SlideShare una empresa de Scribd logo

Cómo mantener tu producto en el catálogo CPSTIC

Descargar como PPTX, PDF
Javier Tallón
Javier Tallón

Caso de éxito de Panda Security y su proceso para mantener los productos en el catálogo CPSTIC gracias a la consultoría de jtsec, utilizando metodologías de evaluación y certificación para productos de seguridad TIC como LINCE o Common Criteria

Internet
1 de 14
Cómo mantener tu producto en el catálogo CPSTIC
Índice 1. Panda y jtsec, una relación cibersegura 2. Catálogo CPSTIC: definición, ventajas y acceso 3. Procedimiento de inclusión 4. ¿Un trámite burocrático? 5. Caso de éxito: Panda Security 6. Recomendaciones
Panda y jtsec, una relación cibersegura Servicios Laboratorio acreditado evaluación LINCE Consultoría Common Criteria, FIPS 140-2 y PCI-PTS Hacking ético Valores Excelencia técnica Orientación al cliente Tiempo de comercialización  Javier Tallón:  Co-Foundador & Director técnico  Full-stack hacker wannabe  Experto en Common Criteria, PCI-PTS, FIPS 140-2, ISO 27K1, SOC2  Profesor de Ciberseguridad en la Universidad de Granada  Miembro del grupo de trabajo en certificación de producto de la Agencia de Ciberseguridad Europea (ENISA)
Panda y jtsec, una relación cibersegura Servicios Soluciones de seguridad para endpoint. Mayor fabricante de software empaquetado en España. Recientemente adquirida por Watchguard Technologies. Transición hacia mercado corporativo, AA.PP y gran cuenta. Marca Cytomic.  Josu Franco:  Asesor en Estrategia y Tecnología
Catálogo CPSTIC: definición, ventajas y acceso Art 18 Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad: “En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleados por las Administraciones públicas se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.” Medidas Anexo 2: “Componentes certificados [op.pl.5]” Categoría ALTA Se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
Catálogo CPSTIC: definición, ventajas y acceso - Metodología ligera - Sólo válida en España - Estándar sencillo orientado al análisis de vulnerabilidades y test de penetración - Duración y esfuerzo acotados - Más viable económicamente - Accesible a PYMEs - Su uso principal es la entrada en el catálogo. - Metodología pesada - Reconocida en 31 países - Distintos niveles de garantía - Versátil - Aplicable a todo tipo de productos - Dificultad técnica para cumplir/entender el estándar. - Mayor tiempo para su obtención - Mayor coste económico - Creada para grandes empresas o productos del sector defensa/banca Nivel medio – bajo ENS Nivel alto ENSSecurity Target
Catálogo CPSTIC: definición, ventajas y acceso PROBLEMA: • Los responsables de los sistemas no saben cuáles son los productos certificados “reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información” • La declaración de seguridad la escribe el fabricante, así que podría darse el caso de que la certificación no incluya todas las funcionalidades de seguridad consideradas necesarias por el CCN para un determinado tipo de producto. • Hay que leerla para saber el alcance  hay que entender CC • Si el responsable de los sistemas de cada administración tiene que leerse todas las Declaraciones de Seguridad para una tipología de producto estamos escalando mal. Muy mal.
Catálogo CPSTIC: definición, ventajas y acceso SOLUCIÓN: El catálogo de Productos de Seguridad TIC (CPSTIC) ofrece un listado de productos con unas garantías de seguridad contrastadas por el Centro Criptológico Nacional (ellos validan la ST). Este catálogo incluye los productos aprobados para manejar información nacional clasificada y los productos cualificados de seguridad TIC para uso en el ENS (CCN-STIC- 105). Actualmente existen 7 categorías y 47 familias en su taxonomía de referencia (CCN-STIC-140). Ventajas Fácil adquisición de productos ciberseguros Evaluados por parte de un tercero confiable Disponible para todo el mundo
Catálogo CPSTIC: definición, ventajas y acceso 0 50 100 150 200 250 300 Número de productos cualificados por fecha 01/12/2017 01/06/2018 01/12/2018 01/06/2019 01/12/2019 01/06/2020 0 20 40 60 80 100 120 140 160 180 200 Seguridad en la Explotación Protección de las Comunicaciones Protección de la Información y los Soportes de la Información Monitorización de la seguridad Control de Acceso Protección de Equipos y Servicios Productos cualificados por categorías
Procedimiento de inclusión Escribir procedimiento de empleo seguro NO Solicitud de cualificación de producto STIC Análisis de cualificación Nueva Declaración de Seguridad cubriendo RFS y riesgos detectados Producto NO cualificado ¿Posee certificación? ¿Cumple RFS y Análisis de Riesgos? NO SI SI NO SI SI NO NO ¿Supuesto excepcionalidad? ¿Pruebas complementarias OK? Elaboración de análisis de riesgos ¿Certificación conforme a DS OK? Escribir procedimiento seguro Revisión a los dos años * Simplificado desde CCN-STIC-106 y CCN-STIC-102 SI SI
¿Un trámite burocrático? Número de productos evaluados por jtsec 14 Número de tests 448 Número de tests que fallan 55 (12%) Número de pentests 454 Número de pentests que fallan 72 (16%) Problemas de cumplimiento Vulnerabilidades 393 55 Tests realizados por jtsec Aprobados Con fallos 382 72 Pentests realizados por jtsec Aprobados Con fallos - Uso de mecanismos de cifrado o versiones de TLS no admitidas por CCN-STIC-807 - Identificación incorrecta de bibliotecas de terceros
Caso de éxito: Panda Security • Transición hacia segmentos medio y alto del mercado Corporativo. • Cronología: • 2010: primera evaluación de certificación CC. Desechado (coste, tiempo, esfuerzo). • 2016: segunda evaluación. Inicio del proceso. • Nov. 2016 - Abril 2018: • Contratación de asesoría externa. • Comienzo de pruebas de certificación. • Resolución de no conformidades. • Abril 2018 – Nov. 2019: • Consecución de la certificación. • Entrada en el catálogo. • Periodo de uso de la certificación. • Nov. 2019 – ahora: • Revisión. • Documentación de cambios y pruebas complementarias
Recomendaciones • General • Valor de la certificación − Necesidad de mercado. Mayor demanda de certificación en pliegos. − Necesidad de confianza y credibilidad. − Necesidad de mejora de la postura de seguridad. Oportunidad de mejora. • Para fabricantes: • Acompañarse de expertos. • Integrar la gestión del proyecto de certificación dentro del mismo equipo de diseño y ejecución de desarrollo del producto, no de forma separada. Integrar requerimientos dentro del propio backlog de desarrollo. • Mantener buena comunicación, estar atentos a cambios. • Para compradores y usuarios: • Priorizar/Demandar productos cualificados. • Para organismos: • Equilibro verificación-seguridad-velocidad. Los adversarios no se certifican. • Homologación europea de productos cualificados.
Muchas gracias.

