Hace dos años, justo antes de FEINDEF 2023, publicamos un artículo sobre el análisis de la ciberseguridad en España desde el punto de vista de la seguridad de productos TIC. Dos años después, mientras España se prepara para acoger FEINDEF 2025, la Exposición Internacional de Defensa y Seguridad, el panorama de la ciberseguridad nacional ha experimentado transformaciones significativas. En el centro de esta evolución está el CPSTIC (Catálogo de Productos y Servicios de Seguridad TIC), que se ha consolidado como pilar de la estrategia nacional de seguridad.
Dinámicas geopolíticas: impulsores de la ciberseguridad
El conflicto en curso en Ucrania y las cambiantes alianzas globales han subrayado la importancia de robustas medidas de ciberseguridad. En respuesta, España ha acelerado su gasto en defensa, comprometiéndose a destinar el 2% de su PIB a defensa para 2025, adelantándose a su objetivo inicial de 2029. Este plan de inversión de 10.470 millones de euros destina el 31% a iniciativas de ciberseguridad, destacando la importancia estratégica del sector.
Este aumento de la inversión se alinea con los esfuerzos más amplios de Europa para mejorar las capacidades de defensa y reducir la dependencia de entidades externas. La propuesta de la Comisión Europea de permitir a los estados miembros aumentar el gasto en defensa sin penalizar los déficits presupuestarios apoya aún más esta tendencia.
De marco básico a un sistema integral: Metodología MEMeC
En nuestro análisis anterior, hace dos años, destacamos la importancia del CPSTIC, que proporcionó un marco fundamental para los productos de seguridad TIC al listarlos como "Productos Aprobados" para gestionar información clasificada. Desde entonces, ha evolucionado hacia un sistema integral, formalizando procesos y ampliando su alcance. Un avance notable es la introducción de la MEMeC (Metodología para la Evaluación de Mecanismos Criptográficos), desarrollada por el Centro Criptológico Nacional (CCN) con el apoyo de jtsec.
La guía CCN-STIC-2100 (MEMeC) está convirtiéndose en un requisito estándar para los productos que buscan aprobación, especialmente aquellos que incorporan mecanismos de cifra. La MEMeC proporciona un marco unificado para evaluar las implementaciones criptográficas en productos que se someten a certificaciones de Common Criteria (CC), LINCE o STIC.
La MEMeC describe tareas de evaluación en tres niveles ascendentes: CL1 (básico), CL2 (intermedio) y CL3 (avanzado). Su objetivo es estandarizar el proceso de evaluación tanto para los laboratorios como para los fabricantes, proporcionando directrices claras adaptadas a cada nivel de certificación. Esto incluye tareas específicas para los evaluadores y requisitos definidos que los fabricantes deben cumplir.
La metodología incluye cuatro capítulos principales:
- Requisitos Criptográficos: Pasos para verificar que los mecanismos criptográficos implementados en el Objeto de Evaluación (TOE) y su parametrización cumplen con los requisitos definidos por el CCN.
- Mecanismos Criptográficos Aprobados: Una lista de mecanismos criptográficos autorizados por el CCN, según lo especificado en la guía CCN-STIC-221.
- Pruebas de Conformidad: Procedimientos que utilizan vectores de prueba para verificar el correcto funcionamiento de cada mecanismo.
- Errores Comunes de Implementación: Orientación sobre cómo evitar errores comunes de implementación que podrían comprometer los datos del usuario o los Parámetros de Seguridad Sensibles (SSP).
Además, la MEMeC está respaldada por documentación complementaria, incluyendo el Cuestionario del Proveedor, Cuestionario del Proveedor Lite y Cuestionario del Proveedor RNG, detallados en los anexos CCN-STIC 2100A, 2100B y 2100C, respectivamente.
Al adoptar la MEMeC, el CCN busca agilizar y armonizar el proceso de evaluación de los mecanismos criptográficos, asegurando que los productos cumplan con los estándares de seguridad nacional y facilitando su inclusión en el catálogo CPSTIC.
