Metodología CICLON

CCN-STIC 2010: metodología de evaluación de productos en la nube

CCN-STIC 2010 define la metodología CICLON para productos cloud: actores, evidencias mínimas, preparación, fase de evaluación, fase de monitorización y cálculo del Porcentaje de Garantía Compuesto (PGC).

Qué es CCN-STIC 2010

CCN-STIC 2010 es la guía que define la Metodología de Evaluación de Productos en la Nube (CICLON). Nace para evaluar servicios desplegados en cloud, donde metodologías más tradicionales no encajan por requerir acceso físico al producto o una versión estática durante todo el proceso.

Aquí se concretan la documentación exigida, el papel de cada actor, cómo se organiza la evaluación inicial y qué obligaciones trae después la monitorización periódica.

Qué regula dentro de CICLON

Regula el proceso completo: preparación de la evaluación, análisis de la Declaración de Seguridad, revisión de arquitectura, acceso al entorno, pruebas funcionales, análisis criptográfico, pruebas de penetración, monitorización continua y cálculo del PGC.

Lectura rápida

Qué es

La guía del CCN que define cómo se evalúan y monitorizan productos cloud bajo CICLON.

A quién aplica

Si queréis evaluar un producto SaaS, PaaS o IaaS para mercado público en España.

Qué ayuda a aclarar

Evidencias mínimas, actores, fases de evaluación, monitorización y cálculo del PGC.

Cuándo conviene leerla

Cuando estáis preparando la evaluación de vuestro producto cloud y necesitáis entender bien el proceso.

Actores implicados

  • Solicitante: formaliza la solicitud de evaluación del producto cloud.
  • Fabricante: diseña, desarrolla y mantiene el producto evaluado.
  • Laboratorio de evaluación: ejecuta la evaluación como entidad acreditada y autorizada.
  • CCN: valida los informes emitidos y el porcentaje de garantía resultante.

Evidencias mínimas necesarias

  • Declaración de Seguridad (DS).
  • Validación favorable de la DS por parte de CPSTIC.
  • Documento de Arquitectura del Servicio (DAS).
  • Fichero de librerías en formato SBOM conforme a CycloneDX.
  • Certificación ENS o equivalente reconocida en ENECSTI del proveedor cloud.
  • Entorno de evaluación accesible y soporte técnico durante todo el proceso.

Preparación de la evaluación

  • Elegir un laboratorio acreditado en ENECSTI y autorizado por el CCN.
  • Cerrar alcance, esfuerzo y entorno tomando como base DS, DAS y SBOM.
  • Preparar solicitud, documentación, entorno y contrato con el laboratorio.
  • Aportar certificación ENS o equivalente y validación favorable de la DS.
  • Superar el análisis de la solicitud realizado por el CCN antes de iniciar el expediente.

Qué cambia frente a otras rutas

CICLON no parte de un producto estático. La guía separa una evaluación inicial de una monitorización periódica, porque el servicio cloud evoluciona con el tiempo. El resultado no es solo un informe técnico, sino un PGC que se actualiza con cada iteración de monitorización.

Fase de evaluación

  • Etapa 1: análisis de la Declaración de Seguridad (DS).
  • Etapa 2: análisis del Documento de Arquitectura del Servicio (DAS).
  • Etapa 3: acceso y configuración del entorno de pruebas.
  • Etapa 4: pruebas funcionales sobre requisitos de comprobación directa e indirecta.
  • Etapa 5: análisis criptográfico de las comunicaciones.
  • Etapa 6: pruebas de penetración del TOE conforme a CCN-ITC-003.
  • Etapa 7: cálculo del Porcentaje de Garantía de Evaluación (PGE).
  • Etapa 8: generación del Informe Técnico de Evaluación (ETR).

Fase de monitorización

  • Análisis del SBOM para detectar vulnerabilidades públicas conocidas.
  • Verificación de que los componentes de integración sigan evaluados bajo CICLON.
  • Revisión de las certificaciones aplicables al proveedor cloud.
  • Cálculo del Porcentaje de Garantía de Monitorización (PGM).
  • Cálculo del Porcentaje de Garantía Compuesto (PGC).
  • Generación del Informe Técnico de Monitorización (MTR).

Qué revisa realmente el laboratorio

No se limita a ejecutar pruebas sobre el servicio. La metodología exige revisar la coherencia de la DS, la arquitectura declarada en el DAS, la trazabilidad del SBOM, el acceso real al entorno y la robustez de las comunicaciones, además de las pruebas funcionales y de penetración.

Resultado de la evaluación

El veredicto final se expresa mediante el Porcentaje de Garantía Compuesto (PGC), que integra evaluación y monitorización. Si durante el proceso aparecen no conformidades, el veredicto pasa a FALLA y el PGC será 0.

Antes de iniciar CICLON

1. Ruta cloud confirmada

Confirmar que el producto debe seguir CICLON y no una ruta orientada a productos on-prem como LINCE.

2. Alcance y servicio definidos

Delimitar TOE, entorno operacional, flujos y dependencias relevantes.

3. Evidencias preparadas

Tener lista DS, DAS, SBOM, certificación del proveedor cloud y acceso al entorno de pruebas.

4. Capacidad de monitorización

Asegurar que el servicio pueda actualizar las librerías e integraciones utilizadas cuando aparezca un problema.

Cómo ayuda CYBSER

Preparamos la Declaración de Seguridad, damos soporte con el DAS, revisamos la documentación y ejecutamos la evaluación al completo.

Nos ocupamos de todo el proceso para que podáis seguir centrados en vuestro producto.

Revisar encaje en CICLON Ver más guías CCN-STIC

Consulta la guía oficial

Si necesitáis revisar el documento completo, podéis consultar aquí la guía oficial del CCN.

Consultar CCN-STIC 2010 →

Preguntas frecuentes sobre CCN-STIC 2010

¿CCN-STIC 2010 sustituye a LINCE para productos cloud?
Sí. La propia guía explica que metodologías tradicionales como LINCE, CC o EUCC no resultan aplicables a entornos cloud por requerir acceso físico al producto o una versión estática del mismo durante toda la evaluación.
¿Qué documentación mínima exige CICLON antes de iniciar la evaluación?
Como mínimo exige la Declaración de Seguridad (DS), su validación por CPSTIC, el Documento de Arquitectura del Servicio (DAS), el fichero de librerías en formato SBOM CycloneDX, la certificación ENS o equivalente y un entorno de evaluación accesible para el laboratorio.
¿CICLON termina con la evaluación inicial?
No. La metodología se compone de una fase de evaluación inicial y una fase de monitorización periódica. El resultado final se expresa mediante el Porcentaje de Garantía Compuesto (PGC), que se actualiza con las iteraciones de monitorización.
¿Qué diferencia a CICLON frente a otras rutas?
La guía está pensada para productos desplegados en la nube. Introduce una lógica específica de evaluación del servicio, revisión de arquitectura, análisis criptográfico de comunicaciones y monitorización continua de dependencias, integraciones y certificaciones del proveedor cloud.

¿Queréis revisar si vuestro producto cloud está listo para CICLON?

Revisamos alcance, evidencias, arquitectura y monitorización antes de iniciar la evaluación.