CPSTIC: garantía técnica del Estado para proteger sistemas críticos

La protección de infraestructuras críticas, organismos públicos y entidades sujetas al Esquema Nacional de Seguridad (ENS) y a la Directiva NIS2 no es una opción, sino una necesidad estratégica. Ante este escenario, el Catálogo de Productos y Servicios de Seguridad TIC (CPSTIC), gestionado por el Centro Criptológico Nacional (CCN), parte del Centro Nacional de Inteligencia (CNI), se erige como una referencia estatal que certifica, evalúa y valida productos y servicios tecnológicos con los más altos estándares de ciberseguridad.

¿Qué es el CPSTIC y por qué es clave?

El CPSTIC es un catálogo oficial y técnico, no comercial, que recoge soluciones TIC que han superado rigurosos procesos de evaluación, verificación y certificación frente a los requisitos del ENS (según el RD 311/2022) y estándares internacionales como Common Criteria. Los productos listados están clasificados en niveles de seguridad (Básico, Medio y Alto) y son considerados aptos para su uso en:

• Sistemas clasificados (Ley 9/1968).
• Sistemas que manejan información sensible o confidencial.
• Infraestructuras críticas y servicios esenciales afectados por la NIS2.
• Organismos públicos y proyectos con exigencias de cumplimiento normativo.

El objetivo del catálogo es garantizar que tanto administraciones públicas como empresas privadas puedan identificar, con total confianza, qué soluciones tecnológicas ofrecen garantías reales de protección, trazabilidad, interoperabilidad e integración segura.

Proceso de evaluación y certificación

La inclusión en el CPSTIC no es automática ni superficial. Los fabricantes deben someter sus productos a un proceso exhaustivo que incluye:

1. Solicitud formal y evaluación técnica: A cargo de laboratorios acreditados por el CCN, siguiendo esquemas como LINCE o Common Criteria. Se analiza desde la arquitectura y diseño hasta pruebas de penetración para evaluar su resistencia frente a amenazas reales.
2. Certificación y clasificación: Si el producto cumple, obtiene el estatus de aprobado o cualificado, en función de su adecuación a entornos de alta seguridad.
3. Inclusión y mantenimiento en el CPSTIC: Las soluciones listadas están sujetas a revisiones periódicas, lo que garantiza su vigencia y mejora continua.

Tipologías cubiertas por el CPSTIC

El catálogo abarca tanto software como hardware y servicios de seguridad. Algunas de las categorías principales son:

• Productos de seguridad de red (firewalls, VPN, IDS/IPS).
• Sistemas de autenticación y control de acceso.
• Plataformas de gestión de identidades.
• Soluciones de cifrado, monitorización y auditoría.
• Servicios profesionales de ciberseguridad (consultoría, auditoría, SOC, etc.).

Ventajas prácticas de elegir productos CPSTIC

Para los CISOs, responsables de IT y equipos de cumplimiento normativo, implantar soluciones incluidas en el CPSTIC como Endurance ofrece beneficios inmediatos:

• Reducción del esfuerzo de justificación técnica: No es necesario acreditar desde cero la seguridad del producto, ya ha sido evaluado por el CCN.
• Cumplimiento automático de requisitos contractuales: En muchos proyectos públicos, el uso de productos CPSTIC es obligatorio.
• Garantía de evolución y soporte continuado: Los productos listados deben mantener su vigencia mediante actualizaciones constantes, lo que asegura una protección sólida y sostenible.

Endurance: verificada como PAM

Entre las soluciones incluidas en el CPSTIC, destaca Endurance de Cosmikal, validado como PAM. Su inclusión supone una confirmación técnica de su alineación con los principios del ENS demostrando su resistencia frente a ciberataques, su capacidad de aislamiento y su trazabilidad absoluta.

¿Qué diferencia técnicamente a Endurance?

Endurance introduce un enfoque diferencial que va más allá del control de acceso tradicional, incorporando capas adicionales de blindaje, cifrado y supervisión:

1. Aislamiento total del sistema protegido: Utiliza una arquitectura de escritorio remoto blindado basada en tecnología VDI cifrada. Hasta el endpoint del usuario solo viajan eventos de ratón, teclado, vídeo y audio, eliminando el riesgo de comandos directos, transferencia de archivos o acceso encubierto.
2. Vault encriptado: Las credenciales de acceso a los activos IT/OT se inyectan desde un vault central gestionado, sin viajar nunca al cliente. Cifradas tanto en tránsito como en reposo, ni siquiera los administradores tienen acceso a las claves.
3. Broker de conexión: Actúa como intermediario seguro que define políticas de acceso, autenticación multifactor, límites horarios y duración de sesión, etc. Además, ofrece trazabilidad en tiempo real.
4. Auditoría: Todas las sesiones son grabadas y almacenadas, permitiendo reconstrucciones exactas para auditorías de compliance o investigaciones.
5. Compatibilidad ENS/NIS2: Endurance ha sido diseñado para facilitar el cumplimiento de múltiples artículos regulatorios gracias al control de accesos, la gestión de privilegios, la segregación de funciones, su resiliencia y trazabilidad.

Conclusión

El CPSTIC no es una simple base de datos: es un catálogo oficial y técnico no comercial con una validación estatal de alto nivel. La inclusión de Endurance en este catálogo confirma que cumple con los requisitos más exigentes de seguridad, trazabilidad y resiliencia. Esto convierte a Endurance en una herramienta ideal para proteger el acceso a activos IT/OT, desde esde entornos SCADA e IoT, hasta infraestructuras de telecomunicaciones o energía, con una garantía oficial, verificada y reconocida por el Estado español.

Consulta Endurance en el CPSTIC aquí.