openNAC Enterprise obtiene la certificación Common Criteria

Blog

26
- Junio
2019
Publicado por: Javier Tallón
[Certificación]
openNAC Enterprise obtiene la certificación Common Criteria

Es un orgullo para jtsec poder anunciar la publicación en el BOE de la certificación Common Criteria otorgada a opencloud factory por su producto openNAC enterprise.

Ha sido un año de intenso trabajo desde que comenzamos a participar en este proyecto hasta su finalización, durante el mes de mayo de este mismo año.

OpenNAC Enterprise es un NAC (Network Access Control) de nueva generación con capacidad para poder gestionar de manera segura el acceso a las redes corporativas y así poder obtener el control total sobre la red. Disponible como Virtual Appliance, permite su puesta en marcha en grandes redes corporativas con diversos centros de datos y oficinas remotas. OpenNAC Enterprise utiliza múltiple métodos de descubrimiento de dispositivos (802.1x, Traps, Agente..); el Sensor (sonda) admite la visibilidad de activos sin 802.1X y logra una inspección profunda de paquetes fuera de banda.

La solución proporciona soporte multi-vendor para infraestructura de red, basado en múltiples métodos de autenticación y enforcement a través de la segmentación (VLAN), microsegmentación etc. Puede integrarse con múltiples LDAPs y Directorios Activos. Es una solución completamente modular en función de la necesidad de las organizaciones

La solución de OpenNAC en su versión 1.2 ha logrado superar el nivel de evaluación EAL2, habiéndose declarado la siguiente funcionalidad, que ha sido evaluada por Epoche & Espri, laboratorio acreditado por el CCN para realizar evaluaciones de Common Criteria hasta EAL4+:

  • Generación de datos de auditoría
  • Funciones de gestión a través de la interfaz web
  • Control de acceso a la red para usuarios y dispositivos a las redes
  • Control de acceso basado en roles a las funciones de gestión
  • Protección de las comunicaciones a la interfaz web (REST API) utilizando https

Gracias a la participación en esta evaluación de seguridad, el producto OpenNAC Enterprise ha sido incluido en el catálogo CPSTIC para nivel ENS ALTO de manera simultánea al proceso de evaluación.

La participación de jtsec en este proyecto comenzó cuando el fabricante ya había comenzado el proceso de evaluación y se encontraba en una situación de bloqueo total debido a la dificultad de la norma Common Criteria para fabricantes sin experiencia previa en certificación.

El proyecto se estructuró en varias fases: gap análisis, preparación de la evaluación, proceso de evaluación y solicitud de inclusión en el catálogo.

La realización de un gap análisis inicial del producto por los expertos de jtsec, permitió trazar un plan de certificación adaptado limitando los retrasos e incertidumbres tan indeseados en las evaluaciones Common Criteria.

La fase de preparación se completó en un tiempo record realizándose la adaptación de la documentación de diseño, operación, pruebas y ciclo de vida del producto a los requisitos de la norma Common Criteria.

Los expertos en Common Criteria de jtsec se encargaron de esta fase de preparación contando en todo momento con el apoyo de los expertos técnicos de OpenCloud Factory.

Esta forma de trabajo ha permitido que el fabricante centre sus esfuerzos en la implementación de nuevas medidas de seguridad para su producto, logrando así una mejora global del producto y su documentación.

La fase de evaluación fue realizada por Epoche & Espri encargado del análisis técnico del producto.

Es crítico para el éxito de los procesos de certificación, la comunicación entre todos los actores implicados en el proceso. jtsec se ha encargado de ser interfaz para agilizar el tiempo de respuesta y optimizar el proceso de evaluación.

El seguimiento del estado de evaluación del producto por todas las partes ha sido excepcional, proporcionando una interfaz de comunicación tremendamente ágil y resolutiva, lo que ha permitido detectar y solucionar cada problema de una manera altamente eficiente.

La solicitud de inclusión en el catálogo CPSTIC fue gestionada por jtsec, que presentó un completo informe describiendo cómo el producto era conforme a los requisitos establecidos por el catálogo.

Ha sido un placer para nosotros poder trabajar con una empresa de referencia en el mercado de la seguridad a nivel nacional e internacional como es OpenCloud Factory. Sin su buena disposición para la introducción de mejoras en el producto, no hubiera sido posible acabar la evaluación de una manera tan satisfactoria.

No podremos olvidar en mucho tiempo cuando el equipo de OpenCloud Factory nos confeso que “Por fin estamos entendiendo de qué va esto de Common Criteria.”

tags
Javier Tallón/Director Técnico

Consultor experto del estándar de seguridad Common Criteria y de otros muchos estándares de seguridad dentro de las tecnologías de la información (FIPS 140-2, ITSEC, ISO 27K1, SOC 2, ENS,...). Javier ha trabajado como evaluador de seguridad en los mayores laboratorios nacionales y como consultor ha acompañado a diversas compañías en sus procesos de certificación de la ciberseguridad. Ha sido ponente en diversas conferencias en materia de seguridad informática y certificación (SuperSec, Cybercamp, Navaja Negra, International Common Criteria Conference, International Cryptographic Module Conference, EUCyberact Conference), es profesor del máster de Ciberseguridad de la UGR y está certificado CISSP (Certified Information Systems Security Professional) y OSCP/OSCE (Offensive Security Certified Professional & Certified Expert).

En 2015 comienza a sentar las bases de lo que será jtsec. Actualmente ejerce las labores Director Técnico del laboratorio de evaluación y Jefe de Operaciones (COO) de la oficina de Granada desde donde la empresa desarrolla la mayor parte del trabajo. Reconocido experto en diversas disciplinas de ciberseguridad (reversing, exploiting, web, …), asume la dirección técnica de la mayoría de los proyectos, dirigiendo y organizando el trabajo del equipo. Además lidera el área de Investigación y Desarrollo, fomentando la participación del equipo de jtsec en múltiples Congresos.


Contacto

¡Envíanos tus dudas o sugerencias!

Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
ÚLTIMAS ENTRADAS
jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
Enero 17, 2025
jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
jtsec & Applus+ Laboratories en el ICCC24
Nov 14, 2024
jtsec & Applus+ Laboratories en el ICCC24
Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
Oct 14, 2024
Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
Common Criteria Statistics 2023
Junio 17, 2024
Common Criteria Statistics 2023
Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
Abril 23, 2024
Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
jtsec - Nuestro LINCE 2023
Febr 6, 2024
jtsec - Nuestro LINCE 2023
Les deseamos un feliz y ciberseguro 2024
Dic 19, 2023
Les deseamos un feliz y ciberseguro 2024
¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
Dic 14, 2023
¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
Cómo incluir tu producto o servicio en ENS ALTA.
Oct 31, 2023
Cómo incluir tu producto o servicio en ENS ALTA.
Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
Sept 19, 2023
Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
CATEGORÍAS