El Catálogo CPSTIC: Por qué la tecnología que utilizas decide el éxito de tu Certificación ENS
La adquisición de un producto o la contratación de un servicio de seguridad TIC que va a manejar información nacional clasificada o información sensible debe estar precedida de un proceso de comprobación de que los mecanismos de seguridad implementados en el producto o servicio son adecuados para proteger dicha información. Para facilitar esto, el Centro Criptológico Nacional (CCN) edita y mantiene el Catálogo de Productos y Servicios STIC (CPSTIC). Este catálogo tiene como finalidad ofrecer a los organismos un conjunto de productos o servicios de referencia cuyas funcionalidades de seguridad han sido evaluadas y certificadas.
La diferencia entre suspender o acelerar tu auditoría
En NetDriver, no dejamos tu infraestructura al azar. Durante nuestro proceso de consultoría, revisamos tu arquitectura de red actual y te asesoramos directamente en la compra o configuración de las herramientas de seguridad necesarias, tales como antivirus, firewalls, gestores de contraseñas o software de borrado seguro.
Nuestro objetivo principal es asegurarnos de que las soluciones tecnológicas que utilizas en tu día a día estén incluidas en el catálogo oficial de productos cualificados (CPSTIC). Utilizar productos pre-aprobados por el Centro Criptológico Nacional agiliza enormemente la auditoría (especialmente si tu empresa aspira a las categorías Media y Alta del ENS) y garantiza a tus clientes que sus datos se protegen con tecnología avalada por el Estado.
Productos Aprobados vs. Productos Cualificados
No todos los productos del catálogo sirven para lo mismo. El CPSTIC consta de dos partes diferenciadas que estructuramos según tus necesidades: por un lado, los Productos Aprobados, que recogen aquellos productos que se consideran adecuados para el manejo de información clasificada; por otro lado, los Productos y Servicios Cualificados, que incluyen aquellos que cumplen los requisitos de seguridad exigidos para el manejo de información sensible en el ENS, en cualquiera de sus categorías (ALTA, MEDIA y BÁSICA). Te guiamos para adquirir exactamente la licencia que tu nivel normativo requiere, evitando sobrecostes innecesarios en tu camino hacia la Certificación ENS o la adecuación a NIS2.
¿Necesitas auditar tu tecnología actual antes de la certificación?
No esperes a que el certificador rechace tus herramientas. Nuestro equipo técnico cruzará tu inventario de software y hardware con las exigencias del CPSTIC para garantizarte una certificación sin bloqueos técnicos.
Preguntas Frecuentes sobre el CPSTIC y la Tecnología de Seguridad
Para las empresas que optan a los niveles Medio y Alto del ENS, el uso de tecnología certificada es sometido a un escrutinio estricto. El auditor preguntará si se trabaja con servidores y productos certificados en el ENS, requiriendo que la mayor parte de tus productos de seguridad (antivirus, firewall, gestión de contraseñas) cumplan este estándar. Se requerirán evidencias como pantallazos de la empresa con el software instalado y el pantallazo de la guía oficial donde se demuestra que está certificado. En caso de no usar tecnología del catálogo, deberás justificar exhaustivamente que tus sistemas cuentan con mecanismos de seguridad equivalentes y adecuados.
El auditor pondrá el foco en las soluciones perimetrales y de protección del dato. Se revisarán exhaustivamente los firewalls, los sistemas de antivirus o EDR, y los gestores de contraseñas. Además, un requisito que suele sorprender a las empresas es la exigencia sobre la destrucción de la información: es obligatorio tener un software de borrado seguro incluido en el catálogo del CCN. Como ejemplo práctico, para el borrado seguro certificado, las organizaciones suelen tener que utilizar herramientas específicas reconocidas como BLANCO u OLVIDO.
La auditoría abarca todos los entornos, incluidos los servicios externalizados. Si se utilizan servicios en nube, tipo servidores virtuales (AWS), Microsoft Office 365, Gmail, Google Cloud o Azure, se debe evidenciar el uso de los mismos de forma segura. El auditor solicitará pantallazos donde se vea que la organización o los usuarios de la misma acceden correctamente, además de exigir que exista un contrato, licencia o suscripción vigente y formalizada para estas plataformas. Muchas de estas grandes plataformas cloud ya cuentan con módulos específicos cualificados en el CPSTIC.
Esta es una distinción legal clave dentro del catálogo del Centro Criptológico Nacional. El CPSTIC consta de dos partes: el apartado de «Productos Aprobados» recoge aquellos productos que se consideran adecuados para el manejo de información nacional clasificada (alto secreto, secreto, confidencial, etc.). Por otro lado, la sección de «Productos y Servicios Cualificados» incluye aquellos que cumplen los requisitos de seguridad exigidos para el manejo de información sensible bajo el marco del ENS, aplicable a las categorías Alta, Media y Básica.
Si tu empresa ha adquirido tecnología que no se encuentra en el catálogo, la normativa establece que dicha adquisición o contratación debe estar precedida de un proceso de comprobación exhaustivo para demostrar que los mecanismos de seguridad implementados son adecuados para proteger la información sensible. En NetDriver realizamos un análisis de brecha para determinar si compensa justificar el uso de tu herramienta actual mediante controles compensatorios, o si es más eficiente y económico a largo plazo migrar a una solución ya cualificada por el Estado.
