CATÁLOGO DE PRODUCTOS Y SERVICIOS DE SEGURIDAD CERTIFICADOS
Las entidades públicas licitadoras disponen de la “Guía de Seguridad de las TIC – CCN-STIC 105 -Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación” (CPSTIC en adelante), la cual contiene la relación a su fecha de publicación de los productos y servicios de seguridad (switches, routers, cortafuegos, antimalware, servicios de gestión de identidades, SIEM, etc.) certificados por el CCN, con lo que la redacción de los pliegos recibe una ayuda relevante dado que, en cumplimiento de la medida “Componentes certificados [op.pl.5]” del ENS, para sistemas de categoría MEDIA y ALTA es obligatorio que los productos y servicios licitados estén incluidos en esta guía, a menos que pueda alegarse algún motivo que lo exceptúe.
Ahora bien, y tal como he publicado en un artículo anterior, esta guía carece de certificaciones para las aplicaciones informáticas, servicios en la nube, servicios de comunicaciones, etc, por lo que todo lo no incluido en el CPSTIC debe certificarse a través del esquema de certificación del ENS y, por tanto, como “sistema de información” con su alcance correspondiente, y aquí nos encontramos con una alta “creatividad”.
LOS ALCANCES DE LAS CERTIFICACIONES DEL ENS SON “CREATIVAS”
Tal como publiqué en la parte (I) de este artículo, el ENS certifica sistemas de información que implementan uno o varios servicios, y el alcance de la certificación debe especificarlos. Hasta aquí todo bien. Sólo hasta aquí.
Si alguien tiene curiosidad en revisar los alcances de las certificaciones ENS actuales de numerosos proveedores de servicios a las Administraciones Públicas, cuyo Registro público está disponible en: https://gobernanza.ccn-cert.cni.es/certificados?link=private-tab-pane, puede observar alcances muy genéricos en cuanto a los servicios que contemplan. Dado que la certificación debe acreditar el cumplimiento del ENS para el objeto de la licitación a la que concurren las entidades licitantes, estos alcances genéricos hacen que no siempre resulte evidente que los servicios certificados incluyan el objeto de la licitación. En estos casos, queda en manos de la entidad licitadora “interpretar” el alcance y admitirlo o denegarlo.
OBLIGACIONES DE LAS ENTIDADES PÚBLICAS LICITADORAS
Las entidades públicas licitadoras deben incluir en la redacción de los pliegos, entre otros, los requerimientos técnicos y legales aplicables al objeto de la licitación, así como los criterios de evaluación de la solvencia técnica y posibles requisitos esenciales de ejecución….