SlideShare una empresa de Scribd logo
La ventaja de implementar
una solución de
ciberseguridad certificada por
el CCN y cumplir el Esquema
Nacional de Seguridad
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
2
José Ruiz Gualda
jtsec Beyond IT Security
• Ingeniero en Informática (Universidad de
Granada)
• Experto en Common Criteria, LINCE y FIPS
140-2 & FIPS 140-3
• Miembro del SCCG (Stakeholder Cybersecurity
Certification Group) en la Comisión Europea
• Secretario del SC3 en CTN320
• Editor de LINCE como norma UNE
• Editor en JTC13 WG3 de la Metodología
FITCEM
• Editor en el grupo ERNCIP “Certificación de
Ciberseguridad IACS” de la Comisión Europea.
jruiz@jtsec.es
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
3
jtsec Beyond IT Security
• Laboratorio de Ciberseguridad ofreciendo
servicios de auditoria, evaluación y
consultoría.
• Primer laboratorio LINCE acreditado por CCN.
• jtsec ha sido premiado con los “Premios SIC
2019” por su contribución con el desarrollo de
la metodología LINCE.
• Desarrolladores de una herramienta única en
el mercado para la evaluación LINCE,
LinceToolBox.
• Ponentes en diferentes eventos del sector
como ICCC, ICMC, Jornadas CCN-CERT,
EUCA, ENISE, Encuentros UNE…)
• Participantes activos en grupos y actividades
de estandarización (CEN/CENELEC, ISCI
WGs,ENISA CSA WGs, CCUF, CMUF, ERNCIP)
• Sede en Granada.
INDICE
1. Introducción al Centro Criptológico Nacional (CCN)
y el Esquema Nacional de Seguridad (ENS).
2. ¿Qué es el CCN-STIC 105 Catálogo de Productos y
Servicios de Seguridad de las Tecnologías de la
Información y la Comunicación (CPSTIC)?
3. Los beneficios de la certificación por el CCN y el
cumplimiento del ENS para tu organización.
INDICE
1. Introducción al Centro Criptológico Nacional (CCN)
y el Esquema Nacional de Seguridad (ENS).
2. ¿Qué es el CCN-STIC 105 Catálogo de Productos y
Servicios de Seguridad de las Tecnologías de la
Información y la Comunicación (CPSTIC)?
3. Los beneficios de la certificación por el CCN y el
cumplimiento del ENS para tu organización.
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
6
¿Qué es el CCN?
El Centro Criptológico Nacional (CCN) es el Organismo responsable de
coordinar la acción de los diferentes organismos de la Administración que
utilicen medios o procedimientos de cifra, garantizar la seguridad de las
Tecnologías de la Información en ese ámbito, informar sobre la adquisición
coordinada del material criptológico y formar al personal de la Administración
especialista en este campo.
El CCN se encuentra dividido en varios departamentos, siendo el CCN-PYTEC
el encargado de gestionar el catálogo de producto ciberseguros CPSTIC /CCN
STIC-105.
“El Departamento de Productos y Tecnologías del CCN, PYTEC, desempeña las siguientes funciones:
✓ Promoción y desarrollo de productos de cifra y seguridad TIC: su objetivo es garantizar que los
productos utilizados por la Administración cumplan con los niveles de seguridad exigidos.
✓ Evaluación y certificación: La evaluación y certificación de productos de seguridad TIC son el único
medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información
segura.
✓ Seguridad Productos TIC: el CCN elabora un Catálogo de Productos STIC en el que ofrece un listado de
productos de seguridad TIC con unas garantías de seguridad contrastadas por el propio CCN.
¿Qué es el CCN-PYTEC?
Introducciónal Centro CriptológicoNacional (CCN)y el Esquema Nacional de
Seguridad(ENS).
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
7
Contribución CCN a la ciberseguridad en España
Desarrollo de dos Estrategias de Ciberseguridad Nacional (2013 y 2019), la
implantación del Esquema Nacional de Seguridad (ENS), la creación del
CERT Gubernamental Nacional (CCN-CERT) y la puesta en marcha del
catálogo CPSTIC.
Además ha colaborado en la gestión de los ciberataques en el sector público
y en empresas y organizaciones de interés estratégico. El empleo y promoción
de productos y tecnologías de la seguridad, así como la formación de
personal experto, la aplicación de políticas y procedimientos, son algunas de
las aportaciones más importantes de dicho Organismo.
El compromiso de CCN con la sociedad española en el ámbito de la formación y sensibilización de la
ciberseguridad se refleja en su amplio programa de cursos formativos y diversas formas de divulgación
que recopilan los principales consejos que pueden darse a la hora de concienciar y facilitar el uso seguro
de las TIC. Dichos cursos están dirigidos al sector privado, al público y a los individuos particulares.
Tal es el éxito que en 2018 se creó una plataforma llamada Atenea Escuela para fomentar el uso seguro
y conocimiento de las TIC.
El CCN y su compromiso con la formación y sensibilización en ciberseguridad
Introducciónal Centro CriptológicoNacional (CCN)y el Esquema Nacional de
Seguridad(ENS).
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
8
Introducciónal Centro CriptológicoNacional (CCN)y el Esquema Nacional de
Seguridad(ENS).
¿Qué es el ENS?
El Esquema Nacional de Seguridad, de aplicación a todo el Sector Público, así como a los proveedores que colaboran con la
Administración, ofrece un marco común de principios básicos, requisitos y medidas de seguridad para una protección adecuada de la
