En un reciente webinar, Núria Carrió, Directora Técnica de Certificación de Ciberseguridad en Applus+ Laboratories, ofreció una visión detallada de la norma EN 18031. Este artículo resume los principales puntos discutidos, ofreciendo ideas clave sobre la estructura, aplicación, criterios de evaluación, requisitos técnicos y mapeo de la norma. La norma EN 18031 es crucial para los fabricantes que buscan cumplir con la Directiva de Equipos de Radio (RED) y sus requisitos de ciberseguridad, particularmente los Artículos 3.3 D, E y F.
El estándar EN 18031 fue desarrollado por el Comité Técnico GT13 de CEN y CENELEC para apoyar los requisitos esenciales de la Directiva de Equipos de Radio, abordando específicamente los Artículos 3.3 D, E y F. Esta norma tiene como objetivo mejorar la seguridad de los equipos de radio conectados a Internet, asegurando que operen de manera segura y prevengan daños a las redes. Se divide en tres partes: requisitos generales de ciberseguridad, requisitos para equipos que procesan datos personales y requisitos para dispositivos que manejan transacciones financieras. Cada parte está diseñada para abordar preocupaciones de seguridad específicas relevantes al tipo de datos y funcionalidad del equipo.
La norma introduce el concepto de mecanismos de seguridad, que guían a los usuarios sobre cuándo y cómo aplicar medidas de seguridad específicas. Estos mecanismos se centran en dos aspectos principales: aplicabilidad y suficiencia. Si un mecanismo no es aplicable a un dispositivo, no se necesita una evaluación adicional. Sin embargo, si es aplicable, el dispositivo se someterá a una evaluación funcional y conceptual. La norma es independiente de la tecnología y permite a los fabricantes adaptar sus implementaciones en función del uso previsto y la evaluación de riesgos de sus dispositivos. Esta flexibilidad asegura que las medidas de seguridad sean apropiadas para el contexto específico y el nivel de riesgo de cada dispositivo.
Los fabricantes deben preparar un análisis de riesgos integral y proporcionar evidencia para respaldar el cumplimiento de la norma. El proceso de evaluación incluye tres pasos principales: evaluación conceptual, pruebas funcionales y pruebas de seguridad. La evaluación conceptual examina la documentación para asegurar que los mecanismos de seguridad elegidos estén justificados y sean apropiados para el dispositivo. Esto implica el uso de árboles de decisión para determinar la aplicabilidad de cada mecanismo y proporcionar justificaciones para cada decisión. Las pruebas funcionales verifican la exactitud de la documentación mediante pruebas prácticas, asegurando que los mecanismos de seguridad estén correctamente implementados. Las pruebas de seguridad implican técnicas como fuzzing, pruebas de penetración y revisión de código para asegurar que los mecanismos de seguridad sean efectivos en escenarios del mundo real. Estas pruebas simulan posibles ataques para identificar vulnerabilidades y evaluar la robustez de las medidas de seguridad.
La norma EN 18031 cubre varios requisitos técnicos diseñados para proteger diferentes tipos de activos, incluidos activos de seguridad, activos de red, activos de privacidad y activos financieros. Los requisitos clave incluyen mecanismos de control de acceso para prevenir el acceso no autorizado a los activos, mecanismos de autenticación para verificar la identidad de los usuarios, actualizaciones seguras para asegurar la integridad y autenticidad de las actualizaciones de software, y almacenamiento seguro para proteger los datos de la extracción no autorizada. Otros requisitos incluyen mecanismos de comunicación segura para proteger los datos transmitidos a través de redes, mecanismos de resiliencia para mitigar los efectos de los ataques de denegación de servicio, mecanismos de monitoreo de red para detectar y responder a incidentes de seguridad, y gestión de claves criptográficas para asegurar la generación y almacenamiento seguro de claves criptográficas.
La norma también proporciona un mapeo a otras normas existentes como ETSI 303645 e IEC 62443, permitiendo a los fabricantes aprovechar sus esfuerzos de cumplimiento existentes. Este mapeo ayuda a los fabricantes a entender cómo sus medidas de seguridad actuales se alinean con los requisitos de la norma EN 18031 e identificar cualquier brecha que necesite ser abordada. Siguiendo la guía proporcionada en la norma, los fabricantes pueden asegurar que sus dispositivos cumplan con los requisitos de seguridad necesarios y estén preparados para los próximos cambios regulatorios.
El estándar EN 18031 proporciona un marco integral para mejorar la seguridad de los equipos de radio conectados a Internet. Siguiendo las directrices de la norma y realizando evaluaciones de riesgos exhaustivas, los fabricantes pueden asegurar que sus dispositivos sean seguros y cumplan con la Directiva de Equipos de Radio. A medida que se acerca la fecha límite para el cumplimiento, es crucial que los fabricantes comiencen a prepararse ahora para cumplir con los nuevos requisitos y proteger sus dispositivos de posibles amenazas de seguridad.
Para obtener información más detallada y orientación sobre cómo lograr el cumplimiento con la norma EN 18031, se recomienda a los fabricantes que consulten la norma en sí y se asesoren con organismos notificados para evaluaciones y certificaciones específicas.
Descarga la presentación completa (en inglés)
Mira el video completo: https://www.youtube.com/watch?v=J20nr8RXh3o
Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies.
Permiten el funcionamiento de la web, cargar contenido multimedia y proteger su seguridad. Consulta las cookies que almacenamos en nuestra Política de cookies.
Nos permiten conocer cómo interactúas con la web, el número de visitas en las diferentes secciones y establecer estadísticas para mejorar nuestras prácticas comerciales. Consulta las cookies que almacenamos en nuestra Política de cookies.