La metodología SESIP (Security Evaluation Standard for IoT Platforms) de GlobalPlatform ha sido adoptada como base de una norma europea (EN) por el Comité Europeo de Normalización, CEN y CENELEC. La norma pretende ayudar al ecosistema IoT a abordar la fragmentación normativa y a comprender, desplegar y explicar mejor la seguridad.
"Se trata de subir el listón de la seguridad de la IO", comenta Eve Atallah, presidenta del subgrupo de trabajo SESIP de GlobalPlatform. "La seguridad en IoT es un problema, ya que en los últimos años ha surgido una miríada de normativas nacionales y regionales. Estamos pidiendo a los fabricantes de dispositivos y a los no expertos en seguridad que, en primer lugar, identifiquen los requisitos de seguridad pertinentes, implanten tecnología para abordarlos y, a continuación, demuestren las características de seguridad de sus productos. Esto es complejo, costoso e insostenible".
Valor para todas las partes interesadas en IoT
El Foro Económico Mundial (FEM) informó en 2022 de que las amenazas a la ciberseguridad han aumentado más de un 358% en los últimos años, superando la capacidad de las sociedades para prevenirlas o responder a ellas con eficacia. Un año después, el reto persiste, y el FEM señala la ciberseguridad como una preocupación constante y la incluye entre los 10 principales riesgos mundiales para 2023.
La metodología SESIP proporciona un enfoque estandarizado para evaluar las implementaciones de seguridad de IoT, adaptado a los requisitos y retos únicos del ecosistema en evolución. La metodología ha analizado y mapeado los requisitos normativos y de la industria de organizaciones líderes como ENISA, ETSI, IEC y NIST. La comunidad IoT dispone así de un punto de referencia único y accesible para evaluar la ciberseguridad IoT en línea con estos y otros requisitos, reduciendo la fragmentación, la complejidad y el coste de los procesos de certificación de seguridad para las partes interesadas.
Además, la metodología SESIP también admite la composición y reutilización de certificados. Esto permite utilizar componentes previamente certificados para construir un dispositivo con garantías de seguridad incorporadas, sin tener que repetir una evaluación completa del mismo componente en todos y cada uno de los mercados objetivo. De este modo se aumenta la eficacia, la seguridad, la innovación y el ahorro de costes en todo el proceso de certificación.
Es importante destacar que tanto organismos de certificación nacionales como privados están creando y gestionando sistemas de certificación basados en la metodología SESIP. Un ejemplo reciente es Taiwán, donde la metodología está siendo evaluada por el Instituto de Información e Industria.
Un ecosistema en rápido crecimiento
SESIP se ha convertido rápidamente en una norma internacionalmente reconocida para la evaluación de la seguridad, respaldada por una amplia comunidad de proveedores de seguridad, organismos industriales, laboratorios de seguridad y otras partes interesadas.
La comunidad GlobalPlatform es responsable del mantenimiento de la metodología, aplicando un modelo de gobernanza con una marca de calidad asociada entre las entidades de certificación, los proveedores de productos y los laboratorios. TrustCB, organismo de certificación desde hace tiempo, ya ha autorizado a 10 laboratorios y certificado más de 28 productos de empresas líderes del sector, como Amazon Web Services, Microchip Technology, STMicroelectronics, NXP Semiconductors, Renesas, Secure Thingz, Silicon Labs, Trusted Objects y Winbond Electronics Corporation. Más recientemente, SGS Brightsight CB se ha unido al programa para convertirse en GlobalPlatform SESIP CB.
La metodología también está ya reconocida y referenciada por organismos como PSA Certified, National Institute of Standards & Technology (NIST) y Car Connectivity Consortium (CCC).
Simplificación y refuerzo de la seguridad del IoT a través de la normalización
"SESIP es el resultado de la experiencia de la comunidad GlobalPlatform y de su trabajo para impulsar una mayor ciberseguridad en los dispositivos IoT sin añadir complejidad", añade Gil Bernabeu, CTO de GlobalPlatform. "Al ofrecer a las partes interesadas un único punto de referencia para la ciberseguridad IoT, independientemente de su experiencia en seguridad, podemos elevar colectivamente el listón de la seguridad. Cuando todo el mundo puede entender, se pueden tomar mejores decisiones más rápidamente. Cuando se toman mejores decisiones en materia de seguridad, crece la confianza tanto dentro de la industria como entre los usuarios finales. Creemos en una sociedad digital, pero ese objetivo sólo es alcanzable si tenemos confianza en los dispositivos y servicios digitales. La normalización, la evaluación y la certificación son fundamentales para esa confianza".
Más de 200.000 expertos de la industria, las asociaciones, las administraciones públicas, el mundo académico y las organizaciones sociales participan en la red CEN y CENELEC, que llega a más de 600 millones de personas en 34 países. El desarrollo de una Norma Europea se basa en el denominado Principio de Delegación Nacional y se rige por los principios de consenso, apertura, transparencia, compromiso nacional y coherencia técnica.
"El CEN y el CENELEC, como dos de los Organismos Europeos de Normalización (OEN) oficialmente reconocidos, tienen el firme compromiso de hacer realidad la transición digital en Europa, colaborando con todas las partes interesadas pertinentes para garantizar que las nuevas tecnologías sean seguras, fiables y beneficiosas para todos", comenta Cinzia Missiroli, Directora de Normalización y Solución Digital. "En este contexto, nuestra colaboración con GlobalPlatform es clave. El trabajo sobre el estándar europeo basado en su metodología SESIP es un buen ejemplo de lo que se puede conseguir trabajando juntos por una sociedad digital inclusiva y segura para Europa."
(GlobalPlatform)
