CICLON: el nuevo marco del CCN para certificar la seguridad de productos en la nube

La metodología desarrollada por el Centro Criptológico Nacional establece un sistema oficial para evaluar y supervisar la seguridad de soluciones TIC desplegadas en entornos cloud. El modelo combina una evaluación inicial y una monitorización continua, incorpora pruebas técnicas y revisiones periódicas, y ofrece un indicador verificable del nivel de garantía de cada producto para administraciones públicas y organizaciones privadas.

El Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia, ha desarrollado la Metodología de Evaluación de Productos en la Nube (CICLON), un marco oficial destinado a analizar y certificar la seguridad de soluciones tecnológicas desplegadas en entornos cloud.

La iniciativa responde a la necesidad de contar con un sistema específico para evaluar productos y servicios en la nube que no pueden someterse a las metodologías tradicionales aplicadas a infraestructuras on premise, y se alinea con los niveles de amenaza definidos en el Cybersecurity Act de la Unión Europea.

CICLON establece un procedimiento estructurado y verificable que define los actores implicados en la evaluación, la documentación necesaria para iniciar el proceso y las fases técnicas que deben aplicar los laboratorios autorizados. El objetivo es comprobar que la robustez del producto evaluado se corresponde con las funciones de seguridad declaradas por el fabricante.

La metodología se articula en dos grandes fases. La primera corresponde a la evaluación inicial, que incluye análisis documental, pruebas funcionales, pruebas de penetración y revisión criptográfica. La segunda se basa en una monitorización continua destinada a mantener actualizado el nivel de confianza del producto mediante revisiones periódicas de librerías, componentes y certificaciones del entorno cloud.

Uno de los elementos centrales del modelo es el denominado Porcentaje de Garantía Compuesto (PGC), un indicador que integra los resultados obtenidos tanto en la evaluación inicial como en la supervisión continua. Este valor se actualiza de forma periódica para reflejar la evolución de la seguridad del producto a lo largo del tiempo.

CICLON incorpora además un esfuerzo de evaluación adaptable a la complejidad de cada servicio y contempla la automatización de actividades clave del proceso, facilitando así revisiones más ágiles y homogéneas.

Con este marco, el CCN busca proporcionar un sistema común y fiable que facilite la confianza en productos cloud evaluados tanto en el ámbito público como en el privado, reforzando los mecanismos de verificación y supervisión de seguridad en entornos digitales cada vez más distribuidos.