SlideShare una empresa de Scribd logo

La certificación de ciberseguridad en Europa, un desafío común.

Javier Tallón
Javier Tallón

Europa es una potencia mundial en cuanto a certificaciones de ciberseguridad se refiere, por eso existen iniciativas y planes de desarrollo comunes impulsados por la Unión Europea para crear marcos y certificaciones comunes en los próximos años.

Tecnología
1 de 30
Descargar para leer sin conexión
#XIVJORNADASCCNCERT “La certificación de ciberseguridad en Europa, un desafío común”
Foto ponente Javier Tallón Guerri jtsec: Beyond IT Security jtallon@jtsec.es  Ingeniero en Informática (Universidad de Granada)  Co-Fundador & Director Técnico en jtsec Beyond IT Security S.L.  Full-stack hacker wannabe  Experto en Common Criteria, Lince, PCI-PTS, FIPS 140-2, ISO 27K1, SOC2  Profesor del Máster de Ciberseguridad en la Universidad de Granada  Miembros del grupo de trabajo Ad-hoc SOG-IS en la Agencia Europea de Ciberseguridad ENISA y del SCCG (Stakeholders Cybersecurity Certification Group)  Colaboramos en diversos foros de estandarización como ISO o CEN/CENELEC
La certificación de ciberseguridad en Europa, un desafío común Antecedentes
Antecedentes La certificación de ciberseguridad en Europa, un desafío común • La evaluación y certificación de un producto de seguridad TIC es el único medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información de forma segura. • En España, esta responsabilidad está asignada al Centro Criptológico Nacional (CCN) desde su creación a través del RD 421/2004 de 12 de Marzo • Certificación Funcional • Certificación Criptológica • Certificación TEMPEST • Este Organismo de Certificación (OC), en lo relativo a la certificación funcional de la seguridad de las TI, se articula mediante el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, aprobado por Orden PRE/2740/2007, de 19 de septiembre.
Antecedentes La certificación de ciberseguridad en Europa, un desafío común • Desde entonces forma parte del acuerdo de reconocimiento mutuo CCRA para la norma Common Criteria • En 2010 es uno de los 8 primeros países que firma el acuerdo de reconocimiento mutuo europeo SOG-IS para Common Criteria. Hoy son 17. • En 2018 crea LINCE, la cuarta metodología de evaluación europea de esfuerzo acotado. Hoy ya es la que más certificados de este tipo ha emitido en Europa. • En la actualidad 8 laboratorios acreditados.
Antecedentes La certificación de ciberseguridad en Europa, un desafío común 2020 6º país en el mundo
Antecedentes La certificación de ciberseguridad en Europa, un desafío común • Por sus números, España ya es una potencia mundial en certificación de ciberseguridad. • Si además comparamos con el PIB del país, el resultado es aun más meritorio. • Si añadimos que el OC español está formado por un equipo de certificadores MUY inferior al de otros países, definitivamente estamos ante algo heroico.
Antecedentes La certificación de ciberseguridad en Europa, un desafío común
Antecedentes La certificación de ciberseguridad en Europa, un desafío común • enisa como Agencia Europea de Ciberseguridad • Creación de un marco europeo de certificación • Incrementar la ciberseguridad dentro de la Unión Europea • Emitir certificados de ciberseguridad reconocidos en toda Europa • Mejorar las condiciones del mercado interno • La UE es importador neto en ciberseguridad, mientras que sus principales competidores, Estados Unidos, China, India y Japón, son exportadores netos. • Incrementar la competitividad y crecimiento de las compañías europeas • Estándares de Ciberseguridad de calidad • Minimizar el coste de las certificaciones Productos Procesos Sistemas
Antecedentes La certificación de ciberseguridad en Europa, un desafío común … Automotive Industrial 5G Payment … … ICT Products Development processes HORIZONTALES VERTICALES
Antecedentes La certificación de ciberseguridad en Europa, un desafío común National Accreditation Body (NAB) National Cybersecurity Certification Authority (NCCA) Conformity Assessment Body (CAB) Acredita Acredita Autoriza Evalúa Supervisa Nivel de garantía: Alto Esquema de certificación Proceso de evaluación Requisitos ciberseg. Aplica De conformidad con Estándares europeos o internacionales Según Emite, monitoriza y supervisa
Antecedentes La certificación de ciberseguridad en Europa, un desafío común National Accreditation Body (NAB) National Cybersecurity Certification Authority (NCCA) Conformity Assessment Body (CAB) Acredita Acredita Autoriza Evalúa Supervisa Nivel de garantía: Substancial Esquema de certificación Proceso de evaluación Requisitos ciberseg. Aplica De conformidad con Estándares europeos o internacionales Según
Antecedentes La certificación de ciberseguridad en Europa, un desafío común National Cybersecurity Certification Authority (NCCA) Fabricante Audita Nivel de garantía: Básico Esquema de certificación Proceso de evaluación Requisitos ciberseg. Aplica De conformidad con Estándares europeos o internacionales Según Monitoriza y supervisa
