SlideShare une entreprise Scribd logo

III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herramientas de Videoidentificación y más

Javier Tallón
Javier Tallón

Este documento presenta información sobre el Catálogo de Productos de Seguridad TIC (CPSTIC), incluyendo las certificaciones válidas para incluir productos en el catálogo, como LINCE y Common Criteria. También describe casos de éxito del uso del catálogo en la administración pública española para productos como herramientas de videoidentificación, cortafuegos y cargadores de vehículos eléctricos. El objetivo del catálogo es proporcionar una lista de productos con garantías de seguridad para su uso en el sector públic

Technologie
1  sur  22
Télécharger pour lire hors ligne
III Encuentro ENS
¿Quién soy? Servicios Laboratorio acreditado LINCE y Common Criteria por ENAC Cualificación de productos en el catálogo CPSTIC Hitos 1º Laboratorio acreditado LINCE Líder en certificaciones LINCE Único laboratorio español miembro del SCCG y del EUCC ad-hoc Working Group  José Ruiz Gualda:  Co-Fundador & CTO  Experto en Common Criteria, LINCE y FIPS 140-2  Miembro del SCCG (Stakeholder Cybersecurity Certification Group) en la Comisión Europea  Secretario del SC3 en CTN320  Editor de LINCE como norma UNE
 Catálogo CPSTIC - Referencia en la Administración  Certificaciones válidas para acceder al catálogo  CPSTIC – Ampliando su alcance  Casos de éxito del uso del catálogo en la Administración Índice
Catálogo CPSTIC - Referencia en la Administración
Catálogo CPSTIC - Referencia en la Administración El catálogo de Productos de Seguridad TIC (CPSTIC) ofrece un listado de productos con unas garantías de seguridad contrastadas por el Centro Criptológico Nacional. Este catálogo incluye los productos aprobados para manejar información nacional clasificada y los productos cualificados de seguridad TIC para uso en el ENS. Actualmente existen 10 categorías y 48 familias en su taxonomía de referencia (CCN-STIC-140). Ventajas Fácil adquisición de productos ciberseguros Evaluados por parte de un tercero confiable Disponible para todo el mundo
Catálogo CPSTIC - Referencia en la Administración  Beneficios de incluir tu producto en el catálogo CPSTIC  Mejora la ciberseguridad de tu producto  Potente herramienta de marketing  Posiciona tu producto en la Administración Pública  Obtienes un certificado emitido por CCN
Certificaciones válidas para acceder al catálogo
Certificaciones válidas para acceder al catálogo - - - - Metodología ligera - Alcance nacional - Estándar sencillo orientado al análisis de vulnerabilidades y test de penetración - Duración y esfuerzo acotados - Más viable económicamente - Accesible a PYMEs - Su uso principal es la entrada en el catálogo. - Estándar UNE - Metodología pesada - Reconocida en 31 países - Distintos niveles de garantía - Versátil, aplicable a todo tipo de productos - Dificultad técnica para cumplir/entender el estándar. - Mayor tiempo para su obtención - Mayor coste económico Nivel medio – bajo ENS Nivel alto ENS Security Target
CPSTIC – Ampliando su alcance
CPSTIC – Ampliando su alcance  Motivos por los que se evalúa un producto:  Iniciativa propia empresa o Administración  Requisito en pliegos  Requerimiento por parte del cliente  Productos de diferentes entornos, desde sector defensa, telecomunicaciones, aeroespacial, industrial, infraestructuras críticas, energético…  Crecimiento continuo del número de categorías y familias del catálogo
Casos de éxito del uso del catálogo en la Administración
Caso de éxito nº 1: Herramientas de Video Identificación.  Primera vez que se utiliza una orden ministerial (Orden ETD/465/2021, de 6 de mayo) para introducir productos en el catálogo, creando un precedente, la Administración se anticipa a los fabricantes  El COVID-19 ha limitado los desplazamientos físicos y obligado a la Administración a recurrir a este tipo de herramientas (consistentes en sistema de identificación remota para la obtención de certificados cualificados) para la realización de gestiones.
Caso de éxito nº 1: Herramientas de Video Identificación.  Nueva taxonomía creada en el catálogo.  Requisitos fundamentales de seguridad  Proceso general de identificación.  Identificación del solicitante.  Validación de los documentos de identidad  Requisitos de Auditoría  Comunicaciones seguras  Administración confiable  Identificación y autenticación  Protección de credenciales y datos sensibles
Caso de éxito nº 1: Herramientas de Video Identificación.  Documento de apoyo a la evaluación:
Caso de éxito nº 2: Cumplimiento del ENS – Cualificación de un cortafuegos  Marco legislativo - El ENS incluye las siguientes medidas:
Caso de éxito nº 2: Cumplimiento del ENS – Cualificación de un cortafuegos  En este caso, la Diputación de Málaga decide asegurarse que el producto (cortafuegos) que utiliza supera unos estándares de ciberseguridad para cumplir con el ENS.  Es la propia Administración y no el desarrollador la que solicita y patrocina la certificación/cualificación.  El producto solicitado por la Administración se encuentra en evaluación
Caso de éxito nº 3: Cargadores de vehículos eléctricos  Pliego publicado por una empresa privada, Iberdrola, refleja la obligatoriedad de que los proveedores de cargadores de vehículos eléctricos se certifiquen en LINCE, dando para ello un plazo de tiempo.  El hackeo de cargadores eléctricos podría suponer un problema para la red eléctrica a nivel europeo, tal y como recoge el Foro Económico Mundial de 2019, (consideración de infraestructura crítica)  Proyecto innovador a nivel mundial, creando la taxonomía desde 0, ya que nunca se ha evaluado este tipo de productos
Caso de éxito nº 3: Cargadores de vehículos eléctricos  Taxonomía en desarrollo. Requisitos fundamentales de seguridad:  Requisitos criptográficos  Instalación y actualización confiables  Requisitos de auditoría  Identificación y autenticación  Carga autorizada  Autoprotección  Requisitos de comunicación  Administración confiable
Caso de éxito nº 4: Software de gestión portuaria.  Software que gestiona todos los activos de un puerto  El fabricante quiere consolidar su posición en el mercado.  Potenciar la ciberseguridad en el sector portuario (Consideración de infraestructura crítica)  Proyecto pionero a nivel nacional
Conclusiones  La Administración cada vez potencia más el uso de productos ciberseguros, por lo tanto, de productos que estén incluidos en el catálogo CPSTIC.  El crecimiento de productos, familias y categorías en el catálogo es una gran noticia.  España es pionera en la evaluación y cualificación de productos como cargadores de vehículos eléctricos, herramientas de video identificación o gestión portuaria.
jtsec Beyond IT Security Granada & Madrid hola@jtsec.es www.jtsec.es Contacto “Any fool can make something complicated. It takes a genius to make it simple.” Woody Guthrie

