La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec [email protected] Más de 12...

18

Transcript of La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec [email protected] Más de 12...

Page 1: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos
Page 2: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

La certificación para todos los públicos

Page 3: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

About me

José Ruiz

Co-Founder & CTO de jtsec

[email protected]

Más de 12 años de experiencia trabajando en ciberseguridad.

Program Director en los congresos ICCC, ICMC y EU CyberAct.

Colaborador de CCN en la creación de LINCE.

Editor del grupo temático de ERNCIP: “Industrial Automation Control Systems Certification Framework”

Speaker en ICCC, ICMC, CCN-CERT, Securmatica, Cipre-Expo o CyberCamp

Page 4: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

About us

Servicios

Laboratorio acreditado evaluación LINCE

Consultoría Common Criteria, FIPS 140-2 y PCI-PTS

Hacking ético

Valores

Excelencia técnica

Orientación al cliente

Tiempo de comercialización

Page 5: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

Antecedentes de LINCE

Beneficios

Potente – Pruebas, Ciclo de Vida, Documentación del Producto, etc…

Versátil - Aplicable a todo tipo de productos

Flexible - Distintos niveles de garantía (EALs)

Certificados reconocidos internacionalmente

Inconvenientes

Coste elevado del proceso de certificación.

Duración prolongada en el tiempo.

Dificultad técnica para cumplir/entender el estándar.

Excesiva rigidez.

Mucho papeleo, no todo es seguridad.

Creada por grandes empresas, menos accesible para PYMES.

Page 6: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

Encontrando soluciones!LINCE

Page 7: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

Encontrando soluciones!LINCE

LINCE carece de la robustez de Common Criteria… … pero permite cubrir más superficie de ataque en menor tiempo!

Page 8: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

… y aun hay más!

Permite la entrada de un producto en el catálogo CPSTIC

Facilita superar la certificación por el ENS

Uso en infraestructuras críticas

Encontrando soluciones!LINCE

Page 9: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

La certificación LINCE

LINCE se divide en cuatro documentos

CCN-LINCE-001: Definición.

CCN-LINCE-002: Metodología de Evaluación.

CCN-LINCE-003: Plantilla para la Declaración de Seguridad (ST).

CCN-LINCE-004: Plantilla del Informe Técnico de Evaluación (ETR).

El proceso de certificación sigue el siguiente esquema:

Preparacióndel producto

Solicitud de evaluación y certificación

Análisis de solicitudes

por CCN

Ejecución de la evaluación

Validez del certificado

Page 10: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

La certificación LINCE

CPSTIC

Organismo de certificación

Laboratorio

Desarrollador

1. Formulario de solicitud

2. TOE & ST & Manuales

3. Evaluación de seguridad

4. Emisión ETR

5. Aprobación ETR

6. Emisión certificado

7. Inclusión en el catálogo25 días/8 semanas

Page 11: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

La certificación LINCE

Para dar comienzo a la evaluación, el fabricante debe preparar:

Declaración de seguridad (CCN-LINCE-003).

Guías de instalación y operación.

Entorno de pruebas/ejecución (en colaboración con el laboratorio).

(MCF) Código fuente de los mecanismos de seguridad del TOE.

(MEC) Documentación de los mecanismos criptográficos.

Page 12: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

La certificación LINCE

Etapas de la evaluación

1. Análisis de la declaración de seguridad (1 día)

2. Instalación del producto (1 día)

3. Análisis de la documentación (2 días)

4. Pruebas funcionales (5 días)

5. Análisis de vulnerabilidades (6 días)

6. Pruebas de penetración del TOE (10 días)0 5 10 15 20 25 30

Evaluación

Pentest

AnálisisVul

PruebasFun

AnálisisDoc

InstalaProd

AnálisisST

Temporización

Se espera de LINCE que sea ágil, evitando sobrecargas innecesarias y formalismos no productivos.

Page 13: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

La certificación LINCE

¡Últimas novedades!

Proceso de convertirse en norma UNE

Proyecto europeo en CEN-CENELEC para crear el “LINCE Europeo”: Cybersecurity Evaluation Methodology for ICT Products

EU Cyber Act: La re-evolución de la certificación en Europa

“Framework” voluntario de certificación de ciberseguridad a nivel europeo

Un Framework – Muchos esquemas

Alcance / Metodologías / Niveles de garantía

ENISA – Agencia de ciberseguridad europea

Basic

Substantial

High

EU Cybersecurity Act

Assurance Levels

Page 14: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

¿De qué nos protege LINCE?