Antecedentes La certificación de ciberseguridad en Europa, un desafío común Nivel ¿Qué se prueba? Objetivo Tipo de evaluación minima ¿Quién hace las pruebas? ¿Quién emite el certificado? High Cumplimiento y robustez Preservar la soberanía, proteger al ciudadano y a la industria de organizaciones criminales Pruebas de penetración Ataques State-of-the art CAB-ITSEF NCCA Substantial Cumplimiento y robustez Prevenir ataques escalables en dispositivos de coste medio/alto Ausencia de vulnerabilidades públicas Pruebas de conformidad CAB-ITSEF CAB-CB Basic Cumplimiento Prevenir ataques masivos en dispositivos de bajo coste Revisión de documentación técnica CAB-ITSEF CAB-CB Auto-evaluación Fabricante N/A. Declaración de conformidad
Antecedentes La certificación de ciberseguridad en Europa, un desafío común Obligaciones para los fabricantes • Repositorio de vulnerabilidades públicas y dirección de contacto • Periodo de soporte: durante cuanto tiempo se espera proveer parches. • Notificar dependencias Gestión de no conformidades • E.g. Uso ilegítimo del certificado, no proporcionar parches de manera efectiva • ¡Responsabilidad legal! Potenciales multas a fabricantes o CABs Monitorización del cumplimiento • Análisis del panorama de amenazas • Potencialmente repetir evaluaciones La certificación sigue siendo voluntaria… hasta que se indique lo contrario. • Prevista revisión por la Comisión Europea en 2023
La certificación de ciberseguridad en Europa, un desafío común Estado Actual
Estado actual La certificación de ciberseguridad en Europa, un desafío común • EUCC • Esquema de certificación de productos para niveles substancial y alto • Trasposición del SOG-IS: Good old Common Criteria • Primera versión ya sometida a consulta pública • Al Adhoc Working Group sigue activo para resolver • Q2 2021 Implementing Act • Novedades • Patch Management • Critical Update Flow • ISO/IEC 15408 & ISO/IEC 18045 • Periodo de transición de entre 1 y 2 años • Mayor colaboración fabricante - laboratorio
Estado actual La certificación de ciberseguridad en Europa, un desafío común • Servicios Cloud • Esquema de certificación de servicios para niveles básico, substancial y alto • No self-assessment • Se lanza Adhoc WG en Marzo de 2020 • Parte del trabajo de CSPCert • Usa el lenguaje de ISO/IEC 17788 (Infraestructura / plataforma / aplicación) • Metodología similar a ISO270xx / ISAE. Controles similares a los de C5 del BSI. • Considera el uso de “Complementary User Entity Controls” • Se espera primera versión del esquema candidato para final de año • Afectará a todos los proveedores de servicios cloud
La certificación de ciberseguridad en Europa, un desafío común Futuro
Futuro La certificación de ciberseguridad en Europa, un desafío común • Prioridades estratégicas • Estandarización • Seguridad por diseño, seguridad del ciclo de vida y seguridad por defecto • Garantía basada en riesgos • Coherencia, “componibilidad” • Cooperación internacional
Futuro La certificación de ciberseguridad en Europa, un desafío común • Nuevos esquemas • Componentes Industriales (IACS) • Los sistemas de control industrial son construidos como la integración de múltiples y dispares componentes hardware/software • Asegurar IACS asegurando sus componentes • Hay una propuesta de ERNCIP (European Reference Network for Critical Infrastructure Protection), dependiente de la Comisión Europea • Potenciales metodologías: IEC 62443 & Lightweight (e.g. Lince) • Contempla self-assessment • IoT • ¿Qué es IoT? • Depende del uso  Esquema genérico • Potenciales metodologías: ETSI EN 303 645 • + 5G • Servicios críticos dependerán del 5G • Contemplado desde la publicación de la EU Toolbox • Potenciales metodologías: GSMA NESAS, Common Criteria
Futuro La certificación de ciberseguridad en Europa, un desafío común • Potenciales nuevos esquemas FITCEM BSZ
La certificación de ciberseguridad en Europa, un desafío común Conclusiones
• Ciudadanos • Gracias al CSA la mejora en la ciberseguridad para todos será evidente • El ciudadano está en el centro de las políticas europeas de ciberseguridad. Europa lo hace por ti. Conclusiones La certificación de ciberseguridad en Europa, un desafío común
• Fabricantes / Proveedores • Momento de oportunidad para mejorar la competitividad con respecto a las empresas extranjeras • Hay que ponerse las pilas y estar preparados • Riesgo! Nuevos players europeos Conclusiones La certificación de ciberseguridad en Europa, un desafío común
• Administración española • Responsabilidades de la NCCA: • Controlar la conformidad de todos los certificados • Controlar el cumplimiento de las obligaciones de fabricantes y proveedores • Apoyar a las entidades de acreditación • Autorizar y auditar a los CABs • Tramitar las reclamaciones a los certificados • Imponer sanciones • Cooperar con otras NCCAs intercambiando información • Estar al día del panorama de la ciberseguridad • Sin inversión gubernamental YA para dotar a la NCCA de los recursos necesarios la posibilidad de que perdamos el tren de la competitividad es REAL Conclusiones La certificación de ciberseguridad en Europa, un desafío común
CSA, Artículo 58.5 “Los Estados miembros velarán por que las autoridades nacionales de certificación de la ciberseguridad dispongan de los recursos adecuados para ejercer sus competencias y llevar a cabo, de manera eficaz y eficiente, las tareas que tienen encomendadas.” Conclusiones La certificación de ciberseguridad en Europa, un desafío común
Contacto La certificación de ciberseguridad en Europa, un desafío común “Cualquier loco puede realizar algo complicado. Se necesita un genio para hacerlo simple.” Woody Guthrie
MUCHAS GRACIAS