Recommandé

La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.
Javier Tallón
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Javier Tallón
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
Javier Tallón
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.
Javier Tallón
 
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
Javier Tallón
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
 
Por qué las grandes empresas eligen ESET
Por qué las grandes empresas eligen ESETPor qué las grandes empresas eligen ESET
Por qué las grandes empresas eligen ESET
ESET Latinoamérica
 
Eset brochure-10razones-interactiva-2020
Eset brochure-10razones-interactiva-2020Eset brochure-10razones-interactiva-2020
Eset brochure-10razones-interactiva-2020
ESET Latinoamérica
 

Recommandé

La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.La certificación de ciberseguridad en Europa, un desafío común.
La certificación de ciberseguridad en Europa, un desafío común.
Javier Tallón
 
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Javier Tallón
 
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
Javier Tallón
 
Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.
Javier Tallón
 
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
Javier Tallón
 
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
 
Por qué las grandes empresas eligen ESET
Por qué las grandes empresas eligen ESETPor qué las grandes empresas eligen ESET
Por qué las grandes empresas eligen ESET
ESET Latinoamérica
 
Eset brochure-10razones-interactiva-2020
Eset brochure-10razones-interactiva-2020Eset brochure-10razones-interactiva-2020
Eset brochure-10razones-interactiva-2020
ESET Latinoamérica
 
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
Javier Tallón
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
Ingeniería e Integración Avanzadas (Ingenia)
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Internet Security Auditors
 
Jtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-esJtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-es
JTSEC Beyond IT Security
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
Javier Tallón
 
Resumen institucional del vd 087-09 formato presentacion comercial vr 10
Resumen institucional del vd 087-09 formato presentacion comercial vr 10Resumen institucional del vd 087-09 formato presentacion comercial vr 10
Resumen institucional del vd 087-09 formato presentacion comercial vr 10
Santiago Ariel Araya
 
