La certificación de ciberseguridad en Europa, un desafío común.

Javier Tallón
Javier TallónSecurity Expert at jtsec Beyond IT Security
#XIVJORNADASCCNCERT “La certificación de ciberseguridad en Europa, un desafío común”
Foto ponente Javier Tallón Guerri jtsec: Beyond IT Security jtallon@jtsec.es  Ingeniero en Informática (Universidad de Granada)  Co-Fundador & Director Técnico en jtsec Beyond IT Security S.L.  Full-stack hacker wannabe  Experto en Common Criteria, Lince, PCI-PTS, FIPS 140-2, ISO 27K1, SOC2  Profesor del Máster de Ciberseguridad en la Universidad de Granada  Miembros del grupo de trabajo Ad-hoc SOG-IS en la Agencia Europea de Ciberseguridad ENISA y del SCCG (Stakeholders Cybersecurity Certification Group)  Colaboramos en diversos foros de estandarización como ISO o CEN/CENELEC
La certificación de ciberseguridad en Europa, un desafío común Antecedentes
Antecedentes La certificación de ciberseguridad en Europa, un desafío común • La evaluación y certificación de un producto de seguridad TIC es el único medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información de forma segura. • En España, esta responsabilidad está asignada al Centro Criptológico Nacional (CCN) desde su creación a través del RD 421/2004 de 12 de Marzo • Certificación Funcional • Certificación Criptológica • Certificación TEMPEST • Este Organismo de Certificación (OC), en lo relativo a la certificación funcional de la seguridad de las TI, se articula mediante el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, aprobado por Orden PRE/2740/2007, de 19 de septiembre.
Antecedentes La certificación de ciberseguridad en Europa, un desafío común • Desde entonces forma parte del acuerdo de reconocimiento mutuo CCRA para la norma Common Criteria • En 2010 es uno de los 8 primeros países que firma el acuerdo de reconocimiento mutuo europeo SOG-IS para Common Criteria. Hoy son 17. • En 2018 crea LINCE, la cuarta metodología de evaluación europea de esfuerzo acotado. Hoy ya es la que más certificados de este tipo ha emitido en Europa. • En la actualidad 8 laboratorios acreditados.
Antecedentes La certificación de ciberseguridad en Europa, un desafío común 2020 6º país en el mundo
Antecedentes La certificación de ciberseguridad en Europa, un desafío común • Por sus números, España ya es una potencia mundial en certificación de ciberseguridad. • Si además comparamos con el PIB del país, el resultado es aun más meritorio. • Si añadimos que el OC español está formado por un equipo de certificadores MUY inferior al de otros países, definitivamente estamos ante algo heroico.
Antecedentes La certificación de ciberseguridad en Europa, un desafío común
Antecedentes La certificación de ciberseguridad en Europa, un desafío común • enisa como Agencia Europea de Ciberseguridad • Creación de un marco europeo de certificación • Incrementar la ciberseguridad dentro de la Unión Europea • Emitir certificados de ciberseguridad reconocidos en toda Europa • Mejorar las condiciones del mercado interno • La UE es importador neto en ciberseguridad, mientras que sus principales competidores, Estados Unidos, China, India y Japón, son exportadores netos. • Incrementar la competitividad y crecimiento de las compañías europeas • Estándares de Ciberseguridad de calidad • Minimizar el coste de las certificaciones Productos Procesos Sistemas
Antecedentes La certificación de ciberseguridad en Europa, un desafío común … Automotive Industrial 5G Payment … … ICT Products Development processes HORIZONTALES VERTICALES
Antecedentes La certificación de ciberseguridad en Europa, un desafío común National Accreditation Body (NAB) National Cybersecurity Certification Authority (NCCA) Conformity Assessment Body (CAB) Acredita Acredita Autoriza Evalúa Supervisa Nivel de garantía: Alto Esquema de certificación Proceso de evaluación Requisitos ciberseg. Aplica De conformidad con Estándares europeos o internacionales Según Emite, monitoriza y supervisa
Antecedentes La certificación de ciberseguridad en Europa, un desafío común National Accreditation Body (NAB) National Cybersecurity Certification Authority (NCCA) Conformity Assessment Body (CAB) Acredita Acredita Autoriza Evalúa Supervisa Nivel de garantía: Substancial Esquema de certificación Proceso de evaluación Requisitos ciberseg. Aplica De conformidad con Estándares europeos o internacionales Según
Antecedentes La certificación de ciberseguridad en Europa, un desafío común National Cybersecurity Certification Authority (NCCA) Fabricante Audita Nivel de garantía: Básico Esquema de certificación Proceso de evaluación Requisitos ciberseg. Aplica De conformidad con Estándares europeos o internacionales Según Monitoriza y supervisa
Antecedentes La certificación de ciberseguridad en Europa, un desafío común Nivel ¿Qué se prueba? Objetivo Tipo de evaluación minima ¿Quién hace las pruebas? ¿Quién emite el certificado? High Cumplimiento y robustez Preservar la soberanía, proteger al ciudadano y a la industria de organizaciones criminales Pruebas de penetración Ataques State-of-the art CAB-ITSEF NCCA Substantial Cumplimiento y robustez Prevenir ataques escalables en dispositivos de coste medio/alto Ausencia de vulnerabilidades públicas Pruebas de conformidad CAB-ITSEF CAB-CB Basic Cumplimiento Prevenir ataques masivos en dispositivos de bajo coste Revisión de documentación técnica CAB-ITSEF CAB-CB Auto-evaluación Fabricante N/A. Declaración de conformidad
