Para elegir un producto certificado válido para el ENS, identifica primero la categoría de tu sistema (básica, media o alta), busca en la sección de productos cualificados del CPSTIC la familia que necesitas y comprueba que su cualificación cubre tu categoría. La sección de productos aprobados es para información clasificada, no para el ENS.

El catálogo CPSTIC del National Cryptologic Centre (CCN) (CCN) es la referencia oficial de productos de seguridad validados en España. Si ya sabes qué es y cómo se estructura, lo que falta es la decisión práctica: ante una lista de cientos de entradas, ¿cuál eliges para tu sistema concreto? Esta guía no describe el catálogo (eso lo tienes en mi página sobre el catálogo CPSTIC del CCN), sino que te ayuda a tomar la decisión: cuándo estás obligado a usar un producto certificado, cómo distinguir lo que sirve para el ENS de lo que no, y qué comprobar antes de comprar.

Equivocarse aquí tiene coste real. Comprar un producto que no figura en el catálogo, o que figura en la sección equivocada, te deja con una medida del Anexo II sin cumplir justo cuando llega el auditor. He visto organizaciones invertir en una solución estupenda técnicamente que, sin embargo, no aportaba nada al expediente de certificación porque nadie comprobó su estado en el CPSTIC antes de firmar el pedido.

¿Cuándo es obligatorio usar certified products en el ENS?

Infografía sobre Productos certificados para el ENS: elegir en el CPSTIC
Infografía: Infografía sobre Productos certificados para el ENS: elegir en el CPSTIC. Elaboración propia — Ángel Ortega Castro.

El ENS (Spanish National Security Framework) está regulado por el Royal Decree 311/2022, de 3 de mayo. Su Anexo II detalla las security measures, organizadas en tres marcos: organizativo, operacional y medidas de protección. Dentro del marco operacional, en el grupo de planificación, está la medida [op.pl.5] Componentes certificados, que es la que obliga a emplear productos validados.

La lógica de esta medida es proporcional, como todo en el ENS. El nivel de exigencia depende de la categoría del sistema, que se determina a partir del impacto que tendría un incidente sobre las dimensiones de seguridad (confidentiality, integrity, traceability, authenticity and availability). En términos prácticos:

  • Categoría básica: la medida de componentes certificados es recomendable, pero no se impone con la misma fuerza. El énfasis está en usar productos de mercado consolidados y bien configurados.
  • Categoría media: se valora positivamente el empleo de certified products, especialmente en los componentes que sostienen las funciones de seguridad del sistema.
  • Categoría alta: aquí la medida [op.pl.5] aprieta de verdad. Para las funciones de seguridad relevantes, se espera el uso de certified products o cualificados, y el CPSTIC es la referencia natural para localizarlos.

Conviene entender que la obligación no es comprar "cualquier producto certificado" porque sí, sino emplear productos cuya seguridad esté garantizada de forma proporcionada a la categoría y a la función que desempeñan. Un cortafuegos perimetral en un sistema de categoría alta no es lo mismo que una utilidad accesoria sin impacto sobre las dimensiones de seguridad. Si tienes dudas sobre cómo se encajan estas medidas en el conjunto del Anexo II, te puede ayudar mi guía sobre los controles del ENS por marcos, donde explico la estructura organizativo-operacional-protección.

¿Qué es el CPSTIC y dónde encaja en la decisión?

Productos CPSTIC certificados como elegir
Foto: Idaho National Laboratory (CC BY 2.0)

El CPSTIC (Catálogo de Productos y Servicios de Seguridad TIC) es el catálogo oficial que mantiene el CCN y que se recoge en la Guía CCN-STIC-105. Se actualiza de forma periódica, con publicaciones mensuales, así que un producto que hoy no figura puede aparecer el mes que viene, y viceversa. Esa caducidad es importante: la decisión de compra debe basarse en la versión vigente del catálogo, no en una captura de hace un año.

El papel del CPSTIC en tu decisión es doble. Primero, es la lista de la compra: te dice qué productos han pasado un proceso de validación reconocido. Segundo, es la prueba documental: cuando el auditor revise el cumplimiento de [op.pl.5], poder señalar que el producto figura en el CPSTIC en la sección correcta resuelve la conversación. Por eso elegir bien no es solo una cuestión técnica, sino también de expediente.

Para una descripción completa de la estructura del catálogo y su acceso, remito a la página viva del catálogo CPSTIC. Aquí me centro en lo decisional.

¿Qué diferencia hay entre producto aprobado y cualificado?

Esta es la confusión más cara que veo, y la que más expedientes complica. El CPSTIC tiene varias secciones, y dos de ellas se parecen lo suficiente en el nombre como para que se mezclen. No son intercambiables:

  • Productos APROBADOS: están pensados para manejar información clasificada. Es el ámbito de la seguridad nacional y el manejo de materias clasificadas, con un régimen propio. Si tu sistema procesa información clasificada, este es tu apartado; si no, no lo es.
  • Productos y servicios CUALIFICADOS: cumplen los requisitos para proteger información sensible en el ámbito del ENS, y se organizan por las categorías del propio Esquema (alta, media y básica). Esta es la sección que te interesa para cumplir el ENS.

