La certificación de seguridad para productos y soluciones digitales es una garantía de fiabilidad. ¿En qué consiste esta certificación y cómo garantiza un alto nivel de ciberseguridad?
Definición de una certificación de seguridad
La certificación de seguridad para soluciones y software informático implica evaluar un producto según normas específicas de ciberseguridad. Este proceso es hoy en día crucial para garantizar la protección de los datos y los sistemas frente al aumento de las ciberamenazas. La certificación de seguridad también ayuda a las empresas en la búsqueda de soluciones digitales seguras para sus usos estratégicos y sensibles. Finalmente, permite armonizar los niveles de seguridad de las soluciones y participar en la creación de un sistema digital de confianza. Existen diferentes certificaciones de seguridad a nivel internacional y en Europa. Aquí hay un resumen:
Certificaciones de ciberseguridad internacionales
Common Criteria (CC)
Common Criteria es el estándar internacional de certificación de ciberseguridad de tecnologías de la información. También conocida como «Common Criteria for Information Technology Security Evaluation», esta norma internacional (ISO/IEC 15408) permite evaluar la seguridad de productos de TI por laboratorios acreditados e independientes, según criterios técnicos y organizativos exigentes. Los certificados son reconocidos internacionalmente por los firmantes del Acuerdo de Reconocimiento de Common Criteria (CCRA), entre ellos la ANSSI en Francia.
FIPS 140-3
Desarrollada por el National Institute of Standards and Technology (NIST) en los Estados Unidos, la norma FIPS 140-3 se enfoca especialmente en la verificación de la seguridad de los módulos de cifrado. Esencial para productos usados en entornos gubernamentales y sensibles, la norma analiza especialmente:
Las funcionalidades y capacidades del módulo de cifrado
Las interacciones con otros sistemas
La gestión de accesos y operaciones autorizadas
La seguridad de los componentes de software
El mantenimiento y las actualizaciones seguras
Las medidas contra diversas formas de ataques potenciales. Esta norma propone cuatro niveles cualitativos de seguridad (básicos a muy elevados), adaptados a diferentes aplicaciones y entornos de TI.
Certificaciones de ciberseguridad europeas
El proyecto de Certificación de Ciberseguridad Europea
El esquema de certificación EUCC se basa en el esquema internacional Common Criteria para la certificación de productos TIC, sus hardware y software (firewalls, dispositivos de cifrado y firma electrónica, routers, smartphones, tarjetas bancarias, etc.). En octubre de 2023, un primer proyecto de acto de ejecución del EUCC fue publicado por la Comisión Europea y abierto a comentarios. H4 EUCS (Esquema Europeo de Certificación para Servicios en la Nube) en estudio En la misma línea que el EUCC, la certificación EUCS busca específicamente aprobar la seguridad de productos y servicios alojados en la nube. La propuesta de texto está ahora bajo estudio del Grupo Europeo de Certificación de Ciberseguridad (ECCG) y permitirá reforzar la seguridad del cloud computing en Europa. En el marco de la directiva NIS 2 y el Acta de Resiliencia Cibernética, estos proyectos de certificaciones europeas buscan armonizar los niveles de seguridad de las soluciones de TI.
En Francia: el visado de seguridad de la ANSSI
La certificación de seguridad emitida por la ANSSI (Agencia Nacional de la Seguridad de los Sistemas de Información) es una referencia en Francia y también en Europa. Basada en el estándar internacional de certificación Common Criteria, este esquema de certificación nacional evalúa la robustez de una versión específica de un producto en un momento dado, en función del estado del arte de los ciberataques. Para emitirla, los laboratorios y expertos acreditados analizarán varios criterios de seguridad, como:
La conformidad con los estándares y regulaciones nacionales e internacionales de seguridad de los sistemas de información en vigor
Las medidas de seguridad técnicas y organizativas
La resistencia a ataques, incluyendo intentos de intrusión, hackeo y explotación de vulnerabilidades.
La gestión de accesos y autenticación para controlar el acceso a datos y recursos.
El cifrado y la protección de datos
La resiliencia y gestión de incidentes
El mantenimiento y actualizaciones de seguridad, para responder a nuevas amenazas y vulnerabilidades Además, la ANSSI también ofrece una calificación de seguridad para productos y servicios digitales destinados a sectores críticos y estratégicos (OIV y OSE). Esta responderá a exigencias reglamentarias específicas, como la Ley de Programación Militar, entre otras. La calificación de seguridad de la ANSSI atestigua así la adecuación entre las soluciones y las necesidades sensibles identificadas de las empresas. El proveedor debe demostrar que podrá cumplir sus compromisos a largo plazo.
¿A qué productos se dirigen las certificaciones de seguridad?