Antecedentes La certificación de ciberseguridad en Europa, un desafío común Obligaciones para los fabricantes • Repositorio de vulnerabilidades públicas y dirección de contacto • Periodo de soporte: durante cuanto tiempo se espera proveer parches. • Notificar dependencias Gestión de no conformidades • E.g. Uso ilegítimo del certificado, no proporcionar parches de manera efectiva • ¡Responsabilidad legal! Potenciales multas a fabricantes o CABs Monitorización del cumplimiento • Análisis del panorama de amenazas • Potencialmente repetir evaluaciones La certificación sigue siendo voluntaria… hasta que se indique lo contrario. • Prevista revisión por la Comisión Europea en 2023
La certificación de ciberseguridad en Europa, un desafío común Estado Actual
La certificación de ciberseguridad en Europa, un desafío común.
Estado actual La certificación de ciberseguridad en Europa, un desafío común • EUCC • Esquema de certificación de productos para niveles substancial y alto • Trasposición del SOG-IS: Good old Common Criteria • Primera versión ya sometida a consulta pública • Al Adhoc Working Group sigue activo para resolver • Q2 2021 Implementing Act • Novedades • Patch Management • Critical Update Flow • ISO/IEC 15408 & ISO/IEC 18045 • Periodo de transición de entre 1 y 2 años • Mayor colaboración fabricante - laboratorio
Estado actual La certificación de ciberseguridad en Europa, un desafío común • Servicios Cloud • Esquema de certificación de servicios para niveles básico, substancial y alto • No self-assessment • Se lanza Adhoc WG en Marzo de 2020 • Parte del trabajo de CSPCert • Usa el lenguaje de ISO/IEC 17788 (Infraestructura / plataforma / aplicación) • Metodología similar a ISO270xx / ISAE. Controles similares a los de C5 del BSI. • Considera el uso de “Complementary User Entity Controls” • Se espera primera versión del esquema candidato para final de año • Afectará a todos los proveedores de servicios cloud
La certificación de ciberseguridad en Europa, un desafío común Futuro
Futuro La certificación de ciberseguridad en Europa, un desafío común • Prioridades estratégicas • Estandarización • Seguridad por diseño, seguridad del ciclo de vida y seguridad por defecto • Garantía basada en riesgos • Coherencia, “componibilidad” • Cooperación internacional
Futuro La certificación de ciberseguridad en Europa, un desafío común • Nuevos esquemas • Componentes Industriales (IACS) • Los sistemas de control industrial son construidos como la integración de múltiples y dispares componentes hardware/software • Asegurar IACS asegurando sus componentes • Hay una propuesta de ERNCIP (European Reference Network for Critical Infrastructure Protection), dependiente de la Comisión Europea • Potenciales metodologías: IEC 62443 & Lightweight (e.g. Lince) • Contempla self-assessment • IoT • ¿Qué es IoT? • Depende del uso  Esquema genérico • Potenciales metodologías: ETSI EN 303 645 • + 5G • Servicios críticos dependerán del 5G • Contemplado desde la publicación de la EU Toolbox • Potenciales metodologías: GSMA NESAS, Common Criteria
Futuro La certificación de ciberseguridad en Europa, un desafío común • Potenciales nuevos esquemas FITCEM BSZ
La certificación de ciberseguridad en Europa, un desafío común Conclusiones
• Ciudadanos • Gracias al CSA la mejora en la ciberseguridad para todos será evidente • El ciudadano está en el centro de las políticas europeas de ciberseguridad. Europa lo hace por ti. Conclusiones La certificación de ciberseguridad en Europa, un desafío común
• Fabricantes / Proveedores • Momento de oportunidad para mejorar la competitividad con respecto a las empresas extranjeras • Hay que ponerse las pilas y estar preparados • Riesgo! Nuevos players europeos Conclusiones La certificación de ciberseguridad en Europa, un desafío común
• Administración española • Responsabilidades de la NCCA: • Controlar la conformidad de todos los certificados • Controlar el cumplimiento de las obligaciones de fabricantes y proveedores • Apoyar a las entidades de acreditación • Autorizar y auditar a los CABs • Tramitar las reclamaciones a los certificados • Imponer sanciones • Cooperar con otras NCCAs intercambiando información • Estar al día del panorama de la ciberseguridad • Sin inversión gubernamental YA para dotar a la NCCA de los recursos necesarios la posibilidad de que perdamos el tren de la competitividad es REAL Conclusiones La certificación de ciberseguridad en Europa, un desafío común
CSA, Artículo 58.5 “Los Estados miembros velarán por que las autoridades nacionales de certificación de la ciberseguridad dispongan de los recursos adecuados para ejercer sus competencias y llevar a cabo, de manera eficaz y eficiente, las tareas que tienen encomendadas.” Conclusiones La certificación de ciberseguridad en Europa, un desafío común
Contacto La certificación de ciberseguridad en Europa, un desafío común “Cualquier loco puede realizar algo complicado. Se necesita un genio para hacerlo simple.” Woody Guthrie
MUCHAS GRACIAS
1 of 30

La certificación de ciberseguridad en Europa, un desafío común.

