Certificaciones de ciberseguridad IoT: SESIP frente a PSA Certified

12/12/2024

En el creciente ámbito del Internet de las Cosas (IoT) una de las prioridades es poder garantizar una seguridad sólida. Dos esquemas de certificación destacados que abordan esta necesidad son el SESIP (Security Evaluation Standard for IoT Platform) y el PSA (Platform Security Architecture) Certified. Aunque ambos pretenden agilizar las evaluaciones de seguridad y mejorar la confianza, se ocupan de aspectos distintos de la seguridad de los productos IoT. Sus sinergias ofrecen a los fabricantes soluciones eficaces para cumplir diversos requisitos normativos y específicos del sector.

Comprendiendo SESIP y PSA Certified

SESIP: Desarrollado por GlobalPlatform, SESIP es un estándar modular de evaluación de la seguridad adaptado a las plataformas IoT. Se centra en la reutilización de componentes certificados, reduciendo la redundancia y agilizando las evaluaciones. La alineación de SESIP con estándares internacionales como ISO/IEC y normativas regionales lo convierte en una herramienta versátil para el cumplimiento de normativas.

PSA Certified: Dirigido por Arm y socios del sector, PSA Certified ofrece un marco de seguridad completo que integra la seguridad desde la fase de diseño. Proporciona directrices estructuradas para el análisis de amenazas, el diseño seguro y la evaluación independiente. En particular, PSA Certified incorpora perfiles de protección SESIP para los niveles 2, 3 y 4, lo que permite un proceso de evaluación cohesivo. En el nivel 1, PSA Certified aborda la fragmentación de las normas de seguridad de IoT alineándose con las principales normativas mundiales.

Principales diferencias y sinergias entre SESIP y PSA Certified

El siguiente cuadro destaca las principales diferencias y sinergias:

Aspecto	SESIP	PSA Certified
Enfoque	Evaluaciones modulares de plataformas	Seguridad integral para dispositivos IoT, utilizando perfiles SESIP para niveles avanzados
Niveles de Evaluación	Cinco niveles alineados con los estándares ISO/IEC	Cuatro niveles: Nivel 1 (básico) a Nivel 4 (avanzado, basado en SESIP)
Perfiles de Protección	La industria puede crear perfiles específicos para necesidades específicas, p. ej., Automoción.	Solo se aceptan perfiles PSA (raíz de confianza para chips IoT)
Sinergia de Certificación	Independiente pero alineado con estándares globales	Las certificaciones PSA Nivel 2–4 incluyen la certificación SESIP sin costos o pruebas adicionales
Mercado Objetivo	Reutilización amplia basada en plataformas	Garantía integral a nivel de dispositivo para productos IoT

Reutilización de módulos y plataformas certificadas vs garantías a nivel de dispositivo

Los objetivos de mercado de SESIP y PSA Certified reflejan sus distintos enfoques de la seguridad de la IO, que abordan diferentes etapas del ciclo de vida del producto y satisfacen diversas necesidades de seguridad.

SESIP: Amplia reutilización basada en plataformas

SESIP se ha diseñado para plataformas y módulos IoT que sirven como componentes básicos para múltiples dispositivos. Su enfoque modular hace hincapié en la reutilización de componentes, lo que permite a los fabricantes certificar las principales características de seguridad de las plataformas o subsistemas y reutilizar estas certificaciones en una amplia gama de productos finales. Esto hace que SESIP sea especialmente adecuado para:

Fabricantes de chips y plataformas: Certificar sus plataformas de hardware o software, permitiendo a sus clientes aprovechar los componentes certificados sin duplicar los esfuerzos de evaluación.
IoT industrial: Permite la certificación de componentes compartidos como sensores y módulos de comunicación, reduciendo la redundancia en diversas implementaciones.
Automoción y otras industrias especializadas: Se alinea con normas como ISO/SAE 21434, apoyando la reutilización en industrias con ecosistemas de componentes compartidos y largos ciclos de vida de los productos.