Recomendados

III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...Javier Tallón
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...Javier Tallón
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Javier Tallón
 
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...Javier Tallón
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
 
Por qué las grandes empresas eligen ESET
Por qué las grandes empresas eligen ESETPor qué las grandes empresas eligen ESET
Por qué las grandes empresas eligen ESETESET Latinoamérica
 
Eset brochure-10razones-interactiva-2020
Eset brochure-10razones-interactiva-2020Eset brochure-10razones-interactiva-2020
Eset brochure-10razones-interactiva-2020ESET Latinoamérica
 

Recomendados

III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...Javier Tallón
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...Javier Tallón
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Javier Tallón
 
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...Javier Tallón
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
 
Por qué las grandes empresas eligen ESET
Por qué las grandes empresas eligen ESETPor qué las grandes empresas eligen ESET
Por qué las grandes empresas eligen ESETESET Latinoamérica
 
Eset brochure-10razones-interactiva-2020
Eset brochure-10razones-interactiva-2020Eset brochure-10razones-interactiva-2020
Eset brochure-10razones-interactiva-2020ESET Latinoamérica
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?Javier Tallón
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneMiguel A. Amutio
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
 
El Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadMiguel A. Amutio
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasMiguel A. Amutio
 
Módulo 1 Presentación Ciberseguridad Avanzada.pdf
Módulo 1 Presentación Ciberseguridad Avanzada.pdfMódulo 1 Presentación Ciberseguridad Avanzada.pdf
Módulo 1 Presentación Ciberseguridad Avanzada.pdfGeorg56
 
