La certificación de productos y servicios bajo el Esquema Nacional de Seguridad (Real Decreto 311/2022, ENS en adelante) genera, en el caso de las aplicaciones informáticas, unas casuísticas particulares y, en algunos casos, problemáticas.
SEGURIDAD ACREDITABLE
La medición de la seguridad de la información y los servicios es fundamental para que cualquier organización, pública o privada, obtenga una “expectativa de seguridad” para sus sistemas de información. Ahora bien, esa medición debe seguir unos criterios que permitan establecer comparaciones y adoptar decisiones basadas en parámetros y valores significativos para el escenario donde se van a implementar.
En este sentido, la disponibilidad de marcos de certificación, nacionales y globales, aporta un alto valor añadido para los procesos de selección, máxime cuando en el ENS de 2022 el requerimiento de adquisición de “componentes certificados” ha sido extendido a los sistemas de categoría MEDIA cuando, en el ENS de 2010, era un requerimiento para sistemas de categoría ALTA.
CATÁLOGO DE COMPONENTES CERTIFICADOS
EL marco de referencia para la consulta de los componentes certificados es la Guía de Seguridad de las TIC CCN-STIC 105 – Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC en adelante). Este catálogo incluye dos niveles de certificación:
- Productos cualificados. Productos y servicios que cumplen los requisitos de seguridad exigidos para el manejo de información sensible en el ENS, en cualquiera de sus categorías (ALTA, MEDIA y BÁSICA).
- Productos aprobados. Productos que se consideran adecuados para el manejo de información clasificada.
FIEBRE CERTIFICADORA
Este requerimiento del ENS deriva en una auténtica avalancha de procesos de certificación dado que, en la práctica, estar o no estar en el catálogo de componentes certificados puede suponer la inclusión o exclusión de los procesos de licitación pública teniendo en cuenta que un porcentaje mayoritario de sistemas de información en el sector público adquieren la categoría MEDIA.
¿LOS PRODUCTOS CERTIFICADOS EN EL CPSTIC SON “MEJORES” QUE LOS NO CERTIFICADOS?
La obtención de la certificación y la inclusión de productos y servicios en el CPSTIC no implica en absoluto superioridad tecnológica ni de otro tipo sobre los que no están en el CPSTIC, tampoco certifica la calidad del fabricante ni del proveedor del servicio, sólo se centra en las prestaciones en materia de seguridad del producto o servicio en sí mismo.
De hecho, es posible justificar el empleo de productos no incluidos en el CPSTIC siempre y cuando se acredite su necesidad y unas prestaciones de seguridad suficientes. Esta es una situación habitual en arquitecturas de seguridad donde se aplicaron los criterios del ENS de 2010, cuando no era obligatorio en categoría MEDIA implementar productos incluidos en el CPSTIC, y cuya sustitución puede suponer problemas no solo económicos sino también operativos.
APLICACIONES INFORMÁTICAS – UN CASO PARTICULAR
Las aplicaciones informáticas no están en el CPSTIC, catálogo reservado a “productos y servicios de seguridad”. Sin embargo, las aplicaciones forman el núcleo que materializa los servicios corporativos para usuarios y ciudadanos, aportando las…
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Debe estar conectado para enviar un comentario.