jtsec - Nuestro LINCE 2023

Blog

6
- Febr
2024
Publicado por: El equipo de jtsec
jtsec - Nuestro LINCE 2023

Hace unas semanas dimos fin a 2023, dando así paso a un 2024 que, a decir verdad, ha comenzado con bastante intensidad, lo que nos hace ser optimistas y estar muy ilusionados este año que casi acaba de comenzar. Echando la vista al año que ha terminado, hemos visto el increíble crecimiento que la metodología LINCE ha tenido y el más que significativo número de soluciones incluidas en el catálogo CPSTIC / CCN-STIC 105. Por ello, nos gustaría hacer un breve resumen de nuestra humilde contribución en este punto.

Número de productos incluidos en catálogo en 2023 y evaluados por jtsec

Un total de más de 43 productos han sido incluidos en el catálogo y previamente evaluados por jtsec. Muchos de ellos incluidos con varias versiones de dicha solución o en diferentes taxonomías, lo que sumaría un total de 128 productos incluidos en el catálogo CPSTIC. Contamos con el privilegio privilegio de poder colaborar con compañías de la talla de Stormshield, Deciso V.B, Watchguard, Sidertia, Proofpoint, Check Point, AWS, Trend Micro, CyberArk, Forescout o Huawei, entre otros, para la evaluación de sus productos.

Existen diferentes métodos de que un producto se incluya en el catálogo CSPTIC / CCN STIC-105:

  • Certificación Common Criteria : Este tipo de certificación es la más aplicada a nivel internacional en cuanto a ciberseguridad del producto se refiere, ya que está reconocida en más de 30 países. Los productos que previamente han obtenido dicha certificación y cumplen con los requisitos de seguridad de la taxonomía a la que aplique, son incluidos en el catálogo.
  • Certificación LINCE : Es una opción que se adapta a las necesidades para cumplir con los requisitos del mercado nacional. Una gran cantidad de los productos que hoy se encuentran en el catálogo han obtenido una certificación LINCE. Ésta se hace sobre una versión concreta y la evaluación se hace en la modalidad on premise.
  • Evaluación STICSe aplica a servicios desarrollados nativamente en la nube, para aquellos que no cuentan con una versión on premise que se pueda certificar. Este tipo de soluciones obtienen una cualificación para poder entrar en el catálogo. Este año, más del 70% de las soluciones evaluadas por jtsec han sido STIC en la nube. Todo un éxito teniendo en cuenta que el anexo G que aplica a “Servicios en la nube” se publicó en 2020.
  • STIC Complementaria: Existen productos que cuentan con una certificación Common Criteria, pero que, sin embargo, el nivel de seguridad (EAL) o el Perfil de Protección que aplican no se adecúa a los que catálogo requiere. Para ellos, se requieren ciertas pruebas adicionales que se deben realizar a dichos productos para poder ser incluidos el catálogo CPSTIC / CCN STIC-105. De esta forma no se ha de realizar una evaluación completa, únicamente realizar ciertos tests que requiera el propio catálogo.
  • Test de Penetración: Este tipo de evaluación aplica a las soluciones que quieren ser incluidas dentro de la taxonomía “Productos y servicios de conformidad y gobernanza de la seguridad”. El acceso a la misma no requiere realizar una Declaración de Seguridad ni parte documental alguna, por lo que no se requiere superar una evaluación LINCE completa, pero sí superar unas pruebas de penetración para verificar que la herramienta cumple con unos mínimos de seguridad.

Catálogo CPSTIC / CCN STIC-105, la familia crece

Los retos afrontados por parte del catálogo han sido varios durante este 2023, por parte de jtsec contamos con algunos hitos destacables como son:

  • Evaluación del primer producto de una nueva taxonomía, SOAR “Sistemas de orquestación, automatización y respuesta de seguridad”, donde jtsec ha colaborado en la creación de los tests a desarrollar.
  • Primer servicio de Google incluido en el catálogo, External Key Management “EKM”
  • Primer producto incluido en el catálogo con el módulo criptográfico que ha sido evaluado bajo la metodología de mecanismos criptográficos creada por CCN-CERT Centro Criptológico Nacional.

Además de estos hitos, este 2023 hemos cualificado soluciones en diferentes familias, entre ellas:

  • Herramientas de videoidentificación
  • Dispositivos de Red Inalámbricos
  • EPP (Endpoint Protection and Platform)
  • EDR (Endpoint Detection and Response)
  • Gestión de acceso privilegiado (PAM)
  • Sistemas de gestión de eventos de seguridad (SIEM)
  • Cortafuegos
  • Routers
  • Switches

Linces apadrinados

En jtsec colaboramos con la conservación del Lince ibérico, por ello, por cada nuevo cliente que incluye un producto o servicio en el catálogo, adoptamos un lince ibérico de forma simbólica, contribuyendo con la ONG WWF. Este año estamos súper orgullosos de haber apadrinado a 15 linces ibéricos.

Conferencias en 2023 sobre la metodología LINCE

Durante este año hemos tenido la oportunidad de participar en diferentes eventos y exponer nuestro punto de vista sobre diferentes temáticas relacionadas con la metodología LINCE y el catálogo CPSTIC / CCN STIC-105, de entre los que nos gustaría destacar:

Número de evaluaciones iniciadas en 2023 y previsiones para 2024

Un total de 95 procesos de evaluación hemos iniciado en 2023, una cifra sobresaliente que destaca que, tanto fabricantes como Administración Pública se preocupan de contar con productos y servicios seguros que cumplan unos estándares mínimos de ciberseguridad. Todo ello, nos ofrece un horizonte en el que el uso de productos ciberseguros es pieza clave para empresa pública, privada y Administración Pública.

El equipo de jtsec/Staff

El equipo de jtsec: Beyond IT Security


Contacto

¡Envíanos tus dudas o sugerencias!

Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.