Seguridad Gestionada
Seguridad GestionadaSeguridad Gestionada
Seguridad Gestionadacomissioosi
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...Ingeniería e Integración Avanzadas (Ingenia)
 
Articulo pandemia y auditorias remotas (1)
Articulo pandemia y auditorias remotas (1)Articulo pandemia y auditorias remotas (1)
Articulo pandemia y auditorias remotas (1)Hector Gerardo Perozo Flores
 
Svt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de ServiciosSvt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de ServiciosJosep Bardallo
 
Formación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileFormación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileClaudio Álvarez Gómez
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
Módulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzadaMódulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzadaInstituto Nacional de Administración Pública
 
Sesión N°1- Introducción a los controles.pdf
Sesión N°1- Introducción a los controles.pdfSesión N°1- Introducción a los controles.pdf
Sesión N°1- Introducción a los controles.pdfssuseracefab
 
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministrosNorma iso 28000 sistema de gestion de seguridad de la cadena de suministros
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministrosPrimala Sistema de Gestion
 
Presentacion de Nextel S.A.
Presentacion de Nextel S.A.Presentacion de Nextel S.A.
Presentacion de Nextel S.A.Nextel S.A.
 
20150423 Jornada_Col Abogados
20150423 Jornada_Col Abogados20150423 Jornada_Col Abogados
20150423 Jornada_Col AbogadosAntonio Ramos
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...Primala Sistema de Gestion
 
Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIJavier Tallón
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Javier Tallón
 

Más contenido relacionado

Similar a La certificación de ciberseguridad en Europa, un desafío común.

¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?Javier Tallón
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneMiguel A. Amutio
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
 
El Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadMiguel A. Amutio
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasMiguel A. Amutio
 
Módulo 1 Presentación Ciberseguridad Avanzada.pdf
Módulo 1 Presentación Ciberseguridad Avanzada.pdfMódulo 1 Presentación Ciberseguridad Avanzada.pdf
Módulo 1 Presentación Ciberseguridad Avanzada.pdfGeorg56
 
Seguridad Gestionada
Seguridad GestionadaSeguridad Gestionada
Seguridad Gestionadacomissioosi
 
Svt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de ServiciosSvt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de ServiciosJosep Bardallo
 
Formación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileFormación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileClaudio Álvarez Gómez
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubisZink Security
 
Sesión N°1- Introducción a los controles.pdf
Sesión N°1- Introducción a los controles.pdfSesión N°1- Introducción a los controles.pdf
Sesión N°1- Introducción a los controles.pdfssuseracefab
 
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministrosNorma iso 28000 sistema de gestion de seguridad de la cadena de suministros
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministrosPrimala Sistema de Gestion
 
Presentacion de Nextel S.A.
Presentacion de Nextel S.A.Presentacion de Nextel S.A.
Presentacion de Nextel S.A.Nextel S.A.
 
20150423 Jornada_Col Abogados
20150423 Jornada_Col Abogados20150423 Jornada_Col Abogados
20150423 Jornada_Col AbogadosAntonio Ramos
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasguesta3f6ce
 
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...Primala Sistema de Gestion
 

Similar a La certificación de ciberseguridad en Europa, un desafío común. (20)

¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que viene
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
 
El Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en Ciberseguridad
 
V Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
 
Módulo 1 Presentación Ciberseguridad Avanzada.pdf
Módulo 1 Presentación Ciberseguridad Avanzada.pdfMódulo 1 Presentación Ciberseguridad Avanzada.pdf
Módulo 1 Presentación Ciberseguridad Avanzada.pdf
 
Seguridad Gestionada
Seguridad GestionadaSeguridad Gestionada
Seguridad Gestionada
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
 
Articulo pandemia y auditorias remotas (1)
Articulo pandemia y auditorias remotas (1)Articulo pandemia y auditorias remotas (1)
Articulo pandemia y auditorias remotas (1)
 
Svt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de ServiciosSvt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de Servicios
 
Formación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en ChileFormación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en Chile
 
Presentación de anubis
Presentación de anubisPresentación de anubis
Presentación de anubis
 
Módulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzadaMódulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzada
 
Sesión N°1- Introducción a los controles.pdf
Sesión N°1- Introducción a los controles.pdfSesión N°1- Introducción a los controles.pdf
Sesión N°1- Introducción a los controles.pdf
 
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministrosNorma iso 28000 sistema de gestion de seguridad de la cadena de suministros
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros
 
Presentacion de Nextel S.A.
Presentacion de Nextel S.A.Presentacion de Nextel S.A.
Presentacion de Nextel S.A.
 