Diversificación y Crecimiento: Un Catálogo en Expansión
El CPSTIC ha experimentado un aumento significativo tanto en el número como en la variedad de productos. Este crecimiento refleja la naturaleza dinámica de las amenazas de ciberseguridad y la necesidad de soluciones diversas. Un desarrollo notable es la expansión de sus taxonomías para incluir nuevas familias de productos, reflejando la naturaleza dinámica del panorama de ciberseguridad. Las nuevas taxonomías ahora abarcan categorías como:
- Sistemas de Orquestación, Automatización y Respuesta de Seguridad (SOAR)
- Acceso a Redes de Confianza Cero (ZTNA)
- Gestión de Metadatos
- Servicios en la Nube
- Cámaras IP
- Herramientas de Gestión de Video
- Seguridad de Tecnología Operacional (OT)
Esta expansión demuestra el compromiso del CPSTIC de mantenerse a la vanguardia de la ciberseguridad adaptándose a las tecnologías y amenazas emergentes. Al incorporar estas nuevas categorías, el CPSTIC asegura que el catálogo se mantenga relevante y completo, proporcionando a las organizaciones las herramientas necesarias para protegerse contra las amenazas cibernéticas en constante evolución.
Navegando el Proceso de Aprobación: Caminos hacia la Certificación
La inclusión en el CPSTIC requiere un riguroso proceso de evaluación, adaptado al uso previsto del producto y al nivel de sensibilidad. Los productos se clasifican como "cualificados" o "aprobados":
- Productos Cualificados: Estos tienen características de seguridad certificadas adecuadas para sistemas bajo el Esquema Nacional de Seguridad (ENS) en todas las categorías (Alta, Media...).
- Productos Aprobados: Diseñados para manejar información clasificada, estos productos pasan por una evaluación adicional para garantizar la seguridad de la información y la cualificación del usuario.
Para ser considerado en la lista de "Productos Aprobados", un producto debe primero lograr la cualificación bajo la categoría Alta del Esquema Nacional de Seguridad (ENS). Esto se puede lograr a través de varios caminos de certificación, incluyendo:
- Certificación Common Criteria (CC)
- Certificación EUCC
- Certificación LINCE
Es importante subrayar que obtener una certificación CC o EUCC no otorga automáticamente la cualificación ENS Alta. En tales casos, se requiere una evaluación STIC complemetarias para evaluar el cumplimiento con los requisitos específicos de seguridad definidos por el CCN.
Una vez que un producto está cualificado como ENS Alto, el fabricante debe asegurar el patrocinio de una entidad de administración pública para iniciar el proceso de aprobación. El CCN realizará entonces una evaluación caso por caso, que puede incluir:
- Ensayos de Penetración Adicionales
- Aplicación de la MEMeC(Metodología para la Evaluación de Mecanismos Criptográficos)
- Otras Evaluaciones Ad-hoc
Estas evaluaciones se adaptan según el entorno de despliegue previsto del producto y sus funcionalidades específicas. El objetivo es asegurar que el producto cumpla con los más altos estándares de seguridad requeridos para manejar información clasificada.
Lograr el estado de "Aprobado" no es un proceso lineal, sino circular. El CCN exige reevaluaciones periódicas para asegurar el cumplimiento continuo con las amenazas y estándares de seguridad en evolución. Esto puede implicar pruebas anuales o evaluaciones en respuesta a vulnerabilidades recién identificadas o avances en las metodologías de ataque.
jtsec: Tu Socio en la Navegación del Proceso de Aprobación del CPSTIC
En jtsec, una empresa de Applus+, nos especializamos en guiar a los fabricantes a través de cada fase del proceso de aprobación del CPSTIC. Nuestra experiencia abarca:
- Certificaciones LINCE, Common Criteria y EUCC
- Evaluaciones STIC Complementarias
- Aplicación de la Metodología MEMeC
- Ensayos de Penetración Personalizados para conseguir el estatus de Aprobado
Nuestra amplia experiencia nos ha posicionado como un laboratorio líder en España para asistir a los productos en la inclusión en el catálogo CPSTIC. Entendemos las complejidades del proceso de aprobación y estamos comprometidos a proporcionar un apoyo integral para asegurar que tu producto cumpla con todos los requisitos necesarios.
Además, lograr certificaciones como Common Criteria o EUCC no solo facilita la inclusión en el CPSTIC, sino que también mejora la credibilidad de tu producto en los mercados internacionales, abriendo puertas a oportunidades más amplias.
Para más información sobre cómo jtsec puede asistirte en la navegación del proceso de aprobación del CPSTIC, por favor contáctanos.