Download to read offline
Technology

Europa es una potencia mundial en cuanto a certificaciones de ciberseguridad se refiere, por eso existen iniciativas y planes de desarrollo comunes impulsados por la Unión Europea para crear marcos y certificaciones comunes en los próximos años.

Javier Tallón
Javier TallónSecurity Expert at jtsec Beyond IT Security

Recommended

III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram... by
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...
III Encuentro del ENS- Usando el CPSTIC/ENECSTI en la administración - Herram...Javier Tallón
112 views22 slides
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ... by
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
127 views47 slides
CCCAB, la apuesta europea por la automatización de los Organismos de Certific... by
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...CCCAB, la apuesta europea por la automatización de los Organismos de Certific...
CCCAB, la apuesta europea por la automatización de los Organismos de Certific...Javier Tallón
59 views2 slides
Cómo mantener tu producto en el catálogo CPSTIC. by
Cómo mantener tu producto en el catálogo CPSTIC.Cómo mantener tu producto en el catálogo CPSTIC.
Cómo mantener tu producto en el catálogo CPSTIC.Javier Tallón
126 views14 slides
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr... by
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...Javier Tallón
145 views24 slides
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru... by
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...
Conclusiones del Grupo de Debate 3: Ciberseguridad y Protección de Infraestru...Centro Andaluz de Innovación y Tecnologías de la Información y las Comunicaciones
790 views17 slides

More Related Content

Similar to La certificación de ciberseguridad en Europa, un desafío común.

¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)? by
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?Javier Tallón
32 views18 slides
El nuevo ENS ante la ciberseguridad que viene by
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que vieneMiguel A. Amutio
117 views26 slides
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad. by
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
1.3K views50 slides
La ventaja de implementar una solución de ciberseguridad certificada por el C... by
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
8 views24 slides
El Centro Europeo de Competencias en Ciberseguridad by
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en CiberseguridadMiguel A. Amutio
5 views10 slides
V Encuentros CCN ENS. Novedades, retos y tendencias by
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendenciasMiguel A. Amutio
12 views11 slides

Similar to La certificación de ciberseguridad en Europa, un desafío común.(20)

¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)? by Javier Tallón
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
¿Cómo incluir productos y servicios en el catálogo CPSTIC (CCN-STIC 105)?
Javier Tallón32 views
El nuevo ENS ante la ciberseguridad que viene by Miguel A. Amutio
El nuevo ENS ante la ciberseguridad que vieneEl nuevo ENS ante la ciberseguridad que viene
El nuevo ENS ante la ciberseguridad que viene
Miguel A. Amutio117 views
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad. by Internet Security Auditors
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Internet Security Auditors1.3K views
La ventaja de implementar una solución de ciberseguridad certificada por el C... by Javier Tallón
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
Javier Tallón8 views
El Centro Europeo de Competencias en Ciberseguridad by Miguel A. Amutio
El Centro Europeo de Competencias en CiberseguridadEl Centro Europeo de Competencias en Ciberseguridad
El Centro Europeo de Competencias en Ciberseguridad
Miguel A. Amutio5 views
V Encuentros CCN ENS. Novedades, retos y tendencias by Miguel A. Amutio
V Encuentros CCN ENS. Novedades, retos y tendenciasV Encuentros CCN ENS. Novedades, retos y tendencias
V Encuentros CCN ENS. Novedades, retos y tendencias
Miguel A. Amutio12 views
Módulo 1 Presentación Ciberseguridad Avanzada.pdf by Georg56
Módulo 1 Presentación Ciberseguridad Avanzada.pdfMódulo 1 Presentación Ciberseguridad Avanzada.pdf
Módulo 1 Presentación Ciberseguridad Avanzada.pdf
Georg5618 views
Seguridad Gestionada by comissioosi
Seguridad GestionadaSeguridad Gestionada
Seguridad Gestionada
comissioosi320 views
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm... by Ingeniería e Integración Avanzadas (Ingenia)
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
#CibersegAnd18. CPSTIC: Un catálogo de productos de seguridad TIC para la Adm...
Ingeniería e Integración Avanzadas (Ingenia)324 views
Articulo pandemia y auditorias remotas (1) by Hector Gerardo Perozo Flores
Articulo pandemia y auditorias remotas (1)Articulo pandemia y auditorias remotas (1)
Articulo pandemia y auditorias remotas (1)
Hector Gerardo Perozo Flores20 views
Svt cloud security services - Catalogo de Servicios by Josep Bardallo
Svt cloud security services - Catalogo de ServiciosSvt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de Servicios
Josep Bardallo477 views
Formación de capital humano en ciberseguridad en Chile by Claudio Álvarez Gómez
Formación de capital humano en ciberseguridad en ChileFormación de capital humano en ciberseguridad en Chile
Formación de capital humano en ciberseguridad en Chile
Claudio Álvarez Gómez689 views
Presentación de anubis by Zink Security
Presentación de anubisPresentación de anubis
Presentación de anubis
Zink Security1.6K views
Módulo 4 firma electrónica avanzada by Instituto Nacional de Administración Pública
Módulo 4 firma electrónica avanzadaMódulo 4 firma electrónica avanzada
Módulo 4 firma electrónica avanzada
Instituto Nacional de Administración Pública657 views
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros by Primala Sistema de Gestion
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministrosNorma iso 28000 sistema de gestion de seguridad de la cadena de suministros
Norma iso 28000 sistema de gestion de seguridad de la cadena de suministros
Primala Sistema de Gestion10.6K views
Presentacion de Nextel S.A. by Nextel S.A.
Presentacion de Nextel S.A.Presentacion de Nextel S.A.
Presentacion de Nextel S.A.
Nextel S.A.2.8K views
20150423 Jornada_Col Abogados by Antonio Ramos
20150423 Jornada_Col Abogados20150423 Jornada_Col Abogados
20150423 Jornada_Col Abogados
Antonio Ramos354 views
Presentacion Ontología de Seguridad para la securización de sistemas by guesta3f6ce
Presentacion Ontología de Seguridad para la securización de sistemasPresentacion Ontología de Seguridad para la securización de sistemas
Presentacion Ontología de Seguridad para la securización de sistemas
guesta3f6ce1K views
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v... by Primala Sistema de Gestion
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Norma iso 28000 sistema de gestion de seguridad la cadena de suministros v...
Primala Sistema de Gestion1.9K views
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l... by Ingeniería e Integración Avanzadas (Ingenia)
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
Ingeniería e Integración Avanzadas (Ingenia)682 views

