Hablar de los ciberriesgos a los que están expuestos hoy en día tanto la Administración Pública como el sector privado es, por desgracia, más que redundante. La Administración lleva más de diez años trabajando en la adopción/ promoción del Esquema Nacional de Seguridad (ENS) como escudo para proteger a las administraciones públicas. Y como cualquier proceso de cambio, ha sido costoso, pero los resultados empiezan a ser importantes y cada vez más administraciones y empresas privadas se certifican en él.
Hace ya cinco años, el Centro Criptológico Nacional (CCN) creó el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) para dar soporte a la Administración en la adquisición de productos de ciberseguridad. Actualmente, estas dos iniciativas están unidas dentro del marco legal del ENS.
Papel del catálogo
En el Real Decreto 311/2022, del 3 de mayo, por el que se regula el ENS, se incorporó la mención al CPSTIC del CCN junto con la recopilación de requisitos relacionados con productos y servicios certificados/cualificados según su clasificación. Esto representa un hito importante al unificar los requisitos de seguridad establecidos en el ENS con los esfuerzos que el CCN ha venido realizando durante varios años en la creación del catálogo de productos CPSTIC.
Por este motivo, según el ENS, y citando textualmente un extracto del punto 4.1.5 de la mencionada legislación: «Se utilizará el CPSTIC del CCN para seleccionar los productos o servicios suministrados por un tercero que formen parte de la arquitectura de seguridad del sistema y aquellos que se referencien expresamente en las medidas de este real decreto».
De esta forma, se puede concluir del extracto que es obligatorio contar con una certificación o cualificación de ciberseguridad para los productos TIC. Además, cumplir con la normativa es uno de los criterios de selección que utiliza el sistema dinámico de adquisición en la Administración Pública, explicado en el siguiente apartado.
¿Qué es el catálogo CPSTIC?
El CPSTIC/ CCN-STIC 105 es el catálogo de referencia para productos TIC ciberseguros en la Administración Pública española. Ofrece un listado de productos con unas garantías de seguridad contrastadas por el CCN y cuenta con una taxonomía de soluciones en continuo crecimiento. Por ejemplo, cómo incluir un producto TIC en el catálogo dependerá principalmente de cómo esté desarrollado y de si se ha obtenido o no alguna certificación previa como Common Criteria.
Existen tres principales vías de acceso al catálogo:
- Certificación Lince. Evaluación utilizando la metodología Lince. Esta opción es usada para productos on premise. El alcance de esta certificación es nacional y finaliza con la obtención de un certificado y la cualificación del producto.
- Evaluación STIC. Similar a la evaluación Lince, pero orientada a productos desarrollados en la nube. Requiere la evaluación, además, de la nube según el anexo G ‘servicios en la nube’. Esta evaluación no finaliza con la obtención de un certificado, pero sí con la cualificación del producto.
- STIC Complementaria. Para aquellos productos que cuentan con una certificación Common Criteria y que pretenden entrar en el catálogo. Básicamente, consiste en complementar la certificación original con pruebas funcionales y test de penetración que no se realizaron en el alcance inicial.
Bienvenida
Por otro lado, el mercado SaaS crece cada año y las administraciones cada vez apuestan más por utilizar este tipo de soluciones en su gestión y operatividad diaria. Por lo tanto, evaluar soluciones desarrolladas en la nube venía siendo una urgencia a solucionar.
En 2020, el CCN publicó el ‘anexo G’, que aplica para la taxonomía ‘servicios en la nube’, creando así el primer marco de evaluación para cualificar productos en la nube en España y Europa.
Esta iniciativa, presentada en las últimas jornadas del CCN, ha permitido modernizar el catálogo y alinearse con la realidad en las administraciones. Por ejemplo, proveedores de servicios en la nube como AWS, Google o Microsoft ya tienen servicios en la nube incluidos en el catálogo.
Casos de éxito
El catálogo crece y se adapta a las necesidades del mercado. Además, la cualificación de ciertos productos ha supuesto verdaderos hitos más allá de nuestras fronteras.
A continuación exponemos algunos de ellos:
- Cargadores de vehículos eléctricos. Diversos estudios reflejan el potencial impacto que pudiera tener un ciberataque a la red de cargadores de vehículos eléctricos. El requisito de cumplir con la certificación Lince por una de las grandes eléctricas españolas ha permitido mejorar la ciberseguridad del sector a nivel nacional.
- Herramientas de videoidentificación. Es la primera vez que se crea legislación nacional (Orden ETD/465/2021, de 6 de mayo), requiriendo la certificación/cualificación de ciberseguridad para un producto IT. Al ser un producto tan novedoso ha requerido la creación de una metodología de evaluación por parte del CCN pionera a nivel mundial.
- Seguridad OT-software de gestión portuaria. Potenciar la ciberseguridad de infraestructuras críticas es uno de los objetivos de la Administración. Es un proyecto pionero a nivel nacional en el que se evalúa un software de estas características. Esta evaluación resultó en la creación de la categoría ‘seguridad OT’ dentro del catálogo CPSTIC.
Catálogo CPSTIC: adquisición de productos
El sistema dinámico de adquisición en la Administración Pública es un método electrónico de contratación continua que está abierto a todas las empresas interesadas que cumplan con los criterios de selección.
El sistema se compone de dos etapas. En la primera, las compañías que cumplen con los criterios de selección necesarios son admitidas en el sistema dinámico de contratación. En la segunda, las corporaciones admitidas en la ronda anterior presentan sus ofertas.
Estos sistemas dinámicos de adquisición incorporan condiciones generales para exigir certificaciones/cualificaciones de seguridad, así como métodos aceptables para demostrar la seguridad, estableciendo conexiones con el ENS, el CPSTIC y las certificaciones que puedan derivar del Reglamento (UE) 2019/881.
Conclusiones
La Administración española está implementando mecanismos, como el CPSTIC, para utilizar y adquirir productos TIC que hayan pasado una evaluación de seguridad y que cuenten con un procedimiento de empleo seguro.
La nueva versión del ENS hace referencia al catálogo CPSTIC incluyéndolo dentro del marco legal. Adicionalmente, tanto a través del sistema dinámico de adquisición como en la redacción de pliegos por parte de las distintas administraciones, vemos el impulso necesario que anime a los fabricantes a seguir invirtiendo en los procesos de certificación/cualificación de sus productos.
Nada es perfecto, pero si miramos hacia atrás, estamos creando un camino cada vez más firme para poner nuestro granito de arena en la prevención de los ciberataques.