jtsec | Blog | Colaboraciones con diferentes grupos de trabajo para la mejora de las certificaciones en ciberseguridad

- Nov

2020

Publicado por: El equipo de jtsec

Colaboraciones con diferentes grupos de trabajo para la mejora de las certificaciones en ciberseguridad

La ciberseguridad es un área que avanza continuamente y a pasos agigantados. Por ello, las certificaciones deben de modificarse para ajustarse lo máximo posible a la realidad y actualidad.

En jtsec consideramos que colaborar en diferentes grupos de trabajo con distintas empresas a nivel global es la forma idónea de contribuir a la mejora y actualización de las diferentes certificaciones de ciberseguridad, especialmente de aquellas normas más estandarizadas a nivel mundial.

Un ejemplo práctico, la creación de una extensión para la gestión de parches para ISO/IEC 15408 e ISO/IEC 18045

Common Criteria (ISO/IEC 15408), es el estándar de ciberseguridad más reconocido y utilizado a nivel internacional, aceptado en más de 30 países. En jtsec somos tanto consultores como evaluadores (laboratorio) para esta metodología.

En este proyecto contamos con la colaboración de Sebastian Fritsch, Head of CC Laboratory de la consultora y laboratorio de ciberseguridad alemán Secuvera para la creación de una extensión para la gestión de parches para ISO/IEC 15408 e ISO/IEC 18045.

En este caso concreto, existe la problemática de que dichas normas no admiten la recertificación de actualizaciones o productos con parches de seguridad. Ni la norma ISO/IEC 15408 ni la ISO/IEC 18045 (o CEM) contienen métodos dedicados o actividades de evaluación que apoyen la evaluación de cambios menores o actualizaciones menores. Uno de los aspectos más importantes en el contexto de la gestión de parches y las actualizaciones de seguridad es la caracterización de los cambios en las actualizaciones menores y mayores.

Gracias al intenso trabajo de nuestro Technical Manager, Javier Tallón y de Sebastian, se detectó un grave problema que consistía en que, después de que una nueva vulnerabilidad fuese detectada en un producto, existía una franja de tiempo (hasta que se terminase un nuevo proceso de evaluación), en que el usuario tiene que elegir entre usar un producto certificado o un producto seguro.

La solución ofrecida se basa en tres pilares:

Un problema de seguridad predefinido que los fabricantes pueden usar en sus declaraciones de seguridad.

Añadir requisitos funcionales adicionales (FPT_PAM) que aborden el parche o la funcionalidad de actualización del TOE base.

Añadir requisitos adicionales de ciclo de vida (ALC_PAM) para obtener el compromiso de los desarrolladores de supervisar de forma consistente los fallos o problemas después de la publicación del TOE base, pero también animar a los desarrolladores a generar de forma consistente evidencias para futuras recertificaciones.

Otros grupos de trabajo de los que forma parte jtsec

Nos encontramos inmersos en diferentes grupos de trabajo, apostando porque las certificaciones sean cada vez más accesibles a todo tipo de empresas y que éstas sean válidas en el mayor número de países posible.

Editores y co-líderes del informe de recomendaciones para crear un esquema de certificación para los Sistemas de Automatización y Control Industrial (IACS por sus siglas en inglés).

Miembros de SCCG (Stakeholder Cybersecurity Certification Group) de la Comisión Europea.

Editores en JTC13 WG3: “Cybersecurity Evaluation Methodology for ICT products”.

Miembros del grupo de trabajo Ad-hoc SOG-IS de la Comisión Europea y Rappourteur del sub-grupo de trabajo 7 de armonización de la aplicación de ISO 17025.

Miembros del WG3 de ISO SC27 y editores del Technical Report “Towards Creating an Extension for Patch Management for ISO/IEC 15408 and ISO/IEC 18045”

Todos nuestros esfuerzos están dirigidos a construir un mundo más ciberseguro y compartir nuestra experiencia es la manera de lograrlo.