Las empresas y administraciones ofrecen cada vez más servicios usando productos informáticos, lo que aumenta la superficie de ataque sobre ellos.

Page 15: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

¿De qué nos protege LINCE?

LINCE protege de amenazas reales: “Orientado a Pruebas”

Atacantes con recursos y conocimientos limitados (Nivel Bajo y Medio)

Page 16: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

Conclusiones

Certificación ligera

Adaptada para PYMES

Menos complejidad y coste

Ventajas para desarrolladores

Acceso al CPSTIC

Análisis por una tercera parte de confianza

Ventajas para empresas/administración

Prevención en ciberseguridad

Alineada con Europa

TOEDesarrollador

ETR Laboratorio

Organismo de Certificación

Page 17: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos
Page 18: La certificación para³n.pdf · José Ruiz Co-Founder & CTO de jtsec jruiz@jtsec.es Más de 12 años de experiencia trabajando en ciberseguridad. Program Director en los congresos

jtsec: Beyond IT Security

Granada & Madrid – Spain

[email protected]

@jtsecES

www.jtsec.es

Datos de contacto

mailto:[email protected]

GUÍA DE CIBERSEGURIDAD - Amazon Web Services...Ciberseguridad – C N O 8 Responsable de Ciberseguridad: Persona con la autoridad para dirigir la implementación de la guía de ciberseguridad.

GUÍA DE CIBERSEGURIDAD - Amazon Web Services...Ciberseguridad – C N O 8 Responsable de Ciberseguridad: Persona con la autoridad para dirigir la implementación de la guía de ciberseguridad.

Cursos CiberSeguridad

Cursos CiberSeguridad

Ciberseguridad para bancos

Ciberseguridad para bancos

Ciberterrorismo, Ciberinteligencia y Ciberseguridad. Riesgos y … · 2019-08-02 · Ciberinteligencia y Ciberseguridad. Ponente habitual en congresos relacionados con la Ciberseguridad

Ciberterrorismo, Ciberinteligencia y Ciberseguridad. Riesgos y … · 2019-08-02 · Ciberinteligencia y Ciberseguridad. Ponente habitual en congresos relacionados con la Ciberseguridad

2020 Common Criteria Statistics Report - jtsec

2020 Common Criteria Statistics Report - jtsec

ANÁLISIS CIBERSEGURIDAD Estado Actual de la Ciberseguridad ...

ANÁLISIS CIBERSEGURIDAD Estado Actual de la Ciberseguridad ...

Riesgo Laguna Palcacocha JRuiz

Riesgo Laguna Palcacocha JRuiz

REALIDAD MIXTA & CIBERSEGURIDAD

REALIDAD MIXTA & CIBERSEGURIDAD

Ciberseguridad PDF

Ciberseguridad PDF

Ciberseguridad y privacidad

Ciberseguridad y privacidad

MÁSTER EN CIBERSEGURIDAD

MÁSTER EN CIBERSEGURIDAD

Achisina 29Jul2014 JRuiz Paredes

Achisina 29Jul2014 JRuiz Paredes

CE 149 Ciberseguridad

CE 149 Ciberseguridad

Ciberseguridad - FlacsoAndes

Ciberseguridad - FlacsoAndes

Sesión 2: Ciberseguridad - Instituto Politécnico Nacional€¦ · Sesión 2: Ciberseguridad Curso : Ciberseguridad Febrero 9, 2017 Dr. Moisés Salinas Rosales msrosales@acm.org.

Sesión 2: Ciberseguridad - Instituto Politécnico Nacional€¦ · Sesión 2: Ciberseguridad Curso : Ciberseguridad Febrero 9, 2017 Dr. Moisés Salinas Rosales [email protected].

Triptico maestría ciberseguridad

Triptico maestría ciberseguridad

ESTRATATEGIA DE CIBERSEGURIDAD

ESTRATATEGIA DE CIBERSEGURIDAD

Actualidad en Ciberseguridad

Actualidad en Ciberseguridad

Ciberseguridad - TSS

Ciberseguridad - TSS

Ciberseguridad Libro Blanco

Ciberseguridad Libro Blanco