El Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia, ha presentado CICLON, la nueva Metodología de Evaluación de Productos en la Nube diseñada para analizar y certificar la seguridad de soluciones TIC desplegadas en entornos cloud.
La iniciativa nace con el objetivo de cubrir una necesidad creciente: disponer de un sistema específico para evaluar productos y servicios cloud que no pueden someterse a los procedimientos tradicionales aplicados a soluciones “on premise”. Con ello, el CCN establece un marco homogéneo y verificable alineado con las exigencias actuales de seguridad en entornos de nube.
La metodología se orienta a garantizar que los productos evaluados cumplen las funciones de seguridad declaradas por sus fabricantes y responde, además, a los distintos niveles de amenaza definidos en el Cybersecurity Act de la Unión Europea.
Un modelo basado en evaluación continua
CICLON estructura el proceso de certificación en dos fases diferenciadas:
- Evaluación inicial, que incluye análisis documental, pruebas funcionales, pruebas de penetración y revisión criptográfica.
- Monitorización continua, destinada a mantener actualizado el nivel de confianza mediante revisiones periódicas de librerías, componentes y certificaciones asociadas al entorno cloud.
El modelo incorpora también un enfoque adaptable al nivel de complejidad del servicio evaluado y apuesta por la automatización de actividades clave dentro del proceso de certificación.
Porcentaje de Garantía Compuesto (PGC)
Uno de los elementos centrales de CICLON es el denominado Porcentaje de Garantía Compuesto (PGC), un indicador que integra los resultados obtenidos tanto en la evaluación inicial como en la monitorización continua.
Este valor se actualiza periódicamente para reflejar la evolución de la seguridad del producto a lo largo del tiempo, ofreciendo una referencia objetiva y comparable sobre el nivel de garantía alcanzado.
Marco oficial para administraciones y sector privado
Según explica el CCN, la metodología busca facilitar la confianza en productos cloud tanto para las administraciones públicas como para organizaciones privadas, proporcionando un procedimiento estructurado que define:
- Los actores implicados en el proceso de evaluación.
- La documentación necesaria para iniciar la certificación.
- Las fases y criterios técnicos aplicados por los laboratorios autorizados.
Toda la información sobre CICLON está disponible a través del Organismo de Certificación del CCN, responsable también de otras certificaciones STIC de tipo funcional, criptológica y TEMPEST.