Análisis de la nueva normativa sobre epis
Análisis de la nueva normativa sobre episAnálisis de la nueva normativa sobre epis
Análisis de la nueva normativa sobre epis
Prevencionar
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
Tecnimap
 
Articulo pandemia y auditorias remotas (1)
Articulo pandemia y auditorias remotas (1)Articulo pandemia y auditorias remotas (1)
Articulo pandemia y auditorias remotas (1)
Hector Gerardo Perozo Flores
 
Soluciones integrales para el acceso al mercado mexicano y extranjero… NYCE ASIA
Soluciones integrales para el acceso al mercado mexicano y extranjero… NYCE ASIASoluciones integrales para el acceso al mercado mexicano y extranjero… NYCE ASIA
Soluciones integrales para el acceso al mercado mexicano y extranjero… NYCE ASIA
NYCE
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Miguel A. Amutio
 
Paloma García, UNE
Paloma García, UNEPaloma García, UNE
Paloma García, UNE
AMETIC
 
Esquema Nacional de Seguridad, actualización y temas pendientes
Esquema Nacional de Seguridad, actualización y temas pendientesEsquema Nacional de Seguridad, actualización y temas pendientes
Esquema Nacional de Seguridad, actualización y temas pendientes
Miguel A. Amutio
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Javier Tallón
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Angela Gutierrez Vilca
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Angela Gutierrez Vilca
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens
Miguel A. Amutio
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2
Angela Gutierrez Vilca
 
Taller CTPAT, NEEC e IMMEX-SAT
Taller CTPAT, NEEC e IMMEX-SATTaller CTPAT, NEEC e IMMEX-SAT
Taller CTPAT, NEEC e IMMEX-SAT
Solo Negocios
 
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Miguel A. Amutio
 
Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio II
Javier Tallón
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
Javier Tallón
 

Contenu connexe

Similaire à III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herramientas de Videoidentificación y más

La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
Javier Tallón
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
Tecnimap
 
Soluciones integrales para el acceso al mercado mexicano y extranjero… NYCE ASIA
Soluciones integrales para el acceso al mercado mexicano y extranjero… NYCE ASIASoluciones integrales para el acceso al mercado mexicano y extranjero… NYCE ASIA
Soluciones integrales para el acceso al mercado mexicano y extranjero… NYCE ASIA
NYCE
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Javier Tallón
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens
Miguel A. Amutio
 
Taller CTPAT, NEEC e IMMEX-SAT
Taller CTPAT, NEEC e IMMEX-SATTaller CTPAT, NEEC e IMMEX-SAT
Taller CTPAT, NEEC e IMMEX-SAT
Solo Negocios
 

Similaire à III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herramientas de Videoidentificación y más (20)

¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
 
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Jtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-esJtsec ccn-stic-102-106-es
Jtsec ccn-stic-102-106-es
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
 
Resumen institucional del vd 087-09 formato presentacion comercial vr 10
Resumen institucional del vd 087-09 formato presentacion comercial vr 10Resumen institucional del vd 087-09 formato presentacion comercial vr 10
Resumen institucional del vd 087-09 formato presentacion comercial vr 10
 
Análisis de la nueva normativa sobre epis
Análisis de la nueva normativa sobre episAnálisis de la nueva normativa sobre epis
Análisis de la nueva normativa sobre epis
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas Rubio
 
Articulo pandemia y auditorias remotas (1)
Articulo pandemia y auditorias remotas (1)Articulo pandemia y auditorias remotas (1)
Articulo pandemia y auditorias remotas (1)
 
Soluciones integrales para el acceso al mercado mexicano y extranjero… NYCE ASIA
Soluciones integrales para el acceso al mercado mexicano y extranjero… NYCE ASIASoluciones integrales para el acceso al mercado mexicano y extranjero… NYCE ASIA
Soluciones integrales para el acceso al mercado mexicano y extranjero… NYCE ASIA
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
 
Paloma García, UNE
Paloma García, UNEPaloma García, UNE
Paloma García, UNE
 
Esquema Nacional de Seguridad, actualización y temas pendientes
Esquema Nacional de Seguridad, actualización y temas pendientesEsquema Nacional de Seguridad, actualización y temas pendientes
Esquema Nacional de Seguridad, actualización y temas pendientes
 
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
Cómo evaluar soluciones biométricas para incluir productos de videoidentifica...
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2
 
Taller CTPAT, NEEC e IMMEX-SAT
Taller CTPAT, NEEC e IMMEX-SATTaller CTPAT, NEEC e IMMEX-SAT
Taller CTPAT, NEEC e IMMEX-SAT
 
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
Seguridad IT (IX): Ciberamenazas, Tendencias, Confianza Digital. Esquema Naci...
 

