Ir al contenido principal
Logotipo de Blackberry
Antecedentes del héroe

Certificación de Criterios Comunes

¿Qué es la certificación Common Criteria?

Los Criterios Comunes (CC), designados formalmente como ISO/IEC 15408, son una norma internacional utilizada para evaluar la funcionalidad y la garantía de seguridad de los productos informáticos. Proporcionan un método estructurado para definir los requisitos de seguridad y verificar que un producto ha sido sometido a rigurosas pruebas con respecto a dichos requisitos. Los gobiernos y las empresas confían en los Criterios Comunes para:

  • Garantizar una comparación coherente de las declaraciones de seguridad.

  • Permita tomar decisiones de compra informadas para productos centrados en la seguridad.

  • Defina los requisitos que se ajusten a los riesgos operativos específicos y a los contextos de implementación.

  • Apoyar la verificación independiente de las declaraciones sobre los productos en niveles de garantía definidos.

El propósito de esta certificación es doble:

  • Garantiza que las características de seguridad de un producto se describan con precisión en un documento denominado «objetivo de seguridad».

  • Facilita la evaluación independiente de esas características con un nivel de rigor definido, denominado Niveles de garantía de evaluación (EAL).

Este proceso permite a los compradores alinear la profundidad de evaluación de un producto (por ejemplo, EAL2 frente a EAL4+) con el riesgo operativo y el contexto de implementación. La designación EAL4+ suele ser el objetivo de los productos de alta seguridad, ya que equilibra la profundidad del análisis con los plazos de implementación prácticos.

Los Criterios Comunes gozan de un amplio reconocimiento internacional a través del Acuerdo de Reconocimiento de Criterios Comunes (CCRA), que agiliza la aceptación de las evaluaciones en todos los países miembros. En Estados Unidos, la Asociación Nacional para la Seguridad de la Información (NIAP) gestiona este proceso en coordinación con el Esquema de Evaluación y Validación de Criterios Comunes (CCEVS). Estos organismos validan los productos certificados y mantienen la Lista de Productos Conformes, lo que proporciona una referencia autorizada para las organizaciones que evalúan soluciones seguras.

Para los compradores preocupados por la seguridad en sectores como el gubernamental y el de infraestructuras críticas, esta estandarización reduce las pruebas redundantes y acelera la adopción de soluciones verificadas.

El proceso de certificación de los Criterios Comunes

La obtención de la certificación Common Criteria implica un flujo de trabajo estructurado y basado en pruebas que es transparente y repetible, lo que permite a las organizaciones planificar los recursos y reducir los riesgos. El proceso es el siguiente:

  • Definición del alcance: Identificar el producto, definir el objetivo de seguridad y documentar la funcionalidad de seguridad prevista, las amenazas relevantes y las hipótesis operativas.

  • Identificación de perfiles de protección: Determinar los perfiles de protección aplicables para estandarizar los requisitos de seguridad.

  • Preparación de pruebas: Desarrollar documentación exhaustiva sobre el diseño y las pruebas para respaldar la evaluación.

  • Evaluación independiente: Someterse a pruebas funcionales y de penetración realizadas por un laboratorio acreditado.

  • Corrección y revisión: Abordar sistemáticamente los hallazgos hasta que el producto alcance el nivel de garantía deseado.

  • Informe de certificación: Reciba un informe de evaluación detallado que respalda la certificación en el EAL elegido.

  • Revisión por parte del organismo de certificación: Los organismos nacionales de certificación revisan el trabajo del laboratorio y emiten el certificado una vez completado con éxito.

En EE. UU., la certificación NIAP está validada por CCEVS, y los productos certificados aparecen en la Lista de productos conformes para simplificar la adquisición. Esta separación de funciones garantiza la imparcialidad y la coherencia en todas las evaluaciones.

Los plazos para la certificación de Criterios Comunes pueden variar en función del alcance y el nivel de garantía de la evaluación. Las evaluaciones más pequeñas pueden completarse en unos pocos meses, mientras que los proyectos con mayor nivel de garantía o los sistemas más complejos pueden requerir nueve meses o más.

Los costes dependen del alcance de la evaluación, del nivel de garantía de evaluación (EAL) elegido y de la disponibilidad de pruebas que lo respalden. Una planificación proactiva y un control estricto de la configuración ayudan a gestionar los plazos y el presupuesto.