More from Javier Tallón

ICCC2023 Statistics Report, has Common Criteria reached its peak? by
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?Javier Tallón
22 views29 slides
ICCC23 -The new cryptographic evaluation methodology created by CCN by
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCNJavier Tallón
4 views44 slides
Experiences evaluating cloud services and products by
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and productsJavier Tallón
8 views26 slides
TAICS - Cybersecurity Certification for European Market.pptx by
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptxJavier Tallón
56 views31 slides
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf by
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfJavier Tallón
14 views41 slides
Hacking your jeta.pdf by
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdfJavier Tallón
13 views43 slides

More from Javier Tallón(20)

ICCC2023 Statistics Report, has Common Criteria reached its peak? by Javier Tallón
ICCC2023 Statistics Report, has Common Criteria reached its peak?ICCC2023 Statistics Report, has Common Criteria reached its peak?
ICCC2023 Statistics Report, has Common Criteria reached its peak?
Javier Tallón22 views
ICCC23 -The new cryptographic evaluation methodology created by CCN by Javier Tallón
ICCC23 -The new cryptographic evaluation methodology created by CCNICCC23 -The new cryptographic evaluation methodology created by CCN
ICCC23 -The new cryptographic evaluation methodology created by CCN
Javier Tallón4 views
Experiences evaluating cloud services and products by Javier Tallón
Experiences evaluating cloud services and productsExperiences evaluating cloud services and products
Experiences evaluating cloud services and products
Javier Tallón8 views
TAICS - Cybersecurity Certification for European Market.pptx by Javier Tallón
TAICS - Cybersecurity Certification for European Market.pptxTAICS - Cybersecurity Certification for European Market.pptx
TAICS - Cybersecurity Certification for European Market.pptx
Javier Tallón56 views
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf by Javier Tallón
EUCA23 - Evolution of cryptographic evaluation in Europe.pdfEUCA23 - Evolution of cryptographic evaluation in Europe.pdf
EUCA23 - Evolution of cryptographic evaluation in Europe.pdf
Javier Tallón14 views
Hacking your jeta.pdf by Javier Tallón
Hacking your jeta.pdfHacking your jeta.pdf
Hacking your jeta.pdf
Javier Tallón13 views
Evolucionado la evaluación Criptográfica by Javier Tallón
Evolucionado la evaluación CriptográficaEvolucionado la evaluación Criptográfica
Evolucionado la evaluación Criptográfica
Javier Tallón22 views
España y CCN como referentes en la evaluación de ciberseguridad de soluciones... by Javier Tallón
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
España y CCN como referentes en la evaluación de ciberseguridad de soluciones...
Javier Tallón8 views
EUCA22 Panel Discussion: Differences between lightweight certification schemes by Javier Tallón
EUCA22 Panel Discussion: Differences between lightweight certification schemesEUCA22 Panel Discussion: Differences between lightweight certification schemes
EUCA22 Panel Discussion: Differences between lightweight certification schemes
Javier Tallón16 views
EUCA22 - Patch Management ISO_IEC 15408 & 18045 by Javier Tallón
EUCA22 - Patch Management ISO_IEC 15408 & 18045EUCA22 - Patch Management ISO_IEC 15408 & 18045
EUCA22 - Patch Management ISO_IEC 15408 & 18045
Javier Tallón22 views
Cross standard and scheme composition - A needed cornerstone for the European... by Javier Tallón
