La certificación de seguridad para productos y soluciones digitales es una garantía de fiabilidad. ¿En qué consiste esta certificación y cómo garantiza un alto nivel de ciberseguridad?
Definición de una certificación de seguridad
La certificación de seguridad para soluciones y software informático implica evaluar un producto según normas específicas de ciberseguridad. Este proceso es hoy en día crucial para garantizar la protección de los datos y los sistemas frente al aumento de las ciberamenazas. La certificación de seguridad también ayuda a las empresas en la búsqueda de soluciones digitales seguras para sus usos estratégicos y sensibles. Finalmente, permite armonizar los niveles de seguridad de las soluciones y participar en la creación de un sistema digital de confianza. Existen diferentes certificaciones de seguridad a nivel internacional y en Europa. Aquí hay un resumen:
Certificaciones de ciberseguridad internacionales
Common Criteria (CC)
Common Criteria es el estándar internacional de certificación de ciberseguridad de tecnologías de la información. También conocida como “Common Criteria for Information Technology Security Evaluation”, esta norma internacional (ISO/IEC 15408) permite evaluar la seguridad de productos de TI por laboratorios acreditados e independientes, según criterios técnicos y organizativos exigentes. Los certificados son reconocidos internacionalmente por los firmantes del Acuerdo de Reconocimiento de Common Criteria (CCRA), entre ellos la ANSSI en Francia.
FIPS 140-3
Desarrollada por el National Institute of Standards and Technology (NIST) en los Estados Unidos, la norma FIPS 140-3 se enfoca especialmente en la verificación de la seguridad de los módulos de cifrado. Esencial para productos usados en entornos gubernamentales y sensibles, la norma analiza especialmente:
- Las funcionalidades y capacidades del módulo de cifrado
- Las interacciones con otros sistemas
- La gestión de accesos y operaciones autorizadas
- La seguridad de los componentes de software
- El mantenimiento y las actualizaciones seguras
- Las medidas contra diversas formas de ataques potenciales. Esta norma propone cuatro niveles cualitativos de seguridad (básicos a muy elevados), adaptados a diferentes aplicaciones y entornos de TI.
Certificaciones de ciberseguridad europeas
El proyecto de Certificación de Ciberseguridad Europea
El esquema de certificación EUCC se basa en el esquema internacional Common Criteria para la certificación de productos TIC, sus hardware y software (firewalls, dispositivos de cifrado y firma electrónica, routers, smartphones, tarjetas bancarias, etc.). En octubre de 2023, un primer proyecto de acto de ejecución del EUCC fue publicado por la Comisión Europea y abierto a comentarios. H4 EUCS (Esquema Europeo de Certificación para Servicios en la Nube) en estudio En la misma línea que el EUCC, la certificación EUCS busca específicamente aprobar la seguridad de productos y servicios alojados en la nube. La propuesta de texto está ahora bajo estudio del Grupo Europeo de Certificación de Ciberseguridad (ECCG) y permitirá reforzar la seguridad del cloud computing en Europa. En el marco de la directiva NIS 2 y el Acta de Resiliencia Cibernética, estos proyectos de certificaciones europeas buscan armonizar los niveles de seguridad de las soluciones de TI.
En Francia: el visado de seguridad de la ANSSI
La certificación de seguridad emitida por la ANSSI (Agencia Nacional de la Seguridad de los Sistemas de Información) es una referencia en Francia y también en Europa. Basada en el estándar internacional de certificación Common Criteria, este esquema de certificación nacional evalúa la robustez de una versión específica de un producto en un momento dado, en función del estado del arte de los ciberataques. Para emitirla, los laboratorios y expertos acreditados analizarán varios criterios de seguridad, como:
- La conformidad con los estándares y regulaciones nacionales e internacionales de seguridad de los sistemas de información en vigor
- Las medidas de seguridad técnicas y organizativas
- La resistencia a ataques, incluyendo intentos de intrusión, hackeo y explotación de vulnerabilidades.
- La gestión de accesos y autenticación para controlar el acceso a datos y recursos.
- El cifrado y la protección de datos
- La resiliencia y gestión de incidentes
- El mantenimiento y actualizaciones de seguridad, para responder a nuevas amenazas y vulnerabilidades Además, la ANSSI también ofrece una calificación de seguridad para productos y servicios digitales destinados a sectores críticos y estratégicos (OIV y OSE). Esta responderá a exigencias reglamentarias específicas, como la Ley de Programación Militar, entre otras. La calificación de seguridad de la ANSSI atestigua así la adecuación entre las soluciones y las necesidades sensibles identificadas de las empresas. El proveedor debe demostrar que podrá cumplir sus compromisos a largo plazo.
¿Cómo evaluar la credibilidad de una certificación de seguridad?
¿A qué productos se dirigen las certificaciones de seguridad?
Muchos productos y soluciones informáticas pueden aspirar a una certificación de seguridad, siempre que expongan datos y/o sean utilizados por organizaciones sensibles. Aquí hay algunos tipos de productos que pueden beneficiarse de las certificaciones de seguridad:
- Hardware Informático: servidores, routers, firewalls y otros equipos de red…
- Software: sistemas operativos, aplicaciones y bases de datos…
- Soluciones en la Nube: Servicios de computación en la nube, almacenamiento y aplicaciones basadas en la nube…
- Productos de Cifrado: Módulos de cifrado, herramientas de gestión de claves…
- Soluciones de Seguridad Móvil: Aplicaciones e infraestructuras de seguridad para dispositivos móviles…
- Sistemas de Control Industrial (ICS) e Internet de las Cosas (IoT): dispositivos conectados en varios sectores industriales…
Tixeo, certificado y calificado por la ANSSI durante más de 6 años
El software de videoconferencia segura Tixeo ha sido certificado y calificado por la ANSSI durante más de 6 años. Gracias a su cifrado de extremo a extremo y su versión on-premise, ofrece a las empresas en sectores críticos una total confidencialidad para sus intercambios y, sobre todo, una alta capacidad de resiliencia operativa. A través de su certificación y calificación, el Estado francés recomienda su uso para aplicaciones sensibles. Otros sellos europeos confirman la seguridad de su solución.