El Catálogo de referencia para productos TIC ciberseguros en España (CPSTIC) ha demostrado su gran valor y aceptación a lo largo de sus más de tres años de existencia. En un mercado cada vez más competitivo y exigente, el “Time to Market” es cada vez más reducido, por lo que las nuevas versiones de los productos llegan al mercado cada vez con mayor frecuencia.
El catálogo CPSTIC no es ajeno a este hecho proponiendo mejoras en los procesos y métodos de inclusión en el catálogo para satisfacer tanto las necesidades de fabricantes de soluciones TIC como de potenciales compradores de las mismas.
Tipos de productos incluidos en el catálogo CPSTIC y metodologías de evaluación aceptadas
Para una mejor comprensión de la inclusión de un producto en el catálogo, debemos diferenciar dos tipologías de productos dependiendo de la información que manejan, en base a ello, se someterán a evaluaciones bajo distintas metodologías:
Como observamos, ambas evaluaciones requieren un esfuerzo en tiempo bastante prolongado, lo que, en numerosas ocasiones, supone un problema para los fabricantes en su continua mejora del producto. Para poder solucionar este inconveniente, CCN ha desarrollado la denominada Estrategia de Cualificación Continua, orientada a mantener siempre en el Catálogo CPSTIC la última versión del producto.
¿Qué es la Estrategia de Cualificación Continua y cómo afecta a los productos ya certificados?
Es una estrategia creada por el CCN para mantener el catálogo CPSTIC lo más actualizado posible, para ello, lo más lógico es agilizar la cualificación e inclusión de los productos en dicho catálogo mediante un Proceso de Cualificación Continua. Este proceso consiste en evaluar las versiones de software, firmware o modelos de hardware no incluidos en la certificación inicial sin necesidad de llevar a cabo un proceso de evaluación completo.
Es un proceso de duración indefinida en el tiempo en el que se van cualificando todas aquellas versiones en las que no exista una diferencia sustancial en el aspecto de la ciberseguridad del producto.
Esto aplicaría a un gran número de fabricantes que crean diferentes versiones de un mismo producto cuyas diferencias son mínimas respecto al producto (ej.- número de puertos, velocidad del procesador, etc…) ya certificado.
Debido a la velocidad a la que los fabricantes desarrollan sus productos, en numerosas ocasiones cuando la certificación acaba; el producto, que continúa evolucionando y mejorando, ya se encuentra en versiones posteriores a la certificada, creando así un desfase entre versiones que el fabricante está desarrollando y la versión que aparece en el catálogo.
Un claro ejemplo sería un fabricante de una solución Firewall que crea una versión 1.0 que es la que comienza a evaluarse bajo la metodología LINCE. Durante ese tiempo, el fabricante ha desarrollado la versión 1.1 del mismo producto. En su momento certificó la versión 1.0, sin embargo, la 1.1, aunque con diferencias mínimas respecto a la 1.0, no se encuentran en el catálogo al no haber sido la versión evaluada. Sin embargo, la versión 1.1. es más actualizada y más segura que la versión en el catálogo.
Con la idea de solucionar esta problemática, surge la Estrategia de Cualificación Continua.
¿Cuándo aplica la Cualificación Continua?
Actualmente, el catálogo CPSTIC cuenta con casi 300 soluciones certificadas desde que se implantó en 2018. Esto supone que, muchos de los productos incluidos, han sufrido modificaciones respecto a la versión inicial que se evaluó y potencialmente no está la última versión en el catálogo.
La cualificación continua aplicará en los siguientes casos que exponemos a continuación:
¿Cómo puede jtsec ayudarle en la evaluación de sus productos de acuerdo con la Estrategia de Cualificación Continua?
En jtsec somos expertos en evaluaciones LINCE y Common Criteria, las dos metodologías aceptadas por el CCN para poder incluir productos en el Catálogo CPSTIC.
El equipo de jtsec ofrece los siguientes servicios:
La Estrategia de Cualificación Continua concierne principalmente a aquellos fabricantes y/o desarrolladores que ya cuenten con un producto en el Catálogo y cuya versión se haya quedado obsoleta al desarrollarse versiones posteriores y deseen que éstas formen parte del catálogo. Si este es su caso y tiene cualquier duda, no dude en contactarnos, estaremos encantados de ayudarle.
