El Comité Técnico de Normalización CTN 320 de la Asociación Española de Normalización (UNE) trabaja en el desarrollo de normas técnicas o estándares que dan respuesta a los nuevos retos relacionados con la ciberseguridad. Concretamente, lo hace en aspectos como la evaluación de la seguridad de los productos de TI, la seguridad en la nube, el Internet de las Cosas (IoT), las evidencias electrónicas o el vehículo conectado. Además, lleva la voz de los expertos de la industria española a los foros internacionales y europeos de normalización donde se elaboran estándares en apoyo al nuevo marco regulatorio europeo, el Reglamento sobre Ciberseguridad, la Directiva NIS o el Reglamento General de Protección de Datos (RGPD).
La ciberdelincuencia aumenta a un ritmo muy acelerado, con nuevas tendencias emergiendo continuamente. Las empresas están reportando un número creciente de ciberataques, muchos de ellos dirigidos a su propiedad intelectual. Como resultado, estas compañías han de invertir más recursos económicos en medidas de protección y prevención.
En los últimos años, la ciberseguridad se ha convertido en un nicho de mercado muy potente debido a la importancia que esta herramienta tiene para mantener la privacidad y la reputación de las corporaciones.
Ante la creciente amenaza de peligros en Internet, es importante optimizar recursos e integrar productos y servicios para que sean más accesibles a las empresas, cuidando siempre el tránsito de datos entre las industrias que los crean y las que los gestionan y protegen. La ciberseguridad se convierte así en una de las principales preocupaciones de muchas empresas y organizaciones, tanto públicas como privadas.
Sin embargo, se dispone actualmente de una variedad de métodos de protección que hacen difícil evaluar los riesgos de forma sistemática y garantizar una seguridad consistente y adecuada. En este escenario, los estándares juegan un papel clave en la mejora de la ciberseguridad (protección de Internet, sus comunicaciones y las empresas que dependen de ella). El CTN 320 Ciberseguridad y protección de datos personales es, en este sentido, el Comité Técnico de Normalización de UNE centrado en la ciberseguridad.
Las normas recogen el consenso del mercado sobre las mejores prácticas en aspectos clave para la competitividad de las organizaciones. Se elaboran con la participación de todas las partes implicadas y son fruto de acuerdos y compromisos de las partes.
Alta participación
En el CTN 320 participan 153 vocales pertenecientes a 66 entidades de todas las partes interesadas en estas materias: desde las asociaciones sectoriales y empresas privadas (incluidas pymes), hasta administraciones públicas y organismos públicos, pasando por el mundo académico y los colegios profesionales, entre otros.
Todos ellos influirán en el desarrollo de estándares internacionales y europeos en apoyo al nuevo marco regulatorio europeo (Reglamento sobre la Ciberseguridad, la Directiva NIS o RGPD).
En particular, Miguel Bañón se hace cargo de la presidencia del CTN 320, y la secretaría recae en UNE. Para llevar a cabo su labor, este comité se estructura en seis áreas de trabajo o subcomités, los cuales se exponen en la tabla adjunta.
Objetivo
El objetivo del CTN 320 es desarrollar normas técnicas españolas UNE que den una respuesta eficaz a los desafíos de las organizaciones en estos campos. Se constituye así como la vía directa de influencia en la elaboración de estándares europeos e internacionales a través de UNE, el organismo español de normalización. Estos estándares se desarrollan en el seno de los organismos de normalización europeos (CEN, CENELEC y ETSI) e internacionales (ISO e IEC).
Cuenta en su Plan de Normas para 2020 con desarrollos en ámbitos que van desde la seguridad en la nube hasta la gestión de evidencias electrónicas, pasando por la privacidad IoT o la seguridad y privacidad para Big Data, por citar algunos ejemplos.
El CTN 320 ha publicado una veintena de normas UNE, siendo la mayoría adopciones de normas europeas e internacionales
Entre otras actuaciones, el CTN 320 albergará el desarrollo de normas de apoyo al Reglamento sobre Ciberseguridad, aprobado por el Parlamento Europeo, facilitando el despliegue de las políticas públicas y la consideración de aspectos de ciberseguridad en el vehículo conectado.
Normas
Hasta la fecha, el CTN 320 ha publicado 20 normas UNE. Nueve son normas netamente nacionales, y el resto europeas o internacionales. Entre otras, hay que destacar las normas UNE 71510, UNE 71512 y UNE 71513 sobre aplicaciones con Documento Nacional de Identidad electrónico (DNIe) y creación y verificación de firma electrónica. Estas especifican los requisitos funcionales de seguridad para las aplicaciones de creación y verificación de firma electrónica avanzada que utilicen el DNIe como dispositivo seguro de creación de firma. También aquellos que incluyan todo el hardware, firmware y software necesario para facilitar la funcionalidad requerida, incluyendo el interfaz con el firmante.
Asimismo, estas normas incorporan los requisitos de garantía de seguridad para determinar la conformidad de la aplicación de creación y verificación de firma con el nivel de garantía de evaluación EAL1 o EAL3, según las normas ISO/IEC 15408 e ISO/IEC 18045.
Actualmente, el CTN 320 está trabajando en la adopción al catálogo español de UNE de normas internacionales como la ISO/IEC 27701:2019 Técnicas de Seguridad. Extensión de ISO/IEC 27001 e ISO/IEC 27002 a la gestión de la información de privacidad. Requisitos y directrices.
Este estándar especifica los requisitos y proporciona directrices para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de información de privacidad para la gestión de privacidad dentro del contexto de la organización.
Forman parte también del plan de trabajo del CTN 320 la conversión en norma UNE de la metodología Lince, publicada por el Centro Criptológico Nacional para la evaluación de la seguridad de productos de tecnologías de la información. Asimismo, ha abierto un periodo de estudio para la valoración de posibles desarrollos relativos a la ciberseguridad en el vehículo conectado.
Por otro lado, hay que destacar el alto grado de participación de los expertos que representan a las vocalías del CTN 320. Y también la implicación en los comités europeos (CEN/CLC/JTC 13 Cybersecurity and Data Protection) e internacionales (ISO/IEC/JTC1/SC 27 IT Security techniques e ISO/PC 317 Consumer protection: privacy by design for consumer goods and services), donde hay acreditados varios expertos españoles en todos sus grupos de trabajo.
El CTN 320 también es el responsable en España de la familia de normas UNE-ISO/IEC 27000 de Gestión de la Seguridad de la Información. Dentro de ellas se encuentra la ISO/IEC 27001, referencial para la certificación de organizaciones, así como la serie ISO/IEC 15408, con criterios comunes para la evaluación de la seguridad; normas base para el Esquema Nacional de Seguridad.
Desarrollo sostenible
Las normas UNE facilitan a las organizaciones la consecución de los objetivos de desarrollo sostenible, ya que proporcionan un lenguaje común y criterios medibles basados en el conocimiento, el consenso y la colaboración que requiere este reto global. Así, los estándares de UNE en el ámbito de la ciberseguridad ayudan a conseguir el noveno objetivo de desarrollo sostenible, sobre industria, innovación e infraestructura; así como el undécimo, sobre ciudades y comunidades inteligentes, entre otros.