información tratada y los servicios prestados, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la
autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que
gestionen en el ejercicio de sus competencias. Desde su primer desarrollo en 2010 está en constante evolución con modificaciones
notables en 2015 y su última actualización en 2022 (Real Decreto 311/2022).
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
9
Introducciónal Centro CriptológicoNacional (CCN)y el Esquema Nacional de
Seguridad(ENS).
Extracto Real Decreto 311/2022
Según el ENS, y citando textualmente un extracto del punto 4.1.5 de la mencionada legislación:
«Se utilizará el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la
Información y Comunicación (CPSTIC) del CCN, para seleccionar los productos o servicios
suministrados por un tercero que formen parte de la arquitectura de seguridad del sistema y
aquellos que se referencien expresamente en las medidas de este real decreto».
Conclusión
Se puede concluir del extracto que es obligatorio contar con una cualificación de ciberseguridad para los
productos TIC. Además, cumplir con la normativa es uno de los criterios de selección que utiliza el
sistema dinámico de adquisición en la Administración Pública.
INDICE
1. Introducción al Centro Criptológico Nacional (CCN)
y el Esquema Nacional de Seguridad (ENS).
2. ¿Qué es el CCN-STIC 105 Catálogo de Productos y
Servicios de Seguridad de las Tecnologías de la
Información y la Comunicación (CPSTIC)?
3. Los beneficios de la certificación por el CCN y el
cumplimiento del ENS para tu organización..
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
11
¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías
de la Información y la Comunicación(CPSTIC)?
El catálogo de productos ciberseguros CPSTIC / CCN STIC-105 ofrece un
listado de productos con garantías de seguridad contrastadas por el Centro
Criptológico Nacional (CCN valida el alcance de la evaluación (ST) y las
pruebas realizadas). Este catálogo incluye productos aprobados para
manejar información clasificada nacional y productos cualificados de
seguridad TIC para su uso en el ENS (CCN-STIC-105).El catálogo está en
continuo crecimiento con nuevas taxonomías y soluciones incluidas.
El Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación
(CPSTIC) del CCN está en continua evolución, incluyendo nuevas categorías y familias debido a la
evolución del propio mercado. En algunas ocasiones, los requerimientos son de tipo legal, tal y como
sucede con las soluciones de videoidentificación, que, de acuerdo con el BOE núm. 115, de 14 de mayo de
2021, obliga a los prestadores de este tipo de servicios a validar sus soluciones
Taxonomías catálogo CPSTIC
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
12
PRODUCTOS y SERVICIOS
APROBADOS
La taxonomía de productos aprobados
para el manejo de información
clasificada es la misma que para los
cualificados junto con las categorías
Protección en entornos tácticos y
Tempest.
Los RFS son los mismos que los
cualificados mas los específicos
establecidos en la CCN-STIC-130
¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías
de la Información y la Comunicación(CPSTIC)?
Estructura catálogo CPSTIC
PRODUCTOS Y SERVICIOS
CUALIFICADOS
Cumplen con alguna de las
categorías del ENS (básica, media o
alta)
Para que un producto o servicio sea
cualificado, debe cumplir con los RFS
definidos para cada familia, incluidos
en los correspondientes anexos de la
guía CCN-STIC 140
SERVICIOS DE CONFORMIDAD Y
GOBERNANZA DE LA SEGURIDAD
El acceso a esta categoría no requiere
realizar una Declaración de Seguridad
y superar una evaluación LINCE,
Common Criteria o CPSTIC, pero sí
superar unas pruebas de penetración
para verificar que la herramienta
cumple con unos mínimos de
seguridad.
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
13
LINCE
Certificación fixed-time (25 días) para niveles de
seguridad medio o bajo, de acuerdo con la
clasificación del ENS.
Certificación con reconocimiento a nivel nacional,
que permite, en un tiempo y esfuerzo acotados
obtener una certificación emitida por el CCN, más
viable económicamente y accesible a PYMES.
Estándar orientado al análisis de vulnerabilidades
y test de penetración. Además, es norma UNE.
Common Criteria
Metodología pesada para niveles de seguridad
altos. Reconocida en más de 30 países y consta
de diferentes niveles de garantía (EAL1-EAL7).
Permite incluir el producto en el catálogo (mínimo
EAL2). Es un estándar difícil técnicamente de
cumplir, necesitando mas tiempo/coste obtenerlo
Dependiendo del alcance de la evaluación original
es necesaria la realización de pruebas STIC
complementarias.
¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías
de la Información y la Comunicación(CPSTIC)?
¿Cómo incluir tus productos en el catálogo?
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
14
STIC Complementaria
Se realiza a algunos de los productos
que ya han obtenido una certificación
Common Criteria y que pretenden
formar parte del catálogo CPSTIC.
Dependiendo del nivel de seguridad
(EAL) obtenido, el producto requiere
de la realización de ciertas pruebas
STIC complementarias para poder
acceder al catálogo.
Evaluación STIC - Nube
Creada para soluciones cloud nativas
