jtsec forma parte de

FITCEM (EN 17640), la primera metodología de ciberseguridad creada para cumplir el Cybersecurity Act (CSA).

Blog

17
- Nov
2022
Publicado por: José Ruiz
FITCEM (EN 17640), la primera metodología de ciberseguridad creada para cumplir el Cybersecurity Act (CSA).

Europa lleva varios años liderando el ámbito legislativo en materia de ciberseguridad; una de las principales razones de esta posición predominante fue la creación del Cybersecurity Act (CSA). Uno de los principales objetivos del CSA es proporcionar un marco europeo de certificación de ciberseguridad para los productos, servicios y procesos de las TIC, con el fin de beneficiar a las empresas que quieran comercializar sus soluciones en Europa, certificando sus productos una sola vez y siendo reconocidos en toda la Unión Europea. El CSA es un proyecto bastante ambicioso, pero tenía el problema de la falta de metodologías de evaluación, un reto que se está resolviendo con el esfuerzo de las diferentes partes interesadas: ENISA, CEN/CENELEC, ETSI, ITSEFs, CABs, proveedores, etc.

Por qué se desarrolló el FITCEM y en qué se basa

Algunos países europeos han desarrollado sus propias metodologías de evaluación de la ciberseguridad dentro de un tiempo y esfuerzo bien acotados, aunque todas ellas con una base similar. Este tipo de certificaciones surgen para resolver el problema relacionado con la duración y el coste de las certificaciones existentes, como Common Criteria, que no son adecuadas para productos de seguridad media o baja.

Países como Francia (CSPN), Alemania (BSZ), Holanda (BSPA) o España (LINCE), han desarrollado sus propios esquemas nacionales, se puede consultar la comparativa realizada por jtsec entre estas metodologías “Analysis and comparison of lightweight evaluation methodologies”.

El principal problema era que un vendedor que quisiera vender sus productos, por ejemplo, en Francia y en España, tenía que pasar dos certificaciones diferentes (CSPN y LINCE en este caso), bastante similares entre sí, lo que supone un aumento importante de los costes y del tiempo invertido por el vendedor

FITCEM, una puerta abierta a un futuro prometedor en ciberseguridad en Europa

FITCEM es la primera piedra de una Europa más unida en cuanto a esquemas horizontales de ciberseguridad. FITCEM (EN 17640), abre la puerta a que los esquemas del CSA utilicen una metodología horizontal europea que sea flexible y pueda personalizarse para satisfacer las necesidades de los diferentes esquemas.

Además, FITCEM podría sustituir a las metodologías nacionales, como las mencionadas anteriormente.

Los vendedores son los principales beneficiarios comercialmente hablando de estas iniciativas desarrolladas a nivel europeo, ya que la entrada de sus productos en toda Europa podría ser mucho más rápida y eficiente.

Los vendedores son los principales beneficiarios comercialmente hablando de estas iniciativas desarrolladas a nivel europeo, ya que la entrada de sus productos en toda Europa podría ser mucho más rápida y eficiente. Otros esquemas europeo como EUCC (Common Criteria based European candidate cybersecurity certification) están a punto de publicarse, lo que refuerza la idea de fortalecer los esquemas horizontales e intersectoriales en toda Europa.

Nuestra contribución en el desarrollo de FITCEM

José Ruiz, CTO de jtsec Beyond IT Security, ha sido coeditor de la norma EN 17640 "Fixed-time cybersecurity evaluation methodology for ICT products! (FITCEM).

Esta norma se ha desarrollado en el seno del grupo de trabajo CEN-CLC/JTC 13 “Cybersecurity and Data Protection”. Este grupo es el comité técnico horizontal de CEN y CENELEC que se ocupa de las normas internacionales pertinentes (especialmente de ISO/IEC JTC 1 SC 27) como normas europeas (ENs) en el ámbito de las tecnologías de la información (TI).

Si está pensando en evaluar su producto TIC bajo la metodología FITCEM o cualquier otro esquema, no dude en ponerse en contacto con nosotros para que podamos colaborar. Podemos ayudarle en la certificación de su producto en el menor tiempo posible, facilitando el proceso gracias a nuestra experiencia técnica.

José Ruiz/CTO

José es consultor experto en el estándar Common Criteria con más de 10 años de experiencia. Posee una amplia experiencia en normas de seguridad en el campo de la tecnología de la información como FIPS 140-2, GP TEE o FIDO y ha servido como evaluador, líder técnico y consultor para Epoche & Espri y como gerente de laboratorio de CC y Cyber Security Service Manager para Applus +. Su experiencia lo ha llevado a participar como ponente en varias ediciones de la ICCC (International Common Criteria Conference), ICMC (International Cryptographic Module Conference) y Securmatica. Es el “Chairmande un subgrupo dentro de la iniciativa ISCI WG1 Eurosmart para desarrollar la Metodología CC. Ha sido nombrado revisor por la comisión europea del grupo ERNCIP \IACS Cybersecurity certification".

En 2017 funda con Javier lo que hoy se conoce como jtsec. Actualmente es el encargado de potenciar la expansión comercial de la empresa desde la sede en Madrid como Jefe de Desarrollo de Negocio (CBDO). Además, representa a jtsec en diversos foros nacionales e internacionales y es el responsable de calidad.


Contacto

¡Envíanos tus dudas o sugerencias!

Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.