Recomendados

LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...Javier Tallón
 
La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.Javier Tallón
 
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...Javier Tallón
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
 
Common Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguroCommon Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguroJavier Tallón
 
Presentación corporativa-iDric-2021
Presentación corporativa-iDric-2021Presentación corporativa-iDric-2021
Presentación corporativa-iDric-2021iDric Soluciones de TI y Seguridad Informática
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
Certificaciones Existentes para Tecnologías de medio físico
Certificaciones Existentes para Tecnologías de medio físicoCertificaciones Existentes para Tecnologías de medio físico
Certificaciones Existentes para Tecnologías de medio físicoJulioCesarApolinario
 

Recomendados

LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...Javier Tallón
 
La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.Javier Tallón
 
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...Javier Tallón
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
 
Common Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguroCommon Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguroJavier Tallón
 
Presentación corporativa-iDric-2021
Presentación corporativa-iDric-2021Presentación corporativa-iDric-2021
Presentación corporativa-iDric-2021iDric Soluciones de TI y Seguridad Informática
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
Certificaciones Existentes para Tecnologías de medio físico
Certificaciones Existentes para Tecnologías de medio físicoCertificaciones Existentes para Tecnologías de medio físico
Certificaciones Existentes para Tecnologías de medio físicoJulioCesarApolinario
 
Jtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-esJtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-esJTSEC Beyond IT Security
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?Javier Tallón
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...Ingeniería e Integración Avanzadas (Ingenia)
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...Javier Tallón
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Miguel A. Amutio
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ensMiguel A. Amutio
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidaduniv of pamplona
 
Opción de grado seminario de profundización en seguridad informática y audit...
Opción de grado seminario de profundización en seguridad informática y audit...Opción de grado seminario de profundización en seguridad informática y audit...
Opción de grado seminario de profundización en seguridad informática y audit...Tabodiaz
 
Orange book common criteria
Orange book common criteriaOrange book common criteria
Orange book common criteriaAlexander Velasque Rimac
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas RubioTecnimap
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2Angela Gutierrez Vilca
 
Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4arodri7703
 
Marco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxMarco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxAriadneJaen1
 
PCI DSS
PCI DSSPCI DSS
PCI DSSSIA Group
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...Ingeniería e Integración Avanzadas (Ingenia)
 
Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIJavier Tallón
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Javier Tallón
 