Plus de Javier Tallón

ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
Javier Tallón
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCN
Javier Tallón
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and products
Javier Tallón
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
Javier Tallón
 
Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdf
Javier Tallón
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación Criptográfica
Javier Tallón
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
Javier Tallón
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896
Javier Tallón
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemes
Javier Tallón
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045
Javier Tallón
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...
Javier Tallón
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2
Javier Tallón
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...
Javier Tallón
 
CCCAB - Making CABs life easy
CCCAB - Making CABs life easyCCCAB - Making CABs life easy
CCCAB - Making CABs life easy
Javier Tallón
 
ICCC21 2021 statistics report
ICCC21 2021 statistics reportICCC21 2021 statistics report
ICCC21 2021 statistics report
Javier Tallón
 

Plus de Javier Tallón (20)

Evolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio IIEvolucionando la evaluación criptográfica - Episodio II
Evolucionando la evaluación criptográfica - Episodio II
 
ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
 
ICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCN
 
Experiences evaluating cloud services and products
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and products
 
TAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptx
 
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
 
Hacking your jeta.pdf
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdf
 
Evolucionado la evaluación Criptográfica
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación Criptográfica
 
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
 
EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896EUCA 22 - Let's harmonize labs competence ISO 19896
EUCA 22 - Let's harmonize labs competence ISO 19896
 
EUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemes
 
EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045
 
Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...
 
Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?
 
CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2
 
2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...
 
Automating Common Criteria
Automating Common Criteria Automating Common Criteria
Automating Common Criteria
 
CCCAB - Making CABs life easy
CCCAB - Making CABs life easyCCCAB - Making CABs life easy
CCCAB - Making CABs life easy
 
ICCC21 2021 statistics report
ICCC21 2021 statistics reportICCC21 2021 statistics report
ICCC21 2021 statistics report
 
jtsec Arqus Alliance presentation
jtsec Arqus Alliance presentationjtsec Arqus Alliance presentation
jtsec Arqus Alliance presentation
 

Dernier

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Dernier (11)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herramientas de Videoidentificación y más