La regla mnemotécnica es sencilla: aprobado igual a información clasificada; cualificado igual a información sensible y ENS. Un producto puede estar aprobado y no cualificado, cualificado y no aprobado, o ambas cosas. Para tu sistema ENS, lo que necesitas es la cualificación, y dentro de ella, que cubra tu categoría.

Existe además una tercera familia en el catálogo, la de productos y servicios de conformidad y gobernanza, que agrupa funcionalidades que facilitan el cumplimiento de la normativa de seguridad. Son útiles, pero no sustituyen a la cualificación cuando lo que necesitas es satisfacer [op.pl.5].

Producto aprobado frente a producto cualificado en el CPSTIC
Aspecto Producto APROBADO Producto CUALIFICADO
Tipo de información Información clasificada Información sensible (ámbito ENS)
Marco de referencia Régimen de materias clasificadas Categorías del ENS (alta, media, básica)
¿Sirve para cumplir el ENS? No es el apartado del ENS Sí, es la sección a usar
A quién aplica típicamente Sistemas que manejan clasificada Administración y entidades bajo ENS
Dónde mirar primero Sección de aprobados Sección de cualificados, por categoría

¿Cómo se cualifica un producto y por qué te importa al elegir?

Saber cómo llega un producto a la sección de cualificados te ayuda a interpretar lo que estás leyendo en el catálogo y a hacer preguntas útiles al fabricante. Para entrar en el apartado de cualificados, el producto debe superar el proceso descrito en la Guía CCN-STIC-106. Ese proceso se apoya en una de estas vías de garantía:

  • Certificación funcional Common Criteria: el esquema internacional de evaluación de seguridad, con niveles de garantía reconocidos fuera de España.
  • Certificación funcional LINCE: una metodología de evaluación más ágil, pensada para productos de seguridad con un esfuerzo de evaluación acotado.
  • Evaluación STIC contra los Requisitos Fundamentales de Seguridad (RFS): los requisitos recogidos en la Guía CCN-STIC-140, específicos por taxonomía y familia de producto.

¿Por qué te importa al elegir? Porque la vía de cualificación te da una pista del rigor y del alcance de lo evaluado. Un producto cualificado vía Common Criteria con un nivel de garantía alto da más confianza para un sistema de categoría alta que uno con una evaluación mínima. No es que uno sea "mejor" en abstracto, sino que debes casar el nivel de garantía con la criticidad de la función que el producto va a desempeñar en tu sistema.

¿Cómo elijo el producto adecuado del CPSTIC? Método en cinco pasos

Este es el corazón de la guía. Cuando tengas que elegir, sigue este orden y evitarás la mayoría de los errores:

  1. Determina la categoría de tu sistema. Sin saber si es básica, media o alta no puedes filtrar bien. La categoría sale de la valoración de impacto sobre las dimensiones de seguridad. Si no la tienes formalizada, ese es el primer trabajo, y forma parte de cualquier proceso serio de ENS implementation.
  2. Identifica la familia de producto que necesitas. Cortafuegos, cifrado, control de acceso, antimalware, herramientas de monitorización... El catálogo se organiza por taxonomía, así que ubica primero la categoría funcional antes de comparar fabricantes.
  3. Ve a la sección de cualificados, no a la de aprobados. Salvo que manejes información clasificada, tu sección es la de cualificados. Comprueba que la entrada cubre tu categoría ENS: un producto cualificado para categoría media puede no servir para un sistema de categoría alta.
  4. Verifica la versión y el estado vigente. El CPSTIC se actualiza mensualmente. Confirma que la versión concreta del producto (no solo la marca) figura como cualificada, y que no ha salido del catálogo. La cualificación es de una versión, no de un fabricante en general.
  5. Comprueba las condiciones de empleo seguro. Muchos productos cualificados lo están bajo una configuración determinada. Usarlo fuera de esas condiciones puede invalidar la garantía a efectos del ENS. Lee el procedimiento de empleo seguro asociado antes de desplegar.

Aplicado con disciplina, este método convierte una decisión que parece abrumadora en una secuencia de filtros. Y deja rastro documental: cada paso es una evidencia que luego sostiene el cumplimiento de [op.pl.5] ante el auditor.

