Cómo incluir tu producto o servicio en ENS ALTA.

Blog

31
- Oct
2023
Publicado por: Javier Tallón
[Certificación]
Cómo incluir tu producto o servicio en ENS ALTA.

El Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación CPSTIC / CCN - STIC 105 sigue creciendo a pasos agigantados, cada vez más fabricantes están interesados en incluir sus productos y/o servicios en dicho catálogo. Además, la tendencia a que las soluciones cada vez se incluyan dentro del ENS ALTA va en continuo aumento.

Categorías de nivel de seguridad contempladas en la guía CCN-STIC 140 “Taxonomía de referencia para productos de seguridad TIC”.

La estructura del Catálogo de Productos y Servicios STIC (CPSTIC) está definida en la guía CCN-STIC 140 “Taxonomía de referencia para productos de seguridad TIC".

Existen dos categorías en las que una solución puede incluirse dentro del catálogo, MEDIA y ALTA, dependiendo del tipo de evaluación que se haya realizado (Lince o Common Criteria) y a la exhaustividad de las pruebas. Para que un producto o servicio sea cualificado, debe cumplir con los Requisitos Fundamentales de Seguridad (RFS) definidos para cada familia, incluidos en los correspondientes anexos de la guía CCN-STIC 140.

Categoría MEDIA: Es la categoría en que, por defecto, se incluyen todos los productos y /o servicios que se han cualificado o certificado mediante la metodología LINCE. Es aceptada por la mayoría de taxonomías, aunque, bien es cierto que existen taxonomías que únicamente permiten entrar en categoría ALTA, como puede ser Herramientas de gestión de dispositivos (UEM) o Herramientas para firma electrónica, por poner dos ejemplos.

Categoría ALTA: Cada vez son más los fabricantes que evalúan sus productos con la idea de incluirlos en esta categoría. Aún existen taxonomías como pueden ser Cámaras IP o Herramientas de gestión de vídeo que aún no cuentan con anexos que contemplen los Requisitos Fundamentales de Seguridad (RFS) para evaluar el producto en categoría ALTA.

Beneficios de incluir tu producto o servicio en ENS ALTA

  • Destacar sobre la competencia: Si existen competidores que están en la misma taxonomía, pero en categoría MEDIA, estar en ALTA supone un plus de cara a potenciales compradores.

  • Más seguridad en tu solución: Estar en ENS Alta supone la superación de más pruebas y tests a tu producto en laboratorio, por lo que da mayores garantías al usuario.

  • Impulsar tu estrategia de ventas y marketing: Contar un distintivo expedido por una institución como CCN/CPSTIC, supone un reconocimiento al producto y una ventaja a explotar en el aspecto comercial.

    Diferentes vías para incluir un producto o servicio en ENS ALTA

    Existen diferentes formas a la hora de incluir un producto en ENS ALTA, que explicaremos a continuación:

  • Productos que no están en catálogo ni tienen certificación Common Criteria: LINCE/STIC + STIC Complementaria + Cualificación Continua

  • Productos que no están en catálogo y si tienen certificación Common Criteria: En este caso habría que revisar la declaración de seguridad verificando el Perfil de Protección o el EAL (nivel de seguridad) con el que el producto se ha certificado Common Criteria y cotejarlo con los requisitos de la taxonomía del catálogo en la que se quiere incluir el producto. Si la evaluación inicial cumple con los requisitos que pide el catálogo, el producto es incluido sin necesidad de pruebas adicionales.

    Si no las cumple requerirá de ciertas pruebas, por lo que el camino a seguir sería en este caso; STIC Complementaria + Cualificación Continua.

    Si cumplen con los requisitos de la taxonomía entran en categoría ALTA directamente.

  • Productos que si están en catálogo en categoría MEDIA y no tienen certificación Common Criteria: STIC Complementaria + Cualificación Continua

    Pero, ¿qué significa cada uno de los procesos expuestos anteriormente?

  • Certificación Common Criteria: Es una norma internacional (ISO/IEC 15408) y la certificación más reconocida utilizada para evaluar la seguridad de los productos de TIC. El producto se evalúa basándose en unos niveles de seguridad (EALs) o Perfiles de Protección (PP) que indican los requisitos que el producto debe superar. Puede encontrar más información en nuestra página dedicada a Common Criteria.

  • Certificación LINCE: Certificación de alcance nacional para productos de seguridad BÁSICA o MEDIA. La evaluación LINCE se realiza dentro de un tiempo y esfuerzo acotados. Es la metodología más utilizada a la hora de incluir productos en el catálogo CPSTIC / CCN - STIC 105. Obteniendo únicamente esta certificación, el producto NO es válido para estar en ENS ALTA. Puede encontrar más información en nuestra página dedicada a LINCE.