  • 1.
  • 3. ¿Quién soy? Servicios Laboratorio acreditado LINCE y Common Criteria por ENAC Cualificación de productos en el catálogo CPSTIC Hitos 1º Laboratorio acreditado LINCE Líder en certificaciones LINCE Único laboratorio español miembro del SCCG y del EUCC ad-hoc Working Group  José Ruiz Gualda:  Co-Fundador & CTO  Experto en Common Criteria, LINCE y FIPS 140-2  Miembro del SCCG (Stakeholder Cybersecurity Certification Group) en la Comisión Europea  Secretario del SC3 en CTN320  Editor de LINCE como norma UNE
  • 4.  Catálogo CPSTIC - Referencia en la Administración  Certificaciones válidas para acceder al catálogo  CPSTIC – Ampliando su alcance  Casos de éxito del uso del catálogo en la Administración Índice
  • 5. Catálogo CPSTIC - Referencia en la Administración
  • 6. Catálogo CPSTIC - Referencia en la Administración El catálogo de Productos de Seguridad TIC (CPSTIC) ofrece un listado de productos con unas garantías de seguridad contrastadas por el Centro Criptológico Nacional. Este catálogo incluye los productos aprobados para manejar información nacional clasificada y los productos cualificados de seguridad TIC para uso en el ENS. Actualmente existen 10 categorías y 48 familias en su taxonomía de referencia (CCN-STIC-140). Ventajas Fácil adquisición de productos ciberseguros Evaluados por parte de un tercero confiable Disponible para todo el mundo
  • 7. Catálogo CPSTIC - Referencia en la Administración  Beneficios de incluir tu producto en el catálogo CPSTIC  Mejora la ciberseguridad de tu producto  Potente herramienta de marketing  Posiciona tu producto en la Administración Pública  Obtienes un certificado emitido por CCN
  • 8. Certificaciones válidas para acceder al catálogo
  • 9. Certificaciones válidas para acceder al catálogo - - - - Metodología ligera - Alcance nacional - Estándar sencillo orientado al análisis de vulnerabilidades y test de penetración - Duración y esfuerzo acotados - Más viable económicamente - Accesible a PYMEs - Su uso principal es la entrada en el catálogo. - Estándar UNE - Metodología pesada - Reconocida en 31 países - Distintos niveles de garantía - Versátil, aplicable a todo tipo de productos - Dificultad técnica para cumplir/entender el estándar. - Mayor tiempo para su obtención - Mayor coste económico Nivel medio – bajo ENS Nivel alto ENS Security Target
  • 10. CPSTIC – Ampliando su alcance
  • 11. CPSTIC – Ampliando su alcance  Motivos por los que se evalúa un producto:  Iniciativa propia empresa o Administración  Requisito en pliegos  Requerimiento por parte del cliente  Productos de diferentes entornos, desde sector defensa, telecomunicaciones, aeroespacial, industrial, infraestructuras críticas, energético…  Crecimiento continuo del número de categorías y familias del catálogo
  • 12. Casos de éxito del uso del catálogo en la Administración
  • 13. Caso de éxito nº 1: Herramientas de Video Identificación.  Primera vez que se utiliza una orden ministerial (Orden ETD/465/2021, de 6 de mayo) para introducir productos en el catálogo, creando un precedente, la Administración se anticipa a los fabricantes  El COVID-19 ha limitado los desplazamientos físicos y obligado a la Administración a recurrir a este tipo de herramientas (consistentes en sistema de identificación remota para la obtención de certificados cualificados) para la realización de gestiones.
  • 14. Caso de éxito nº 1: Herramientas de Video Identificación.  Nueva taxonomía creada en el catálogo.  Requisitos fundamentales de seguridad  Proceso general de identificación.  Identificación del solicitante.  Validación de los documentos de identidad  Requisitos de Auditoría  Comunicaciones seguras  Administración confiable  Identificación y autenticación  Protección de credenciales y datos sensibles
  • 15. Caso de éxito nº 1: Herramientas de Video Identificación.  Documento de apoyo a la evaluación:
  • 16. Caso de éxito nº 2: Cumplimiento del ENS – Cualificación de un cortafuegos  Marco legislativo - El ENS incluye las siguientes medidas:
  • 17. Caso de éxito nº 2: Cumplimiento del ENS – Cualificación de un cortafuegos  En este caso, la Diputación de Málaga decide asegurarse que el producto (cortafuegos) que utiliza supera unos estándares de ciberseguridad para cumplir con el ENS.  Es la propia Administración y no el desarrollador la que solicita y patrocina la certificación/cualificación.  El producto solicitado por la Administración se encuentra en evaluación
  • 18. Caso de éxito nº 3: Cargadores de vehículos eléctricos  Pliego publicado por una empresa privada, Iberdrola, refleja la obligatoriedad de que los proveedores de cargadores de vehículos eléctricos se certifiquen en LINCE, dando para ello un plazo de tiempo.  El hackeo de cargadores eléctricos podría suponer un problema para la red eléctrica a nivel europeo, tal y como recoge el Foro Económico Mundial de 2019, (consideración de infraestructura crítica)  Proyecto innovador a nivel mundial, creando la taxonomía desde 0, ya que nunca se ha evaluado este tipo de productos
  • 19. Caso de éxito nº 3: Cargadores de vehículos eléctricos  Taxonomía en desarrollo. Requisitos fundamentales de seguridad:  Requisitos criptográficos  Instalación y actualización confiables  Requisitos de auditoría  Identificación y autenticación  Carga autorizada  Autoprotección  Requisitos de comunicación  Administración confiable
  • 20. Caso de éxito nº 4: Software de gestión portuaria.  Software que gestiona todos los activos de un puerto  El fabricante quiere consolidar su posición en el mercado.  Potenciar la ciberseguridad en el sector portuario (Consideración de infraestructura crítica)  Proyecto pionero a nivel nacional
  • 21. Conclusiones  La Administración cada vez potencia más el uso de productos ciberseguros, por lo tanto, de productos que estén incluidos en el catálogo CPSTIC.  El crecimiento de productos, familias y categorías en el catálogo es una gran noticia.  España es pionera en la evaluación y cualificación de productos como cargadores de vehículos eléctricos, herramientas de video identificación o gestión portuaria.
  • 22. jtsec Beyond IT Security Granada & Madrid hola@jtsec.es www.jtsec.es Contacto “Any fool can make something complicated. It takes a genius to make it simple.” Woody Guthrie