CTN 320 Ciberseguridad y protección de datos personales

La ciberdelincuencia es un gran problema. Las empresas están reportando un número creciente de ciberataques, muchos de ellos dirigidos a su propiedad intelectual, y como resultado han de invertir más recursos económicos en medidas de seguridad de la información. En los últimos años la ciberseguridad se ha convertido en un nicho de mercado muy potente debido a la importancia que esta herramienta tiene para mantener la privacidad y la reputación de las corporaciones.

Ante la creciente amenaza de peligros en Internet, es importante optimizar recursos e integrar productos y servicios para que sean más accesibles a las empresas, cuidando siempre el tránsito de datos entre las industrias que los crean y las que los gestionan y protegen. La ciberseguridad es una de las principales preocupaciones de muchas empresas e instituciones. Este año, el negocio de la ciberseguridad crecerá en España un 7 % más que el año pasado, lo que se traduce en un crecimiento continuo que se mantendrá también en 2020.

Sin embargo, la variedad de los métodos de protección utilizados por los países u organizaciones puede hacer que sea difícil evaluar los riesgos de forma sistemática y garantizar una seguridad consistente y adecuada. Por lo tanto, los estándares tienen un papel clave que desempeñar en la mejora de la ciberseguridad (protección de Internet, sus comunicaciones y las empresas que dependen de ellas) y el CTN 320 Ciberseguridad y protección de datos personales es el comité técnico de UNE centrado en la ciberseguridad, privacidad y protección de datos personales.

El CTN 320 se constituyó en 2018 y transformó al antiguo CTN 71/SC 27 Técnicas de seguridad para poder dar cobertura al seguimiento de los nuevos trabajos europeos. En el CTN 320 participan 124 vocales pertenecientes a 60 entidades de todas las partes interesadas en estas materias: desde las asociaciones sectoriales y empresas privadas, incluidas pymes, hasta Administraciones Públicas y organismos públicos, pasando por el mundo científico, colegios profesionales y universidades, entre otros. Todos ellos influirán en el desarrollo de estándares internacionales y europeos en apoyo al nuevo marco regulatorio europeo (Directiva NIS, Reglamento General de Protección de Datos-RGPD- y reglamento de Ciberseguridad). Miguel Bañón se hace cargo de la presidencia del CTN 320 y la secretaría recae en la Asociación Española de Normalización, UNE. Para llevar a cabo su labor, este comité se estructura en seis áreas de trabajo o subcomités: SC 1 Sistemas de gestión de la ciberseguridad; SC 2 Criptografía y mecanismos de seguridad; SC 3 Evaluación, pruebas y especificaciones de seguridad; SC 4 Seguridad de los servicios; SC 5 Protección de datos, privacidad y gestión de la identidad, y SC 6 Seguridad de los productos.

El objetivo del CTN 320 es desarrollar normas técnicas que den respuesta eficaz a los desafíos de las organizaciones en estos campos, siendo la vía directa de influencia en la elaboración de estándares europeos e internacionales, a través de UNE, el organismo español de normalización. Estos estándares se desarrollan en el seno de los organismos de normalización europeos (CEN, CENELEC y ETSI) e internacionales (ISO e IEC). Cuenta en su Plan de Normas con desarrollos en ámbitos que van desde la seguridad en la nube hasta la gestión de evidencias electrónicas, pasando por la privacidad IoT (Internet de las Cosas) o la seguridad y privacidad en Big Data, entre otros. Entre otras actuaciones, el CTN 320 albergará el desarrollo de normas de apoyo al Reglamento de Ciberseguridad aprobado por el Parlamento Europeo el pasado 12 de marzo, facilitando el despliegue de las políticas públicas.