donde no se puede certificar una
versión específica, sino que están en
continuo desarrollo.
Además de cumplir con los requisitos
especificados para su taxonomía, la
solución deberá superar los requisitos
especificados en el Anexo G "Servicios
en la nube"
¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías
de la Información y la Comunicación(CPSTIC)?
¿Cómo incluir tus productos en el catálogo?
Fabricante
Emisión del certificado
Inclusión en el catálogo
Formulario de solicitud
Evaluación de seguridad
Aprobación ETR
Emisión ETR
TOE & ST & Manuales
Organismo de
certificación (CCN)
Laboratorio
acreditado
CPSTIC
1
7
6
5
4
2
3
La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
José Ruiz | JTSEC
¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías
de la Información y la Comunicación(CPSTIC)?
Diagrama flujo de un proceso certificación
15
La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
José Ruiz | JTSEC
¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías
de la Información y la Comunicación(CPSTIC)?
Diagrama flujo de trabajo certificación LINCE
LINCE Average time - 6 months
16
La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
José Ruiz | JTSEC
¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías
de la Información y la Comunicación(CPSTIC)?
Equipos que participan en el proceso
• Equipo directivo.
• Equipo legal
• Project managers /
Equipo Certificación
• Técnicos/Desarrolladores
Equipo ventas
Primer contacto, decisiones a
alto nivel.
Equipo consultoría
Guía durante el proceso. Genera
documentación (ST). Comunicación
constante con fabricante, otros equipos
jtsec y CCN / CPSTIC.
Equipo evaluación
Realiza las pruebas de seguridad. Genera
el Informe de Pruebas de Evaluación
(ETR). Independencia crítica.
Mantiene el catálogo STIC;
aprueba el ST y otra
documentación. Crea
taxonomías, normas...
Aprueba el ETR y eltrabajo
de laboratorio.
FABRICANTE
jtsec
CCN / CPSTIC
17
INDICE
1. Introducción al Centro Criptológico Nacional (CCN)
y el Esquema Nacional de Seguridad (ENS).
2. ¿Qué es el CCN-STIC 105 Catálogo de Productos y
Servicios de Seguridad de las Tecnologías de la
Información y la Comunicación (CPSTIC)?
3. Los beneficios de la certificación por el CCN y el
cumplimiento del ENS para tu organización.
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
Los beneficios de la certificaciónpor el CCN y el cumplimiento del ENS para tu
organización.
Beneficios de ser incluido
en el catálogo CPSTIC
Poder trabajar con Administración y
Organismos Públicos.
Cumplimiento con el ENS.
Tu producto es más seguro y tiene más
visibilidad para potenciales clientes. Es
una potente herramienta de marketing
Garantiza a los clientes potenciales que
tu producto cumple los requisitos
mínimos de seguridad obteniendo una
cualificación expedida por CCN /
CPSTIC
19
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
Los beneficios de la certificaciónpor el CCN y el cumplimiento del ENS para tu
organización.
El sistema dinámico de adquisición en la Administración Pública es un
método electrónico de contratación continua que está abierto a todas las
empresas interesadas que cumplan con los criterios de selección.
Estos sistemas dinámicos de adquisición incorporan condiciones generales
para exigir certificaciones/cualificaciones de seguridad, así como métodos
aceptables para demostrar la seguridad, estableciendo conexiones con el
ENS, el CPSTIC y las certificaciones que puedan derivar del Reglamento (UE)
2019/881.
El sistema se compone de dos etapas.
Las compañías que cumplen con los criterios de selección necesarios son
admitidas en el sistema dinámico de contratación
Adquisición de productos por parte de la Administración
Las corporaciones admitidas en la ronda anterior presentan sus ofertas.
1
2
20
19
44
Número de proyectos por resultado en fase de
validación
Falla Pasa
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
Los beneficios de la certificaciónpor el CCN y el cumplimiento del ENS para tu
organización.
Datos sobre proyectos evaluados por jtsec en 2022
369
1790
Número de test funcional por resultado en fase de
evaluación
Falla Pasa
277
1353
Número de pentest por resultado en fase de evaluación
Falla Pasa
Total 63 Total 2.159 Total 1.630
21
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
Los beneficios de la certificaciónpor el CCN y el cumplimiento del ENS para tu
organización.
¿Cómo hacer una análisis de vulnerabilidades?
23
José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
Los beneficios de la certificaciónpor el CCN y el cumplimiento del ENS para tu
organización.
La Administración española está implementando mecanismos, como el CPSTIC, para utilizar y
adquirir productos TIC que hayan pasado una evaluación de seguridad y que cuenten con un
procedimiento de empleo seguro.
La nueva versión del ENS hace referencia al catálogo CPSTIC incluyéndolo dentro del marco legal.
Adicionalmente, tanto a través del sistema dinámico de adquisición como en la redacción de pliegos
por parte de las distintas administraciones, vemos el impulso necesario que anime a los fabricantes a
seguir invirtiendo en los procesos de certificación/cualificación de sus productos.
El CPSTIC es uno de los pilares para la prevención de los ciberataques
Conclusiones
24
Gracias

