Hace unos días se celebró el evento ICCC21 (International Common Criteria Conference),, las jornadas de referencia sobre Common Criteria a nivel internacional.
Un año más contó con la presencia de ponentes de primer nivel que trataron diferentes temas relacionados con automatización, estandarización, nuevos esquemas de ciberseguridad, nuevos usos de Common Criteria…
Pero la edición de este año ha sido especial para nosotros, ya que decidimos colaborar como Supporting Sponsor, lo que nos ha permitido tener mucho más contacto con los asistentes y poder compartir nuestros servicios en un stand virtual, al celebrarse, por segundo año consecutivo, de forma online.
Teniendo en cuenta el gran esfuerzo que supone crear una metodología de evaluación reconocida en el ámbito internacional, que conlleva años de trabajo y de implicación por parte de numerosas entidades tanto públicas como privadas en diferentes países, la propuesta más viable para agilizar la obtención de la certificación pasa por automatizar procesos, permitiendo así ahorrar tiempo y dinero a la hora de realizar una evaluación de ciberseguridad.
El producto se mantiene en la “Lista de Productos Certificados” durante 5 años, siempre y cuando no haya una vulnerabilidad que afecte a la versión certificada y por tanto suponga la revocación del certificado. Una vez que ha pasado ese tiempo desde que se expidió el certificado, el producto pasa a la lista “Productos Certificados Archivados”, a menos que el tiempo de validación se extienda usando los procedimientos adecuados para tal fin. Existe un procedimiento llamado “Assurance Continuity” desarrollado para permitir a los fabricantes mantener su producto certificado en la última versión
Tras un detallado proceso de acreditación por parte de ENAC y CCN que conllevó varios meses de esfuerzo y de preparación, el pasado 19 de Agosto, obtuvimos oficialmente la acreditación como laboratorio Common Criteria. Un gran honor y compromiso que nos hace dar lo mejor de nosotros mismos en este nuevo capítulo en la historia de jtsec.
El CMVP apuesta por la creación de herramientas cuya finalidad sea automatizar los procesos y procedimientos relacionados con la evaluación y las pruebas de los módulos criptográficos FIPS 140-2 y FIPS 140-3 para solventar el problema de los dilatados tiempos de espera. Desde jtsec aplaudimos este tipo de iniciativas, potenciar la automatización en los procesos utilizados en las certificaciones de ciberseguridad está en nuestro ADN