LUIS JIMÉNEZ MUÑOZ, Subdirector General Adjunto del Centro Criptológico Nacional
“Nuestro reciente ingreso en el selecto grupo de países emisores de certificados Common Criteria ha situado a España en la primera división internacional de la seguridad de las TI”

España es desde 2000 uno de los hoy veintidós estados firmantes del Acuerdo de Reconocimiento Mutuo de Certificados de Criterios Comunes (Common Criteria), la normativa internacional que marca las reglas del juego para la evaluación y la certificación de la seguridad de las TI, en cuyo marco se ha mantenido como país “consumidor” de certificados hasta este año, en el que tras superar nuestro Esquema Nacional de Evaluación y Certificación la correspondiente auditoría, hemos pasado a formar parte del selecto grupo de once países “emisores”. Para valorar en su justa medida este cambio sustancial, que nos sitúa en el grupo de vanguardia mundial de la seguridad TI, nada mejor que entrevistar a Luis Jiménez Muñoz, Subdirector General Adjunto del Centro Criptológico Nacional, que es el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación.

–¿Cuál es la causa última, es decir, en qué secuencia de razonamientos se sustenta la necesidad de evaluar y certificar la seguridad de las tecnologías de la información?

– Lo que se persigue es obtener la suficiente garantía en la seguridad del producto de tecnología de la información. Cada vez dependemos más de las tecnologías de la información, nos resuelven y facilitan la vida, y de igual manera que pedimos que sean eficaces, fáciles de usar y con un coste razonable, exigimos que sean razonablemente seguras. La evaluación y posterior certificación de su seguridad es el mecanismo que tenemos para alcanzar esa garantía de seguridad.

– ¿Qué les falta a los Common Criteria (CC) y a los Common Evaluation Methodology (CEM) para ser perfectos? Dicho de otra manera, ¿por dónde están yendo los tiros para ir refinándolos en orden a lograr una mayor penetración de su uso por todos los interesados?

– Para empezar, determinar la seguridad de la tecnología es un problema difícil, si no imposible, de resolver. La norma lo aborda de la mejor forma que conocemos, pero trabajamos para hacerla más eficaz. La evaluación CC supone grandes cambios en la manera de desarrollar y poner en el mercado productos de TI, y esto no siempre es bien entendido y asumido por los fabricantes, que generalmente no integran la consideración de la seguridad en sus procesos de desarrollo hasta que no se enfrentan a la evaluación.
Uno de los riesgos de la norma es perder el norte de la evaluación, y confundirla con una revisión de conformidad con unos extensos requisitos de documentación, cuando todo el proceso está orientado al análisis de vulnerabilidades. Nos preocupa la interpretación técnica del CC, y desde el Centro Criptológico Nacional-CCN trabajamos para garantizar el ajuste de nuestros criterios con los del resto de esquemas reconocidos.
Ahora bien, las mayores críticas a Common Criteria no son al contenido de la norma sino a su aplicación. Hoy por hoy aplicar Common Criteria a un producto de TI sale caro en “tiempo” y en “dinero”. Además, a los fabricantes les gusta lucir por razones de marketing un certificado EAL4+, que probablemente sea lo peor que se puede intentar en una primera aproximación a la certificación de la seguridad. Una de las áreas a fomentar es la evaluación a niveles de garantía más modestos, EAL1 o EAL2, que pueden ser el camino para el fomento de la certificación.

– ¿Cómo se articula el “esquema internacional” para la evaluación y certificación de la seguridad de las TI, y qué lugar ocupan en el mismo los esquemas nacionales?


– No existe exactamente un “esquema internacional” para la evaluación y certificación de la seguridad de las TI. Lo que existe es un “arreglo” internacional entre 22 países para reconocer los certificados con independencia del lugar donde haya sido realizada la evaluación. En dicho arreglo hay países que tienen esquema de evaluación y certificación reconocido, y hay países que no lo tienen. Reconocido significa que los países firmantes del arreglo reconocen que dicho esquema tiene la capacidad y competencia técnica para emitir certificados Common Criteria, y por tanto dichos certificados son reconocidos en los 22 países firmantes.