Más contenido relacionado

Similar a La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad.pdf

IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
Ingeniería e Integración Avanzadas (Ingenia)
 
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadIV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
Miguel A. Amutio
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
Miguel A. Amutio
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
Miguel A. Amutio
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TICEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
MiguelAmutio1
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que viene
Miguel A. Amutio
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Miguel A. Amutio
 
Paloma García, UNE
Paloma García, UNEPaloma García, UNE
Paloma García, UNE
AMETIC
 
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Miguel A. Amutio
 
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Miguel A. Amutio
 
El nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadEl nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de Seguridad
Miguel A. Amutio
 
Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de Seguridad
Miguel A. Amutio
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Miguel A. Amutio
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.
Javier Tallón
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
Miguel A. Amutio
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
scarlethnena
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
Ingeniería e Integración Avanzadas (Ingenia)
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Internet Security Auditors
 
Actualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGADActualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGAD
Miguel A. Amutio
 
Situación de la implantación del Esquema Nacional de Seguridad
Situación de la implantación del Esquema Nacional de SeguridadSituación de la implantación del Esquema Nacional de Seguridad
Situación de la implantación del Esquema Nacional de Seguridad
Miguel A. Amutio
 

Similar a La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad.pdf (20)

IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
 
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadIV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
IV Encuentro ENS - El nuevo Esquema Nacional de Seguridad
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La LagunaEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE TIC La Laguna
 
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TICEl nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
El nuevo Esquema Nacional de Seguridad. Jornadas CRUE-TIC
 
El nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que viene
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
 
Paloma García, UNE
Paloma García, UNEPaloma García, UNE
Paloma García, UNE
 
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
Avance del ENS y medidas de seguridad previstas en el Plan de Transformación ...
 