Muchos productos y soluciones informáticas pueden aspirar a una certificación de seguridad, siempre que expongan datos y/o sean utilizados por organizaciones sensibles. Aquí hay algunos tipos de productos que pueden beneficiarse de las certificaciones de seguridad:
Hardware Informático: servidores, routers, firewalls y otros equipos de red…
Software: sistemas operativos, aplicaciones y bases de datos…
Soluciones en la Nube: Servicios de computación en la nube, almacenamiento y aplicaciones basadas en la nube…
Productos de Cifrado: Módulos de cifrado, herramientas de gestión de claves…
Soluciones de Seguridad Móvil: Aplicaciones e infraestructuras de seguridad para dispositivos móviles…
Sistemas de Control Industrial (ICS) e Internet de las Cosas (IoT): dispositivos conectados en varios sectores industriales…
Tixeo, certificado y calificado por la ANSSI durante más de 6 años
El software de videoconferencia segura Tixeo ha sido certificado y calificado por la ANSSI durante más de 6 años. Gracias a su cifrado de extremo a extremo y su versión on-premise, ofrece a las empresas en sectores críticos una total confidencialidad para sus intercambios y, sobre todo, una alta capacidad de resiliencia operativa. A través de su certificación y calificación, el Estado francés recomienda su uso para aplicaciones sensibles. Otros sellos europeos confirman la seguridad de su solución.
Para demostrar su confiabilidad, las soluciones de tecnología de la información pueden obtener una certificación de seguridad. Esto representa una gran ventaja para los productos de TI en el mercado, en un contexto donde la ciberseguridad es ahora un desafío crucial para las organizaciones. Pero, ¿cómo podemos asegurarnos de la credibilidad de una certificación de seguridad de un país a otro?
¿Qué es una certificación de seguridad?
La certificación de seguridad para soluciones y software de TI implica evaluar el producto según normativas específicas de ciberseguridad. Estas pueden estar relacionadas con un sector y las regulaciones vigentes en cada país. Por tanto, dependiendo del país emisor, la certificación puede no cumplir con los mismos requisitos de ciberseguridad. Es por ello que es crucial analizar los criterios que determinan el nivel de credibilidad de una certificación en ciberseguridad.
Criterios para determinar el nivel de credibilidad
El poder ciber de la nación
El poder cibernético o «cyber power» contribuye al prestigio de una nación a nivel internacional. Se trata de su capacidad para utilizar las tecnologías digitales y el ciberespacio para alcanzar sus objetivos nacionales e internacionales, gracias a estrategias gubernamentales, operaciones defensivas o la movilización de recursos. Diferentes índices mundiales permiten determinar este nivel de poder cibernético.
El índice NCPI del Harvard Belfer Center
El National Cyber Power Index (NCPI) del Belfer Center es un índice de poder cibernético de las naciones. Este índice utiliza modelos de datos cualitativos y cuantitativos para evaluar las capacidades y el logro de objetivos de los Estados. Se refiere a 29 indicadores, distribuidos en dos categorías:
Los indicadores de intención
Los indicadores de intención reflejan las prioridades y motivaciones de un Estado en materia de ciberseguridad. En otras palabras, demuestra cómo el país planea utilizar sus capacidades cibernéticas, en función de sus objetivos estratégicos y políticos. Estos son diversos: defensa, espionaje, control de la información, influencia en la definición de normas del ciberespacio o operaciones ofensivas.
Los indicadores de capacidad
Los indicadores de capacidad evalúan las capacidades técnicas y los recursos de un país en el plano ciber, independientemente de cómo haya elegido utilizarlos. Esto incluye, en particular: la experiencia técnica, la infraestructura, las herramientas y tecnologías disponibles, y los recursos humanos calificados en ciberseguridad.
Los resultados del informe NCPI 2022
En el informe NCPI 2022, los autores evaluaron el poder cibernético de 30 países en el mundo. Así, en el top 10, se encuentran los Estados Unidos, China, Rusia, el Reino Unido y Francia en 9ª posición. Alemania y los Países Bajos se sitúan más abajo en la clasificación. Francia obtiene un puntaje de capacidad de aproximadamente 40 para el objetivo de «influencia en la definición de normas del ciberespacio». Se sitúa así en 4ª posición. En puntaje de intención, Francia se clasifica en el top 4 de las naciones más involucradas en el objetivo de defensa.
