¿Es la automatización el futuro de la evaluación de ciberseguridad?

Blog

26
- Oct
2021
Publicado por: Javier Tallón
[Certificación]
¿Es la automatización el futuro de la evaluación de ciberseguridad?

Todos los que formamos parte del mundo de la certificación de ciberseguridad (fabricantes, laboratorios, organismos de certificación…) nos enfrentamos a constantes retos, dada la propia naturaleza de los productos que evaluamos y la velocidad a la que cambian los mismos. Sin embargo, de un tiempo a esta parte, existe un problema que ha tomado especial relevancia, la agilidad de obtención de la certificación para cumplir con el tiempo de comercialización de los productos.

Time to market, ¿es lógico esperar casi un año para obtener una certificación de ciberseguridad?

Esa es una las cuestiones a resolver a corto plazo, especialmente para los fabricantes, que quieren tener su producto habilitado en el mercado bajo una certificación lo antes posible. En ciertas ocasiones, desde que se comienza la certificación hasta que se obtiene, el producto ha sufrido numerosas modificaciones, e incluso versionados, lo que significa un obstáculo, a día de hoy, insalvable.

Desde que surge el interés por parte del desarrollador del producto hasta que se materializa la certificación, puede transcurrir un año, incluso más. Pongamos, como ejemplo, los tiempos estimados para la obtención de una certificación Common Criteria con un EAL 2, el nivel máximo de seguridad reconocido por el CCRA (Common Criteria Recognition Arrangement).

Como podemos observar en el timeline de arriba, que corresponde a una certificación Common Criteria EAL 2, el esfuerzo se alarga no menos de 30 semanas. Aunque bien es cierto que, en ocasiones, se encuentran en el producto ciertas vulnerabilidades que deben ser corregidas por parte del fabricante, lo que supone semanas de trabajo en la mejora del producto. Pero, ¿cómo podemos agilizar todo este proceso?

Automatización, ¿la única vía posible?

Teniendo en cuenta el gran esfuerzo que supone crear una metodología de evaluación reconocida en el ámbito internacional, que conlleva años de trabajo y de implicación por parte de numerosas entidades tanto públicas como privadas en diferentes países, no parece, al menos a corto-medio plazo, que la solución pase por aligerar la cantidad de trabajo que supone una certificación en una modificación sustancial de las diferentes normas. Por ello, ahora mismo, la propuesta más viable pasa por automatizar procesos, permitiendo así ahorrar tiempo y dinero a la hora de realizar una evaluación de ciberseguridad.

Desde jtsec hemos creído y apostado siempre por la automatización y por la creación de un marco de trabajo común que utilice herramientas que permitan agilizar los procesos de certificación.

Automatización en Common Criteria

Common Criteria es una metodología de evaluación con una notable carga en cuanto a volumen de trabajo en el área de documentación, suponiendo varias semanas de esfuerzo y continuas modificaciones durante el proceso.

Por ello, creamos herramientas como CCGen para la creación de la documentación Common Criteria y CCEval, para automatizar la evaluación. Además, gracias a la financiación de la Comisión Europea en el marco del programa Connecting Europe Facility (CEF), estamos desarrollando CCCAB (Common Criteria Conformity Assessment Body), que será una herramienta gratuita de código abierto que permitirá a los CABs de Common Criteria del nuevo esquema EUCC agilizar el proceso de certificación de los productos TIC.

En el pasado ICCC21 celebrado hace unos días, tuvimos la oportunidad de reflexionar sobre la automatización en ciberseguridad en líneas generales, y más particularmente en Common Criteria, mostrando CCToolbox como la herramienta más factible del mercado a día de hoy.

Esta charla llamada Automating Common Criteria fue llevada a cabo por José Ruiz. La semana que viene publicaremos un post donde incluiremos los enlaces a todas las charlas en las que jtsec participó en ICCC21.

¿Cómo agilizamos el proceso de evaluación con jtsec?

Contar con herramientas únicas nos permite agilizar el proceso, siendo mucho más competitivos que el resto de laboratorios Common Criteria. Además, permitir el ahorro de tiempo y esfuerzo es un factor decisivo a la hora de que nuestros clientes estén tranquilos sabiendo que su producto estará a tiempo en el mercado.

Facilitamos a nuestros clientes el uso de nuestras herramientas durante el proceso de consultoría, trabajando así bajo un mismo marco que potencie el flujo de información la transmisión de documentación entre ambas partes.

Además, en jtsec, hemos apostado decididamente por la automatización con la creación en exclusiva de un departamento de desarrollo que actualmente cuenta con 7 personas.

Si estás pensando en una certificación Common Criteria para tu producto, no dudes en consultarnos, te acompañamos durante todo el proceso para tu tranquilidad.

tags
Javier Tallón/Director Técnico

Consultor experto del estándar de seguridad Common Criteria y de otros muchos estándares de seguridad dentro de las tecnologías de la información (FIPS 140-2, ITSEC, ISO 27K1, SOC 2, ENS,...). Javier ha trabajado como evaluador de seguridad en los mayores laboratorios nacionales y como consultor ha acompañado a diversas compañías en sus procesos de certificación de la ciberseguridad. Ha sido ponente en diversas conferencias en materia de seguridad informática y certificación (SuperSec, Cybercamp, Navaja Negra, International Common Criteria Conference, International Cryptographic Module Conference, EUCyberact Conference), es profesor del máster de Ciberseguridad de la UGR y está certificado CISSP (Certified Information Systems Security Professional) y OSCP/OSCE (Offensive Security Certified Professional & Certified Expert).

En 2015 comienza a sentar las bases de lo que será jtsec. Actualmente ejerce las labores Director Técnico del laboratorio de evaluación y Jefe de Operaciones (COO) de la oficina de Granada desde donde la empresa desarrolla la mayor parte del trabajo. Reconocido experto en diversas disciplinas de ciberseguridad (reversing, exploiting, web, …), asume la dirección técnica de la mayoría de los proyectos, dirigiendo y organizando el trabajo del equipo. Además lidera el área de Investigación y Desarrollo, fomentando la participación del equipo de jtsec en múltiples Congresos.


Contacto

¡Envíanos tus dudas o sugerencias!

Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
ÚLTIMAS ENTRADAS
jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
Enero 17, 2025
jtsec obtiene acreditación pionera para evaluación criptológica MEMeC
jtsec & Applus+ Laboratories en el ICCC24
Nov 14, 2024
jtsec & Applus+ Laboratories en el ICCC24
Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
Oct 14, 2024
Usando el catálogo de productos CCN para mejorar la seguridad de tu empresa
Common Criteria Statistics 2023
Junio 17, 2024
Common Criteria Statistics 2023
Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
Abril 23, 2024
Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
jtsec - Nuestro LINCE 2023
Febr 6, 2024
jtsec - Nuestro LINCE 2023
Les deseamos un feliz y ciberseguro 2024
Dic 19, 2023
Les deseamos un feliz y ciberseguro 2024
¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
Dic 14, 2023
¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
Cómo incluir tu producto o servicio en ENS ALTA.
Oct 31, 2023
Cómo incluir tu producto o servicio en ENS ALTA.
Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
Sept 19, 2023
Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
CATEGORÍAS