Con el desarrollo tecnológico aumentando a velocidades imparables, uno de los requisitos indispensables hoy en día es invertir en ciberseguridad. La información confidencial o sensible de cada organización es su más grande tesoro, y las comunicaciones por las que fluye esa información también deben estar protegidas contra posibles intrusos o ciberdelincuentes, y al mismo tiempo poder defender toda la red.
Pensando en eso, y con el propósito de seguir con esta serie de contenidos sobre ciberseguridad, hoy te vamos a dar unos buenos datos sobre los requisitos de seguridad informática mínimos, de los cuales sacarás el mejor provecho en la protección de tu red.
Para esto te vamos a plantear dos escenarios que sabemos que cualquiera dentro de nuestra tribu puede o tendrá que pasar en alguna ocasión, así sea en un rol mínimo (guardando proporciones):
Primer escenario: Imagina que te encargan la renovación de todas las tecnologías de información y comunicación (TIC) de tu empresa. Seleccionas con ojo de lupa los detalles de cada estación de trabajo, servidor, sistemas, herramientas y el resto de interminables campos en los que tu criterio será el único que cuente. Muchas reuniones, presupuestos y planeación después, llega la hora de adquirir tus productos de ciberseguridad. ¿Cuáles deberías adquirir con plena confianza? ¿O qué requisitos mínimos deberías tener en cuenta?
Segundo escenario: trabajas en una start-up de seguridad informática en un producto realmente innovador. Crees en él, sabes que es útil y seguro, pero la oferta aumenta todos los días en el mercado, la competencia es cada vez más exigente, y preferirías una comprobación de calidad por parte de una autoridad estatal. Así los consumidores tendrán confianza en tu producto sin depender de la larga espera de la reputación boca a boca, y el ajustado presupuesto de publicidad o marketing de una empresa que da primeros pasos.
Para cualquier de los dos planteamientos anteriores existe un principio básico, Padawan: estás en un mundo digital cada vez más riesgoso por las amenazas en constante cambio y evolución. No te puedes fiar de comprar cualquier producto por muy bonito que sea el empaque, y los consumidores ya no confían solo en un bonito empaque. ¿A quién le puedes dar tu voto de confianza para que te recomiende productos de seguridad seguros, y a quién deberías poder acudir para que valide que tu producto de seguridad es completamente seguro?
¿A quién vas a llamar?
No cazan fantasmas pero ya hemos hablado de ellos con anterioridad. Son el Centro de Criptología Nacional (CCN), de los cuales te daremos con más detalles muy pronto. Mientras tanto, podemos decirte que ellos son la autoridad española en todo lo relacionado con criptología, ciberseguridad, certificaciones y todo lo relacionado a un entorno digital seguro y de confianza.
Dentro de las muchas y muy útiles funciones del CCN también está estudiar y validar cuáles son los productos de seguridad TIC que cumplen con los estándares del Esquema Nacional de Seguridad (ENS) y que pueden ser adquiridos por las entidades públicas para almacenar información clasificada o sensible.
Al estar el CCN en constante coordinación con entidades públicas y privadas nacionales e internacionales, ellos son la mejor fuente de confianza para alguien que quiera adquirir un producto de seguridad informática. Si has pensado en adquirir estos productos pero tu empresa no es pública, no desesperes, el CCN es sin ninguna duda es la referencia que debes considerar.
Si por el otro lado buscas una validación de tu producto de seguridad TIC, el CCN es el que se encarga de analizar y validar los productos de acuerdo con una taxonomía, que es la que sirve de referencia para exigir requisitos mínimos de producto de acuerdo con su categoría, familia, y otros aspectos técnicos.
Taxonomía de la seguridad
Sin importar tu escenario, el CCN te dará un nivel de confianza mínimo para que te sientas tranquilo en la adquisición o validación de tu producto de seguridad informática. Su minucioso análisis se hace dependiendo de cada producto, y de esto surge la taxonomía de referencia para productos de seguridad TIC, que primero inicia con un análisis del producto bajo los siguientes criterios:
Productos aprobados: para el manejo de información clasificada, el máximo nivel de clasificación de la información que puede manejar (Difusión Limitada, Confidencial, Reservado, Secreto).
Productos cualificados: productos con la máxima categoría del sistema de información en el que puede emplearse para información sensible (Alta, Media, Básica).
Las funcionalidades de seguridad que implementa el producto y las certificaciones aportadas.
Otros aspectos como el análisis de riesgos del producto o sistema, la necesidad operativa dentro de la Administración, la disponibilidad o no de otros productos certificados que satisfagan la misma funcionalidad, etc.
Después de ese análisis, el CCN determinará cuáles son las pruebas a las que tiene que someterse el producto y se le asignará:
- Una categoría: por el tipo de producto de acuerdo con las medidas de seguridad que aporte (p.ej.: control de acceso, protección de las comunicaciones, etc.). Estas se dividen en familias.
- Una familia: se determinan por el tipo de producto de acuerdo con su funcionalidad principal (enrutador, cortafuegos, proxy, herramienta de borrado seguro, etc.). Un producto podría pertenecer a una o más familias de categorías, y para cada familia de producto se han establecido unos Requisitos Fundamentales de Seguridad (RFS) que cada una debe cumplir.
Los productos que están en la taxonomía del CCN son solo los que forman parte de la arquitectura de seguridad de los sistemas TIC. También incluye aquellos cuya principal función no sea la de seguridad, pero que desempeñan funciones críticas de seguridad, como enrutadores, sistemas operativos, o dispositivos móviles.
Como ves, la taxonomía del CCN te servirá para:
- Tener una referencia más clara y de fácil acceso para adquirir productos informáticos de confianza estudiados y aprobados por el CCN, ya seas parte de una entidad pública o privada.
- Tener un marco de referencia a la hora de desarrollar tus productos de seguridad informática, con una categorización de cada producto, y requisitos de seguridad mínimos, además de mantenerte actualizado sobre las condiciones para que sea reconocido oficialmente como uno seguro y de confianza.
- Tener una categorización ordenada de productos de acuerdo con su funcionalidad, su finalidad, y los requisitos mínimos de seguridad de cada producto, para que, ya sea como comprador o como desarrollador, tengas en cuenta en los análisis que hagas de tus productos de seguridad TIC.
Si quieres ver la taxonomía completa por categoría, familias y sus requisitos, y también conocer más detalles sobre los productos de seguridad TIC aprobados por el CCN, entra aquí.
Escrito por: BBB
Nada fuera de lo anormal, como tú, vamos. ;)
Suscríbete al #Blog
Al suscribirte te enviaremos un boletín cada semana con la información más relevante. Tendrás acceso a contenidos exclusivos para suscriptores