Hasta la fecha, el CTN 320 ha publicado 20 normas UNE, la mayoría son adopciones de normas europeas, dos son adopciones de normas internacionales ISO y nueve documentos son normas netamente nacionales. Entre otras, hay que destacar las Normas UNE 71510, UNE 71512 y UNE 71513 sobre aplicaciones con Documento Nacional de identidad electrónico (DNIe) y creación y verificación de firma electrónica, que especifican los requisitos funcionales de seguridad para las aplicaciones de creación y verificación de firma electrónica avanzada que utilicen el DNIe como dispositivo seguro de creación de firma; y que incluyan todo el hardware, firmware y software necesario para facilitar la funcionalidad requerida, incluyendo el interfaz con el firmante. Asimismo, estas normas incluyen los requisitos de garantía de seguridad para determinar la conformidad de la aplicación de creación y verificación de firma con el nivel de garantía de evaluación «EAL1» «EAL3» según las Normas ISO/IEC 15408 e ISO/IEC 18045. Actualmente, el CTN 320 está trabajando en el proyecto PNE-ISO/IEC 27017 Tecnología de la información. Técnicas de seguridad. Directrices para los controles de seguridad de la información basados en la Norma ISO/IEC 27002 para servicios en la nube, utilizada conjuntamente con la familia de Normas UNE-ISO/IEC 27001. Dicha norma proporciona controles para proveedores y clientes de servicios en cloud. A diferencia de muchas otras normas relacionadas con la tecnología, la ISO/IEC 27017 aclara las funciones y responsabilidades de ambas partes para ayudar a que los servicios en la nube sean tan seguros como el resto de los datos incluidos en un sistema de gestión de la información.

Hay que destacar el alto grado de participación de los expertos que representan a las vocalías del CTN 320, así como la implicación en los comités europeos (CEN/CLC/JTC 13 Cybersecurity and Data Protection y CEN/CLC/JTC 8 Privacy management in products and services) e internacionales (ISO/IEC/JTC1/SC 27 IT Security techniques e ISO/PC 317 Consumer protection: privacy by design for consumer goods and services), donde hay acreditados expertos españoles en todos sus grupos de trabajo.

El CTN 320 es el responsable en España de la familia de Normas UNE-ISO/IEC 27000 de Gestión de la Seguridad de la Información, dentro de la que está la ISO/IEC 27001, referencial para la certificación de organizaciones, así como de la serie ISO/IEC 15408 conocida como criterios comunes para la evaluación de la seguridad, normas base para el Esquema Nacional de Seguridad.

La dependencia ya absoluta de nuestra sociedad en las tecnologías de la información necesita de niveles de seguridad y protección de nuestros datos personales con un grado de garantía que nos permita confiar en esta dependencia, y que evite sus posibles efectos negativos y trabas al desarrollo. Cómo desarrollar, operar y determinar tecnología segura necesita de normas técnicas que susciten el consenso de todos los actores de la sociedad.

En el momento actual, las políticas europeas y nacionales están ya centrando su interés y prioridad en los necesarios marcos legislativos que garanticen la seguridad de las TI de un mercado único, competitivo y fiable, como apoyo a una sociedad avanzada, con recientes iniciativas en torno a la garantía y gestión de la ciberseguridad, que se concibe ya como parte sustancial de las políticas industriales, de desarrollo de la sociedad y derechos civiles, y de orden público y defensa. Estos desarrollos legislativos requieren, por diseño, de normas técnicas que consideren los aspectos técnicos y el estado del arte preciso para facilitar su cumplimiento. Este empuje legislativo crea una demanda sin precedentes en el campo de la normalización de la seguridad de las TI y de la protección de datos personales.

España tiene una larga tradición y amplias capacidades en el desarrollo de TI y, además, seguras. También tenemos el privilegio de contar con tradición y capacidad de desarrollo normativo en este campo, que se remonta a más de 25 años de actividad en diferentes comités, subcomités y grupos de trabajo.

Uniendo estos tres mimbres, necesidad, oportunidad y capacidad, el nuevo CTN 320 nace para atender de manera coordinada a la sociedad en el mejor momento posible y proyectando nuestros intereses a las futuras normas técnicas. Esperamos hacer un buen trabajo.