Para demostrar su confiabilidad, las soluciones de tecnología de la información pueden obtener una certificación de seguridad. Esto representa una gran ventaja para los productos de TI en el mercado, en un contexto donde la ciberseguridad es ahora un desafío crucial para las organizaciones. Pero, ¿cómo podemos asegurarnos de la credibilidad de una certificación de seguridad de un país a otro?
¿Qué es una certificación de seguridad?
La certificación de seguridad para soluciones y software de TI implica evaluar el producto según normativas específicas de ciberseguridad. Estas pueden estar relacionadas con un sector y las regulaciones vigentes en cada país. Por tanto, dependiendo del país emisor, la certificación puede no cumplir con los mismos requisitos de ciberseguridad. Es por ello que es crucial analizar los criterios que determinan el nivel de credibilidad de una certificación en ciberseguridad.
Criterios para determinar el nivel de credibilidad
El poder ciber de la nación
El poder cibernético o «cyber power» contribuye al prestigio de una nación a nivel internacional. Se trata de su capacidad para utilizar las tecnologías digitales y el ciberespacio para alcanzar sus objetivos nacionales e internacionales, gracias a estrategias gubernamentales, operaciones defensivas o la movilización de recursos. Diferentes índices mundiales permiten determinar este nivel de poder cibernético.
El índice NCPI del Harvard Belfer Center
El National Cyber Power Index (NCPI) del Belfer Center es un índice de poder cibernético de las naciones. Este índice utiliza modelos de datos cualitativos y cuantitativos para evaluar las capacidades y el logro de objetivos de los Estados. Se refiere a 29 indicadores, distribuidos en dos categorías:
- Los indicadores de intención
Los indicadores de intención reflejan las prioridades y motivaciones de un Estado en materia de ciberseguridad. En otras palabras, demuestra cómo el país planea utilizar sus capacidades cibernéticas, en función de sus objetivos estratégicos y políticos. Estos son diversos: defensa, espionaje, control de la información, influencia en la definición de normas del ciberespacio o operaciones ofensivas.
- Los indicadores de capacidad
Los indicadores de capacidad evalúan las capacidades técnicas y los recursos de un país en el plano ciber, independientemente de cómo haya elegido utilizarlos. Esto incluye, en particular: la experiencia técnica, la infraestructura, las herramientas y tecnologías disponibles, y los recursos humanos calificados en ciberseguridad.
Los resultados del informe NCPI 2022
En el informe NCPI 2022, los autores evaluaron el poder cibernético de 30 países en el mundo. Así, en el top 10, se encuentran los Estados Unidos, China, Rusia, el Reino Unido y Francia en 9ª posición. Alemania y los Países Bajos se sitúan más abajo en la clasificación. Francia obtiene un puntaje de capacidad de aproximadamente 40 para el objetivo de «influencia en la definición de normas del ciberespacio». Se sitúa así en 4ª posición. En puntaje de intención, Francia se clasifica en el top 4 de las naciones más involucradas en el objetivo de defensa.
La evaluación del Internal Institute for Strategic Studies (IISS)
El IISS también ha desarrollado una metodología para determinar las capacidades ciber de una nación y cómo estas contribuyen a su poder. El instituto clasifica estas capacidades en 7 categorías distintas:
- Estrategia y doctrina
- Gobernanza, mando y control
- Capacidad esencial de ciberespionaje
- Habilitación y dependencia respecto al ciberespacio
- Ciberseguridad y resiliencia
- Liderazgo mundial en asuntos del ciberespacio
- Capacidad de ciberseguridad ofensiva
Además, en su «Cyber Capabilities and National Power» publicado en 2021, el IISS analiza la posición de Francia en estos dominios. Se puede leer que «Francia es en muchos aspectos el primer país de la UE en materia de ciberseguridad y planificación de la resiliencia«.
