Desde los años 80, cuando comenzaron los Estados Unidos de América, hasta hoy día, ha existido una importante preocupación por lograr definir un criterio estándar que sirva como base para la evaluación de las propiedades y características de seguridad de determinado producto o sistema tecnológicos.
Como hitos importantes de dicha evoluación cabe destacar:
- 1980 – Estados Unidos – Trusted Computer System Evaluation Criteria (TCSEC)
- 1991 – Unión Europea – Information Technology Security Evaluation Criteria (ITSEC)
- 1993 – Canadá – Canadian Trusted Computer Product Evaluation (CTCPEC)
- 1993 – Estados Unidos – Federal Criteria
- 1999 – Organización Internacional para la Estandarización (ISO) – Publicación de la ISO-IEC 15408 «Common Criteria for Information Technology Security Evaluation»
Son muchas las relaciones existentes entre el nuevo modelo de Administración Electrónica introducido por la Ley 11/2007, y más concretamente en materia de Seguridad el Real Decreto 3/2010 por el que se aprueba el Esquema Nacional de Seguridad (ENS) y las Certificaciones Oficiales de Seguridad de Productos y Tecnologías de la Información, tales comolo dispuesto en el artículo 18 del ENS, donde se dispone:
Artículo 18. Adquisición de productos de seguridad.
1. En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser utilizados por las Administraciones públicas se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición.
2. La certificación indicada en el apartado anterior deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, en el ámbito de la seguridad funcional.
3. El Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información, constituido al amparo de lo dispuesto en el artículo 2.2.c del Real Decreto 421/2004, de 12 de marzo, y regulado por la Orden PRE/2740/2007, de 19 de septiembre, dentro de sus competencias, determinará el criterio a cumplir en función del uso previsto del producto a que se refiera, en relación con el nivel de evaluación, otras certificaciones de seguridad adicionales que se requieran normativamente, así como, excepcionalmente, en los casos en que no existan productos certificados. El proceso indicado, se efectuará teniendo en cuenta los criterios y metodologías de evaluación, determinados por las normas internacionales que recoge la orden ministerial citada.
Igualmente, son permanentes las referencias que podemos encontrar a lo largo del Anexo I del ENS donde se disponen, especialmente para el nivel MEDIO y ALTO que «Se emplearán, preferentemente, productos certificados» o «Se utilizarán productos certificados o servicios externos admitidos»
Es por tanto, desde nuestro punto de vista, una ventaja competitiva clave para los proveedores de tecnologías de información a las Administraciones Públicas (aunque no únicamente a éstas) disponer de herramientas cuya seguridad se encuentre debidamente certificada por parte de los organísmos competentes en la materia.
En este sentido, hemos de tener presente que España, como país emisor de Certificados Common Criteria desde el año 2006, ha designado al Organismo de Certificación que certifica la seguridad de productos y sistemas de Tecnologías de la información, dependiente del Centro Criptológico Nacional, parte del Centro Nacional de Inteligencia, dependiente del Ministerio de Defensa, como entidad responsable de la emisión de las certificaciones correspondientes.
No obstante, son los laboratorios privados externos, debidamente acreditados, las entidades encargadas de llevar a cabo las evaluaciones previas de la adecuación o no de los productos o sistema de información de los proveedores, por lo que en todo caso, será necesario pasar por ellos para lograr la correspondiente certificación del Organísmo de Certificación.
En este sentido, hemos de tener presente que en España únicamente contamos con TRES laboratorios acreditados que son:
- Centro de Evaluación de la Seguridad de las Tecnologías de la Información (CESTI) Instituto Nacional de Técnica Aeroespacial (INTA)
- LGAI Technological Center S.A (Applus)
- Epoche and Espri S.L.U
En un mercado tan altamente competitivo como el actual, es de vital importancia que los proveedores de tecnologías de la información de las Administraciones Públicas comiencen a tener consciencia de la necesidad de poner a disposición de las administraciones públicas tecnologías de la información que previamente hayan sido certificadas por el Organísmo de Certificación correspondiente.
Desde el punto de vista de negocio, no debemos olvidar que la obtención de la citada certificación, al ser realizada bajo criterios Commón Criteria, será válida no sólo para España, sino para el resto de países miembro (25 Estados), lo que sin duda alguna hace que el ROI de la inversión realizada cuente con unos plazo más cortos, en la medida en que habilitará a la compañía propietaria de la citada tecnología, para poder acreditar la seguridad de sus productos tecnológicos ante cualquier cliente de dichos Estados, lo que sin duda alguna supondrá una ventaja clara respecto al resto de competidores.