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
 
El nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de SeguridadEl nuevo Esquema Nacional de Seguridad
El nuevo Esquema Nacional de Seguridad
 
Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de Seguridad
 
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
Ciberseguridad en una sociedad en red. Estrategia de Ciberseguridad Nacional ...
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Actualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGADActualización del ENS. Presentación CCN-CERT / SGAD
Actualización del ENS. Presentación CCN-CERT / SGAD
 
Situación de la implantación del Esquema Nacional de Seguridad
Situación de la implantación del Esquema Nacional de SeguridadSituación de la implantación del Esquema Nacional de Seguridad
Situación de la implantación del Esquema Nacional de Seguridad
 

Más de Javier Tallón

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio II
Javier Tallón
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Javier Tallón
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
Javier Tallón
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCN
Javier Tallón
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and products
Javier Tallón
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptx
Javier Tallón
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
Javier Tallón
 
Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdf
Javier Tallón
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación Criptográfica
Javier Tallón
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
Javier Tallón
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896
Javier Tallón
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemes
Javier Tallón
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045
Javier Tallón
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...
Javier Tallón
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
Javier Tallón
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?
Javier Tallón
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2
Javier Tallón
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...
Javier Tallón
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
Javier Tallón
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria
Javier Tallón
 

Más de Javier Tallón (20)

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio II
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCN
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and products
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptx
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
 
Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdf
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación Criptográfica
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemes
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria
 

Último

COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNETCOMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
Kevin Aguilar Garcia
 
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidadESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
jorgejhonatanaltamir1
 
SLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajasSLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajas
ruthechepurizaca
 
Clases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicosClases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicos
mcavero2019
 
Diapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptxDiapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptx
erick502105
 
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA  17 DE CTUBRE LA  oracion.docxFICHA DE EDUCACIÓN RELIGIOSA  17 DE CTUBRE LA  oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
EmilyEsmeraldaQuispe
 
APLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptxAPLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptx
cpadua713
 
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
AlexanderCR12
 
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente CruzattSEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
vicenteariana54
 
Oración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docxOración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docx
LuisAlbertoCordovaBa
 
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
NoraRoberts5
 

Último (11)

COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNETCOMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
 
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidadESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
 
SLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajasSLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajas
 
Clases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicosClases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicos
 
Diapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptxDiapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptx
 
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA  17 DE CTUBRE LA  oracion.docxFICHA DE EDUCACIÓN RELIGIOSA  17 DE CTUBRE LA  oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
 
APLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptxAPLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptx
 
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
 
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente CruzattSEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
 
Oración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docxOración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docx
 