Certificación PSA: Garantía integral a nivel de dispositivo para productos IoT

PSA Certified ofrece una garantía de seguridad completa a nivel de dispositivo, guiando a los fabricantes desde la fase inicial de diseño hasta la evaluación final del producto. Garantiza que los dispositivos IoT, ya sean de consumo o industriales, cumplen unos sólidos requisitos de seguridad. PSA Certified es ideal para:

Dispositivos IoT de consumo: Productos como los electrodomésticos inteligentes, la iluminación conectada y los wearables requieren seguridad de extremo a extremo para proteger los datos de los usuarios y garantizar la integridad de los dispositivos.
Dispositivos Edge y Gateways: Interfaces críticas entre sensores y servicios en la nube, que requieren una seguridad robusta para proteger los datos sensibles.
Infraestructura conectada: Las aplicaciones en ciudades inteligentes, sanidad y transporte se benefician de la garantía de seguridad a nivel de dispositivo de PSA Certified, reduciendo los riesgos asociados a los ataques escalables.

Reduciendo la fragmentación de las normas y la legislación

La fragmentación de normas y reglamentos es uno de los mayores retos de la seguridad del IoT. La certificación PSA de nivel 1 aborda directamente este problema alineándose con los principales estándares y regulaciones a nivel global, como ETSI EN 303 645, NIST 8259A y la ley SB-327 del estado de California. Además, PSA Certified realiza un seguimiento activo y se alinea con normativas emergentes como la PSTI del Reino Unido, la Ley Europea de Ciberresiliencia (CRA), la Directiva RED, la IEC 62443 4-2 y la CSA-311.

Al mantener la alineación con las normas actuales y futuras, PSA Certified proporciona un marco flexible que reduce la complejidad y mejora el cumplimiento normativo para los fabricantes de IoT.

Cumplimiento de la normativa y adopción por el sector

Industria del automóvil: SESIP está ganando terreno como norma de referencia en el sector de la automoción, alineándose con los requisitos de seguridad específicos de la industria y facilitando el cumplimiento de normativas como la ISO/SAE 21434.
Iluminación conectada: El Consorcio DesignLights reconoce a PSA Certified como un marco de seguridad IoT fundacional para la industria de la iluminación conectada, destacando su papel en la mejora de la seguridad y el cumplimiento en este sector.
Fabricantes IoT: PSA Certified simplifica el cumplimiento de los estándares globales, especialmente en el nivel 1, abordando normativas como ETSI EN 303 645, NIST 8259A y SB-327.

Sinergias entre SESIP y PSA Certified

Perfiles SESIP en PSA Certified: PSA Certified utiliza perfiles de protección SESIP para los niveles 2, 3 y 4. Esta integración permite que las certificaciones PSA hereden la certificación SESIP sin tasas ni pruebas adicionales, agilizando el proceso y reduciendo los costes.
Reutilización y eficiencia de componentes: La modularidad de SESIP favorece la reutilización de componentes en todos los productos, mientras que la certificación PSA garantiza un sólido enfoque integral. Juntos, permiten vías de certificación rentables para los fabricantes.
Normalización global: Ambos marcos se alinean con estándares internacionales como ISO/IEC y ETSI, garantizando el cumplimiento normativo y una amplia aplicabilidad en el mercado.
Ahorro de tiempo y dinero: Al certificar un producto PSA se obtiene automáticamente la certificación SESIP para los niveles 2 a 4, lo que elimina la duplicación de esfuerzos y acelera el tiempo de comercialización.

Conclusiones

SESIP y PSA Certified son esquemas complementarios que crean potentes vías para que los fabricantes de IoT logren certificaciones de seguridad eficientes, rentables y reconocidas en todo el mundo. La modularidad de SESIP permite la reutilización de módulos y plataformas y es flexible para adaptarse a las nuevas necesidades del mercado en diferentes sectores, mientras que PSA Certified garantiza la seguridad a nivel de dispositivo. Juntos, reducen la complejidad, agilizan el cumplimiento y fomentan la innovación y la resistencia en el ecosistema IoT, lo que permite a los fabricantes satisfacer las diversas necesidades del mercado y de la normativa.