Más contenido relacionado

Similar a Cómo mantener tu producto en el catálogo CPSTIC

¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?Javier Tallón
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...Javier Tallón
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Miguel A. Amutio
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ensMiguel A. Amutio
 
2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidaduniv of pamplona
 
Opción de grado seminario de profundización en seguridad informática y audit...
Opción de grado seminario de profundización en seguridad informática y audit...Opción de grado seminario de profundización en seguridad informática y audit...
Opción de grado seminario de profundización en seguridad informática y audit...Tabodiaz
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas RubioTecnimap
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
 
Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4arodri7703
 
Marco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxMarco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxAriadneJaen1
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 

Similar a Cómo mantener tu producto en el catálogo CPSTIC (20)

Jtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-esJtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-es
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad2. presentacion acis calidad software basado en normas calidad
2. presentacion acis calidad software basado en normas calidad
 
Opción de grado seminario de profundización en seguridad informática y audit...
Opción de grado seminario de profundización en seguridad informática y audit...Opción de grado seminario de profundización en seguridad informática y audit...
Opción de grado seminario de profundización en seguridad informática y audit...
 
Orange book common criteria
Orange book common criteriaOrange book common criteria
Orange book common criteria
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
 
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2
 
Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4Mto3 gr14 compilacion_v4
Mto3 gr14 compilacion_v4
 
Marco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxMarco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptx
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
 

Más de Javier Tallón

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIJavier Tallón
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Javier Tallón
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?Javier Tallón
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNJavier Tallón
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and productsJavier Tallón
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxJavier Tallón
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfJavier Tallón
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaJavier Tallón
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...Javier Tallón
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896Javier Tallón
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesJavier Tallón
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045Javier Tallón
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Javier Tallón
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Javier Tallón
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2Javier Tallón
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...Javier Tallón
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria Javier Tallón
 
CCCAB - Making CABs life easy
CCCAB - Making CABs life easyCCCAB - Making CABs life easy
CCCAB - Making CABs life easyJavier Tallón
 
ICCC21 2021 statistics report
ICCC21 2021 statistics reportICCC21 2021 statistics report
ICCC21 2021 statistics reportJavier Tallón
 

Más de Javier Tallón (20)

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio II
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCN
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and products
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptx
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
 
Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdf
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación Criptográfica
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemes
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria
 
CCCAB - Making CABs life easy
CCCAB - Making CABs life easyCCCAB - Making CABs life easy
CCCAB - Making CABs life easy
 
ICCC21 2021 statistics report
ICCC21 2021 statistics reportICCC21 2021 statistics report
ICCC21 2021 statistics report
 

Último

12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 

Último (9)