Cross standard and scheme composition - A needed cornerstone for the European...Cross standard and scheme composition - A needed cornerstone for the European...
Cross standard and scheme composition - A needed cornerstone for the European...
Javier Tallón16 views
Is Automation Necessary for the CC Survival? by Javier Tallón
Is Automation Necessary for the CC Survival?Is Automation Necessary for the CC Survival?
Is Automation Necessary for the CC Survival?
Javier Tallón10 views
CCCAB tool - Making CABs life easy - Chapter 2 by Javier Tallón
CCCAB tool - Making CABs life easy - Chapter 2CCCAB tool - Making CABs life easy - Chapter 2
CCCAB tool - Making CABs life easy - Chapter 2
Javier Tallón10 views
2022 CC Statistics report: will this year beat last year's record number of c... by Javier Tallón
2022 CC Statistics report: will this year beat last year's record number of c...2022 CC Statistics report: will this year beat last year's record number of c...
2022 CC Statistics report: will this year beat last year's record number of c...
Javier Tallón57 views
Automating Common Criteria by Javier Tallón
Automating Common Criteria Automating Common Criteria
Automating Common Criteria
Javier Tallón127 views
CCCAB - Making CABs life easy by Javier Tallón
CCCAB - Making CABs life easyCCCAB - Making CABs life easy
CCCAB - Making CABs life easy
Javier Tallón86 views
ICCC21 2021 statistics report by Javier Tallón
ICCC21 2021 statistics reportICCC21 2021 statistics report
ICCC21 2021 statistics report
Javier Tallón71 views
jtsec Arqus Alliance presentation by Javier Tallón
jtsec Arqus Alliance presentationjtsec Arqus Alliance presentation
jtsec Arqus Alliance presentation
Javier Tallón101 views
Industrial Automation Control Systems Cybersecurity Certification. Chapter II by Javier Tallón
Industrial Automation Control Systems Cybersecurity Certification. Chapter IIIndustrial Automation Control Systems Cybersecurity Certification. Chapter II
Industrial Automation Control Systems Cybersecurity Certification. Chapter II
Javier Tallón225 views
2020 Statistics Report. Is the industry surviving to lockdown? by Javier Tallón
2020 Statistics Report. Is the industry surviving to lockdown?2020 Statistics Report. Is the industry surviving to lockdown?
2020 Statistics Report. Is the industry surviving to lockdown?
Javier Tallón67 views

Recently uploaded

Trabajo de tecnologia.docx by
Trabajo de tecnologia.docxTrabajo de tecnologia.docx
Trabajo de tecnologia.docxLauraCamilaMuozRamos
8 views4 slides
Estrategia de apoyo de tecnologia 3er periodo de tecnologia.pdf by
Estrategia de apoyo de tecnologia 3er periodo de tecnologia.pdfEstrategia de apoyo de tecnologia 3er periodo de tecnologia.pdf
Estrategia de apoyo de tecnologia 3er periodo de tecnologia.pdfSofiaArceCaicedo
9 views12 slides
La nueva era. by
La nueva era.La nueva era.
La nueva era.msebastianalvarezz
10 views3 slides
Taller de Electricidad y Electrónica.docx by
Taller de Electricidad y Electrónica.docxTaller de Electricidad y Electrónica.docx
Taller de Electricidad y Electrónica.docxFranksamuel11
7 views15 slides
EXCEL AVANZADO_ Combinación de correspondencia, Función sí, Función sí anidad... by
EXCEL AVANZADO_ Combinación de correspondencia, Función sí, Función sí anidad...EXCEL AVANZADO_ Combinación de correspondencia, Función sí, Función sí anidad...
EXCEL AVANZADO_ Combinación de correspondencia, Función sí, Función sí anidad...edepjuanmurillo
5 views11 slides
Rol de la ciencia y tecnología en la dinámica social.pdf by
Rol de la ciencia y tecnología en la dinámica social.pdfRol de la ciencia y tecnología en la dinámica social.pdf
Rol de la ciencia y tecnología en la dinámica social.pdfwilfredomarmolteran
6 views2 slides

Recently uploaded(20)