“La evaluación Common Criteria supone grandes cambios en la manera de desarrollar y poner en el mercado productos de TI, y esto no siempre es bien entendido y asumido por los fabricantes, que generalmente no integran la consideración de la seguridad en sus procesos de desarrollo hasta que no se enfrentan a la evaluación.”

Nuestro Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información se empezó a construir en el año 2004. ¿Cuál es su estado organizativo actual?

– Aunque nuestro esquema se empezó formalmente a construir en 2004, lo cierto es que ya desde 1999 hubo diversas iniciativas conjuntas de los Ministerios de Defensa y Administraciones Públicas para su establecimiento. De hecho en el Ministerio de Defensa llegó a constituirse un esquema departamental basado en los criterios europeos ITSEC para satisfacer las necesidades de diversos programas internacionales en los que el Ministerio de Defensa participaba. Con la publicación en el BOE del Real Decreto 421/2004, que regula las funciones del Centro Criptológico Nacional, es cuando se dan todos los pasos a nivel nacional e internacional para la constitución y establecimiento del Esquema. Actualmente está plenamente operativo con productos certificados y evaluaciones en curso.

Desde el año 2000, España forma parte de los países firmantes del llamado Acuerdo de Reconocimiento Mutuo de Certificados, y nos hemos mantenido en una situación de consumidores de certificados. Pero ha sido en la primavera de 2006 cuando hemos ingresado en el selecto grupo de países con capacidad para emitir certificados. ¿Qué proceso hemos seguido para conseguirlo?

– El reconocimiento internacional se otorga cuando hay suficiente evidencia –historia– de funcionamiento de un esquema de certificación, que permita verificar el cumplimiento de los requisitos de capacitación técnica y de calidad que se exigen para ello. A partir de la publicación en el BOE del Real Decreto 421/2004, se constituye el organismo de certificación. Sin embargo, para emitir un certificado también se requiere de fabricantes y de laboratorios de evaluación, con los que trabajamos en estrecha colaboración. Hay que alabar la actitud de los primeros fabricantes que han sometido sus productos a la evaluación, confiando en que el certificado CCN tendría en último término un reconocimiento internacional, y del laboratorio INTA-CESTI, que se ha sabido adaptar a nuestro exigente reglamento de evaluación y certificación, y a las nuevas normas y exigencias de la evaluación de la seguridad de las TI.

No somos un país especialmente productor de tecnologías de la información. ¿Qué interés hay en poder emitir certificados CC? ¿A quiénes hemos de identificar como interesados?

– El mismo Real Decreto 421/2004 también encomienda al CCN la seguridad de los sistemas de las tecnologías de la información de la Administración que procesan, almacenan o transmiten información en formato electrónico, que normativamente requieren protección, y que incluyen medios de cifra. Con esta responsabilidad, entendemos que la certificación es un mecanismo muy útil, ya que permite garantizar la seguridad de las TI utilizada por la Administración.
La exigencia de un certificado CC se está popularizando en pliegos y contratos, fundamentalmente en el ámbito internacional, por lo que a nuestra industria le ha supuesto hasta ahora una desventaja competitiva. Con el esquema de certificación, esperamos ayudar al fomento internacional de nuestros fabricantes de TI.

El proceso de evaluación y certificación de la seguridad de las TI requiere de varios jugadores: fabricantes-desarrolladores, organizaciones usuarias, laboratorios de evaluación, organismo de certificación, entidad de acreditación. ¿Podría explicar cómo se sustancia en el Esquema Nacional la acreditación de laboratorios de evaluación y la acreditación del Organismo de Certificación?

– El Organismo de Certificación se apoya en la Ley 21/1992, de 16 de julio, de Industria y en el Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la Infraestructura para la calidad y seguridad industrial, para garantizar la competencia técnica de los laboratorios de ensayo que operan en nuestro esquema. Adicionalmente a esta exigencia técnica, el CCN requiere a los laboratorios el cumplimiento de determinadas medidas de protección de la información de las evaluaciones.
El cumplimiento de todas estas exigencias se verifica durante el proceso de acreditación, y se verifica también de manera continua durante el seguimiento de las evaluaciones. Los certificados emitidos por el CCN tienen en la Administración el valor y reconocimiento que les otorga la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y el ya citado Real Decreto 421/2004.


