Contribuyendo a través de la estandarización

Blog

29
- Oct
2019
Publicado por: Luis Vargas
[Comunicación jtsec]
Contribuyendo a través de la estandarización

Contribuyendo a través de la estandarización

Es conocido por todos que la estandarización trae consigo amplios beneficios, puesto que el fin último es ordenar y mejorar los procesos empresariales. En el caso de la estandarización de la ciberseguridad, nos permite adaptarnos a una normativa con una serie de requisitos comunes específicos a un ámbito concreto con el fin de garantizar la seguridad. Además, una vez que se ha decidido cumplir un estándar, es necesario seguir cumpliendo estas normas. Este proceso permite a las empresas mejorar los niveles de protección de sus activos además de concienciar a sus trabajadores.

Desde jtsec trabajamos incansablemente con el fin de favorecer el uso de las distintas estandarizaciones existentes y apoyamos la creación de nuevos estándares que permitan a la seguridad ganar la carrera contra el imparable desarrollo tecnológico. La sociedad del mañana no podrá ser cibersegura si no tenemos visión de futuro y no nos adelantamos creando estándares para tecnologías que a día de hoy nos resultan impensables.

En este artículo se ofrece un resumen de nuestra participación en favor de la estandarización durante el año 2019.

Javier Tallón ha estado involucrado al grupo de trabajo ISO/IEC JTC 1/SC 27/WG 3 “Evaluación, Pruebas y Especificaciones de Seguridad”. Ha llevado a cabo su trabajo dentro del proyecto N1708, en el que se ha propuesto abrir un nuevo periodo de estudio para la introducción de nuevos requisitos de garantía de seguridad en el estándar ISO 15408-3, cubriendo actividades de gestión y despliegue de parches de seguridad. Como experto participante en dicho periodo de estudio. Las conclusiones de su trabajo fueron aportadas al grupo de trabajo a través de un informe detallado sobre su estudio realizado.

En dicho estudio elabora una propuesta para cubrir aspectos críticos de seguridad en el desarrollo y distribución de actualizaciones, evaluación de capacidades de actualización de los productos bajo evaluación y mejoras en el proceso de certificación para tratar las actualizaciones de seguridad.

Esta propuesta ayudará a la estandarización de los aspectos de evaluación de seguridad de una característica tan crítica como es la de las actualizaciones o parches de seguridad de los productos IT. Esto permite que se puedan corregir errores de seguridad de manera ágil y rápida en productos evaluados, y garantiza que dicha funcionalidad se ha implementado y configurado de forma segura.

Durante la última reunión de ISO en Paris donde jtsec participó activamente, este proyecto fue aprobado abriéndose el nuevo periodo de estudio y Javier fue nombrado “rapporteur” del proyecto.

José Ruiz participa actualmente en el grupo de trabajo “Cybersecurity evaluation methodology for ICT products”. En este grupo se está elaborando la que será la futura metodología de evaluación de seguridad de productos a nivel europeo. Como parte de su colaboración, ha presentado varios informes con las distintas conclusiones de su trabajo.

Este trabajo constituye la adaptación al ámbito europeo de la metodología de evaluación española LINCE, cuyo primer borrador como norma UNE ha sido elaborado por jtsec. Por lo tanto, se trata de un hecho de especial relevancia ya que este proyecto servirá para definir la que será la metodología de referencia para evaluación a nivel europeo, y se cuenta para ello con uno de los creadores de la norma española que se está usando como base.

Por otro lado, José Ruiz realizó un análisis y comparación entre las principales metodologías de evaluación ligeras actuales en Europa, LINCE (España), BSZ (Alemania), CSPN (Francia) y BSPA (Países Bajos) disponible en la web de jtsec.

José Ruiz es además el actual secretario del grupo ISO/IEC JTC 1/SC 27/WG 3, con lo cual su grado de participación no se restringe únicamente a proyectos aislados.

José Pulido ha trabajado en el ISO/IEC JTC 1/SC 27/WG 3 como experto en el campo de la ciberseguridad en la automoción. Ha participado proyecto N1697 para el periodo de estudio sobre criterios de evaluación para vehículos conectados basado en ISO/IEC 15408. Como parte de su trabajo en dicho proyecto, ha realizado un estudio detallado de las aproximaciones actuales al problema de la evaluación de seguridad de vehículos inteligentes conectados. Además, ha elaborado una propuesta con diferentes opciones de modelos de certificación Common Criteria para este tipo de tecnología.

Este campo de trabajo es crítico para la seguridad, pues se avecina un panorama en el que los vehículos dependerán también de las tecnologías de intercomunicación, tendiéndose a un nivel de autonomía cada vez mayor del propio vehículo. Definir una metodología estándar para certificar los aspectos de seguridad IT de los vehículos conectados es fundamental para salvaguardar la seguridad de los conductores y ocupantes de los mismos. Este factor hace que el trabajo aportado por José Pulido cobre una gran relevancia en el mundo de la ciberseguridad.

Durante la última reunión de Paris, se utilizó el informe creado por J. Pulido como guía durante la reunión y se concluyó prolongar el periodo de estudio.

jtsec es un referente dentro del ámbito nacional en el campo de la certificación de seguridad. Además, fue el primer laboratorio acreditado por ENAC y el CCN para evaluar la seguridad de productos IT según la metodología LINCE.

Por último, cabe destacar que en jtsec se mantiene una continua formación con el fin de que los trabajadores conozcan la importancia de la estandarización, las distintas estandarizaciones existentes y los nuevos avances que surgen en el mundo de la estandarización de la ciberseguridad.

tags
Luis Vargas/Evaluador Junior

Estudiante del Grado de Tecnologías de la Telecomunicación en la UGR, con especialización en Telemática. Es miembro y co-fundador de Hackiit, grupo de hacking ético de la Escuela Técnica Superior de Ingenierías Informática y de Telecomunicación de la Universidad de Granada.

En 2019 comienza su trayectoria laboral en jtsec.


Contacto

¡Envíanos tus dudas o sugerencias!

Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
ÚLTIMAS ENTRADAS
jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
Enero 17, 2025
jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
jtsec & Applus+ Laboratories en el ICCC24
Nov 14, 2024
jtsec & Applus+ Laboratories en el ICCC24
Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
Oct 14, 2024
Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
Common Criteria Statistics 2023
Junio 17, 2024
Common Criteria Statistics 2023
Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
Abril 23, 2024
Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
jtsec - Nuestro LINCE 2023
Febr 6, 2024
jtsec - Nuestro LINCE 2023
Les deseamos un feliz y ciberseguro 2024
Dic 19, 2023
Les deseamos un feliz y ciberseguro 2024
¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
Dic 14, 2023
¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
Cómo incluir tu producto o servicio en ENS ALTA.
Oct 31, 2023
Cómo incluir tu producto o servicio en ENS ALTA.
Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
Sept 19, 2023
Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
CATEGORÍAS