  • Evaluación STIC: Creada para productos que se desarrollan directamente en la nube, además de cumplir con los requisitos especificados para su taxonomía con la metodología LINCE, el producto/servicio deberá superar los requisitos especificados en el Anexo G "Servicios en la nube". Puede encontrar más información en a nuestra página dedicada a evaluación STIC.

  • Evaluación STIC Complementaria: Este tipo de evaluación se basa en ciertas pruebas adicionales que el producto o servicio debe superar para ser incluido en el catálogo en la categoría ENS ALTA. Se pueden dar dos casuísticas para requerir este tipo de evaluación: contar con una certificación Common Criteria y que se necesiten probar ciertos requisitos para poder acceder al catálogo o contar con un producto cualificado/certificado mediante LINCE en MEDIA y querer optar a ALTA.

  • Cualificación Continua: Una vez el producto o servicio haya sido incluido en categoría ALTA, es necesario ir evaluando de forma continuada las diferentes versiones que se vayan implementando del producto si el producto no tiene la certificación Common Criteria. Por ello, se ha de contar con la Cualificación Continua que no es más que tener contratado a un laboratorio de ciberseguridad acreditado por CCN para realizar las pruebas de las diferentes versiones. Puedes encontrar más información en nuestra página dedicada al caso de éxito de CrowdStrike en Cualificación Continua.

    Quiero incluir mi producto o servicio en la categoría ENS ALTA, ¿qué pasos debo seguir?

    Como hemos podido observar, acceder a la categoría ENS ALTA suele ser un esfuerzo bastante considerable, además existen diferentes caminos a seguir dependiendo de cada caso particular. Por ello, desde jtsec siempre recomendamos contactar con profesionales que puedan orientarte en qué camino es el adecuado para que el proceso sea lo más viable posible.

    Contamos con dilatada experiencia en incluir productos y servicios en la categoría ENS ALTA, si tienes cualquier duda, estaremos encantados de escucharte.

    • tags
    Javier Tallón/Director Técnico

    Consultor experto del estándar de seguridad Common Criteria y de otros muchos estándares de seguridad dentro de las tecnologías de la información (FIPS 140-2, ITSEC, ISO 27K1, SOC 2, ENS,...). Javier ha trabajado como evaluador de seguridad en los mayores laboratorios nacionales y como consultor ha acompañado a diversas compañías en sus procesos de certificación de la ciberseguridad. Ha sido ponente en diversas conferencias en materia de seguridad informática y certificación (SuperSec, Cybercamp, Navaja Negra, International Common Criteria Conference, International Cryptographic Module Conference, EUCyberact Conference), es profesor del máster de Ciberseguridad de la UGR y está certificado CISSP (Certified Information Systems Security Professional) y OSCP/OSCE (Offensive Security Certified Professional & Certified Expert).

    En 2015 comienza a sentar las bases de lo que será jtsec. Actualmente ejerce las labores Director Técnico del laboratorio de evaluación y Jefe de Operaciones (COO) de la oficina de Granada desde donde la empresa desarrolla la mayor parte del trabajo. Reconocido experto en diversas disciplinas de ciberseguridad (reversing, exploiting, web, …), asume la dirección técnica de la mayoría de los proyectos, dirigiendo y organizando el trabajo del equipo. Además lidera el área de Investigación y Desarrollo, fomentando la participación del equipo de jtsec en múltiples Congresos.


    Contacto

    ¡Envíanos tus dudas o sugerencias!

    Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
    ÚLTIMAS ENTRADAS
    jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
    Enero 17, 2025
    jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
    jtsec & Applus+ Laboratories en el ICCC24
    Nov 14, 2024
    jtsec & Applus+ Laboratories en el ICCC24
    Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
    Oct 14, 2024
    Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
    Common Criteria Statistics 2023
    Junio 17, 2024
    Common Criteria Statistics 2023
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    Abril 23, 2024
    Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
    jtsec - Nuestro LINCE 2023
    Febr 6, 2024
    jtsec - Nuestro LINCE 2023
    Les deseamos un feliz y ciberseguro 2024
    Dic 19, 2023
    Les deseamos un feliz y ciberseguro 2024
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Dic 14, 2023
    ¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
    Cómo incluir tu producto o servicio en ENS ALTA.
    Oct 31, 2023
    Cómo incluir tu producto o servicio en ENS ALTA.
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    Sept 19, 2023
    Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
    CATEGORÍAS