conocida como “seguridad por diseño”. Se trata de un término industrial para un abanico de prácticas de seguridad basados en la única idea de que la seguridad debe ser incluida en un producto por diseño, en lugar de añadirse posteriormente por productos y servicios de una tercera parte.
El primer esquema de certificación, es el llamado EUCC (esquema de certificación de ciberseguridad candidato europeo basado en criterios comunes) como sucesor de los esquemas existentes que operan bajo el acuerdo europeo SOGIS MRA, conformado por 17 países. Este ha sido denominado esquema EUCC y busca la certificación de ciberseguridad de productos TIC, basado en los Criterios Comunes, la Metodología Común para la Evaluación de la Seguridad de las Tecnologías de la Información y los estándares correspondientes, respectivamente, ISO / IEC 15408 e ISO / IEC 18045.
Dichas evaluaciones se llevan a cabo tanto en productos Software como Hardware. La evaluación abarca desde circuitos integrados y firmware, hasta aplicaciones en la nube, web, escritorio, móviles, e IoT.
Específicamente, las evaluaciones abarcan a través de diversas actividades, el nivel de seguridad del hardware, de algoritmos y protocolos criptográficos, de infraestructura IT y la nube, así como software.
Su lanzamiento está previsto para el último trimestre de 2021 o primer trimestre de 2022 y constituye el primer paso para otros esquemas orientados, por ejemplo, a 5G, IoT o entornos industriales.
Próximos pasos
El nuevo marco europeo de certificación de ciberseguridad ya ha supuesto una convulsión en el marco interno europeo y todos los actores se están posicionando ante lo que supone el inicio del mercado de la ciberseguridad armonizado.
Por otra parte, vienen con facilidad a la memoria los tiempos en los que se dirimían a nivel global la asunción de los estándares europeo GSM o americano CDMA como base para el desarrollo de la primera a la quinta generación (5G).
No es difícil ver que el futuro de la evaluación de la conformidad de la seguridad de productos, procesos y servicios de ciberseguridad en base a EUCC, fiel heredera de la metodología estándar de evaluación Common Criteria adoptado por más de 27 países, puede resultar en el nuevo estándar global de certificación. Desde Canadá, Estados Unidos, China y Japón ya se consumen desde hace más de 16 años productos certificados en alta seguridad y su validez es reconocida por dichos países.
Como ejemplos de productos (sin olvidar cualquier componente de software) podemos citar documentos de identidad, pasaportes, cifradores para creación de firma electrónica, sistemas Galileo, tarjetas SIM para móviles, tarjetas bancarias, semiconductores, etc.
Cybersecurity Services
¿No tienes tiempo? Ahora tienes la posibilidad de escuchar este artículo en audio
C/ Trespaderne 29,
Edif. Barajas I. Barrio Aeropuerto, 28042,
Madrid, Madrid, España