ENS & CPSTIC – Juntos somos más fuertes

Blog

23
- Ago
2023
Publicado por: José Ruiz
[Comunicación jtsec]
ENS & CPSTIC – Juntos somos más fuertes

Hablar de los ciber riesgos a los que están expuestos hoy en día tanto la Administración Pública como el sector privado es, por desgracia, más que redundante. La Administración lleva más de diez años trabajando en la adopción/promoción del ENS como escudo para proteger a las administraciones públicas. Como cualquier proceso de cambio, ha sido costoso pero los resultados empiezan a ser importantes. Cada vez más administraciones y empresas privadas se certifican en él.

Hace ya 5 años, CCN creó el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) para dar soporte a la administración en la adquisición de productos de ciberseguridad. Actualmente, estas dos iniciativas ahora están unidas dentro del marco legal del ENS.

Papel del catálogo

En el Real Decreto 311/2022 del 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), se incorporó la mención al Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN, junto con la recopilación de requisitos relacionados con productos y servicios certificados / cualificados según su clasificación.

Esto representa un hito importante al unificar los requisitos de seguridad establecidos en el ENS con los esfuerzos que el CCN ha venido realizando durante varios años en la creación del catálogo de productos CPSTIC.

Por este motivo, según el ENS, y citando textualmente un extracto del punto 4.1.5 de la mencionada legislación:

Se utilizará el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN, para seleccionar los productos o servicios suministrados por un tercero que formen parte de la arquitectura de seguridad del sistema y aquellos que se referencien expresamente en las medidas de este real decreto
Se puede concluir de este extracto que es obligatorio contar con una certificación o cualificación de ciberseguridad para los productos TIC. Además, cumplir con la normativa es uno de los criterios de selección que utiliza el sistema dinámico de adquisición en la Administración Pública, explicado en el siguiente apartado

Adquisición de productos por parte de la Administración Pública

El sistema dinámico de adquisición en la administración pública es un método electrónico de contratación continua que está abierto a todas las empresas interesadas que cumplan con los criterios de selección. El sistema se compone de dos etapas. En la primera, las empresas que cumplen con los criterios de selección necesarios son admitidas en el sistema dinámico de contratación. En la segunda, las empresas admitidas en la ronda anterior presentan sus ofertas.

Estos sistemas dinámicos de adquisición incorporan condiciones generales para exigir certificaciones/cualificaciones de seguridad, así como métodos aceptables para demostrar la seguridad, estableciendo conexiones con el ENS, el CPSTIC y también con las certificaciones que puedan derivar del Reglamento (UE) 2019/881.

¿Qué es el catálogo de productos ciberseguros de la Administración?

CPSTIC / CCN – STIC 105 es el catálogo de referencia para productos TIC ciberseguros en la Administración Pública española. Ofrece un listado de productos con unas garantías de seguridad contrastadas por el Centro Criptológico Nacional y cuenta con una taxonomía de productos en continuo crecimiento. Cómo incluir un producto TIC en el catálogo dependerá principalmente de cómo esté desarrollado el producto y de si se ha obtenido o no alguna certificación previa como Common Criteria. Existen tres principales vías de acceso al catálogo:

  • Certificación LINCE: Evaluación utilizando la metodología LINCE. Esta opción es usada para productos on premise. El alcance de esta certificación es nacional y finaliza con la obtención de un certificado y la cualificación del producto.

  • Evaluación STIC: Similar a la evaluación LINCE, pero orientada a productos desarrollado en la nube. Requiere la evaluación, además, de la nube según el anexo G “Servicios en la nube”. Esta evaluación no finaliza con la obtención de un certificado, pero sí con la cualificación del producto.

  • STIC Complementaria: Para aquellos productos que cuentan con una certificación Common Criteria y que pretenden entrar en el catálogo. Básicamente consiste en complementar la certificación original con pruebas funcionales y test de penetración que no se realizaron en el alcance inicial.

    Productos desarrollados en la nube, bienvenidos al catálogo CPSTIC / CCN-STIC 105

    El mercado SaaS crece cada año, las administraciones cada vez más apuestan por utilizar este tipo de soluciones en su gestión y operatividad diaria. Por lo tanto, evaluar soluciones desarrolladas en la nube, venía siendo una urgencia a solucionar. En 2020, CCN publica el “Anexo G” que aplica para la taxonomía “Servicios en la nube”, creando así el primer marco de evaluación para cualificar productos en la nube en España y Europa.

