Cinco meses después de la publicación oficial de LINCE por el Centro Criptológico Nacional (CCN), tenemos la oportunidad de presentar el nuevo estándar de certificación español en el evento del CCN-CERT en Madrid. En la charla trataremos el estado de las certificaciones en nuestro país que llevó a crear un nuevo esquema que se adaptara a las necesidades de la administración y empresa privada.
Las restricciones del Esquema Nacional de Seguridad (ENS) obligan a usar productos certificados en determinadas situaciones, pero recomiendan su uso en todos los casos. Concretamente, se apoya en el Catálogo de Productos de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) como listado de productos cuya seguridad ha sido comprobada. Para acceder a este catálogo en la actualidad, un fabricante debe certificar su producto con Common Criteria o pasar una serie de pruebas que el CCN establezca en casos concretos.
Las certificaciones Common Criteria siguen un esquema de requisitos estrictos y meticulosos que fuerzan al fabricante a invertir una gran cantidad de tiempo y dinero para alcanzar su objetivo. Sin embargo, en el panorama español en el que la mayor parte de las empresas son pequeñas o medianas, una certificación Common Criteria resulta inalcanzable para muchos fabricantes. Más aún, si hablamos de productos que se actualicen habitualmente o que necesiten salir al mercado rápidamente. Dadas estas condiciones, se ve con claridad la necesidad de crear un esquema de certificación que permita garantizar la seguridad de los productos de una forma rápida, barata y asequible.
Este problema no es nuevo, a lo largo de los años se han ido creando en muchos países lo que se conoce como certificaciones ligeras. Estos esquemas, como pueda ser la Certification de Sécurité de Premier Niveau (CSPN) francesa, se basan en los principios de Common Criteria para crear procedimientos de certificación más llevaderos para los fabricantes pero que mantengan la garantía de seguridad en los productos. En el caso de España, la certificación ligera que se ha desarrollado con este fin es la Certificación Nacional Esencial de Seguridad (LINCE) .
LINCE es una metodología de evaluación de productos TIC basada en los principios de Common Criteria y orientada al análisis de vulnerabilidades y los tests de penetración. Los puntos fuertes de LINCE sobre certificaciones más robustas consisten principalmente en un menor esfuerzo, duración y coste para el fabricante. Sin embargo, por la forma en la que se aplica, también permite prestar más atención a los puntos críticos de cada producto, dando más peso a las pruebas concretas y prácticas que combatan amenazas reales que a documentación densa o tests de funcionalidad exhaustivos.
Más allá del contenido base de LINCE, existen dos módulos adicionales que pueden usarse para completar el proceso de certificación y hacer un análisis más detalla de ciertas partes de un producto. Por un lado, existe el Módulo de revisión de Código Fuente (MCF) que consiste en hacer un análisis del código fuente del producto para buscar vulnerabilidades en él. Por otro lado, el Módulo de Evaluación Criptográfica (MEC) consiste en evaluar la funcionalidad de los mecanismos criptográficos implementados en un producto. Estos dos módulos conllevan una carga de trabajo y tiempo adicional que se suma al total de la evaluación.
De esta forma, LINCE no es un sustituto de Common Criteria, su objetivo es ofrecer una garantía de seguridad para los fabricantes y consumidores a un nivel más asequible en tiempo, esfuerzo y dinero. Por otro lado, un certificado LINCE también permite la incorporación del producto al CPSTIC lo que conlleva dos ventajas principales: la visibilidad a nivel nacional como producto seguro y la posibilidad de ofrecer el producto a las administraciones públicas.
En definitiva, la nueva metodología LINCE viene a ofrecer un procedimiento de certificación en ciberseguridad que permite a los fabricantes hacerse cargo por sí mismos de preparar la documentación y todo lo necesario para iniciar el procedimiento, que cubre los vectores de ataque más relevantes adaptados según las características del producto y que garantiza la seguridad de un producto en un tiempo acotado.
Artículo redactado con la ayuda inestimable de Alberto del Río.
