· CYBSER
Guía CICLON para incluir productos cloud en CPSTIC
Qué es CICLON, cómo funciona su evaluación iterativa y por qué esta metodología es clave para certificar soluciones cloud orientadas al sector público.
El salto a la nube ha transformado la forma en que desarrollamos y consumimos software, pero también ha planteado un reto mayúsculo para la certificación de ciberseguridad. Las metodologías tradicionales como la certificación LINCE, Common Criteria o EUCC requieren evaluar versiones fijas de un producto o incluso acceso físico al mismo, lo cual las hace inaplicables para entornos dinámicos como los servicios en la nube (SaaS, PaaS e IaaS).
Para dar respuesta a esta necesidad, el Centro Criptológico Nacional (CCN) ha diseñado la metodología CICLON (CCN-STIC 2010). Si tu empresa busca vender soluciones cloud a la Administración Pública española o a entidades reguladas por el Esquema Nacional de Seguridad (ENS), entender CICLON es ahora un paso obligatorio.
A continuación, desglosamos en qué consiste esta nueva norma y cómo cambiará el panorama de la inclusión en el Catálogo CPSTIC.
¿Qué es la metodología CICLON y por qué es revolucionaria?
La Certificación Iterativa Cloud Nacional (CICLON) es el nuevo marco oficial para evaluar productos TIC alojados en la nube para todos los niveles de amenaza.
A diferencia de las certificaciones convencionales, CICLON introduce un cambio de paradigma fundamental: se apoya en un Porcentaje de Garantía Compuesto (PGC) que refleja el nivel de seguridad del producto y su evolución en el tiempo. Si durante el proceso se detectan vulnerabilidades o no conformidades, el veredicto pasa a ser FALLA automáticamente y el PGC cae a 0.
En lugar de un certificado estático, CICLON otorga al producto un Porcentaje de Garantía Compuesto (PGC). Este porcentaje refleja de forma realista el nivel de seguridad del producto y se actualiza periódicamente para adaptarse a la evolución constante de la nube y las nuevas vulnerabilidades.
Las Dos Fases del Proceso CICLON
Para mantener este Porcentaje de Garantía (PGC) vivo y actualizado, la metodología divide el proceso en dos grandes fases operativas:
1. Fase de Evaluación (Inicial)
Es la fase principal y exhaustiva del proceso. Sus etapas clave incluyen:
- Análisis Documental: Revisión de la Declaración de Seguridad (DS) y el Documento de Arquitectura del Servicio (DAS), donde se delimitan las responsabilidades de seguridad entre el fabricante del producto y el proveedor de la infraestructura cloud.
- Pruebas Funcionales: Comprobación directa de que las funciones de seguridad declaradas realmente existen y funcionan, incluyendo pruebas para evitar que las protecciones implementadas se eludan (bypassing) o manipulen (tampering).
- Pruebas de Penetración: Ejecución de un test de intrusión de “caja gris” para identificar vulnerabilidades explotables y configuraciones inseguras en entornos web y cloud (AWS, Azure, GCP).
- Análisis Criptográfico: Revisión de las comunicaciones externas, los algoritmos empleados y la configuración criptográfica para detectar usos inseguros o heredados que afecten a la nota inicial de la evaluación.
- Resultado: Un Informe Técnico de Evaluación (ETR) que calcula la nota inicial del producto.
2. Fase de Monitorización (Iterativa)
Una vez superada la evaluación inicial, el producto entra en un ciclo de revisiones regulares durante toda la vigencia de su certificación. En esta fase se evalúa:
- Librerías de terceros: Revisión continua del Software Bill of Materials (SBOM) conforme a CycloneDX, incluyendo dependencias transitivas, hashes, firmas y nuevas vulnerabilidades públicas (CVEs) en los componentes utilizados por el producto.
- Componentes de integración: Se revisa que los componentes externos de los que depende el servicio estén evaluados bajo la propia Metodología CICLON.
- Certificaciones del proveedor Cloud: Se verifica que la infraestructura subyacente (AWS, Azure, etc.) mantiene vigente su certificación ENS o EUCS (Esquema Europeo de Certificación de Ciberseguridad para Servicios Cloud).
- Resultado: Un Informe Técnico de Monitorización (MTR) que actualiza periódicamente el Porcentaje de Garantía Compuesto (PGC).
Tu Llave al Sector Público: La Inclusión en el Catálogo CPSTIC
Estar incluido en el Catálogo CPSTIC es el requisito indispensable para acceder a la contratación con la Administración Pública Española y con entidades sujetas al Esquema Nacional de Seguridad (ENS).
Con la entrada en vigor de CICLON, los fabricantes de software cloud ya disponen de una hoja de ruta clara, oficial y adaptada a su tecnología para entrar en este catálogo con un enfoque pensado específicamente para entornos cloud.
¿Cómo podemos ayudarte desde CYBSER?
Navegar por las exigencias del CCN, redactar la Declaración de Seguridad (DS), preparar el Documento de Arquitectura del Servicio (DAS) y ejecutar las fases de evaluación y monitorización iterativa puede convertirse en una carga importante para los equipos de desarrollo si no se estructura bien desde el inicio.
En CYBSER, gestionamos todo el ciclo de vida de la certificación:
- Análisis Estratégico: Evaluamos tu arquitectura cloud para confirmar si CICLON es tu ruta óptima.
- Documentación experta: Redactamos la DS y ayudamos a preparar el DAS para que refleje correctamente la arquitectura y las responsabilidades del servicio, adaptando la metodología a la realidad técnica de tu producto para que tu equipo pueda centrarse en el desarrollo.
- Ejecución técnica de la evaluación y la monitorización: Ejecutamos las pruebas funcionales, el pentesting conforme a la metodología del CCN y la fase de monitorización, aportando evidencia técnica clara en cada etapa.
¿Listo para certificar tu producto cloud y abrir las puertas del mercado español? Contacta con nosotros y diseñaremos tu hoja de ruta hacia el éxito en el Catálogo CPSTIC.