Blog

Beneficios de la normalización y certificación

Por: Carlos Galán, Doctor en Informática y Abogado especialista en Derecho de las TIC. Asesor de Addalia

Habitualmente, el desarrollo de normas, cuando se trata de estándares avalados por organizaciones internacionales (como ISO-International Organization for Standardization o ITU- International Telecommunication Union , por ejemplo) o europeas (como ETSI-European Telecommunications Standards Institute , por ejemplo) suele ser un proceso exhaustivo y coherente, y en el que toman parte desde los fabricantes de los productos, o servicios sujetos a normalización, pasando por las asociaciones de consumidores o destinatarios de tales productos o servicios, empresas individuales y miembros de la academia.

En general, la elaboración de las normas -especialmente, cuando se trata de reglas internacionales- es un proceso continuo, incluyendo una serie de reuniones que tienen lugar en todo el mundo, auspiciadas por los distintos capítulos nacionales de la organización patrocinadora. Se trata de las reuniones de los denominados Comités Técnicos, grupos organizados en torno a un chairman, formado por personas interesadas y por expertos en la materia objeto de normalización, que ponen en común sus puntos de vista, desarrollando aproximaciones sucesivas hasta que alcanzan un consenso; un acuerdo que, cuando se internacionaliza, da lugar a un primer borrador de la norma en cuestión, que se somete a revisión pública y se vota.

Este proceso se repite una y otra vez hasta que se alcanza el consenso. Es en este momento cuando, dependiendo de la organización patrocinadora, suele hacerse público un Final Draft que, transcurrido un periodo de gracia generalmente corto, culmina en la publicación formal de la norma.

Esto es lo que sucede, por ejemplo, con las normas ISO.

Los beneficios de la normalización

Las normas, los estándares, otorgan un conjunto de características a un producto o a un servicio, estando dirigidas a satisfacer -o, al menos, orientar- a los consumidores o destinatarios ayudando a materializar sus expectativas.

La normalización está dirigida a mejorar muchos aspectos cotidianos tales como:

  • Mejorar el desarrollo, fabricación y suministro de productos o servicios, al objeto de ser más eficientes, seguros y limpios.
  • Facilitar el comercio entre países y desarrollar un sistema más justo.
  • Proporcionar a los gobiernos una base técnica para la legislación en diferentes sectores.
  • Compartir avances tecnológicos y buenas prácticas de gestión.
  • Salvaguardar a los consumidores y usuarios de los productos y servicios normalizados.
  • Proporcionar soluciones comunes a problemas comunes.

Beneficios de la normalización

Las auditorías y la certificación como mecanismos de evaluación y exhibición, respectivamente, de la conformidad

Las auditorías de conformidad

En mi condición de miembro del grupo de redacción del Esquema Nacional de Seguridad (RD 3/2010) y las Instrucciones Técnicas de Seguridad que lo desarrollan, y como Auditor Técnico de Certificación de Producto (UNE-EN-ISO 17065) de la Entidad Nacional de Acreditación (ENAC) para el Esquema Nacional de Seguridad (Real Decreto 3/2010, de 8 de enero) y el Reglamento (UE) de Identidad Electrónica y Servicios de Confianza, he podido comprobar los enormes beneficios que supone el uso de las normas (estándares) y la certificación de los productos, servicios y procesos sobre tales estándares.

Como es sabido, una auditoría es: “Un proceso sistemático, independiente y documentado que persigue la obtención de evidencias objetivas y su evaluación para determinar en qué medida se cumplen los criterios de auditoría” . Dicho en otras palabras: una auditoría señala hasta qué punto un determinado objeto es conforme con lo dispuesto en la norma de referencia de que se trate.

Si esta Auditoría de Conformidad resulta satisfactoria, la Entidad de Evaluación de la Conformidad (por sí misma o por medio de un tercero habilitado) expedirá una Certificación de Conformidad que exhibirá la conformidad de la tecnología, producto o servicio con la norma (esquema de certificación) que se ha tomado como referencia.

En España, el modelo más extendido para evaluar la conformidad de la seguridad de los sistemas de información lo constituyen el Esquema Nacional de Seguridad, o el modelo de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

Los beneficios de la certificación basada en normas

No cabe duda de que es preciso adoptar todas las medidas necesarias para mejorar la calidad de las tecnologías, productos y servicios dirigidos a la sociedad como la tecnología, los productos y los servicios blockchain, contemplando sus características operativas y sus cualidades, entre ellas, como especialmente significativa: la seguridad.