La evaluación del Internal Institute for Strategic Studies (IISS)
El IISS también ha desarrollado una metodología para determinar las capacidades ciber de una nación y cómo estas contribuyen a su poder. El instituto clasifica estas capacidades en 7 categorías distintas:
Estrategia y doctrina
Gobernanza, mando y control
Capacidad esencial de ciberespionaje
Habilitación y dependencia respecto al ciberespacio
Ciberseguridad y resiliencia
Liderazgo mundial en asuntos del ciberespacio
Capacidad de ciberseguridad ofensiva
Además, en su «Cyber Capabilities and National Power» publicado en 2021, el IISS analiza la posición de Francia en estos dominios. Se puede leer que «Francia es en muchos aspectos el primer país de la UE en materia de ciberseguridad y planificación de la resiliencia«.
Transparencia de Francia en materia de ciberseguridad
Por otra parte, Francia demuestra una mayor transparencia en la cuestión de la ciberseguridad. En efecto, el informe estipula que el país «mantiene una separación clara entre las operaciones cibernéticas defensivas y ofensivas«. Así, la ANSSI se dedica exclusivamente a operaciones defensivas y no forma parte de la comunidad de inteligencia. A diferencia de la National Security Agency (NSA) en los Estados Unidos o del Government Communications Headquarters (GCHQ) en el Reino Unido. «Esta distinción es importante para algunos en Francia, sobre la base de la hipótesis de que los objetivos y el ámbito de competencia de una agencia de inteligencia, especialmente su disposición hacia el secreto, pueden interferir con algunos de los objetivos y prácticas necesarios para la ciberseguridad del sector civil, incluida la necesidad de una mayor transparencia con respecto a las violaciones de ciberseguridad«.
El poder ciber de una nación es, por lo tanto, uno de los criterios esenciales a tener en cuenta para evaluar la credibilidad de una certificación de seguridad. De hecho, cuando un país está altamente clasificado, demuestra su alto nivel de exigencia y capacidad en materia de ciberseguridad. Otro criterio decisivo es el esquema nacional de certificación.
El esquema de certificación nacional
El único estándar internacional para la evaluación de la seguridad de productos y sistemas informáticos es el Common Criteria (CC). Este analiza criterios técnicos, pero también organizacionales y relativos a los procesos de la empresa para otorgar un nivel de seguridad más o menos elevado (7 niveles). Estos criterios son muy exigentes y suponen la implementación de medios importantes por las organizaciones. Así, solo grandes empresas o grupos tienen los medios para aspirar a una certificación del CC. Sin embargo, esta dificultad de atribución está en oposición con el deseo de desarrollar un sistema digital de confianza, que agrupe organizaciones de todos los tamaños, multinacionales como PYMEs.
Para facilitar este proceso de certificación, Francia y Alemania, con su experiencia como países certificadores, han creado esquemas de certificación nacionales, orientados a la evaluación técnica de los productos:
Estos esquemas han permitido ampliar la certificación a un mayor número de soluciones informáticas, y reforzar su visibilidad, garantizando al mismo tiempo su alto nivel de seguridad. De hecho, la credibilidad de estos esquemas de certificación nacionales se basa ante todo en la del país emisor.
La experiencia de la nación en la emisión de certificaciones
Número de certificaciones CC emitidas en 2022 por país (Informes estadísticos sobre Criterios Comunes 2022)
La experiencia de la nación en la emisión de certificaciones cuenta mucho en la credibilidad de su esquema de certificación. Y es que, el número de productos certificados demuestra una experiencia y un compromiso particular por la ciberseguridad.
En 2022, según el Common Criteria Statistics Report, Francia, a través de la ANSSI, es líder mundial en número de certificaciones Common Criteria otorgadas, por delante de los Estados Unidos y los Países Bajos, con 74 productos certificados. Durante los últimos 5 años, Francia es el segundo país que ha otorgado más certificaciones, justo detrás de los Estados Unidos.
En resumen, la credibilidad de una certificación de seguridad se basa en tres criterios principales:
El poder ciber de la nación emisora de la certificación
El compromiso del país para desarrollar un sistema digital de confianza, a través de su esquema de certificación nacional
La experiencia de la nación en la certificación
Francia, una de las potencias ciber más creíbles
Francia aparece como una de las potencias cibernéticas más creíbles y experimentadas, según los diferentes índices de «cyber power» y gracias a su experiencia en la evaluación de productos informáticos.
Por eso, las soluciones certificadas por la ANSSI cuentan con garantías de seguridad importantes y una confianza aumentada.
Tixeo, única solución de videoconferencia segura certificada y calificada por la ANSSI
Gracias a su tecnología de cifrado de extremo a extremosoberana y su oferta de videoconferencia segura on-premise, Tixeo está certificada y calificada por la ANSSI desde 2017.
Con tres certificados de seguridad de la ANSSI recibidos en 6 años, la empresa muestra una continuidad en su compromiso con la seguridad y un alto nivel de exigencia que va más allá del aspecto puramente «marketing» de la certificación.