Trabajo de tecnologia.docx by LauraCamilaMuozRamos
Trabajo de tecnologia.docxTrabajo de tecnologia.docx
Trabajo de tecnologia.docx
LauraCamilaMuozRamos8 views
Estrategia de apoyo de tecnologia 3er periodo de tecnologia.pdf by SofiaArceCaicedo
Estrategia de apoyo de tecnologia 3er periodo de tecnologia.pdfEstrategia de apoyo de tecnologia 3er periodo de tecnologia.pdf
Estrategia de apoyo de tecnologia 3er periodo de tecnologia.pdf
SofiaArceCaicedo9 views
La nueva era. by msebastianalvarezz
La nueva era.La nueva era.
La nueva era.
msebastianalvarezz10 views
Taller de Electricidad y Electrónica.docx by Franksamuel11
Taller de Electricidad y Electrónica.docxTaller de Electricidad y Electrónica.docx
Taller de Electricidad y Electrónica.docx
Franksamuel117 views
EXCEL AVANZADO_ Combinación de correspondencia, Función sí, Función sí anidad... by edepjuanmurillo
EXCEL AVANZADO_ Combinación de correspondencia, Función sí, Función sí anidad...EXCEL AVANZADO_ Combinación de correspondencia, Función sí, Función sí anidad...
EXCEL AVANZADO_ Combinación de correspondencia, Función sí, Función sí anidad...
edepjuanmurillo5 views
Rol de la ciencia y tecnología en la dinámica social.pdf by wilfredomarmolteran
Rol de la ciencia y tecnología en la dinámica social.pdfRol de la ciencia y tecnología en la dinámica social.pdf
Rol de la ciencia y tecnología en la dinámica social.pdf
wilfredomarmolteran6 views
proyecto_ salvando tortugas.pdf by CamilaCordoba30
proyecto_ salvando tortugas.pdfproyecto_ salvando tortugas.pdf
proyecto_ salvando tortugas.pdf
CamilaCordoba308 views
electricidadyelectrnica1-230404014355-1be10cf7.docx by NyobeMahechaDvila
electricidadyelectrnica1-230404014355-1be10cf7.docxelectricidadyelectrnica1-230404014355-1be10cf7.docx
electricidadyelectrnica1-230404014355-1be10cf7.docx
NyobeMahechaDvila18 views
Fundamentos De Electricidad y Electrónica equipo 5.pdf by CamilaCordoba30
Fundamentos De Electricidad y Electrónica equipo 5.pdfFundamentos De Electricidad y Electrónica equipo 5.pdf
Fundamentos De Electricidad y Electrónica equipo 5.pdf
CamilaCordoba3015 views
VIDEO INFORMATICA.pptx by henryruidiaz
VIDEO INFORMATICA.pptxVIDEO INFORMATICA.pptx
VIDEO INFORMATICA.pptx
henryruidiaz6 views
Fundamentos de electricidad y electrónica -1.pdf by SofiCneo1
Fundamentos de electricidad y electrónica -1.pdfFundamentos de electricidad y electrónica -1.pdf
Fundamentos de electricidad y electrónica -1.pdf
SofiCneo111 views
Probando aplicaciones basadas en LLMs.pdf by Federico Toledo
Probando aplicaciones basadas en LLMs.pdfProbando aplicaciones basadas en LLMs.pdf
Probando aplicaciones basadas en LLMs.pdf
Federico Toledo44 views
Tarea Práctica web de la sesión 14.pptx by illanlir
Tarea Práctica web de la sesión 14.pptxTarea Práctica web de la sesión 14.pptx
Tarea Práctica web de la sesión 14.pptx
illanlir7 views
Google alternativo, para volar by corpbracat
Google alternativo, para volarGoogle alternativo, para volar
Google alternativo, para volar
corpbracat8 views
Excel avanzado.pdf by fspro99
Excel avanzado.pdfExcel avanzado.pdf
Excel avanzado.pdf
fspro998 views
Recusos Multimedia y Wed 2.0.pptx by henryruidiaz
Recusos Multimedia y Wed 2.0.pptxRecusos Multimedia y Wed 2.0.pptx
Recusos Multimedia y Wed 2.0.pptx
henryruidiaz5 views
nuevo tecnologia .pdf by laurarojas788
nuevo tecnologia .pdfnuevo tecnologia .pdf
nuevo tecnologia .pdf
laurarojas7885 views
Tarea-Teclados ergonómico y pantallas táctiles.pptx by xiomarakerly200325
Tarea-Teclados ergonómico y pantallas táctiles.pptxTarea-Teclados ergonómico y pantallas táctiles.pptx
Tarea-Teclados ergonómico y pantallas táctiles.pptx
xiomarakerly2003258 views
PRESENTACION DE FC.pptx by GabrielRivas75
PRESENTACION DE FC.pptxPRESENTACION DE FC.pptx
PRESENTACION DE FC.pptx
GabrielRivas755 views
MakeCode by Coffe9
MakeCodeMakeCode
MakeCode
Coffe96 views

La certificación de ciberseguridad en Europa, un desafío común.