INFORMACIÓN RELACIONADA
ADDALIA se incorpora al grupo de trabajo de UNE “Blockchain y tecnologías de registro electrónico distribuido"

Por eso, una escasa utilización de la certificación como mecanismo de evidencia de conformidad con una norma, priva a los usuarios, las organizaciones y las empresas de información suficiente sobre las características de los productos, servicios o procesos TIC y socava la confianza en las soluciones digitales.

Es necesario, por tanto, que las empresas y los consumidores dispongan de información precisa sobre el nivel de garantía con el que se han certificado sus productos, servicios y procesos de TIC y sus características, la seguridad entre ellas.

Y esto no es fácil.

Frecuentemente, los más modernos productos y sistemas integran una o varias tecnologías y componentes de terceros. Esta relación de dependencia presenta riesgos adicionales en materia de seguridad, pues las vulnerabilidades de los componentes de terceros pueden terminar afectando a los productos, servicios y procesos en los que se integran.

La Unión Europea ha venido adoptando medidas importantes para garantizar la seguridad y aumentar la confianza en las tecnologías digitales. En 2013, se adoptó una Estrategia de Ciberseguridad de la Unión Europea para orientar la respuesta política de la Unión a las amenazas y riesgos relacionados con la ciberseguridad.

Sin embargo, no todo es positivo: la normalización y la certificación terminará exigiendo que los importadores y distribuidores deban asegurar que los productos, servicios y procesos TIC que introduzcan en España cumplen los requisitos aplicables y no suponen un riesgo para las organizaciones o los consumidores.

Todo ello conduce a pensar -como así lo ha señalado la Comisión Europea- que la creación de un marco europeo de seguridad de las TIC que establezca pautas para organizar la certificación de seguridad de las TIC en España (y en la Unión) podría tanto preservar la confianza en internet, como combatir la actual fragmentación del mercado nacional.

Efectivamente, es hora de adoptar un planteamiento común y establecer un marco lo más internacional posible de certificación de las denominadas “tecnologías emergentes” que establezca los principales requisitos horizontales para desarrollar esquemas europeos de certificación y permita que los certificados sean reconocidos internacionalmente, con un doble objetivo:

  1. Contribuir a aumentar la confianza en los productos, servicios y procesos que hayan sido certificados con arreglo a normas internacionales (o europeas) consensuadas, y
  2. Evitar la multiplicación de los esquemas de certificaciones nacionales contradictorios o redundantes.

Parece lógico pensar que el objetivo esencial de los esquemas de certificación debe ser garantizar que los productos, servicios y procesos TIC certificados con arreglo a un esquema cumplan los requisitos especificados con objeto de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados, las funciones conexas de estos productos, servicios y procesos a lo largo de su ciclo de vida, o los servicios ofrecidos por ellos o accesibles a través de ellos.

Para llevar a cabo este procedimiento es necesario un tercero independiente (Entidad Auditora), que no sea el fabricante del producto ni el proveedor del producto, servicio o proceso TIC que está siendo evaluado.

No debemos olvidar, no obstante, que la evaluación de la conformidad y la certificación no pueden garantizar por sí mismas la idoneidad de los productos, servicios o procesos TIC certificados. Se trata más bien de un procedimiento y una metodología técnica que garantizan que los productos, servicios y procesos TIC han sido sometidos a ensayo y cumplen determinados requisitos establecidos en otro lugar, por ejemplo, en las normas técnicas.

Naturalmente, y salvo que la legislación de los estados nacionales así lo preceptúe, el recurso a la certificación debe seguir siendo voluntario. No obstante, los Estados deben poder adoptar reglamentos técnicos nacionales que establezcan la certificación obligatoria en virtud de un esquema de certificación dado.

Esto es especialmente importante en materia de ciberseguridad.

Efectivamente, para mejorar el nivel de la ciberseguridad de algunos ámbitos, en el futuro podría revelarse necesario convertir en obligatorias para algunos productos, servicios o procesos de TIC, determinadas exigencias específicas en materia de ciberseguridad, así como la certificación relacionada con ellas.

Este es el camino que se ha emprendido en diferentes sectores y atendiendo a la necesidad de normalizar el diseño, construcción, integración, utilización y desmantelamiento de sistemas construidos sobre bases tecnológicas innovadoras, como es el caso de blockchain.

En próximos artículos examinaremos la iniciativa de ISO en relación, precisamente, con Blockchain.

RECIBE NOVEDADES DE ADDALIA

Nueva llamada a la acción
New call-to-action
Valida la identidad, datos y documentos

HABLEMOS

Nuestros expertos estarán encantados de atender sus dudas e informarle de como validar identidades, datos y documentos, en segundos. Llámenos al +34 91 033 93 29 o rellene este formulario y le contactamos nosotros.