20150423 Jornada_Col Abogados
20150423 Jornada_Col Abogados20150423 Jornada_Col Abogados
20150423 Jornada_Col Abogados
 
Presentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
 
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
 

Más de Javier Tallón

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIJavier Tallón
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Javier Tallón
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?Javier Tallón
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNJavier Tallón
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and productsJavier Tallón
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxJavier Tallón
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfJavier Tallón
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaJavier Tallón
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...Javier Tallón
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896Javier Tallón
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesJavier Tallón
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045Javier Tallón
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Javier Tallón
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Javier Tallón
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2Javier Tallón
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...Javier Tallón
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria Javier Tallón
 
CCCAB - Making CABs life easy
CCCAB - Making CABs life easyCCCAB - Making CABs life easy
CCCAB - Making CABs life easyJavier Tallón
 
ICCC21 2021 statistics report
ICCC21 2021 statistics reportICCC21 2021 statistics report
ICCC21 2021 statistics reportJavier Tallón
 

Más de Javier Tallón (20)

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio II
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCN
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and products
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptx
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
 
Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdf
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación Criptográfica
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemes
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria
 
CCCAB - Making CABs life easy
CCCAB - Making CABs life easyCCCAB - Making CABs life easy
CCCAB - Making CABs life easy
 
ICCC21 2021 statistics report
ICCC21 2021 statistics reportICCC21 2021 statistics report
ICCC21 2021 statistics report
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 

Último (13)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 

La certificación de ciberseguridad en Europa, un desafío común.