Ventajas de la certificación Common Criteria

La certificación proporciona una garantía independiente de que las características de seguridad de un producto funcionan según lo previsto y han sido examinadas minuciosamente según una norma reconocida. Esta garantía refuerza la confianza entre los equipos de seguridad, los responsables de compras y los auditores que exigen pruebas defendibles de las afirmaciones de seguridad. Cuando un producto aparece en la lista de productos conformes, inmediatamente transmite una integridad verificada a los posibles compradores.

Las principales ventajas son:

  • Simplifica el acceso a oportunidades que requieren soluciones certificadas.

  • Agiliza la aceptación transfronteriza a través del Acuerdo de Reconocimiento de Criterios Comunes (CCRA), minimizando las evaluaciones redundantes.

  • Contribuye a mejorar la calidad de la documentación, la cobertura de las pruebas y la facilidad de mantenimiento a largo plazo cuando se integra en el ciclo de vida del desarrollo seguro.

  • Proporciona una vía reconocida para la aceptación para su uso federal en EE. UU. a través de la certificación NIAP y la validación CCEVS.

  • Ofrece claridad a los clientes y las partes interesadas al abordar claramente el problema de seguridad que se está resolviendo, la forma en que se mitiga y el nivel de garantía verificado de forma independiente.

Esa claridad respalda las decisiones basadas en el riesgo y se ajusta a las expectativas de gobernanza empresarial. Las soluciones desarrolladas con rigurosos estándares de seguridad y diseñadas para cumplir los requisitos de conformidad, incluida la alineación con los Criterios Comunes hasta niveles como EAL4+, ayudan a las organizaciones a operar con confianza en entornos de alta seguridad.

BlackBerry para comunicaciones seguras

Para entornos en los que el fracaso no es una opción

BlackBerry Secure Communications es la solución líder que ofrece una experiencia sin igual para proteger las comunicaciones más críticas del mundo.

Explore las soluciones de comunicaciones seguras de BlackBerry

Preguntas frecuentes

¿Cuál es la diferencia entre la norma ISO 27001 y los Criterios Comunes?

La norma ISO/IEC 27001 es una norma de sistemas de gestión que especifica los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Se centra en los procesos organizativos y la gestión de riesgos. Por el contrario, los Criterios Comunes (ISO/IEC 15408) evalúan la funcionalidad y la garantía de seguridad de productos informáticos específicos utilizando niveles de garantía de evaluación definidos. Básicamente, la norma ISO 27001 aborda la seguridad a nivel organizativo, mientras que los Criterios Comunes evalúan de forma independiente las declaraciones de seguridad de un producto.

¿Cuál es la norma ISO para los Criterios Comunes?

Los Criterios Comunes se formalizan en la norma ISO/IEC 15408, que especifica los criterios de evaluación, y están respaldados por la norma ISO/IEC 18045, que describe la metodología de evaluación. Estas normas internacionales definen cómo se documentan los requisitos de seguridad y cómo se llevan a cabo las evaluaciones, lo que en última instancia conduce a la aparición de certificaciones en listas de conformidad reconocidas.

¿Cómo se relaciona la certificación NIAP con las adquisiciones del gobierno de los Estados Unidos?

La certificación NIAP, validada a través del Esquema de Evaluación y Validación de Criterios Comunes (CCEVS), sirve como enfoque del gobierno de los Estados Unidos respecto a los Criterios Comunes. Los productos que obtienen esta certificación se reconocen como conformes, lo que agiliza el proceso de adquisición para las agencias y ofrece una indicación clara de su estado certificado.

¿Qué nivel EAL de los Criterios Comunes debería aspirar a alcanzar una organización?

El nivel de garantía de evaluación (EAL) más adecuado depende del riesgo de la misión de la organización, el contexto de implementación y la disponibilidad de pruebas que lo respalden. Muchas entidades comerciales y gubernamentales dan prioridad al EAL4+, ya que equilibra un análisis exhaustivo con plazos de implementación realistas. Se recomienda encarecidamente colaborar con un laboratorio acreditado para asignar los requisitos operativos a los niveles de garantía adecuados.