¿Quieres mantener la versión de tu producto actualizada en el catálogo CPSTIC?

Blog

22
- Abril
2021
Publicado por: El equipo de jtsec
[Certificación]
¿Quieres mantener la versión de tu producto actualizada en el catálogo CPSTIC?

El Catálogo de referencia para productos TIC ciberseguros en España (CPSTIC) ha demostrado su gran valor y aceptación a lo largo de sus más de tres años de existencia. En un mercado cada vez más competitivo y exigente, el “Time to Market” es cada vez más reducido, por lo que las nuevas versiones de los productos llegan al mercado cada vez con mayor frecuencia.

El catálogo CPSTIC no es ajeno a este hecho proponiendo mejoras en los procesos y métodos de inclusión en el catálogo para satisfacer tanto las necesidades de fabricantes de soluciones TIC como de potenciales compradores de las mismas.

Tipos de productos incluidos en el catálogo CPSTIC y metodologías de evaluación aceptadas

Para una mejor comprensión de la inclusión de un producto en el catálogo, debemos diferenciar dos tipologías de productos dependiendo de la información que manejan, en base a ello, se someterán a evaluaciones bajo distintas metodologías:

  • Productos y servicios aprobados: Manejan información clasificada, por lo que el tipo de evaluación requerido para acceder al catálogo es Common Criteria. El tiempo mínimo estimado para obtener la certificación son 6 meses.

  • Productos y servicios cualificados: Son productos que tienen certificadas sus funcionalidades de seguridad y aptos para ser utilizados en sistemas afectados por el ENS, en cualquiera de sus categorías (Alta, Media y Básica) y se puede acceder superando una evaluación con una metodología ligera, como LINCE, para la que normalmente se requieren entre 4 y 6 meses para obtener la certificación o Common Criteria.

    Como observamos, ambas evaluaciones requieren un esfuerzo en tiempo bastante prolongado, lo que, en numerosas ocasiones, supone un problema para los fabricantes en su continua mejora del producto. Para poder solucionar este inconveniente, CCN ha desarrollado la denominada Estrategia de Cualificación Continua, orientada a mantener siempre en el Catálogo CPSTIC la última versión del producto.

    ¿Qué es la Estrategia de Cualificación Continua y cómo afecta a los productos ya certificados?

    Es una estrategia creada por el CCN para mantener el catálogo CPSTIC lo más actualizado posible, para ello, lo más lógico es agilizar la cualificación e inclusión de los productos en dicho catálogo mediante un Proceso de Cualificación Continua. Este proceso consiste en evaluar las versiones de software, firmware o modelos de hardware no incluidos en la certificación inicial sin necesidad de llevar a cabo un proceso de evaluación completo.

    Es un proceso de duración indefinida en el tiempo en el que se van cualificando todas aquellas versiones en las que no exista una diferencia sustancial en el aspecto de la ciberseguridad del producto.

    Esto aplicaría a un gran número de fabricantes que crean diferentes versiones de un mismo producto cuyas diferencias son mínimas respecto al producto (ej.- número de puertos, velocidad del procesador, etc…) ya certificado.

    Debido a la velocidad a la que los fabricantes desarrollan sus productos, en numerosas ocasiones cuando la certificación acaba; el producto, que continúa evolucionando y mejorando, ya se encuentra en versiones posteriores a la certificada, creando así un desfase entre versiones que el fabricante está desarrollando y la versión que aparece en el catálogo.

    Un claro ejemplo sería un fabricante de una solución Firewall que crea una versión 1.0 que es la que comienza a evaluarse bajo la metodología LINCE. Durante ese tiempo, el fabricante ha desarrollado la versión 1.1 del mismo producto. En su momento certificó la versión 1.0, sin embargo, la 1.1, aunque con diferencias mínimas respecto a la 1.0, no se encuentran en el catálogo al no haber sido la versión evaluada. Sin embargo, la versión 1.1. es más actualizada y más segura que la versión en el catálogo.

    Con la idea de solucionar esta problemática, surge la Estrategia de Cualificación Continua.

    ¿Cuándo aplica la Cualificación Continua?

    Actualmente, el catálogo CPSTIC cuenta con casi 300 soluciones certificadas desde que se implantó en 2018. Esto supone que, muchos de los productos incluidos, han sufrido modificaciones respecto a la versión inicial que se evaluó y potencialmente no está la última versión en el catálogo.

    La cualificación continua aplicará en los siguientes casos que exponemos a continuación:

  • Nuevas versiones del producto: Este sería el caso de nuevas versiones del producto incluyendo nueva funcionalidad o resolviendo problemas encontrados en las versiones anteriores.

  • Nuevos modelos de hardware: En este caso el software/firmware no varía, pero sí existen versiones con diferente hardware del que sólo se ha certificado una, por lo que se quiere ampliar al resto de modelos.

    ¿Cómo puede jtsec ayudarle en la evaluación de sus productos de acuerdo con la Estrategia de Cualificación Continua?

    En jtsec somos expertos en evaluaciones LINCE y Common Criteria, las dos metodologías aceptadas por el CCN para poder incluir productos en el Catálogo CPSTIC.

    El equipo de jtsec ofrece los siguientes servicios:

  • Evaluación LINCE o Common Criteria

  • Evaluación STIC complementaria

  • Inclusión de series de productos

  • Redacción del informe de análisis diferencial

  • Redacción de los procedimientos de empleo seguro

    La Estrategia de Cualificación Continua concierne principalmente a aquellos fabricantes y/o desarrolladores que ya cuenten con un producto en el Catálogo y cuya versión se haya quedado obsoleta al desarrollarse versiones posteriores y deseen que éstas formen parte del catálogo. Si este es su caso y tiene cualquier duda, no dude en contactarnos, estaremos encantados de ayudarle.

    • tags
    El equipo de jtsec/Staff

    El equipo de jtsec: Beyond IT Security


    Contacto

    ¡Envíanos tus dudas o sugerencias!

    Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
    ÚLTIMAS ENTRADAS
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    Abril 23, 2024
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    jtsec - Nuestro LINCE 2023
    Febr 6, 2024
    jtsec - Nuestro LINCE 2023
    Les deseamos un feliz y ciberseguro 2024
    Dic 19, 2023
    Les deseamos un feliz y ciberseguro 2024
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Dic 14, 2023
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Cómo incluir tu producto o servicio en ENS ALTA.
    Oct 31, 2023
    Cómo incluir tu producto o servicio en ENS ALTA.
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    Sept 19, 2023
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    ENS & CPSTIC – Juntos somos más fuertes
    Ago 23, 2023
    ENS & CPSTIC – Juntos somos más fuertes
    Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
    Mayo 9, 2023
    Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
    jtsec obtiene la certificación ENS Alta.
    Mayo 1, 2023
    jtsec obtiene la certificación ENS Alta.
    Common Criteria Statistics Report para 2022
    Marzo 20, 2023
    Common Criteria Statistics Report para 2022
    CATEGORÍAS