12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 

Cómo mantener tu producto en el catálogo CPSTIC

  • 1. Cómo mantener tu producto en el catálogo CPSTIC
  • 2. Índice 1. Panda y jtsec, una relación cibersegura 2. Catálogo CPSTIC: definición, ventajas y acceso 3. Procedimiento de inclusión 4. ¿Un trámite burocrático? 5. Caso de éxito: Panda Security 6. Recomendaciones
  • 3. Panda y jtsec, una relación cibersegura Servicios Laboratorio acreditado evaluación LINCE Consultoría Common Criteria, FIPS 140-2 y PCI-PTS Hacking ético Valores Excelencia técnica Orientación al cliente Tiempo de comercialización  Javier Tallón:  Co-Foundador & Director técnico  Full-stack hacker wannabe  Experto en Common Criteria, PCI-PTS, FIPS 140-2, ISO 27K1, SOC2  Profesor de Ciberseguridad en la Universidad de Granada  Miembro del grupo de trabajo en certificación de producto de la Agencia de Ciberseguridad Europea (ENISA)
  • 4. Panda y jtsec, una relación cibersegura Servicios Soluciones de seguridad para endpoint. Mayor fabricante de software empaquetado en España. Recientemente adquirida por Watchguard Technologies. Transición hacia mercado corporativo, AA.PP y gran cuenta. Marca Cytomic.  Josu Franco:  Asesor en Estrategia y Tecnología
  • 5. Catálogo CPSTIC: definición, ventajas y acceso Art 18 Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad: “En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser empleados por las Administraciones públicas se utilizarán, de forma proporcionada a la categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del responsable de Seguridad.” Medidas Anexo 2: “Componentes certificados [op.pl.5]” Categoría ALTA Se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
  • 6. Catálogo CPSTIC: definición, ventajas y acceso - Metodología ligera - Sólo válida en España - Estándar sencillo orientado al análisis de vulnerabilidades y test de penetración - Duración y esfuerzo acotados - Más viable económicamente - Accesible a PYMEs - Su uso principal es la entrada en el catálogo. - Metodología pesada - Reconocida en 31 países - Distintos niveles de garantía - Versátil - Aplicable a todo tipo de productos - Dificultad técnica para cumplir/entender el estándar. - Mayor tiempo para su obtención - Mayor coste económico - Creada para grandes empresas o productos del sector defensa/banca Nivel medio – bajo ENS Nivel alto ENSSecurity Target
  • 7. Catálogo CPSTIC: definición, ventajas y acceso PROBLEMA: • Los responsables de los sistemas no saben cuáles son los productos certificados “reconocidos por el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información” • La declaración de seguridad la escribe el fabricante, así que podría darse el caso de que la certificación no incluya todas las funcionalidades de seguridad consideradas necesarias por el CCN para un determinado tipo de producto. • Hay que leerla para saber el alcance  hay que entender CC • Si el responsable de los sistemas de cada administración tiene que leerse todas las Declaraciones de Seguridad para una tipología de producto estamos escalando mal. Muy mal.
  • 8. Catálogo CPSTIC: definición, ventajas y acceso SOLUCIÓN: El catálogo de Productos de Seguridad TIC (CPSTIC) ofrece un listado de productos con unas garantías de seguridad contrastadas por el Centro Criptológico Nacional (ellos validan la ST). Este catálogo incluye los productos aprobados para manejar información nacional clasificada y los productos cualificados de seguridad TIC para uso en el ENS (CCN-STIC- 105). Actualmente existen 7 categorías y 47 familias en su taxonomía de referencia (CCN-STIC-140). Ventajas Fácil adquisición de productos ciberseguros Evaluados por parte de un tercero confiable Disponible para todo el mundo
  • 9. Catálogo CPSTIC: definición, ventajas y acceso 0 50 100 150 200 250 300 Número de productos cualificados por fecha 01/12/2017 01/06/2018 01/12/2018 01/06/2019 01/12/2019 01/06/2020 0 20 40 60 80 100 120 140 160 180 200 Seguridad en la Explotación Protección de las Comunicaciones Protección de la Información y los Soportes de la Información Monitorización de la seguridad Control de Acceso Protección de Equipos y Servicios Productos cualificados por categorías
  • 10. Procedimiento de inclusión Escribir procedimiento de empleo seguro NO Solicitud de cualificación de producto STIC Análisis de cualificación Nueva Declaración de Seguridad cubriendo RFS y riesgos detectados Producto NO cualificado ¿Posee certificación? ¿Cumple RFS y Análisis de Riesgos? NO SI SI NO SI SI NO NO ¿Supuesto excepcionalidad? ¿Pruebas complementarias OK? Elaboración de análisis de riesgos ¿Certificación conforme a DS OK? Escribir procedimiento seguro Revisión a los dos años * Simplificado desde CCN-STIC-106 y CCN-STIC-102 SI SI
  • 11. ¿Un trámite burocrático? Número de productos evaluados por jtsec 14 Número de tests 448 Número de tests que fallan 55 (12%) Número de pentests 454 Número de pentests que fallan 72 (16%) Problemas de cumplimiento Vulnerabilidades 393 55 Tests realizados por jtsec Aprobados Con fallos 382 72 Pentests realizados por jtsec Aprobados Con fallos - Uso de mecanismos de cifrado o versiones de TLS no admitidas por CCN-STIC-807 - Identificación incorrecta de bibliotecas de terceros
  • 12. Caso de éxito: Panda Security • Transición hacia segmentos medio y alto del mercado Corporativo. • Cronología: • 2010: primera evaluación de certificación CC. Desechado (coste, tiempo, esfuerzo). • 2016: segunda evaluación. Inicio del proceso. • Nov. 2016 - Abril 2018: • Contratación de asesoría externa. • Comienzo de pruebas de certificación. • Resolución de no conformidades. • Abril 2018 – Nov. 2019: • Consecución de la certificación. • Entrada en el catálogo. • Periodo de uso de la certificación. • Nov. 2019 – ahora: • Revisión. • Documentación de cambios y pruebas complementarias
  • 13. Recomendaciones • General • Valor de la certificación − Necesidad de mercado. Mayor demanda de certificación en pliegos. − Necesidad de confianza y credibilidad. − Necesidad de mejora de la postura de seguridad. Oportunidad de mejora. • Para fabricantes: • Acompañarse de expertos. • Integrar la gestión del proyecto de certificación dentro del mismo equipo de diseño y ejecución de desarrollo del producto, no de forma separada. Integrar requerimientos dentro del propio backlog de desarrollo. • Mantener buena comunicación, estar atentos a cambios. • Para compradores y usuarios: • Priorizar/Demandar productos cualificados. • Para organismos: • Equilibro verificación-seguridad-velocidad. Los adversarios no se certifican. • Homologación europea de productos cualificados.