    Esta iniciativa, presentada en las últimas jornadas del CCN, ha permitido modernizar el catálogo y alinearse con la realidad en las administraciones. Proveedores de servicios en la nube como AWS, Google o Microsoft ya tienen servicios en la nube incluidos en el catálogo.

    Casos de éxito de productos y servicios cualificados

    El catálogo crece y se adapta a las necesidades del mercado. La cualificación de ciertos productos ha supuesto verdaderos hitos más allá de nuestras fronteras. A continuación, exponemos algunos de ellos:

  • Cargadores de vehículos eléctricos: Diversos estudios reflejan el potencial impacto que pudiera tener un ciberataque a la red de cargadores de vehículos eléctricos. El requisito de cumplir con la certificación LINCE por una de las grandes eléctricas españolas ha permitido mejorar la ciberseguridad del sector a nivel nacional.

  • Herramientas de videoidentificación: Es la primera vez que se crea legislación nacional - orden ministerial (Orden ETD/465/2021, de 6 de mayo) – requiriendo la certificación/cualificación de ciberseguridad para un producto IT. Al ser un producto tan novedoso, ha requerido la creación de una metodología de evaluación por parte de CCN pionera a nivel mundial.

  • Seguridad OT - Software de gestión portuaria: Potenciar la ciberseguridad de infraestructuras críticas es uno de los objetivos de la Administración. Es un proyecto pionero a nivel nacional en el que se evalúa un software de estas características. Esta evaluación resultó en la creación de la categoría Seguridad OT dentro del catálogo CPSTIC.

    Conclusiones

    La administración española está implementando mecanismos (Catálogo CPSTIC) para la utilización y adquisición de productos TIC que hayan pasado una evaluación de seguridad y que cuentem con un procedimiento de empleo seguro.

     La nueva versión del ENS hace referencia al catálogo CPSTIC incluyéndolo dentro del marco legal. Adicionalmente, tanto a través del sistema dinámico de adquisición como en la redacción de pliegos por parte de las distintas administraciones, vemos el impulso necesario que anime a los fabricantes a seguir invirtiendo en los procesos de certificación/cualificación de sus productos.

     Nada es perfecto, pero si miramos hacia atrás, estamos creando un camino cada vez más firme para poner nuestro granito de arena en la prevención de los ciberataques.

    • tags
    José Ruiz/CTO

    José es consultor experto en el estándar Common Criteria con más de 10 años de experiencia. Posee una amplia experiencia en normas de seguridad en el campo de la tecnología de la información como FIPS 140-2, GP TEE o FIDO y ha servido como evaluador, líder técnico y consultor para Epoche & Espri y como gerente de laboratorio de CC y Cyber Security Service Manager para Applus +. Su experiencia lo ha llevado a participar como ponente en varias ediciones de la ICCC (International Common Criteria Conference), ICMC (International Cryptographic Module Conference) y Securmatica. Es el “Chairmande un subgrupo dentro de la iniciativa ISCI WG1 Eurosmart para desarrollar la Metodología CC. Ha sido nombrado revisor por la comisión europea del grupo ERNCIP \IACS Cybersecurity certification".

    En 2017 funda con Javier lo que hoy se conoce como jtsec. Actualmente es el encargado de potenciar la expansión comercial de la empresa desde la sede en Madrid como Jefe de Desarrollo de Negocio (CBDO). Además, representa a jtsec en diversos foros nacionales e internacionales y es el responsable de calidad.


    Contacto

    ¡Envíanos tus dudas o sugerencias!

    Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
    ÚLTIMAS ENTRADAS
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    Abril 23, 2024
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    jtsec - Nuestro LINCE 2023
    Febr 6, 2024
    jtsec - Nuestro LINCE 2023
    Les deseamos un feliz y ciberseguro 2024
    Dic 19, 2023
    Les deseamos un feliz y ciberseguro 2024
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Dic 14, 2023
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Cómo incluir tu producto o servicio en ENS ALTA.
    Oct 31, 2023
    Cómo incluir tu producto o servicio en ENS ALTA.
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    Sept 19, 2023
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    ENS & CPSTIC – Juntos somos más fuertes
    Ago 23, 2023
    ENS & CPSTIC – Juntos somos más fuertes
    Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
    Mayo 9, 2023
    Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
    jtsec obtiene la certificación ENS Alta.
    Mayo 1, 2023
    jtsec obtiene la certificación ENS Alta.
    Common Criteria Statistics Report para 2022
    Marzo 20, 2023
    Common Criteria Statistics Report para 2022
    CATEGORÍAS