“El Centro Criptológico Nacional tiene en proyecto la publicación de determinados Perfiles de Protección, que saldrán a la luz cuando la industria y el esquema puedan absorberlos, y siempre en colaboración con otros organismos de certificación y entidades de normalización.”

Los fabricantes y desarrolladores suelen quejarse airadamente de la lentitud y alto coste de los procesos de evaluación, que pueden desalentar el atractivo de perseguir la certificación. ¿Qué se está pensando para mitigar este particular?

– Somos plenamente conscientes del valor del “time to market”, pero nuestra responsabilidad es garantizar la seguridad de las TI en la Administración. Intentamos hacer llegar a los fabricantes la necesidad de incorporar buenas prácticas de desarrollo desde un principio, para que las necesarias pruebas del producto, sus análisis de vulnerabilidades, el control de la configuración, etc., no sean disciplinas introducidas para la evaluación, sino parte de su buen hacer. Uno de los problemas es que la evaluación puede destapar carencias metodológicas en los fabricantes, y sin un nivel mínimo de calidad en los procesos de desarrollo no se puede abordar la evaluación.

Si la pretensión es que, en principio, los compradores públicos reflejen en los pliegos de los concursos los requisitos de seguridad que deben de cumplir las TI demandadas y, además, que reflejen también la exigencia de que dichos requisitos estén avalados por los correspondientes certificados CC, nos encontramos con dos posibles problemas: primero, la necesidad de que los compradores públicos consigan un consenso en la definición de los requisitos de seguridad de sus adquisiciones, lo que hoy quizá no exista. Y lo segundo: la necesidad de ofrecer a los fabricantes y desarrolladores proyectos de largo plazo que incentiven la inversión en la certificación. ¿Vamos desencaminados? ¿Qué planes hay al respecto?

– La certificación se puede aplicar sobre requisitos de seguridad propios de cada caso concreto, y en realidad cada adjudicación tiene particularidades propias en el entorno de uso de las TI, las amenazas previstas y las políticas de seguridad aplicables, o puede realizarse sobre la base de pliegos de requisitos de seguridad ya establecidos, que en lenguaje CC son los Perfiles de Protección (PP).
Contamos con la experiencia de las administraciones de otros países, que han publicado Perfiles de Protección, con diverso resultado. A veces se “retuerce” un producto para conseguir el cumplimiento de determinado PP. Muchos Perfiles de Protección no han pasado de su mera publicación, sin que haya productos que se ajusten a los mismos, y también contamos con buenos ejemplos, como el PP que especifica los requisitos de seguridad de los dispositivos seguros de firma electrónica, CWA 14169. El CCN tiene en proyecto la publicación de determinados Perfiles de Protección, que saldrán a la luz cuando la industria y el esquema puedan absorberlos, y siempre en colaboración con otros organismos de certificación y entidades de normalización.

– El CCN es la entidad organizadora de la séptima Conferencia Internacional CC, que va a tener lugar en Lanzarote. ¿Qué se va a ventilar allí?

– Que se celebre la ICCC en España es todo un acontecimiento, que queremos aprovechar en dos sentidos. En primer lugar, para divulgar entre la Administración y el mercado en general la certificación de la seguridad de las TI y el CCN como Organismo de Certificación, y además para mostrar y fomentar nuestra industria entre los asistentes a la conferencia.
Desde el punto de vista del contenido de la conferencia, 2006 es el año de la publicación de la versión 3 de los CC/CEM, una versión que los actualiza a partir de la experiencia acumulada, y que pretende aumentar la eficacia de las evaluaciones. El CCN ha participado activamente en esta revisión de los criterios de evaluación, y hemos seleccionado una conferencia de alto nivel técnico y muy interesante para expertos y fabricantes.

¿Qué productos hay certificados en España a fecha de hoy y qué necesidades se observan en un futuro a medio plazo?