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
 

La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad.pdf

  • 1. La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad
  • 2. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad 2 José Ruiz Gualda jtsec Beyond IT Security • Ingeniero en Informática (Universidad de Granada) • Experto en Common Criteria, LINCE y FIPS 140-2 & FIPS 140-3 • Miembro del SCCG (Stakeholder Cybersecurity Certification Group) en la Comisión Europea • Secretario del SC3 en CTN320 • Editor de LINCE como norma UNE • Editor en JTC13 WG3 de la Metodología FITCEM • Editor en el grupo ERNCIP “Certificación de Ciberseguridad IACS” de la Comisión Europea. jruiz@jtsec.es
  • 3. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad 3 jtsec Beyond IT Security • Laboratorio de Ciberseguridad ofreciendo servicios de auditoria, evaluación y consultoría. • Primer laboratorio LINCE acreditado por CCN. • jtsec ha sido premiado con los “Premios SIC 2019” por su contribución con el desarrollo de la metodología LINCE. • Desarrolladores de una herramienta única en el mercado para la evaluación LINCE, LinceToolBox. • Ponentes en diferentes eventos del sector como ICCC, ICMC, Jornadas CCN-CERT, EUCA, ENISE, Encuentros UNE…) • Participantes activos en grupos y actividades de estandarización (CEN/CENELEC, ISCI WGs,ENISA CSA WGs, CCUF, CMUF, ERNCIP) • Sede en Granada.
  • 4. INDICE 1. Introducción al Centro Criptológico Nacional (CCN) y el Esquema Nacional de Seguridad (ENS). 2. ¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC)? 3. Los beneficios de la certificación por el CCN y el cumplimiento del ENS para tu organización.
  • 5. INDICE 1. Introducción al Centro Criptológico Nacional (CCN) y el Esquema Nacional de Seguridad (ENS). 2. ¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC)? 3. Los beneficios de la certificación por el CCN y el cumplimiento del ENS para tu organización.
  • 6. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad 6 ¿Qué es el CCN? El Centro Criptológico Nacional (CCN) es el Organismo responsable de coordinar la acción de los diferentes organismos de la Administración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las Tecnologías de la Información en ese ámbito, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administración especialista en este campo. El CCN se encuentra dividido en varios departamentos, siendo el CCN-PYTEC el encargado de gestionar el catálogo de producto ciberseguros CPSTIC /CCN STIC-105. “El Departamento de Productos y Tecnologías del CCN, PYTEC, desempeña las siguientes funciones: ✓ Promoción y desarrollo de productos de cifra y seguridad TIC: su objetivo es garantizar que los productos utilizados por la Administración cumplan con los niveles de seguridad exigidos. ✓ Evaluación y certificación: La evaluación y certificación de productos de seguridad TIC son el único medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información segura. ✓ Seguridad Productos TIC: el CCN elabora un Catálogo de Productos STIC en el que ofrece un listado de productos de seguridad TIC con unas garantías de seguridad contrastadas por el propio CCN. ¿Qué es el CCN-PYTEC? Introducciónal Centro CriptológicoNacional (CCN)y el Esquema Nacional de Seguridad(ENS).
  • 7. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad 7 Contribución CCN a la ciberseguridad en España Desarrollo de dos Estrategias de Ciberseguridad Nacional (2013 y 2019), la implantación del Esquema Nacional de Seguridad (ENS), la creación del CERT Gubernamental Nacional (CCN-CERT) y la puesta en marcha del catálogo CPSTIC. Además ha colaborado en la gestión de los ciberataques en el sector público y en empresas y organizaciones de interés estratégico. El empleo y promoción de productos y tecnologías de la seguridad, así como la formación de personal experto, la aplicación de políticas y procedimientos, son algunas de las aportaciones más importantes de dicho Organismo. El compromiso de CCN con la sociedad española en el ámbito de la formación y sensibilización de la ciberseguridad se refleja en su amplio programa de cursos formativos y diversas formas de divulgación que recopilan los principales consejos que pueden darse a la hora de concienciar y facilitar el uso seguro de las TIC. Dichos cursos están dirigidos al sector privado, al público y a los individuos particulares. Tal es el éxito que en 2018 se creó una plataforma llamada Atenea Escuela para fomentar el uso seguro y conocimiento de las TIC. El CCN y su compromiso con la formación y sensibilización en ciberseguridad Introducciónal Centro CriptológicoNacional (CCN)y el Esquema Nacional de Seguridad(ENS).
  • 8. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad 8 Introducciónal Centro CriptológicoNacional (CCN)y el Esquema Nacional de Seguridad(ENS). ¿Qué es el ENS? El Esquema Nacional de Seguridad, de aplicación a todo el Sector Público, así como a los proveedores que colaboran con la Administración, ofrece un marco común de principios básicos, requisitos y medidas de seguridad para una protección adecuada de la información tratada y los servicios prestados, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias. Desde su primer desarrollo en 2010 está en constante evolución con modificaciones notables en 2015 y su última actualización en 2022 (Real Decreto 311/2022).