  • 2. Foto ponente Javier Tallón Guerri jtsec: Beyond IT Security jtallon@jtsec.es  Ingeniero en Informática (Universidad de Granada)  Co-Fundador & Director Técnico en jtsec Beyond IT Security S.L.  Full-stack hacker wannabe  Experto en Common Criteria, Lince, PCI-PTS, FIPS 140-2, ISO 27K1, SOC2  Profesor del Máster de Ciberseguridad en la Universidad de Granada  Miembros del grupo de trabajo Ad-hoc SOG-IS en la Agencia Europea de Ciberseguridad ENISA y del SCCG (Stakeholders Cybersecurity Certification Group)  Colaboramos en diversos foros de estandarización como ISO o CEN/CENELEC
  • 3. La certificación de ciberseguridad en Europa, un desafío común Antecedentes
  • 4. Antecedentes La certificación de ciberseguridad en Europa, un desafío común • La evaluación y certificación de un producto de seguridad TIC es el único medio objetivo que permite valorar y acreditar la capacidad de un producto para manejar información de forma segura. • En España, esta responsabilidad está asignada al Centro Criptológico Nacional (CCN) desde su creación a través del RD 421/2004 de 12 de Marzo • Certificación Funcional • Certificación Criptológica • Certificación TEMPEST • Este Organismo de Certificación (OC), en lo relativo a la certificación funcional de la seguridad de las TI, se articula mediante el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, aprobado por Orden PRE/2740/2007, de 19 de septiembre.
  • 5. Antecedentes La certificación de ciberseguridad en Europa, un desafío común • Desde entonces forma parte del acuerdo de reconocimiento mutuo CCRA para la norma Common Criteria • En 2010 es uno de los 8 primeros países que firma el acuerdo de reconocimiento mutuo europeo SOG-IS para Common Criteria. Hoy son 17. • En 2018 crea LINCE, la cuarta metodología de evaluación europea de esfuerzo acotado. Hoy ya es la que más certificados de este tipo ha emitido en Europa. • En la actualidad 8 laboratorios acreditados.
  • 6. Antecedentes La certificación de ciberseguridad en Europa, un desafío común 2020 6º país en el mundo
  • 7. Antecedentes La certificación de ciberseguridad en Europa, un desafío común • Por sus números, España ya es una potencia mundial en certificación de ciberseguridad. • Si además comparamos con el PIB del país, el resultado es aun más meritorio. • Si añadimos que el OC español está formado por un equipo de certificadores MUY inferior al de otros países, definitivamente estamos ante algo heroico.
  • 8. Antecedentes La certificación de ciberseguridad en Europa, un desafío común
  • 9. Antecedentes La certificación de ciberseguridad en Europa, un desafío común • enisa como Agencia Europea de Ciberseguridad • Creación de un marco europeo de certificación • Incrementar la ciberseguridad dentro de la Unión Europea • Emitir certificados de ciberseguridad reconocidos en toda Europa • Mejorar las condiciones del mercado interno • La UE es importador neto en ciberseguridad, mientras que sus principales competidores, Estados Unidos, China, India y Japón, son exportadores netos. • Incrementar la competitividad y crecimiento de las compañías europeas • Estándares de Ciberseguridad de calidad • Minimizar el coste de las certificaciones Productos Procesos Sistemas
  • 10. Antecedentes La certificación de ciberseguridad en Europa, un desafío común … Automotive Industrial 5G Payment … … ICT Products Development processes HORIZONTALES VERTICALES
  • 11. Antecedentes La certificación de ciberseguridad en Europa, un desafío común National Accreditation Body (NAB) National Cybersecurity Certification Authority (NCCA) Conformity Assessment Body (CAB) Acredita Acredita Autoriza Evalúa Supervisa Nivel de garantía: Alto Esquema de certificación Proceso de evaluación Requisitos ciberseg. Aplica De conformidad con Estándares europeos o internacionales Según Emite, monitoriza y supervisa
  • 12. Antecedentes La certificación de ciberseguridad en Europa, un desafío común National Accreditation Body (NAB) National Cybersecurity Certification Authority (NCCA) Conformity Assessment Body (CAB) Acredita Acredita Autoriza Evalúa Supervisa Nivel de garantía: Substancial Esquema de certificación Proceso de evaluación Requisitos ciberseg. Aplica De conformidad con Estándares europeos o internacionales Según
  • 13. Antecedentes La certificación de ciberseguridad en Europa, un desafío común National Cybersecurity Certification Authority (NCCA) Fabricante Audita Nivel de garantía: Básico Esquema de certificación Proceso de evaluación Requisitos ciberseg. Aplica De conformidad con Estándares europeos o internacionales Según Monitoriza y supervisa
  • 14. Antecedentes La certificación de ciberseguridad en Europa, un desafío común Nivel ¿Qué se prueba? Objetivo Tipo de evaluación minima ¿Quién hace las pruebas? ¿Quién emite el certificado? High Cumplimiento y robustez Preservar la soberanía, proteger al ciudadano y a la industria de organizaciones criminales Pruebas de penetración Ataques State-of-the art CAB-ITSEF NCCA Substantial Cumplimiento y robustez Prevenir ataques escalables en dispositivos de coste medio/alto Ausencia de vulnerabilidades públicas Pruebas de conformidad CAB-ITSEF CAB-CB Basic Cumplimiento Prevenir ataques masivos en dispositivos de bajo coste Revisión de documentación técnica CAB-ITSEF CAB-CB Auto-evaluación Fabricante N/A. Declaración de conformidad