  • 2. Foto ponente Javier Tallón Guerri jtsec: Beyond IT Security jtallon@jtsec.es  Ingeniero en Informática (Universidad de Granada)  Co-Fundador & Director Técnico en jtsec Beyond IT Security S.L.  Full-stack hacker wannabe  Experto en Common Criteria, Lince, PCI-PTS, FIPS 140-2, ISO 27K1, SOC2  Profesor del Máster de Ciberseguridad en la Universidad de Granada  Miembros del grupo de trabajo Ad-hoc SOG-IS en la Agencia Europea de Ciberseguridad ENISA y del SCCG (Stakeholders Cybersecurity Certification Group)  Colaboramos en diversos foros de estandarización como ISO o CEN/CENELEC
  • 3. La certificación de ciberseguridad en Europa, un desafío común Antecedentes
  • 4. Antecedentes La certificación de ciberseguridad en Europa, un desafío común • La evaluación y certificación de un producto de seguridad TIC es el único medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información de forma segura. • En España, esta responsabilidad está asignada al Centro Criptológico Nacional (CCN) desde su creación a través del RD 421/2004 de 12 de Marzo • Certificación Funcional • Certificación Criptológica • Certificación TEMPEST • Este Organismo de Certificación (OC), en lo relativo a la certificación funcional de la seguridad de las TI, se articula mediante el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, aprobado por Orden PRE/2740/2007, de 19 de septiembre.
  • 5. Antecedentes La certificación de ciberseguridad en Europa, un desafío común • Desde entonces forma parte del acuerdo de reconocimiento mutuo CCRA para la norma Common Criteria • En 2010 es uno de los 8 primeros países que firma el acuerdo de reconocimiento mutuo europeo SOG-IS para Common Criteria. Hoy son 17. • En 2018 crea LINCE, la cuarta metodología de evaluación europea de esfuerzo acotado. Hoy ya es la que más certificados de este tipo ha emitido en Europa. • En la actualidad 8 laboratorios acreditados.
  • 6. Antecedentes La certificación de ciberseguridad en Europa, un desafío común 2020 6º país en el mundo
  • 7. Antecedentes La certificación de ciberseguridad en Europa, un desafío común • Por sus números, España ya es una potencia mundial en certificación de ciberseguridad. • Si además comparamos con el PIB del país, el resultado es aun más meritorio. • Si añadimos que el OC español está formado por un equipo de certificadores MUY inferior al de otros países, definitivamente estamos ante algo heroico.
  • 8. Antecedentes La certificación de ciberseguridad en Europa, un desafío común
  • 9. Antecedentes La certificación de ciberseguridad en Europa, un desafío común • enisa como Agencia Europea de Ciberseguridad • Creación de un marco europeo de certificación • Incrementar la ciberseguridad dentro de la Unión Europea • Emitir certificados de ciberseguridad reconocidos en toda Europa • Mejorar las condiciones del mercado interno • La UE es importador neto en ciberseguridad, mientras que sus principales competidores, Estados Unidos, China, India y Japón, son exportadores netos. • Incrementar la competitividad y crecimiento de las compañías europeas • Estándares de Ciberseguridad de calidad • Minimizar el coste de las certificaciones Productos Procesos Sistemas
  • 10. Antecedentes La certificación de ciberseguridad en Europa, un desafío común … Automotive Industrial 5G Payment … … ICT Products Development processes HORIZONTALES VERTICALES
  • 11. Antecedentes La certificación de ciberseguridad en Europa, un desafío común National Accreditation Body (NAB) National Cybersecurity Certification Authority (NCCA) Conformity Assessment Body (CAB) Acredita Acredita Autoriza Evalúa Supervisa Nivel de garantía: Alto Esquema de certificación Proceso de evaluación Requisitos ciberseg. Aplica De conformidad con Estándares europeos o internacionales Según Emite, monitoriza y supervisa
  • 12. Antecedentes La certificación de ciberseguridad en Europa, un desafío común National Accreditation Body (NAB) National Cybersecurity Certification Authority (NCCA) Conformity Assessment Body (CAB) Acredita Acredita Autoriza Evalúa Supervisa Nivel de garantía: Substancial Esquema de certificación Proceso de evaluación Requisitos ciberseg. Aplica De conformidad con Estándares europeos o internacionales Según
  • 13. Antecedentes La certificación de ciberseguridad en Europa, un desafío común National Cybersecurity Certification Authority (NCCA) Fabricante Audita Nivel de garantía: Básico Esquema de certificación Proceso de evaluación Requisitos ciberseg. Aplica De conformidad con Estándares europeos o internacionales Según Monitoriza y supervisa
  • 14. Antecedentes La certificación de ciberseguridad en Europa, un desafío común Nivel ¿Qué se prueba? Objetivo Tipo de evaluación minima ¿Quién hace las pruebas? ¿Quién emite el certificado? High Cumplimiento y robustez Preservar la soberanía, proteger al ciudadano y a la industria de organizaciones criminales Pruebas de penetración Ataques State-of-the art CAB-ITSEF NCCA Substantial Cumplimiento y robustez Prevenir ataques escalables en dispositivos de coste medio/alto Ausencia de vulnerabilidades públicas Pruebas de conformidad CAB-ITSEF CAB-CB Basic Cumplimiento Prevenir ataques masivos en dispositivos de bajo coste Revisión de documentación técnica CAB-ITSEF CAB-CB Auto-evaluación Fabricante N/A. Declaración de conformidad