Criterios para elegir un producto del CPSTIC para un sistema ENS
Criterio Qué comprobar Por qué importa
Categoría ENS cubierta Que la cualificación cubra básica, media o alta según tu sistema Un producto para categoría inferior no cubre la superior
Sección correcta Que esté en cualificados, no solo en aprobados Aprobado es para clasificada, no para el ENS
Familia / taxonomía Que la función encaje con tu necesidad real Evita comprar la solución equivocada
Versión concreta Que la versión exacta figure como cualificada La cualificación es por versión, no por marca
Estado vigente Que no haya salido del catálogo (actualización mensual) El catálogo cambia; lo válido caduca
Empleo seguro Que puedas cumplir su configuración de referencia Fuera de esa configuración, la garantía no aplica
Vía de cualificación Common Criteria, LINCE o RFS (CCN-STIC-140) El nivel de garantía debe casar con la criticidad

¿Qué errores debo evitar al elegir un producto certificado?

Los tropiezos se repiten con tanta regularidad que casi se pueden enumerar de memoria. Estos son los que más cuestan en una auditoría:

  • Confundir aprobado con cualificado. Ya lo hemos visto: comprar un producto de la sección de aprobados pensando que sirve para el ENS deja la medida sin cubrir.
  • Fiarse de la marca y no de la versión. Que el fabricante tenga "un producto en el CPSTIC" no significa que la versión que vas a desplegar esté cualificada. Verifica siempre la versión exacta.
  • Ignorar la categoría. Elegir un producto sin haber fijado antes la categoría del sistema es construir sobre arena: puede que cubra y puede que no.
  • Desplegar sin respetar el empleo seguro. Un producto cualificado mal configurado puede dejar de aportar la garantía que justificaba su elección.
  • Trabajar con una versión antigua del catálogo. Como el CPSTIC se actualiza cada mes, una decisión basada en una versión vieja puede apoyarse en información ya superada.

Evitar estos errores no requiere ser un experto en Common Criteria; requiere método y disciplina documental. Si tu organización afronta una auditoría del ENS y no quieres descubrir estos fallos el día de la revisión, lo sensato es revisar la selección de componentes con antelación, no a posteriori.

¿Cómo se relaciona esto con la certificación global del ENS?

Elegir bien los productos del CPSTIC es una pieza, no el rompecabezas entero. La medida [op.pl.5] convive con decenas de medidas más del Anexo II, y la certificación del ENS valora el conjunto, no un control aislado. Un sistema con productos impecables pero con el marco organizativo flojo no aprueba; y al revés, un buen marco no compensa el uso de componentes inadecuados en funciones críticas.

Por eso recomiendo abordar la selección de productos dentro del plan general de cumplimiento, no como una compra suelta. Si estás empezando, la guía completa del ENS te da el mapa entero del Esquema y te ayuda a situar dónde encaja la elección de productos. Y conviene recordar que muchas organizaciones que ya tienen una ISO 27001 implantada parten con ventaja, porque buena parte de la gestión de proveedores y componentes ya está rodada, aunque el ENS añade la exigencia específica del CPSTIC que la ISO no contempla.

En mi trabajo desde Castilla y León y Canarias acompaño este proceso de principio a fin: desde fijar la categoría hasta validar que cada componente crítico tiene su respaldo documental en el catálogo. La elección de productos suele ser uno de los puntos donde más tiempo se ahorra con criterio, porque evita compras inútiles y rehacer despliegues.

Frequently asked questions

¿Qué es el catálogo CPSTIC?

El CPSTIC (Catálogo de Productos y Servicios de Seguridad TIC) es el catálogo oficial que mantiene el National Cryptologic Centre (CCN) (CCN) y que se recoge en la Guía CCN-STIC-105. Lista los productos y servicios de seguridad validados, organizados en secciones según manejen información clasificada (aprobados) o información sensible en el ámbito del ENS (cualificados), además de productos de conformidad y gobernanza. Se actualiza periódicamente, con publicaciones mensuales.

¿Cuándo es obligatorio usar certified products en el ENS?

La medida [op.pl.5] Componentes certificados del Anexo II del RD 311/2022 establece la exigencia de forma proporcional a la categoría del sistema. En categoría alta se espera el uso de certified products o cualificados para las funciones de seguridad relevantes, y la exigencia se relaja en categorías media y básica. El CPSTIC es la referencia para localizar esos productos.

¿Cómo elijo un producto CPSTIC?

Sigue cinco pasos: determina la categoría de tu sistema (básica, media o alta), identifica la familia de producto que necesitas, ve a la sección de cualificados y comprueba que cubre tu categoría, verifica que la versión concreta está vigente en el catálogo (se actualiza cada mes) y confirma que puedes cumplir sus condiciones de empleo seguro. Así dejas además rastro documental para la auditoría.

¿Qué diferencia hay entre producto aprobado y cualificado?

Un producto aprobado está pensado para manejar información clasificada, mientras que un producto cualificado cumple los requisitos para proteger información sensible en el ámbito del ENS, organizado por las categorías alta, media y básica. Para cumplir el ENS necesitas la sección de cualificados, no la de aprobados. Un mismo producto puede estar en una sección, en la otra o en ambas.

Sources