El CCN-CERT publica una Guía de productos TIC cualificados en seguridad
La Guía CCN-STIC 105 hecha pública por el CCN-CERT, recoge un listado de productos supervisados por el Centro listos para manejar información clasificada y cualificados para el manejo de información sensible.
- (CCN-CERT): "En ciberseguridad debes aplicar análisis y gestión de riesgos, gobernanza, vigilancia y contingencia"
- Javier Candau (CCN): "Ante un 'ransomware' no hay que efectuar el pago del rescate"
- Luis Jiménez (CCN): "La forma tradicional de defendernos de los ataques necesita una aproximación diferente"
En numerables ocasiones nos hemos hecho eco de la necesidad de implantar medidas de seguridad en los dispositivos desde la fase del diseño de los mismos, algo que muy habitualmente los fabricantes dejan de lado o pasan por alto con el fin de asegurarse el mejor “time to market” para su lanzamiento. Es por este motivo que se hace necesario el papel desempeñado por algún organismo regulatorio que certifique hasta cierto punto los niveles de seguridad de los dispositivos.
Llegados a este punto, el CCN-CERT publicó a principios de enero su Guía CCN-STIC 105 con el objetivo de presentar el Catálogo de Productos de Seguridad de las Tecnologías de la Información y Comunicación que recoge un listado de productos aprobados para el manejo de información clasificada o cualificados para el manejo de información sensible, de forma que pueda servir de referencia a la Administración Pública.
La Guía recoge seis categorías diferentes que contemplan: control de acceso, seguridad en la explotación, monitorización de la seguridad, protección de las comunicaciones, protección de la información y soportes de información, protección de equipos y servicios. Además, los productos pueden dividirse en 33 familias como sistemas operativos, herramientas anti-spam, tarjetas inteligentes, dispositivos biométricos o sistemas Honeypot.
Algunos productos multipropósito pueden aparecer en una o varias familias, siempre y cuando se haya certificado que cumplen con los RFS (Requisitos fundamentales de seguridad) correspondientes a cada una de ellas.
Como puede apreciarse en la Guía, aparecen múltiples productos antivirus y herramientas de seguridad como antivirus, productos cortafuegos, endpoint, router y switches de comunicaciones, appliance, así como dispositivos asociados a la firma electrónica como el de Safelayer. Por su parte, dentro de la categoría de Protección de equipos y servicios en la familia de dispositivos móviles, aparece el Galaxy S8 y Galaxy S8+ con Android 7 clasificado como único producto cualificado en su categoría.
Para la elaboración de esta guía, el CCN-CERT tiene en cuenta una serie de criterios como la clasificación de la información que puede manejar (Difusión limitada, Confidencial, Reservado o Secreto), las características de seguridad del producto, la categoría del sistema de información en el que puede emplearse según lo definido en el Esquema Nacional de Seguridad (alta, media, básica), las certificaciones aportadas, o incluso el entorno donde vaya a ser empleado.
