Europa lleva varios años liderando el ámbito legislativo en materia de ciberseguridad; una de las principales razones de esta posición predominante fue la creación del Cybersecurity Act (CSA). Uno de los principales objetivos del CSA es proporcionar un marco europeo de certificación de ciberseguridad para los productos, servicios y procesos de las TIC, con el fin de beneficiar a las empresas que quieran comercializar sus soluciones en Europa, certificando sus productos una sola vez y siendo reconocidos en toda la Unión Europea. El CSA es un proyecto bastante ambicioso, pero tenía el problema de la falta de metodologías de evaluación, un reto que se está resolviendo con el esfuerzo de las diferentes partes interesadas: ENISA, CEN/CENELEC, ETSI, ITSEFs, CABs, proveedores, etc.
Por qué se desarrolló el FITCEM y en qué se basa
Algunos países europeos han desarrollado sus propias metodologías de evaluación de la ciberseguridad dentro de un tiempo y esfuerzo bien acotados, aunque todas ellas con una base similar. Este tipo de certificaciones surgen para resolver el problema relacionado con la duración y el coste de las certificaciones existentes, como Common Criteria, que no son adecuadas para productos de seguridad media o baja.
Países como Francia (CSPN), Alemania (BSZ), Holanda (BSPA) o España (LINCE), han desarrollado sus propios esquemas nacionales, se puede consultar la comparativa realizada por jtsec entre estas metodologías “Analysis and comparison of lightweight evaluation methodologies”.
El principal problema era que un vendedor que quisiera vender sus productos, por ejemplo, en Francia y en España, tenía que pasar dos certificaciones diferentes (CSPN y LINCE en este caso), bastante similares entre sí, lo que supone un aumento importante de los costes y del tiempo invertido por el vendedor
FITCEM, una puerta abierta a un futuro prometedor en ciberseguridad en Europa
FITCEM es la primera piedra de una Europa más unida en cuanto a esquemas horizontales de ciberseguridad. FITCEM (EN 17640), abre la puerta a que los esquemas del CSA utilicen una metodología horizontal europea que sea flexible y pueda personalizarse para satisfacer las necesidades de los diferentes esquemas.
Además, FITCEM podría sustituir a las metodologías nacionales, como las mencionadas anteriormente.
Los vendedores son los principales beneficiarios comercialmente hablando de estas iniciativas desarrolladas a nivel europeo, ya que la entrada de sus productos en toda Europa podría ser mucho más rápida y eficiente.
Los vendedores son los principales beneficiarios comercialmente hablando de estas iniciativas desarrolladas a nivel europeo, ya que la entrada de sus productos en toda Europa podría ser mucho más rápida y eficiente. Otros esquemas europeo como EUCC (Common Criteria based European candidate cybersecurity certification) están a punto de publicarse, lo que refuerza la idea de fortalecer los esquemas horizontales e intersectoriales en toda Europa.
Nuestra contribución en el desarrollo de FITCEM
José Ruiz, CTO de jtsec Beyond IT Security, ha sido coeditor de la norma EN 17640 "Fixed-time cybersecurity evaluation methodology for ICT products! (FITCEM).
Esta norma se ha desarrollado en el seno del grupo de trabajo CEN-CLC/JTC 13 “Cybersecurity and Data Protection”. Este grupo es el comité técnico horizontal de CEN y CENELEC que se ocupa de las normas internacionales pertinentes (especialmente de ISO/IEC JTC 1 SC 27) como normas europeas (ENs) en el ámbito de las tecnologías de la información (TI).
Si está pensando en evaluar su producto TIC bajo la metodología FITCEM o cualquier otro esquema, no dude en ponerse en contacto con nosotros para que podamos colaborar. Podemos ayudarle en la certificación de su producto en el menor tiempo posible, facilitando el proceso gracias a nuestra experiencia técnica.
