ENS Sistemas

Clasificados

Productos / Cualificación Aprobación

servicios

Sistemas de Conformidad
Acreditación
información ENS

movilsec@ccn.cni.es
Objetivos
1. Establecer comunicaciones (seguras)
entre empleados, y con personas
ajenas a la corporación.

2. Acceder a los servicios IT de la

organización (de manera segura)

3. Acceder a servicios de terceros a través

de internet (y mantener la seguridad)

movilsec@ccn.cni.es
Riesgos Riesgos Riesgos Riesgos
en el en el en la en los
usuario dispositivo red de acceso servicios

movilsec@ccn.cni.es
Dispositivos complejos

www.ccn.cni.es
movilsec@ccn.cni.es 4
¿Se pueden desplegar sistemas de comunicaciones
móviles con seguridad?
Si:

❑ Plataformas cualificadas / aprobadas,

❑ Aplicaciones aprobadas / revisadas,
❑ Interconexión correcta,
❑ Recursos de gestión dedicados,
❑ Respetar la normativa.

movilsec@ccn.cni.es
Bloques funcionales

Usuario Aplicación Plataforma Red móvil TIC Internet

(~3os no conocidos )

Formar Dirigir Verificar Tunelizar Segregar Aislar

Verificar ¿evitar?

(normativa) (confidencialidad) (integridad) (disponibilidad)

Gestionar

movilsec@ccn.cni.es
Arquitectura de sistema
Sistema de comunicaciones Infraestructura TIC Otras redes
corporativa
móviles corporativas (telefonía pública,
internet, etc.)

Aplicaciones
Dispositivo (Hw+SO)
Red (acceso)

Gestión

interconexión interconexión

movilsec@ccn.cni.es
Aplicaciones
Application
Store

Corporate Corporate Corporate End

System Admin System Admin AppStore User

Developer

Application Testing Process

+
Corporate Security Policy

movilsec@ccn.cni.es
Incremento progresivo de la seguridad

la
el usuario: el móvil: la red:
organización:
❑ Uso consciente ❑ Móviles cualificados ❑ VPN always on ❑ MDM /UEM / MTD
❑ Procedimiento de uso ❑ Configuración razonada ❑ Acuerdo comercial completo ❑ Arquitectura de referencia

❑ Normativa interna ❑ Aplicaciones autorizadas ❑ APN Privado ❑ Interconexión

❑ Medidas sobre la cadena de ❑ Monitorización

suministro

movilsec@ccn.cni.es
 ENS Sistemas
Clasificados

Productos / Cualificación Aprobación

servicios

Sistemas de Conformidad
Acreditación
información ENS

movilsec@ccn.cni.es
Articulación en el ENS
RD 3/2010, de 8 de enero, modificado por RD 951/2015, de 23 de octubre

Art 18:
“En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones
que vayan a ser empleados por las Administraciones públicas se utilizarán, de forma proporcionada a la
categoría del sistema y nivel de seguridad determinados, aquellos que tengan certificada la
funcionalidad de seguridad relacionada con el objeto de su adquisición, salvo en aquellos casos en
que las exigencias de proporcionalidad en cuanto a los riesgos asumidos no lo justifiquen a juicio del
responsable de Seguridad.”

Medidas Anexo 2: “Componentes certificados [op.pl.5]”

Categoría ALTA
Se utilizarán sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido
evaluados conforme a normas europeas o internacionales y cuyos certificados estén reconocidos por
el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la
Información.

movilsec@ccn.cni.es
Certificados

Cualificados Aprobado
Cualificado
Certificado
Aprobado
s

movilsec@ccn.cni.es
Como diseño mi sistema?
Corporate IT
(managed by IT staff)

Mobile device

App App

MDM
Operating
system

Hardware

Móvil MDM Interconexión

VPN

CPSTIC Familia:
• Dispositivos Móviles
Familia:
• Redes Privadas
Familia:
• Herramientas de
CCN-STIC 302,
Normativa de
Virtuales Gestión de interconexión,
• Herramientas de dispositivos móviles sentido común
Comunicaciones (MDM)
móviles seguras
movilsec@ccn.cni.es
¿Dónde consultar el CPSTIC?
▪ Versión online

✓ Web del Organismo de Certificación, apartado “Catálogo Productos STIC”.

✓ https://oc.ccn.cni.es/index.php/es/catalogo-productos-stic

▪ Versión guía CCN-STIC 105

✓Web del CCN-CERT, apartado “Guías”

✓ https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic.html

movilsec@ccn.cni.es
Incremento progresivo de la seguridad

la
el usuario: el móvil: la red:
organización:
❑ Uso consciente ❑ Móviles cualificados ❑ VPN always on ❑ MDM /UEM / MTD
❑ Procedimiento de uso ❑ Configuración razonada ❑ Acuerdo comercial completo ❑ Arquitectura de referencia

❑ Normativa interna ❑ Aplicaciones autorizadas ❑ APN Privado ❑ Interconexión

❑ Medidas sobre la cadena de ❑ Monitorización

suministro

movilsec@ccn.cni.es
 bibliografía
▪ CCN-STIC 496. Sistemas de comunicaciones móviles seguras.
▪ CCN-STIC 105. Catálogo de productos STIC
▪ CCN-STIC 1XXX. Configuración segura de …
▪ CCN-STIC 45X. Seguridad en …

▪ Guidance for private and public sector organisations considering a

BYOD approach. CESG UK.
▪ Vetting the Security of Mobile Applications. NIST Special Publication
800-163. NIST
▪ Supply Chain Risk Management. NIST
▪ Evaluation pathway for mobile devices. DoD AG

movilsec@ccn.cni.es
movilsec.ccn@cni.es
ccn@cni.es

muchas gracias