1 87 Table of Contents 89 132

Red Seguridad 101

88 red seguridad segundo trimestre 2023 opinión Hablar de los ciberriesgos a los que están expuestos hoy en día tanto la Administración Pública como el sector privado es, por desgracia, más que re- dundante. La Administración lleva más de diez años trabajando en la adopción/ promoción del Esquema Nacional de Seguridad (ENS) como escudo para pro- teger a las administraciones públicas. Y como cualquier proceso de cambio, ha sido costoso, pero los resultados empie- zan a ser importantes y cada vez más administraciones y empresas privadas se certifican en él. Hace ya cinco años, el Centro Cripto- lógico Nacional (CCN) creó el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) para dar sopor- te a la Administración en la adquisición de productos de ciberseguridad. Actual- mente, estas dos iniciativas están unidas dentro del marco legal del ENS. Papel del catálogo En el Real Decreto 311/2022, del 3 de mayo, por el que se regula el ENS, se incorporó la mención al CPSTIC del CCN junto con la recopilación de requisitos relacionados con productos y servi- cios certificados/cualificados según su clasificación. Esto representa un hito importante al unificar los requisitos de seguridad establecidos en el ENS con los esfuerzos que el CCN ha venido rea- lizando durante varios años en la crea- ción del catálogo de productos CPSTIC. Por este motivo, según el ENS, y citan- do textualmente un extracto del punto 4.1.5 de la mencionada legislación: “Se utilizará el CPSTIC del CCN para selec- cionar los productos o servicios suminis- trados por un tercero que formen parte de la arquitectura de seguridad del sis- tema y aquellos que se referencien ex- presamente en las medidas de este real decreto”. De esta forma, se puede concluir del extracto que es obligatorio contar con una certificación o cualificación de ci- berseguridad para los productos TIC. Además, cumplir con la normativa es uno de los criterios de selección que uti- liza el sistema dinámico de adquisición en la Administración Pública, explicado en el siguiente apartado. ¿Qué es el CPSTIC? El CPSTIC/ CCN-STIC 105 es el catálogo de referencia para productos TIC ciber- seguros en la Administración Pública española. Ofrece un listado de produc- tos con unas garantías de seguridad contrastadas por el CCN y cuenta con una taxonomía de soluciones en con- tinuo crecimiento. Por ejemplo, cómo incluir un producto TIC en el catálogo dependerá principalmente de cómo esté desarrollado y de si se ha obtenido o no alguna certificación previa como Common Criteria. Existen tres principales vías de acceso al catálogo: Certificación Lince. Evaluación utili- zando la metodología Lince. Esta op- ción es usada para productos on pre- mise . El alcance de esta certificación es nacional y finaliza con la obtención de un certificado y la cualificación del producto. Evaluación STIC. Similar a la evalua- ción Lince, pero orientada a productos desarrollados en la nube. Requiere la evaluación, además, de la nube según el anexo G “servicios en la nube”. Esta evaluación no finaliza con la obten- ción de un certificado, pero sí con la cualificación del producto. STIC Complementaria. Para aque- llos productos que cuentan con una certificación Common Criteria y que pretenden entrar en el catálogo. Bá- sicamente, consiste en complemen- tar la certificación original con prue- bas funcionales y test de penetración que no se realizaron en el alcance inicial. Esquema Nacional de Seguridad y CPSTIC: juntos somos más fuertes J osé R uiz Codirector y CTO en jtsec Beyond IT Security

RkJQdWJsaXNoZXIy MTI4MzQz