Hace unas semanas, nos despedimos de 2024 y dimos la bienvenida a 2025, un año que ha comenzado con una energía extraordinaria, inspirándonos con optimismo y entusiasmo para el camino que tenemos por delante. Al mirar atrás, hemos sido testigos de un notable progreso con la metodología LINCE y un aumento significativo en las soluciones incluidas en el catálogo CPSTIC / CCN-STIC 105. Con esto en mente, nos gustaría compartir un breve resumen de nuestras modestas contribuciones a estos logros.
Nuestros números
2024 fue un año de récords. Alcanzamos nuestro máximo número de evaluaciones iniciadas y el mayor número de productos incluidos en el catálogo CPSTIC con nuestro apoyo.
En total, se lanzaron 109 procesos de evaluación en 2024, una cifra destacable que resalta el compromiso tanto de los fabricantes como de la Administración Pública con el catálogo.
Más de 48 productos fueron incluidos en el catálogo tras haber sido evaluados previamente por jtsec en 2024. Muchos de ellos se incorporaron con varias versiones de la solución o en diferentes taxonomías, sumando un total de 281 productos incluidos en el catálogo CPSTIC.
Hemos tenido el privilegio de colaborar con empresas como Stormshield, Deciso V.B, WatchGuard, CrowdStrike, Proofpoint, Check Point, AWS, Trend Micro, CyberArk, Cisco, Huawei, entre otras, en la evaluación de sus productos y servicios.
Linces adoptados
jtsec-web/assets/img/blog/entries/139/thumbnail_gráfico nuestro lince 2024.jpg. Este año, estamos extremadamente orgullosos de haber adoptado 18 linces ibéricos.
Conferencias en 2024 relacionadas con la metodología LINCE
Durante este año, tuvimos la oportunidad de participar en diversos eventos y presentar nuestro punto de vista sobre distintos temas relacionados con la metodología LINCE y el catálogo CPSTIC / CCN-STIC 105, entre los cuales nos gustaría destacar:
- XVIII Jornadas CCNCERT, “Certificando Criptografía para la Era Cuántica”
- 18 ENISE, “¿Puedes usted incluir mi producto en catálogo CPSTIC”
- Cátedra Ciber-UGR, “How to use the CCN product catalog to improve your company's security”
CPSTIC / CCN STIC-105, la familia crece
El catálogo enfrentó una variedad de desafíos a lo largo de 2024. En jtsec, logramos alcanzar varios hitos importantes, entre los cuales se incluyen:
- Estamos desarrollando, junto con CCN, la nueva metodología de evaluación para servicios en la nube.
- jtsec ha sido el primer laboratorio acreditado por ENAC para evaluar productos criptológicos bajo la metodología de Evaluación de Mecanismos Criptográficos (MEMeC)
Además de estos hitos, en 2024 contamos con soluciones cualificadas en diferentes familias, entre las que se incluyen:
- Herramientas de videoidentificación
- Dispositivos de Red Inalámbricos
- EPP (Endpoint Protection and Platform)
- EDR (Endpoint Detection and Response)
- Gestión de acceso privilegiado (PAM)
- Sistemas de gestión de eventos de seguridad (SIEM)
- Cortafuegos
- Routers
- Switches
- Seguridad OT
¿Cómo entrar en el catálogo CPSTIC?
Existen diferentes métodos de que un producto se incluya en el catálogo CSPTIC / CCN STIC-105:
- Certificación Common Criteria : Este tipo de certificación es la más aplicada a nivel internacional en cuanto a ciberseguridad del producto se refiere, ya que está reconocida en más de 30 países. Los productos que previamente han obtenido dicha certificación y cumplen con los requisitos de seguridad de la taxonomía a la que aplique, son incluidos en el catálogo.
- Certificación LINCE : Es una opción que se adapta a las necesidades para cumplir con los requisitos del mercado nacional. Una gran cantidad de los productos que hoy se encuentran en el catálogo han obtenido una certificación LINCE. Ésta se hace sobre una versión concreta y la evaluación se hace en la modalidad on premise.
- Evaluación STICSe aplica a servicios desarrollados nativamente en la nube, para aquellos que no cuentan con una versión on premise que se pueda certificar. Este tipo de soluciones obtienen una cualificación para poder entrar en el catálogo. Este año, más del 70% de las soluciones evaluadas por jtsec han sido STIC en la nube. Todo un éxito teniendo en cuenta que el anexo G que aplica a “Servicios en la nube” se publicó en 2020.
- STIC Complementaria: Existen productos que cuentan con una certificación Common Criteria, pero que, sin embargo, el nivel de seguridad (EAL) o el Perfil de Protección que aplican no se adecúa a los que catálogo requiere. Para ellos, se requieren ciertas pruebas adicionales que se deben realizar a dichos productos para poder ser incluidos el catálogo CPSTIC / CCN STIC-105. De esta forma no se ha de realizar una evaluación completa, únicamente realizar ciertos tests que requiera el propio catálogo.
- Test de Penetración: Este tipo de evaluación aplica a las soluciones que quieren ser incluidas dentro de la taxonomía “Productos y servicios de conformidad y gobernanza de la seguridad”. El acceso a la misma no requiere realizar una Declaración de Seguridad ni parte documental alguna, por lo que no se requiere superar una evaluación LINCE completa, pero sí superar unas pruebas de penetración para verificar que la herramienta cumple con unos mínimos de seguridad.
