Los desafíos del uso de Inteligencia Artificial pa...

Más allá de su popularidad y beneficios, la Inteligencia Artificial también tiene retos a ser considerados cuando se trata de seguridad digital.

Taxonomía para tu seguridad

Con el desarrollo tecnológico aumentando a velocidades imparables, uno de los requisitos indispensables hoy en día es invertir en ciberseguridad. La información confidencial o sensible de cada organización es su más grande tesoro, y las comunicaciones por las que fluye esa información también deben estar protegidas contra posibles intrusos o ciberdelincuentes, y al mismo tiempo poder defender toda la red.


Pensando en eso, y con el propósito de seguir con esta serie de contenidos sobre ciberseguridad, hoy te vamos a dar unos buenos datos sobre los requisitos de seguridad informática mínimos, de los cuales sacarás el mejor provecho en la protección de tu red.

Para esto te vamos a plantear dos escenarios que sabemos que cualquiera dentro de nuestra tribu puede o tendrá que pasar en alguna ocasión, así sea en un rol mínimo (guardando proporciones):

Primer escenario: Imagina que te encargan la renovación de todas las tecnologías de información y comunicación (TIC) de tu empresa. Seleccionas con ojo de lupa los detalles de cada estación de trabajo, servidor, sistemas, herramientas y el resto de interminables campos en los que tu criterio será el único que cuente. Muchas reuniones, presupuestos y planeación después, llega la hora de adquirir tus productos de ciberseguridad. ¿Cuáles deberías adquirir con plena confianza? ¿O qué requisitos mínimos deberías tener en cuenta?

Segundo escenario: trabajas en una start-up de seguridad informática en un producto realmente innovador. Crees en él, sabes que es útil y seguro, pero la oferta aumenta todos los días en el mercado, la competencia es cada vez más exigente, y preferirías una comprobación de calidad por parte de una autoridad estatal. Así los consumidores tendrán confianza en tu producto sin depender de la larga espera de la reputación boca a boca, y el ajustado presupuesto de publicidad o marketing de una empresa que da primeros pasos.

Para cualquier de los dos planteamientos anteriores existe un principio básico, Padawan: estás en un mundo digital cada vez más riesgoso por las amenazas en constante cambio y evolución. No te puedes fiar de comprar cualquier producto por muy bonito que sea el empaque, y los consumidores ya no confían solo en un bonito empaque. ¿A quién le puedes dar tu voto de confianza para que te recomiende productos de seguridad seguros, y a quién deberías poder acudir para que valide que tu producto de seguridad es completamente seguro?

CCN-ES
Centro de Criptología Nacional (CCN)

¿A quién vas a llamar?

No cazan fantasmas pero ya hemos hablado de ellos con anterioridad. Son el Centro de Criptología Nacional (CCN), de los cuales te daremos con más detalles muy pronto. Mientras tanto, podemos decirte que ellos son la autoridad española en todo lo relacionado con criptología, ciberseguridad, certificaciones y todo lo relacionado a un entorno digital seguro y de confianza.

Dentro de las muchas y muy útiles funciones del CCN también está estudiar y validar cuáles son los productos de seguridad TIC que cumplen con los estándares del Esquema Nacional de Seguridad (ENS) y que pueden ser adquiridos por las entidades públicas para almacenar información clasificada o sensible.

Al estar el CCN en constante coordinación con entidades públicas y privadas nacionales e internacionales, ellos son la mejor fuente de confianza para alguien que quiera adquirir un producto de seguridad informática. Si has pensado en adquirir estos productos pero tu empresa no es pública, no desesperes, el CCN es sin ninguna duda es la referencia que debes considerar.

Si por el otro lado buscas una validación de tu producto de seguridad TIC, el CCN es el que se encarga de analizar y validar los productos de acuerdo con una taxonomía, que es la que sirve de referencia para exigir requisitos mínimos de producto de acuerdo con su categoría, familia, y otros aspectos técnicos.