Transparencia de Francia en materia de ciberseguridad
Por otra parte, Francia demuestra una mayor transparencia en la cuestión de la ciberseguridad. En efecto, el informe estipula que el país «mantiene una separación clara entre las operaciones cibernéticas defensivas y ofensivas«. Así, la ANSSI se dedica exclusivamente a operaciones defensivas y no forma parte de la comunidad de inteligencia. A diferencia de la National Security Agency (NSA) en los Estados Unidos o del Government Communications Headquarters (GCHQ) en el Reino Unido. «Esta distinción es importante para algunos en Francia, sobre la base de la hipótesis de que los objetivos y el ámbito de competencia de una agencia de inteligencia, especialmente su disposición hacia el secreto, pueden interferir con algunos de los objetivos y prácticas necesarios para la ciberseguridad del sector civil, incluida la necesidad de una mayor transparencia con respecto a las violaciones de ciberseguridad«.
El poder ciber de una nación es, por lo tanto, uno de los criterios esenciales a tener en cuenta para evaluar la credibilidad de una certificación de seguridad. De hecho, cuando un país está altamente clasificado, demuestra su alto nivel de exigencia y capacidad en materia de ciberseguridad. Otro criterio decisivo es el esquema nacional de certificación.
El esquema de certificación nacional
El único estándar internacional para la evaluación de la seguridad de productos y sistemas informáticos es el Common Criteria (CC). Este analiza criterios técnicos, pero también organizacionales y relativos a los procesos de la empresa para otorgar un nivel de seguridad más o menos elevado (7 niveles). Estos criterios son muy exigentes y suponen la implementación de medios importantes por las organizaciones. Así, solo grandes empresas o grupos tienen los medios para aspirar a una certificación del CC. Sin embargo, esta dificultad de atribución está en oposición con el deseo de desarrollar un sistema digital de confianza, que agrupe organizaciones de todos los tamaños, multinacionales como PYMEs.
Para facilitar este proceso de certificación, Francia y Alemania, con su experiencia como países certificadores, han creado esquemas de certificación nacionales, orientados a la evaluación técnica de los productos:
- La Certification de Sécurité de Premier Niveau (CSPN), otorgada por la ANSSI en Francia
- Y el Beschleunigte Sicherheitszertifizierung (BSZ), otorgado por el BSI en Alemania
Estos esquemas han permitido ampliar la certificación a un mayor número de soluciones informáticas, y reforzar su visibilidad, garantizando al mismo tiempo su alto nivel de seguridad. De hecho, la credibilidad de estos esquemas de certificación nacionales se basa ante todo en la del país emisor.
La experiencia de la nación en la emisión de certificaciones
(Informes estadísticos sobre Criterios Comunes 2022)
La experiencia de la nación en la emisión de certificaciones cuenta mucho en la credibilidad de su esquema de certificación. Y es que, el número de productos certificados demuestra una experiencia y un compromiso particular por la ciberseguridad.
En 2022, según el Common Criteria Statistics Report, Francia, a través de la ANSSI, es líder mundial en número de certificaciones Common Criteria otorgadas, por delante de los Estados Unidos y los Países Bajos, con 74 productos certificados. Durante los últimos 5 años, Francia es el segundo país que ha otorgado más certificaciones, justo detrás de los Estados Unidos.
En resumen, la credibilidad de una certificación de seguridad se basa en tres criterios principales:
- El poder ciber de la nación emisora de la certificación
- El compromiso del país para desarrollar un sistema digital de confianza, a través de su esquema de certificación nacional
- La experiencia de la nación en la certificación
Francia, una de las potencias ciber más creíbles
Francia aparece como una de las potencias cibernéticas más creíbles y experimentadas, según los diferentes índices de «cyber power» y gracias a su experiencia en la evaluación de productos informáticos.
Por eso, las soluciones certificadas por la ANSSI cuentan con garantías de seguridad importantes y una confianza aumentada.
Tixeo, única solución de videoconferencia segura certificada y calificada por la ANSSI
Gracias a su tecnología de cifrado de extremo a extremo soberana y su oferta de videoconferencia segura on-premise, Tixeo está certificada y calificada por la ANSSI desde 2017.
Con tres certificados de seguridad de la ANSSI recibidos en 6 años, la empresa muestra una continuidad en su compromiso con la seguridad y un alto nivel de exigencia que va más allá del aspecto puramente «marketing» de la certificación.