  • 15. Antecedentes La certificación de ciberseguridad en Europa, un desafío común Obligaciones para los fabricantes • Repositorio de vulnerabilidades públicas y dirección de contacto • Periodo de soporte: durante cuanto tiempo se espera proveer parches. • Notificar dependencias Gestión de no conformidades • E.g. Uso ilegítimo del certificado, no proporcionar parches de manera efectiva • ¡Responsabilidad legal! Potenciales multas a fabricantes o CABs Monitorización del cumplimiento • Análisis del panorama de amenazas • Potencialmente repetir evaluaciones La certificación sigue siendo voluntaria… hasta que se indique lo contrario. • Prevista revisión por la Comisión Europea en 2023
  • 16. La certificación de ciberseguridad en Europa, un desafío común Estado Actual
  • 18. Estado actual La certificación de ciberseguridad en Europa, un desafío común • EUCC • Esquema de certificación de productos para niveles substancial y alto • Trasposición del SOG-IS: Good old Common Criteria • Primera versión ya sometida a consulta pública • Al Adhoc Working Group sigue activo para resolver • Q2 2021 Implementing Act • Novedades • Patch Management • Critical Update Flow • ISO/IEC 15408 & ISO/IEC 18045 • Periodo de transición de entre 1 y 2 años • Mayor colaboración fabricante - laboratorio
  • 19. Estado actual La certificación de ciberseguridad en Europa, un desafío común • Servicios Cloud • Esquema de certificación de servicios para niveles básico, substancial y alto • No self-assessment • Se lanza Adhoc WG en Marzo de 2020 • Parte del trabajo de CSPCert • Usa el lenguaje de ISO/IEC 17788 (Infraestructura / plataforma / aplicación) • Metodología similar a ISO270xx / ISAE. Controles similares a los de C5 del BSI. • Considera el uso de “Complementary User Entity Controls” • Se espera primera versión del esquema candidato para final de año • Afectará a todos los proveedores de servicios cloud
  • 20. La certificación de ciberseguridad en Europa, un desafío común Futuro
  • 21. Futuro La certificación de ciberseguridad en Europa, un desafío común • Prioridades estratégicas • Estandarización • Seguridad por diseño, seguridad del ciclo de vida y seguridad por defecto • Garantía basada en riesgos • Coherencia, “componibilidad” • Cooperación internacional
  • 22. Futuro La certificación de ciberseguridad en Europa, un desafío común • Nuevos esquemas • Componentes Industriales (IACS) • Los sistemas de control industrial son construidos como la integración de múltiples y dispares componentes hardware/software • Asegurar IACS asegurando sus componentes • Hay una propuesta de ERNCIP (European Reference Network for Critical Infrastructure Protection), dependiente de la Comisión Europea • Potenciales metodologías: IEC 62443 & Lightweight (e.g. Lince) • Contempla self-assessment • IoT • ¿Qué es IoT? • Depende del uso  Esquema genérico • Potenciales metodologías: ETSI EN 303 645 • + 5G • Servicios críticos dependerán del 5G • Contemplado desde la publicación de la EU Toolbox • Potenciales metodologías: GSMA NESAS, Common Criteria
  • 23. Futuro La certificación de ciberseguridad en Europa, un desafío común • Potenciales nuevos esquemas FITCEM BSZ
  • 24. La certificación de ciberseguridad en Europa, un desafío común Conclusiones
  • 25. • Ciudadanos • Gracias al CSA la mejora en la ciberseguridad para todos será evidente • El ciudadano está en el centro de las políticas europeas de ciberseguridad. Europa lo hace por ti. Conclusiones La certificación de ciberseguridad en Europa, un desafío común
  • 26. • Fabricantes / Proveedores • Momento de oportunidad para mejorar la competitividad con respecto a las empresas extranjeras • Hay que ponerse las pilas y estar preparados • Riesgo! Nuevos players europeos Conclusiones La certificación de ciberseguridad en Europa, un desafío común
  • 27. • Administración española • Responsabilidades de la NCCA: • Controlar la conformidad de todos los certificados • Controlar el cumplimiento de las obligaciones de fabricantes y proveedores • Apoyar a las entidades de acreditación • Autorizar y auditar a los CABs • Tramitar las reclamaciones a los certificados • Imponer sanciones • Cooperar con otras NCCAs intercambiando información • Estar al día del panorama de la ciberseguridad • Sin inversión gubernamental YA para dotar a la NCCA de los recursos necesarios la posibilidad de que perdamos el tren de la competitividad es REAL Conclusiones La certificación de ciberseguridad en Europa, un desafío común
  • 28. CSA, Artículo 58.5 “Los Estados miembros velarán por que las autoridades nacionales de certificación de la ciberseguridad dispongan de los recursos adecuados para ejercer sus competencias y llevar a cabo, de manera eficaz y eficiente, las tareas que tienen encomendadas.” Conclusiones La certificación de ciberseguridad en Europa, un desafío común
  • 29. Contacto La certificación de ciberseguridad en Europa, un desafío común “Cualquier loco puede realizar algo complicado. Se necesita un genio para hacerlo simple.” Woody Guthrie