  • 9. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad 9 Introducciónal Centro CriptológicoNacional (CCN)y el Esquema Nacional de Seguridad(ENS). Extracto Real Decreto 311/2022 Según el ENS, y citando textualmente un extracto del punto 4.1.5 de la mencionada legislación: «Se utilizará el Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN, para seleccionar los productos o servicios suministrados por un tercero que formen parte de la arquitectura de seguridad del sistema y aquellos que se referencien expresamente en las medidas de este real decreto». Conclusión Se puede concluir del extracto que es obligatorio contar con una cualificación de ciberseguridad para los productos TIC. Además, cumplir con la normativa es uno de los criterios de selección que utiliza el sistema dinámico de adquisición en la Administración Pública.
  • 10. INDICE 1. Introducción al Centro Criptológico Nacional (CCN) y el Esquema Nacional de Seguridad (ENS). 2. ¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC)? 3. Los beneficios de la certificación por el CCN y el cumplimiento del ENS para tu organización..
  • 11. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad 11 ¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación(CPSTIC)? El catálogo de productos ciberseguros CPSTIC / CCN STIC-105 ofrece un listado de productos con garantías de seguridad contrastadas por el Centro Criptológico Nacional (CCN valida el alcance de la evaluación (ST) y las pruebas realizadas). Este catálogo incluye productos aprobados para manejar información clasificada nacional y productos cualificados de seguridad TIC para su uso en el ENS (CCN-STIC-105).El catálogo está en continuo crecimiento con nuevas taxonomías y soluciones incluidas. El Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y Comunicación (CPSTIC) del CCN está en continua evolución, incluyendo nuevas categorías y familias debido a la evolución del propio mercado. En algunas ocasiones, los requerimientos son de tipo legal, tal y como sucede con las soluciones de videoidentificación, que, de acuerdo con el BOE núm. 115, de 14 de mayo de 2021, obliga a los prestadores de este tipo de servicios a validar sus soluciones Taxonomías catálogo CPSTIC
  • 12. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad 12 PRODUCTOS y SERVICIOS APROBADOS La taxonomía de productos aprobados para el manejo de información clasificada es la misma que para los cualificados junto con las categorías Protección en entornos tácticos y Tempest. Los RFS son los mismos que los cualificados mas los específicos establecidos en la CCN-STIC-130 ¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación(CPSTIC)? Estructura catálogo CPSTIC PRODUCTOS Y SERVICIOS CUALIFICADOS Cumplen con alguna de las categorías del ENS (básica, media o alta) Para que un producto o servicio sea cualificado, debe cumplir con los RFS definidos para cada familia, incluidos en los correspondientes anexos de la guía CCN-STIC 140 SERVICIOS DE CONFORMIDAD Y GOBERNANZA DE LA SEGURIDAD El acceso a esta categoría no requiere realizar una Declaración de Seguridad y superar una evaluación LINCE, Common Criteria o CPSTIC, pero sí superar unas pruebas de penetración para verificar que la herramienta cumple con unos mínimos de seguridad.
  • 13. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad 13 LINCE Certificación fixed-time (25 días) para niveles de seguridad medio o bajo, de acuerdo con la clasificación del ENS. Certificación con reconocimiento a nivel nacional, que permite, en un tiempo y esfuerzo acotados obtener una certificación emitida por el CCN, más viable económicamente y accesible a PYMES. Estándar orientado al análisis de vulnerabilidades y test de penetración. Además, es norma UNE. Common Criteria Metodología pesada para niveles de seguridad altos. Reconocida en más de 30 países y consta de diferentes niveles de garantía (EAL1-EAL7). Permite incluir el producto en el catálogo (mínimo EAL2). Es un estándar difícil técnicamente de cumplir, necesitando mas tiempo/coste obtenerlo Dependiendo del alcance de la evaluación original es necesaria la realización de pruebas STIC complementarias. ¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación(CPSTIC)? ¿Cómo incluir tus productos en el catálogo?
  • 14. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad 14 STIC Complementaria Se realiza a algunos de los productos que ya han obtenido una certificación Common Criteria y que pretenden formar parte del catálogo CPSTIC. Dependiendo del nivel de seguridad (EAL) obtenido, el producto requiere de la realización de ciertas pruebas STIC complementarias para poder acceder al catálogo. Evaluación STIC - Nube Creada para soluciones cloud nativas donde no se puede certificar una versión específica, sino que están en continuo desarrollo. Además de cumplir con los requisitos especificados para su taxonomía, la solución deberá superar los requisitos especificados en el Anexo G "Servicios en la nube" ¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación(CPSTIC)? ¿Cómo incluir tus productos en el catálogo?
