Certificación ENS de Productos, Servicios y Aplicaciones

Tecnología y Sentido Común es la Revista Líder de Audiencia de la Alta Dirección y los Profesionales en Gestión de Proyectos, Servicios, Procesos, Riesgos y por supuesto Gobierno de Tecnologías de la Información

La certificación de productos y servicios bajo el Esquema Nacional de Seguridad (Real Decreto 311/2022, ENS en adelante) genera, en el caso de las aplicaciones informáticas, unas casuísticas particulares y, en algunos casos, problemáticas.

SEGURIDAD ACREDITABLE

La medición de la seguridad de la información y los servicios es fundamental para que cualquier organización, pública o privada, obtenga una “expectativa de seguridad” para sus sistemas de información. Ahora bien, esa medición debe seguir unos criterios que permitan establecer comparaciones y adoptar decisiones basadas en parámetros y valores significativos para el escenario donde se van a implementar.

En este sentido, la disponibilidad de marcos de certificación, nacionales y globales, aporta un alto valor añadido para los procesos de selección, máxime cuando en el ENS de 2022 el requerimiento de adquisición de “componentes certificados” ha sido extendido a los sistemas de categoría MEDIA cuando, en el ENS de 2010, era un requerimiento para sistemas de categoría ALTA.

CATÁLOGO DE COMPONENTES CERTIFICADOS

EL marco de referencia para la consulta de los componentes certificados es la Guía de Seguridad de las TIC  CCN-STIC 105 –  Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC en adelante). Este catálogo incluye dos niveles de certificación:

  1. Productos cualificados. Productos y servicios que cumplen los requisitos de seguridad exigidos para el manejo de información sensible en el ENS, en cualquiera de sus categorías (ALTA, MEDIA y BÁSICA).
  2. Productos aprobados. Productos que se consideran adecuados para el manejo de información clasificada.

FIEBRE CERTIFICADORA

Este requerimiento del ENS deriva en una auténtica avalancha de procesos de certificación dado que, en la práctica, estar o no estar en el catálogo de componentes certificados puede suponer la inclusión o exclusión de los procesos de licitación pública teniendo en cuenta que un porcentaje mayoritario de sistemas de información en el sector público adquieren la categoría MEDIA.

¿LOS PRODUCTOS CERTIFICADOS EN EL CPSTIC SON “MEJORES” QUE LOS NO CERTIFICADOS?

La obtención de la certificación y la inclusión de productos y servicios en el CPSTIC no implica en absoluto superioridad tecnológica ni de otro tipo sobre los que no están en el CPSTIC, tampoco certifica la calidad del fabricante ni del proveedor del servicio, sólo se centra en las prestaciones en materia de seguridad del producto o servicio en sí mismo.

De hecho, es posible justificar el empleo de productos no incluidos en el CPSTIC siempre y cuando se acredite su necesidad y unas prestaciones de seguridad suficientes. Esta es una situación habitual en arquitecturas de seguridad donde se aplicaron los criterios del ENS de 2010, cuando no era obligatorio en categoría MEDIA implementar productos incluidos en el CPSTIC, y cuya sustitución puede suponer problemas no solo económicos sino también operativos.

APLICACIONES INFORMÁTICAS – UN CASO PARTICULAR

Las aplicaciones informáticas no están en el CPSTIC, catálogo reservado a “productos y servicios de seguridad”. Sin embargo, las aplicaciones forman el núcleo que materializa los servicios corporativos para usuarios y ciudadanos, aportando las…

Continuar leyendo…

Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad