CICLON, nueva metodología para valuar y certificar la seguridad de productos cloud

El Centro Criptológico Nacional (CCN) ha lanzado la nueva Metodología de Evaluación de Productos en la Nube, bautizada como CICLON por las siglas de Certificación Iterativa CLOud Nacional. Se trata de un marco oficial “para analizar y certificar la seguridad de soluciones TIC desplegadas en entornos cloud”, distinguiendo en particular la nube con respecto al on-prem.

El CCN explica que CICLON contempla dos fases, diferenciadas en la nueva metodología: la evaluación inicial y la monitorización continua. El organismo lo considera “un esfuerzo de evaluación adaptable a la complejidad del servicio y la automatización de actividades clave del proceso”.

La metodología se presenta como respuesta a la necesidad de evaluar los productos conforme a los niveles de amenaza que define la Ley de Ciberresiliencia de la Unión Europea, de modo que se pueda garantizar que se cumplen las funciones de seguridad que declaran sus fabricantes. El procedimiento de CICLON detalla tanto a los actores implicados en la evaluación como la documentación necesaria para iniciar el proceso y las fases y criterios técnicos que aplicarán los laboratorios autorizados.

La evaluación inicial incluye el análisis documental, las pruebas funcionales y las de penetración, así como la revisión criptográfica. En cuanto a la evaluación continua, el CCN explica que “permite mantener actualizado el nivel de confianza del producto mediante revisiones periódicas de librerías, componentes y certificaciones del entorno”. Se trata de un “esfuerzo de evaluación adaptable a la complejidad del servicio”, con un modelo de garantía basado en un Porcentaje de Garantía Compuesto (PGC).