  • 15. Fabricante Emisión del certificado Inclusión en el catálogo Formulario de solicitud Evaluación de seguridad Aprobación ETR Emisión ETR TOE & ST & Manuales Organismo de certificación (CCN) Laboratorio acreditado CPSTIC 1 7 6 5 4 2 3 La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad José Ruiz | JTSEC ¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación(CPSTIC)? Diagrama flujo de un proceso certificación 15
  • 16. La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad José Ruiz | JTSEC ¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación(CPSTIC)? Diagrama flujo de trabajo certificación LINCE LINCE Average time - 6 months 16
  • 17. La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad José Ruiz | JTSEC ¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación(CPSTIC)? Equipos que participan en el proceso • Equipo directivo. • Equipo legal • Project managers / Equipo Certificación • Técnicos/Desarrolladores Equipo ventas Primer contacto, decisiones a alto nivel. Equipo consultoría Guía durante el proceso. Genera documentación (ST). Comunicación constante con fabricante, otros equipos jtsec y CCN / CPSTIC. Equipo evaluación Realiza las pruebas de seguridad. Genera el Informe de Pruebas de Evaluación (ETR). Independencia crítica. Mantiene el catálogo STIC; aprueba el ST y otra documentación. Crea taxonomías, normas... Aprueba el ETR y eltrabajo de laboratorio. FABRICANTE jtsec CCN / CPSTIC 17
  • 18. INDICE 1. Introducción al Centro Criptológico Nacional (CCN) y el Esquema Nacional de Seguridad (ENS). 2. ¿Qué es el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC)? 3. Los beneficios de la certificación por el CCN y el cumplimiento del ENS para tu organización.
  • 19. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad Los beneficios de la certificaciónpor el CCN y el cumplimiento del ENS para tu organización. Beneficios de ser incluido en el catálogo CPSTIC Poder trabajar con Administración y Organismos Públicos. Cumplimiento con el ENS. Tu producto es más seguro y tiene más visibilidad para potenciales clientes. Es una potente herramienta de marketing Garantiza a los clientes potenciales que tu producto cumple los requisitos mínimos de seguridad obteniendo una cualificación expedida por CCN / CPSTIC 19
  • 20. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad Los beneficios de la certificaciónpor el CCN y el cumplimiento del ENS para tu organización. El sistema dinámico de adquisición en la Administración Pública es un método electrónico de contratación continua que está abierto a todas las empresas interesadas que cumplan con los criterios de selección. Estos sistemas dinámicos de adquisición incorporan condiciones generales para exigir certificaciones/cualificaciones de seguridad, así como métodos aceptables para demostrar la seguridad, estableciendo conexiones con el ENS, el CPSTIC y las certificaciones que puedan derivar del Reglamento (UE) 2019/881. El sistema se compone de dos etapas. Las compañías que cumplen con los criterios de selección necesarios son admitidas en el sistema dinámico de contratación Adquisición de productos por parte de la Administración Las corporaciones admitidas en la ronda anterior presentan sus ofertas. 1 2 20
  • 21. 19 44 Número de proyectos por resultado en fase de validación Falla Pasa José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad Los beneficios de la certificaciónpor el CCN y el cumplimiento del ENS para tu organización. Datos sobre proyectos evaluados por jtsec en 2022 369 1790 Número de test funcional por resultado en fase de evaluación Falla Pasa 277 1353 Número de pentest por resultado en fase de evaluación Falla Pasa Total 63 Total 2.159 Total 1.630 21
  • 22. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad Los beneficios de la certificaciónpor el CCN y el cumplimiento del ENS para tu organización. ¿Cómo hacer una análisis de vulnerabilidades? 23
  • 23. José Ruiz | JTSEC La ventaja de implementar una solución de ciberseguridad certificada por el CCN y cumplir el Esquema Nacional de Seguridad Los beneficios de la certificaciónpor el CCN y el cumplimiento del ENS para tu organización. La Administración española está implementando mecanismos, como el CPSTIC, para utilizar y adquirir productos TIC que hayan pasado una evaluación de seguridad y que cuenten con un procedimiento de empleo seguro. La nueva versión del ENS hace referencia al catálogo CPSTIC incluyéndolo dentro del marco legal. Adicionalmente, tanto a través del sistema dinámico de adquisición como en la redacción de pliegos por parte de las distintas administraciones, vemos el impulso necesario que anime a los fabricantes a seguir invirtiendo en los procesos de certificación/cualificación de sus productos. El CPSTIC es uno de los pilares para la prevención de los ciberataques Conclusiones 24