Taxonomía de la seguridad

Sin importar tu escenario, el CCN te dará un nivel de confianza mínimo para que te sientas tranquilo en la adquisición o validación de tu producto de seguridad informática. Su minucioso análisis se hace dependiendo de cada producto, y de esto surge la taxonomía de referencia para productos de seguridad TIC, que primero inicia con un análisis del producto bajo los siguientes criterios:

Productos aprobados: para el manejo de información clasificada, el máximo nivel de clasificación de la información que puede manejar (Difusión Limitada, Confidencial, Reservado, Secreto).

Productos cualificados: productos con la máxima categoría del sistema de información en el que puede emplearse para información sensible (Alta, Media, Básica).

Las funcionalidades de seguridad que implementa el producto y las certificaciones aportadas.

Otros aspectos como el análisis de riesgos del producto o sistema, la necesidad operativa dentro de la Administración, la disponibilidad o no de otros productos certificados que satisfagan la misma funcionalidad, etc.

Adamo-Guard-joke
Es importante asegurarse que tu producto de seguridad informática cumpla ciertos requisitos

Después de ese análisis, el CCN determinará cuáles son las pruebas a las que tiene que someterse el producto y se le asignará:

  • Una categoría: por el tipo de producto de acuerdo con las medidas de seguridad que aporte (p.ej.: control de acceso, protección de las comunicaciones, etc.). Estas se dividen en familias.
  • Una familia: se determinan por el tipo de producto de acuerdo con su funcionalidad principal (enrutador, cortafuegos, proxy, herramienta de borrado seguro, etc.). Un producto podría pertenecer a una o más familias de categorías, y para cada familia de producto se han establecido unos Requisitos Fundamentales de Seguridad (RFS) que cada una debe cumplir.

Los productos que están en la taxonomía del CCN son solo los que forman parte de la arquitectura de seguridad de los sistemas TIC. También incluye aquellos cuya principal función no sea la de seguridad, pero que desempeñan funciones críticas de seguridad, como enrutadores, sistemas operativos, o dispositivos móviles.

Como ves, la taxonomía del CCN te servirá para:

  1. Tener una referencia más clara y de fácil acceso para adquirir productos informáticos de confianza estudiados y aprobados por el CCN, ya seas parte de una entidad pública o privada.
  2. Tener un marco de referencia a la hora de desarrollar tus productos de seguridad informática, con una categorización de cada producto, y requisitos de seguridad mínimos, además de mantenerte actualizado sobre las condiciones para que sea reconocido oficialmente como uno seguro y de confianza.
  3. Tener una categorización ordenada de productos de acuerdo con su funcionalidad, su finalidad, y los requisitos mínimos de seguridad de cada producto, para que, ya sea como comprador o como desarrollador, tengas en cuenta en los análisis que hagas de tus productos de seguridad TIC.

Si quieres ver la taxonomía completa por categoría, familias y sus requisitos, y también conocer más detalles sobre los productos de seguridad TIC aprobados por el CCN, entra aquí.

Suscríbete al #Blog

Al suscribirte te enviaremos un boletín cada semana con la información más relevante. Tendrás acceso a contenidos exclusivos para suscriptores

Publicaciones relacionadas
Aprende cómo ahorrar energía en tu empresa

El ahorro energético es algo a lo que deberemos acostumbrarnos en los próximos meses. Conoce cómo hacerlo en tu pyme.

Consejos para hacer un evento de Team Building virtual

El flujo de caja es lo que determina la estabilidad financiera de una empresa.

Aprende a automatizar tus flujos de trabajo

La automatización ya no es el sueño de ciencia ficción de hace algunas décadas. Ahora es posible y puede hacer tu vida y...

Suscríbete al #Blog

Al suscribirte te enviaremos un boletín cada semana con la información más relevante. Tendrás acceso a contenidos exclusivos para suscriptores

bitmap-2