Red Seguridad 103

red seguridad cuarto trimestre 2023 61 servicios esenciales monográfico sión periódica de las cuentas privilegia- das y de las reglas de los cortafuegos, restricciones de las direcciones IP permi- tidas y reglas más estrictas asociadas al uso de contraseñas. En términos de soluciones de ciberse- guridad, este endurecimiento informáti- co puede (por ejemplo) adoptar la forma de una arquitectura de microservicios o la aplicación del principio del menor privilegio para los servicios. Para los fa- bricantes, representa una declaración de intenciones, en tanto en cuanto les permite dejar constancia de su esfuerzo para evitar que el producto de ciberse- guridad se utilice con fines malintencio- nados. Y cada vez hay más licitaciones públicas, del Estado o de estructuras públicas como hospitales, con requisitos relativos a aspectos de seguridad y a la necesidad de utilizar soluciones rugeri- zadas. Ciberpuerta Aunque los sistemas de información mi- litar difieren de los civiles, ambos com- parten características similares y ciertas tecnologías, hardware y software. Ade- más, y debido a la naturaleza altamente sensible de la infraestructura y los datos que protegen, estos productos de ciber- seguridad de grado militar tienen que cumplir ciertos requisitos especiales; por ejemplo, mediante determinadas confi- guraciones. A este respecto, algunos países eu- ropeos han desarrollado programas de cualificación de productos de cibersegu- ridad a través de sus agencias naciona- les de seguridad, como es el caso del Centro Criptológico Nacional (CCN) en España. Para permitir el reconocimiento interestatal de estas cualificaciones, se ha firmado un acuerdo de reconocimien- to mutuo a nivel europeo. El propósito es sencillo: identificar soluciones sólidas y fiables para la protección de los servi- cios estatales sensibles. El CCN advierte de que “la adquisi- ción de un producto de seguridad TIC que va a manejar información nacional clasificada o información sensible debe estar precedida de un proceso de com- probación de que los mecanismos de seguridad implementados en el produc- to son adecuados para proteger dicha información”. Por tanto, un producto cualificado será aquel cuya seguridad ha sido certificada por el organismo de certificación, según lo establecido en el Reglamento de Evaluación y Certifica- ción de la Seguridad de las Tecnologías de la Información. La etiqueta “produc- to certificado” está destinada princi- palmente a organismos, instituciones gubernamentales y empresas críticas que deben cumplir los requisitos del Es- quema Nacional de Seguridad. Esta definición muestra claramente que estas soluciones no están dirigidas únicamente a actividades militares. De hecho, algunas empresas civiles ya uti- lizan estos productos de seguridad cua- lificados, debido también a que pueden ser operadores de vital importancia y/o entidades esenciales. La Directiva euro- pea NIS 2 también incluye en su ámbito de organismos esenciales e importantes a los subcontratistas y proveedores de servicios con acceso a infraestructuras críticas: todos ellos son empresas civiles que harían bien en interesarse por este concepto de cualificación. Por ello, es imperativo desmitificar el uso de estos productos de seguridad cualificados para el resto del mundo ci- vil. Dicho de otro modo, la cualificación de los productos de ciberseguridad no es una mera cuestión de sectores re- gulados. Si una solución de seguridad robusta y fiable puede proteger servicios guberna- mentales sensibles, también tiene senti- do utilizarla para la salvaguardia de da- tos sensibles de la organización: datos personales, sensibles, vitales o incluso críticos, todos contribuyen a la actividad de la compañía y deben asegurarse. Stormshield se esfuerza, en este senti- do, para ofrecer productos robustos llave en mano mediante un intenso trabajo de integración e implantación. De hecho, su despliegue no es más complicado que el de un producto de ciberseguridad tradicional.