jtsec | Blog | LINCE como norma UNE

- Enero

2021

Publicado por: José Ruiz

LINCE como norma UNE

Tras casi tres años desde su creación, la metodología de evaluación LINCE, relativa a ciberseguridad de productos TIC con criticidad media o baja, se convierte en un estándar UNE.

Desde jtsec estamos muy orgullosos de este acontecimiento, ya que hemos participado en la creación de LINCE desde el principio; tanto en la definición de la metodología LINCE como su adopción como estándar UNE.

Primeros pasos para la aprobación de LINCE con norma UNE

El proceso para crear un estándar UNE está sometido a una serie de fases para asegurar que el documento que se elabora finalmente es fruto del consenso de la industria. Es un proceso abierto y transparente, en el que cualquier persona que desee puede emitir sus comentarios durante el proceso de IP (Información Pública) , el cual concluyó el pasado 9 de Enero para el caso de LINCE.

Los pasos a seguir para que la metodología LINCE (o cualquier otro proyecto) forme parte de UNE son los siguientes:

Proponer al Comité Técnico de Normalización la creación del proyecto. En este caso, jtsec propuso al CTN320 la creación del proyecto.

Tras la aprobación del proyecto por parte del CTN320, se crea un grupo de trabajo. En este caso el CTN 320/SC 03/GT LINCE liderado por jtsec y donde se incluyeron a todos los vocales del CTN320 SC3.

El grupo de trabajo se encargó de redactar un primera versión del texto que fue revisado por un elevado número de vocales del SC3. Tras resolver los comentarios por consenso, se consiguió la aprobación del texto en el CTN320.

Tras la aprobación, el texto se envía al BOE para el proceso de Información Pública donde se permite que cualquier ciudadano/empresa pueda emitir comentarios.

Una vez resueltas las observaciones, se procede a la publicación de la norma.

Tras superar todo el proceso, se está a la espera de la publicación del estándar.

¿Qué significa desde el ámbito de la ciberseguridad que LINCE sea norma UNE?

LINCE es una metodología ligera creada por CCN para equipararse a países punteros en ciberseguridad tales como Francia o Alemania, que ya contaban con una metodología de evaluación similar creada por sus propios agencias de ciberseguridad nacionales. El éxito de la metodología LINCE desde su creación es un hecho, por lo que, el paso lógico siguiente es que forme parte de un estándar normalizado a nivel nacional.

Con ello se pretenden tres objetivos fundamentales:

Concienciar y apoyar el uso de certificados de ciberseguridad en los productos TIC a nivel nacional.

Ampliar el alcance de la metodología LINCE pudiendo usarse en otros ámbitos/sectores.

Dar visibilidad a LINCE como metodología de certificación ligera a nivel europeo, representada por UNE en el ámbito europeo.

Cabe recordar que todas las normas UNE son, en un principio, de cumplimiento voluntario, aunque existe la posibilidad de que administración competente pueda exigir su cumplimiento mediante una ley, decreto o reglamento para un alcance determinado, así como emplearlas en los pliegos de prescripciones técnicas para contratos públicos.

¿Por qué usar la metodología LINCE?

jtsec fue el primer laboratorio acreditado por CCN para evaluar productos bajo la metodología LINCE, por ello hemos querido apoyar su adopción como norma UNE. Recomendamos a aquellos fabricantes y desarrolladores que sometan su solución a una evaluación LINCE, por varias razones:

Mejora de la ciberseguridad de su producto.

Obtención de una certificación válida a nivel nacional y con buena reputación a nivel internacional.

Aumentar las posibilidades de trabajar con las Administraciones y Organismos Públicos, reconociendo éstos su solución con un nivel de seguridad mínimo.

Cualquier duda que tenga en relación a la certificación LINCE, no dude en preguntarnos, estamos a su disposición.

tags

José Ruiz/CTO

José es consultor experto en el estándar Common Criteria con más de 10 años de experiencia. Posee una amplia experiencia en normas de seguridad en el campo de la tecnología de la información como FIPS 140-2, GP TEE o FIDO y ha servido como evaluador, líder técnico y consultor para Epoche & Espri y como gerente de laboratorio de CC y Cyber Security Service Manager para Applus +. Su experiencia lo ha llevado a participar como ponente en varias ediciones de la ICCC (International Common Criteria Conference), ICMC (International Cryptographic Module Conference) y Securmatica. Es el “Chairmande un subgrupo dentro de la iniciativa ISCI WG1 Eurosmart para desarrollar la Metodología CC. Ha sido nombrado revisor por la comisión europea del grupo ERNCIP \IACS Cybersecurity certification".

En 2017 funda con Javier lo que hoy se conoce como jtsec. Actualmente es el encargado de potenciar la expansión comercial de la empresa desde la sede en Madrid como Jefe de Desarrollo de Negocio (CBDO). Además, representa a jtsec en diversos foros nacionales e internacionales y es el responsable de calidad.