Durante el año 2012, la Comisión de Seguridad y Confianza de AMETIC (Asociación Multisectorial de Empresas de la Electrónica, las Tecnologías de la Información y Comunicación, de las Telecomunicaciones y de los contenidos digitales), a petición del Consejo Asesor del Esquema de Acreditación de Common Criteria en España ha desarrollado un estudio entre sus miembros y otras empresas del sector, para conocer el grado de conocimiento e implantación de esta certificación de la Seguridad de productos Software. El estudio, ha revelado la preparación de las empresas TIC españolas para trabajar con este estándar de certificación de productos tecnológicos. Aunque el resto del tejido empresarial y la mayor parte de las Administraciones Publicas no están demandando productos con esta certificación, no beneficiándose de las ventajas y garantías de seguridad que ofrece.
Common Criteria es el conjunto de estándares que se utilizan para verificar la seguridad de los productos tecnológicos. De este estudio, la Comisión ha identificado la preparación de la industria para la certificación de productos, en tanto que las empresas conocer la complejidad de Common Criteria y saben manejarla.
La Comisión ha identificado también que las empresas certifican Productos en Common Criteria mayoritariamente para incrementar la imagen del producto en el mercado, sin que exista una demanda o preferencia en el mercado español de productos con esta certificación (ni siquiera en el marco del Esquema Nacional de Seguridad) a pesar de las mejoras que dichos productos ofrecen, y sin que existan programas de ayudas que faciliten su adopción por las empresas.
Conocimiento del estándar Common Criteria
Todos los fabricantes de productos de tecnología encuestados señalan un grado de conocimiento elevado respecto al estándar Common Criteria y algo superior al conocimiento por parte de consultores e integradores de IT. En cualquiera de los casos, la mayoría de los participantes señalan su conocimiento completo sobre el impacto de las leyes en el uso de productos certificados Common Criteria.
Adopción del estándar Common Criteria por el mercado
Respecto al uso de Common Criteria por productos en el mercado, los fabricantes de productos certificados adquieren y utilizan productos certificados bajo este estándar, y tienen previsto seguir manteniendo este criterio de selección de productos. Este grado de aplicación también es importante en el caso de empresas privadas y consultores de seguridad.
Sin embargo, en el caso de la administración, y a pesar de que la preferencia por productos por esa certificación es un requisito establecido regulatoriamente en el Esquema Nacional de Seguridad, más de la mitad de los encuestados declaran que la administración desconoce el esquema Common Criteria y que solo una minoría de ellas requiere el uso de estos productos.
Expectativas de beneficios y Dificultades encontradas
En cuanto a los motivos por los que las compañías han decidido adoptar la certificación Common Criteria para sus productos, el uso de la certificación como mecanismo de Marketing aparece de forma destacada como principal motivación. En cuanto a las dificultades encontradas, las que más se identifican en las respuestas de la encuesta son la elevada inversión necesaria tanto externa como interna para abordar una certificación Common Criteria, y la falta de ayudas respecto a estas inversiones.
AMETIC