– El Organismo de Certificación publica la lista de productos certificados en su página web, www.oc.ccn.cni.es. Las solicitudes de certificación que recibimos se pueden agrupar como productos relacionados con las PKI y la firma electrónica, productos de protección de las comunicaciones e infraestructura TI, y sistemas a utilizar por el Ministerio de Defensa.

“Los medios de pago, con sistemas de evaluación privados, están empezando a ver con buenos ojos una única evaluación Common Criteria. Para ello, es necesario que los esquemas de certificación estén muy bien coordinados desde el punto de vista técnico en los niveles más altos de la evaluación, y para tecnologías muy concretas, como pueda ser la de las tarjetas inteligentes.”
 

Pregunta simple: ¿qué atractivo hay para que un fabricante- desarrollador español (o en España) certifique tal o cual producto?

– Fundamentalmente, que busque una ventaja competitiva, de manera que el certificado garantice la seguridad de sus soluciones de TI. De hecho, algunos fabricantes están incluyendo la certificación como estrategia de competencia nacional e internacional. De todas formas me gustaría resaltar una frase pronunciada por un ingeniero de desarrollo de una conocida empresa española después de haber pasado por un proceso de evaluación y certificación Common Criteria: “Ahora puedo decir que cada línea de código del producto tiene su justificación”.

¿Qué tiene que hacer?

– Toda la operativa del Organismo de Certificación está publicada en la citada página web. Además, el procedimiento de certificación se ajusta plenamente a la Ley 30/92, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, lo que facilita su seguimiento por parte del solicitante.
Antes de solicitarnos la certificación, podemos ayudarle a entender el proceso, los requisitos que le suponen, y el coste derivado, fundamentalmente el relativo al laboratorio de evaluación, y el correspondiente a la actualización del producto y sus procedimientos de desarrollo a los requisitos del CC.

– ¿Están apoyando activamente la evaluación y certificación CC los grandes integradores españoles?

– Respuesta rápida, no. Ahora bien, todo tiene sus matices. Como instrumento para la acreditación de sistemas, la certificación permite contar con un informe de evaluación en el que se han realizado pruebas de penetración, análisis de vulnerabilidades, análisis del diseño, etc. Tenemos ya alguna extensión de los CC a la evaluación de los sistemas operacionales, y cuando hayamos asumido la certificación de productos, éste será el siguiente campo de batalla de la certificación CC.



“La exigencia de un certificado CC se está popularizando en pliegos y contratos, fundamentalmente a nivel internacional, por lo que a nuestra industria le ha supuesto hasta ahora una desventaja competitiva. Con el esquema de certificación, esperamos ayudar al fomento internacional de nuestros fabricantes de TI.”

– Tenemos hoy un laboratorio de evaluación acreditado en el Esquema, el Cesti del INTA. Y otro en camino, el de Applus+, para todo tipo de productos, tarjetas inteligentes incluidas. ¿Hay sitio para más laboratorios?

– No depende del Organismo de Certificación determinar el número de laboratorios, sino que éstos solicitan su acreditación en el esquema para que sus trabajos se puedan considerar como prueba en la instrucción de la certificación.
El número de laboratorios responderá a las necesidades de evaluación. Desde nuestro punto de vista, una mayor competencia entre laboratorios redundará en un mejor servicio a los solicitantes de la certificación, y estamos haciendo lo posible para el fomento de la certificación de la seguridad de las TI.

– Una última pregunta: ¿qué condiciones deben darse para que los grandes compradores privados exijan en sus condiciones de adquisición de TI certificaciones CC?

– Es una tendencia que está empezando a iniciarse. Por ejemplo, los medios de pago, con sistemas de evaluación privados, están empezando a ver con buenos ojos una única evaluación CC. Para ello, es necesario que los esquemas de certificación estén muy bien coordinados desde el punto de vista técnico en los niveles más altos de la evaluación, y para tecnologías muy concretas, como pueda ser la de las tarjetas inteligentes. El CCN está trabajando en esta coordinación con otros esquemas europeos, y esperamos dar respuesta a estas necesidades de eficacia y alta especialización.

Texto: José de la Peña Muñoz
Fotografía: Jesús A. de Lucas

<volver