EUCC versus Common Criteria, un nuevo esquema de ciberseguridad para la certificación de productos TIC en Europa.

Blog

- Julio

2020

Publicado por: Javier Tallón

EUCC versus Common Criteria, un nuevo esquema de ciberseguridad para la certificación de productos TIC en Europa.

Javier Tallón, nuestro Director Técnico es miembro de ENISA ad-hoc Working Group sobre el esquema sucesor de SOG-IS para apoyar la preparación de un esquema candidato de certificación de ciberseguridad de la UE como sucesor de los esquemas existentes que operan bajo SOG-IS ARM.

¿Qué es EUCC?

Este nuevo esquema, desarrollado para la certificación de ciberseguridad de productos TIC, conocido como esquema EUCC (Common Criteria based European candidate cybersecurity certification scheme por sus siglas en inglés).

Recomendaciones sobre EUCC, el nuevo esquema para la certificación de ciberseguridad de productos TIC

Respecto a EUCC, estas son nuestras recomendaciones:

1. Preveer un breve período de incertidumbre. Si el acto de aplicación se adopta hacia finales de 2020, habrá un período de transición, probablemente de dos años, antes de que los actuales sistemas nacionales SOGIS dejen de ser válidos. Esperamos que el nuevo esquema esté completamente operativo para comienzos de 2022. Los antiguos certificados pueden ser convertidos al nuevo esquema. Tenga en cuenta que habrá cero emisión paralela de certificados de EUCC y SOG-IS MRA.

2. Preparándose para nuevas obligaciones:

Ofreciendo un período de apoyo de seguridad a los consumidores.

Vigilando la conformidad del producto. De ahora en adelante, ¡incluyan el nivel más alto posible de ALC_FLR en sus evaluaciones!

Teniendo un repositorio online de vulnerabilidades públicamente reveladas.

Haciéndose cargo de las conformidades.

3. Prepararse para la gestión de parches: el nuevo esquema tendrá dos metodologías de gestión de parches que permitirán a los desarrolladores impulsar las actualizaciones de seguridad de su producto mientras se mantienen bajo el paraguas del certificado. Una de ellas ha sido liderada por jtsec como parte de la ISO SC27. Es posible que requieran un poco de preparación, por lo que hay que asegurarse de que se puedan proporcionar parches de manera coherente con estas nuevas metodologías. Si eres capaz de implementar la gestión de parches desde ahora podrás tener algunos beneficios en el futuro, especialmente si quieres convertir los certificados SOG-IS ya concedidos al nuevo esquema.

4. Colaboración más estrecha en el laboratorio: el nuevo esquema necesitará una cooperación más estrecha entre los proveedores y los laboratorios para funcionar adecuadamente Puede haber reevaluaciones y auditorías de los productos ya certificados después de la certificación.

La gestión de parches requerirá el establecimiento de un SLA entre el laboratorio y el vendedor para permitir una rápida recertificación de los productos vulnerables

Las obligaciones de vigilancia del cumplimiento pueden ser subcontratadas al laboratorio y, probablemente también, la gestión de las conformidades.

5. Certificados por encima de VAN.3 no serán reconocidos a menos que exista un dominio técnico específico (por el momento hay dos dominios técnicos: "Dispositivos HW con Cajas de Seguridad" y "Tarjetas inteligentes y dispositivos similares").

Primera consulta pública para la versión-1 del Esquema Candidato de EUCC

La Agencia de la Unión Europea para la Ciberseguridad (ENISA por sus siglas en inglés) ha lanzado una consulta pública para el primer esquema candidato de certificación de ciberseguridad que terminará el 31 de Julio a las 12:00 CET. Hasta esa fecha, existe la posibilidad de colaborar con el proyecto y compartir comentarios que puedan ser útiles para la mejora del esquema y que serán revisados en una versión posterior.

Nuestro compromiso con las nuevas normas en ciberseguridad

En jtsec, siempre nos esforzamos por innovar en el campo de la ciberseguridad como parte de nuestra excelencia técnica. Somos editores del grupo temático "IACS Cybersecurity certification", miembros del SCCG (Stakeholder Cybersecurity Certification Group) y editors de JTC13 WG3: "Cybersecurity Evaluation Methodology for ICT products", entre otras muchas contribuciones en el área de la ciberseguridad.

tags

Javier Tallón/Director Técnico

Consultor experto del estándar de seguridad Common Criteria y de otros muchos estándares de seguridad dentro de las tecnologías de la información (FIPS 140-2, ITSEC, ISO 27K1, SOC 2, ENS,...). Javier ha trabajado como evaluador de seguridad en los mayores laboratorios nacionales y como consultor ha acompañado a diversas compañías en sus procesos de certificación de la ciberseguridad. Ha sido ponente en diversas conferencias en materia de seguridad informática y certificación (SuperSec, Cybercamp, Navaja Negra, International Common Criteria Conference, International Cryptographic Module Conference, EUCyberact Conference), es profesor del máster de Ciberseguridad de la UGR y está certificado CISSP (Certified Information Systems Security Professional) y OSCP/OSCE (Offensive Security Certified Professional & Certified Expert).

En 2015 comienza a sentar las bases de lo que será jtsec. Actualmente ejerce las labores Director Técnico del laboratorio de evaluación y Jefe de Operaciones (COO) de la oficina de Granada desde donde la empresa desarrolla la mayor parte del trabajo. Reconocido experto en diversas disciplinas de ciberseguridad (reversing, exploiting, web, …), asume la dirección técnica de la mayoría de los proyectos, dirigiendo y organizando el trabajo del equipo. Además lidera el área de Investigación y Desarrollo, fomentando la participación del equipo de jtsec en múltiples Congresos.