¿Cómo evaluar la ciberseguridad de un dispositivo IoT de consumo según el esquema ETSI EN 303 645?

Blog

9
- Marzo
2023
Publicado por: Javier Tallón
¿Cómo evaluar la ciberseguridad de un dispositivo IoT de consumo según el esquema ETSI EN 303 645?

Los dispositivos IoT forman parte cada vez más del día a día de los consumidores, dispositivos como relojes de fitness, dispositivos de domótica, robots aspiradores, lavavajillas y docenas de otros dispositivos que utilizamos a diario. Por lo tanto, saber que un dispositivo IoT cumple ciertas normas de ciberseguridad es un alivio tanto para el fabricante como para el consumidor.

Debido a esta necesidad, se desarrolló la norma ETSI EN 303 645. Se publicó en 2019, involucró a todas las partes interesadas del panorama de la ciberseguridad de IoT del consumidor y se desarrolló con la industria, académicos, laboratorios de pruebas y organismos gubernamentales internacionales. Este estándar se ha convertido en una referencia para asegurar los dispositivos IoT en todo el mundo y ya es utilizado por varias regulaciones de ciberseguridad.

¿Cómo llevar a cabo una evaluación conforme a la norma ETSI EN 303 645?

La norma ETSI EN 303 645 se evalúa siguiendo las directrices de ETSI TS 103 701,que describe cómo se realiza una evaluación de la conformidad de forma estructurada y exhaustiva. Esto permitirá a las organizaciones proveedoras, como fabricantes, vendedores o distribuidores, evaluar la conformidad de sus dispositivos con la norma ETSI EN 303 645. La especificación técnica que ofrece ETSI TS 103 701 ayuda a armonizar las metodologías de evaluación y a prestar apoyo a fabricantes, proveedores e implantadores para sus procesos internos de seguridad.

¿Quiénes participan en el proceso?

El proceso de evaluación no es sencillo y puede requerir varios meses de esfuerzo para completarse. Por este motivo, recomendamos recurrir a un laboratorio de confianza.

Hay tres actores principales que intervienen en este proceso:

  • Empresa proveedora (SO): Es básicamente la empresa que requiere los servicios.
  • (Opcional) Firma Consultora (CF): Es la empresa encargada de preparar toda la documentación (podría hacerlo el propio cliente). Esta es la parte más difícil del proceso, cuando se redacta la Declaración SO.
  • Laboratorio de ensayos (TL): Entidad independiente que lleva a cabo la evaluación de la conformidad de un DUT. jtsec es un laboratorio acreditado por el ETSI para realizar evaluaciones basadas en ETSI TS 103 701, la especificación de evaluación desarrollada por el ETSI que especifica los ensayos de conformidad y la metodología para evaluar los dispositivos con respecto a EN 303 645. Una vez redactada la declaración de conformidad, puede iniciarse la evaluación. La evaluación puede abarcar los requisitos obligatorios de la norma EN 303 635 o también las recomendaciones adicionales de la norma.
  • Diagrama de flujo del proceso de evaluación de la norma ETSI EN 303 645.

    En esta sección destacaremos las etapas más importantes del proceso de evaluación. Con este gráfico, los pasos a seguir quedarán más claros:

    Fuente: ETSI TS 103 701

    Documentación importante necesaria en el proceso

    Hay algunos documentos que deben ser realizados por el cliente o la empresa consultora y otros por el laboratorio..

  • La Declaración SO: Es un documento que incluye la identificación del DUT (Dispositivo Bajo Prueba), la creación de la Declaración de Conformidad de la Implementación (ICS) y la Información Extra de la Implementación para Pruebas (IXIT)
  • Declaración de conformidad de la implementación, Implementation Conformance Statement (ICS): Declaración realizada por el SO de las capacidades implementadas en el DUT o soportadas por éste.
  • Informe de Evaluación:Una vez realizada la evaluación, el laboratorio cumplimenta un informe de evaluación que incluirá un veredicto (pass, fail o inconclusive) para cada una de las disposiciones que se apliquen al dispositivo.
  • ¿Cómo podemos ayudarle a cumplir las normas ETISI EN 303 645?

    Nos esforzamos por facilitar el proceso y hacerlo lo más sencillo posible, minimizando la carga de trabajo de nuestros clientes. Nuestros hitos más destacados:

  • Primer laboratorio español acreditado ETSI EN 303 645 para IoT de consumo (realizando especificaciones técnicas ETSI EN 103 701).
  • Miembros del SCCG (Stakeholder Cybersecurity Certification Group).
  • Más de 60 evaluaciones de ciberseguridad llevadas a cabo en 2022 y más de 45 profesionales de ciberseguridad a su disposición.
  • Miembros de ECSO en el Working Group "Standardization, Certification and Supply Chain Management".
  • Si quieres más información no dudes en ponerte en contacto con nosotros y visitar nuestra página web dedicada a ETSI EN 303 645 .

    Javier Tallón/Director Técnico

    Consultor experto del estándar de seguridad Common Criteria y de otros muchos estándares de seguridad dentro de las tecnologías de la información (FIPS 140-2, ITSEC, ISO 27K1, SOC 2, ENS,...). Javier ha trabajado como evaluador de seguridad en los mayores laboratorios nacionales y como consultor ha acompañado a diversas compañías en sus procesos de certificación de la ciberseguridad. Ha sido ponente en diversas conferencias en materia de seguridad informática y certificación (SuperSec, Cybercamp, Navaja Negra, International Common Criteria Conference, International Cryptographic Module Conference, EUCyberact Conference), es profesor del máster de Ciberseguridad de la UGR y está certificado CISSP (Certified Information Systems Security Professional) y OSCP/OSCE (Offensive Security Certified Professional & Certified Expert).

    En 2015 comienza a sentar las bases de lo que será jtsec. Actualmente ejerce las labores Director Técnico del laboratorio de evaluación y Jefe de Operaciones (COO) de la oficina de Granada desde donde la empresa desarrolla la mayor parte del trabajo. Reconocido experto en diversas disciplinas de ciberseguridad (reversing, exploiting, web, …), asume la dirección técnica de la mayoría de los proyectos, dirigiendo y organizando el trabajo del equipo. Además lidera el área de Investigación y Desarrollo, fomentando la participación del equipo de jtsec en múltiples Congresos.


    Contacto

    ¡Envíanos tus dudas o sugerencias!

    Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.