Red Seguridad 101

90 red seguridad segundo trimestre 2023 opinión Bienvenida Por otro lado, el mercado SaaS crece cada año y las administraciones cada vez apuestan más por utilizar este tipo de soluciones en su gestión y operati- vidad diaria. Por lo tanto, evaluar solu- ciones desarrolladas en la nube venía siendo una urgencia a solucionar. En 2020, el CCN publicó el “anexo G”, que aplica para la taxonomía “servicios en la nube”, creando así el primer marco de evaluación para cualificar productos en la nube en España y Europa. Esta iniciativa, presentada en las úl- timas jornadas del CCN, ha permitido modernizar el catálogo y alinearse con la realidad en las administraciones. Por ejemplo, proveedores de servicios en la nube como AWS, Google o Microsoft ya tienen servicios en la nube incluidos en el catálogo. Casos de éxito El catálogo crece y se adapta a las nece- sidades del mercado. Además, la cualifi- cación de ciertos productos ha supuesto verdaderos hitos más allá de nuestras fronteras. A continuación exponemos algunos de ellos: Cargadores de vehículos eléctricos. Diversos estudios reflejan el potencial impacto que pudiera tener un cibera- taque a la red de cargadores de vehí- culos eléctricos. El requisito de cum- plir con la certificación Lince por una de las grandes eléctricas españolas ha permitido mejorar la ciberseguri- dad del sector a nivel nacional. Herramientas de videoidentifi- cación. Es la primera vez que se crea legislación nacional (Orden ETD/465/2021, de 6 de mayo), requi- riendo la certificación/cualificación de ciberseguridad para un producto IT. Al ser un producto tan novedoso ha requerido la creación de una me- todología de evaluación por parte del CCN pionera a nivel mundial. Seguridad OT- software de gestión portuaria. Potenciar la ciberseguridad de infraestructuras críticas es uno de los objetivos de la Administración. Es un proyecto pionero a nivel nacional en el que se evalúa un software de estas características. Esta evaluación resultó en la creación de la categoría “seguridad OT” dentro del catálogo CPSTIC. Adquisición de productos El sistema dinámico de adquisición en la Administración Pública es un método electrónico de contratación continua que está abierto a todas las empresas interesadas que cumplan con los crite- rios de selección. El sistema se compone de dos etapas. En la primera, las compañías que cum- plen con los criterios de selección ne- cesarios son admitidas en el sistema di- námico de contratación. En la segunda, las corporaciones admitidas en la ronda anterior presentan sus ofertas. Estos sistemas dinámicos de adquisi- ción incorporan condiciones generales para exigir certificaciones/cualificacio- nes de seguridad, así como métodos aceptables para demostrar la seguridad, estableciendo conexiones con el ENS, el CPSTIC y las certificaciones que puedan derivar del Reglamento (UE) 2019/881. Conclusiones La Administración española está im- plementando mecanismos, como el CPSTIC, para utilizar y adquirir productos TIC que hayan pasado una evaluación de seguridad y que cuenten con un pro- cedimiento de empleo seguro. La nueva versión del ENS hace refe- rencia al catálogo CPSTIC incluyéndolo dentro del marco legal. Adicionalmente, tanto a través del sistema dinámico de adquisición como en la redacción de pliegos por parte de las distintas admi- nistraciones, vemos el impulso necesa- rio que anime a los fabricantes a seguir invirtiendo en los procesos de certifica- ción/cualificación de sus productos. Nada es perfecto, pero si miramos ha- cia atrás, estamos creando un camino cada vez más firme para poner nuestro granito de arena en la prevención de los ciberataques.