  • 15. Antecedentes La certificación de ciberseguridad en Europa, un desafío común Obligaciones para los fabricantes • Repositorio de vulnerabilidades públicas y dirección de contacto • Periodo de soporte: durante cuanto tiempo se espera proveer parches. • Notificar dependencias Gestión de no conformidades • E.g. Uso ilegítimo del certificado, no proporcionar parches de manera efectiva • ¡Responsabilidad legal! Potenciales multas a fabricantes o CABs Monitorización del cumplimiento • Análisis del panorama de amenazas • Potencialmente repetir evaluaciones La certificación sigue siendo voluntaria… hasta que se indique lo contrario. • Prevista revisión por la Comisión Europea en 2023
  • 16. La certificación de ciberseguridad en Europa, un desafío común Estado Actual
  • 17.
  • 18. Estado actual La certificación de ciberseguridad en Europa, un desafío común • EUCC • Esquema de certificación de productos para niveles substancial y alto • Trasposición del SOG-IS: Good old Common Criteria • Primera versión ya sometida a consulta pública • Al Adhoc Working Group sigue activo para resolver • Q2 2021 Implementing Act • Novedades • Patch Management • Critical Update Flow • ISO/IEC 15408 & ISO/IEC 18045 • Periodo de transición de entre 1 y 2 años • Mayor colaboración fabricante - laboratorio
  • 19. Estado actual La certificación de ciberseguridad en Europa, un desafío común • Servicios Cloud • Esquema de certificación de servicios para niveles básico, substancial y alto • No self-assessment • Se lanza Adhoc WG en Marzo de 2020 • Parte del trabajo de CSPCert • Usa el lenguaje de ISO/IEC 17788 (Infraestructura / plataforma / aplicación) • Metodología similar a ISO270xx / ISAE. Controles similares a los de C5 del BSI. • Considera el uso de “Complementary User Entity Controls” • Se espera primera versión del esquema candidato para final de año • Afectará a todos los proveedores de servicios cloud
  • 20. La certificación de ciberseguridad en Europa, un desafío común Futuro
  • 21. Futuro La certificación de ciberseguridad en Europa, un desafío común • Prioridades estratégicas • Estandarización • Seguridad por diseño, seguridad del ciclo de vida y seguridad por defecto • Garantía basada en riesgos • Coherencia, “componibilidad” • Cooperación internacional
  • 22. Futuro La certificación de ciberseguridad en Europa, un desafío común • Nuevos esquemas • Componentes Industriales (IACS) • Los sistemas de control industrial son construidos como la integración de múltiples y dispares componentes hardware/software • Asegurar IACS asegurando sus componentes • Hay una propuesta de ERNCIP (European Reference Network for Critical Infrastructure Protection), dependiente de la Comisión Europea • Potenciales metodologías: IEC 62443 & Lightweight (e.g. Lince) • Contempla self-assessment • IoT • ¿Qué es IoT? • Depende del uso  Esquema genérico • Potenciales metodologías: ETSI EN 303 645 • + 5G • Servicios críticos dependerán del 5G • Contemplado desde la publicación de la EU Toolbox • Potenciales metodologías: GSMA NESAS, Common Criteria
  • 23. Futuro La certificación de ciberseguridad en Europa, un desafío común • Potenciales nuevos esquemas FITCEM BSZ
  • 24. La certificación de ciberseguridad en Europa, un desafío común Conclusiones
  • 25. • Ciudadanos • Gracias al CSA la mejora en la ciberseguridad para todos será evidente • El ciudadano está en el centro de las políticas europeas de ciberseguridad. Europa lo hace por ti. Conclusiones La certificación de ciberseguridad en Europa, un desafío común
  • 26. • Fabricantes / Proveedores • Momento de oportunidad para mejorar la competitividad con respecto a las empresas extranjeras • Hay que ponerse las pilas y estar preparados • Riesgo! Nuevos players europeos Conclusiones La certificación de ciberseguridad en Europa, un desafío común
  • 27. • Administración española • Responsabilidades de la NCCA: • Controlar la conformidad de todos los certificados • Controlar el cumplimiento de las obligaciones de fabricantes y proveedores • Apoyar a las entidades de acreditación • Autorizar y auditar a los CABs • Tramitar las reclamaciones a los certificados • Imponer sanciones • Cooperar con otras NCCAs intercambiando información • Estar al día del panorama de la ciberseguridad • Sin inversión gubernamental YA para dotar a la NCCA de los recursos necesarios la posibilidad de que perdamos el tren de la competitividad es REAL Conclusiones La certificación de ciberseguridad en Europa, un desafío común
  • 28. CSA, Artículo 58.5 “Los Estados miembros velarán por que las autoridades nacionales de certificación de la ciberseguridad dispongan de los recursos adecuados para ejercer sus competencias y llevar a cabo, de manera eficaz y eficiente, las tareas que tienen encomendadas.” Conclusiones La certificación de ciberseguridad en Europa, un desafío común
  • 29. Contacto La certificación de ciberseguridad en Europa, un desafío común “Cualquier loco puede realizar algo complicado. Se necesita un genio para hacerlo simple.” Woody Guthrie