Sobre la certificación
Puede definirse un servicio de seguridad gestionado (SSG) como aquel servicio prestado a un tercero que consiste en llevar a cabo o proporcionar asistencia para actividades relacionadas con la gestión de riesgos de ciberseguridad, como, por ejemplo, la gestión de incidentes, las pruebas de penetración, las auditorías de seguridad y la consultoría relacionada con la asistencia técnica, incluidos los conocimientos específicos.
Los servicios de seguridad gestionados son prestados por proveedores de servicios de seguridad gestionados, tal como se definen en el artículo 6, punto 40, de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, prestando asistencia a las entidades en sus esfuerzos de prevención, detección, respuesta y recuperación en relación con los incidentes.
En consecuencia, de una parte, una organización prestadora de SSG debe de poder evidenciar sus capacidades operativas, así como su competencia técnicas en relación a los SSG que presta en el ámbito de la ciberseguridad, garantizando que éstos serán de calidad; y de otra, los medios empleados por la organización para poder prestar los SSG deberán cumplir los requisitos necesarios de seguridad que garanticen a su vez que están protegidos y son confiables para realizar su desempeño de forma segura para la propia entidad y para aquellas que contraten sus servicios.
Por ello, es preciso abordar ambas aproximaciones, las capacidades operativas y competencias técnicas mínimas obligatorias, así como la protección de los propios recursos, de la información/activos que gestionan. Este enfoque proporciona la validación de la eficiencia de las operaciones de los servicios, así como el hecho de que puedan llevarse a cabo de forma suficientemente segura y acorde a la normativa vigente.
Racionalizando los recursos requeridos, sin menoscabo de la protección perseguida y exigible, los sistemas y demás recursos que soportan los citados servicios deberán disponer de la Certificación de Conformidad con el Esquema Nacional de Seguridad (RD 311/2022, de 3 de mayo) para categoría MEDIA o superior o, en su defecto, evidenciar la adecuada adopción de un conjunto mínimo de 36 medidas de seguridad (recogidas en el apartado 5.1 de este documento) que resulten de aplicación a cada caso concreto, y que incluirán el compromiso formal de alcanzar la ante dicha Conformidad con el ENS en un plazo no superior a 12 meses.
Por tanto, el PCE-SSG incluye los requisitos necesarios para garantizar la confiabilidad y competencia técnica en el despliegue de SSG y acreditar la conformidad con las normativas nacionales o europeas que demanden evidencias de seguridad en los SSG.
Las organizaciones prestadoras de SSG pueden entenderse como un conjunto de personas, procesos y tecnologías que, mediante su interrelación, cooperación y coordinación, desarrollan actividades de seguridad gestionado para otras organizaciones, tanto públicas como privadas, con la debida calidad y seguridad.
Con la publicación del presente PCE-SSG el Centro Criptológico Nacional, en el ejercicio de sus competencias, valida y hace públicos los referidos requisitos y su modelo de evaluación y certificación de la conformidad, atendiendo a lo dispuesto en el artículo 30 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS, en adelante), lo que posibilita que las organizaciones prestadoras de SSG puedan alcanzar los adecuados niveles de seguridad y calidad en su prestación, que permitan trasladar la debida confianza a las entidades consumidoras de sus servicios.
Acogida actual
Listado de SOC certificados
| SOC | Prevención |
Protección |
Detección |
Respuesta |
Gestión |
Vencimiento | Reconocimiento |
|---|---|---|---|---|---|---|---|
Documentación
CCN-STIC 896
Herramienta de autoevaluación
Acceder al recursoGuía de preparación de auditoría
Acceder al recurso
Preguntas frecuentes
Para asuntos relacionados con la certificación de Servicios de Seguridad Gestionados (SSG) puede ponerse en contacto a través del siguiente correo electrónico:
- ¿Cómo se inicia el proceso?
La entidad solicitante solicita y cumplimenta la herramienta de autoevaluación de la Guía STIC 896 contactando con el CCN en la dirección de correo certiMSS@ccn-cert.cni.es. Una vez realizada, y en caso de superar una puntuación del 50% en todos los apartados que le son de aplicación, podrá solicitar una auditoría sin coste que le permitirá desarrollar la adecuación de su servicio (tal y como está descrito en la Guía). En caso de que dicha auditoría obtenga una resolución favorable podrá solicitar al CCN el certificado de su/s servicio/s.
- ¿Quién sería la Entidad de Certificación o la OAT?
De momento el propio CCN, ya que no hay ninguna EC ni OAT acreditada para ello todavía. Y no se espera que ninguna inicie su proceso de acreditación hasta más adelante.
- ¿Se debe rellenar el cuestionario de autoevaluación si ya se cuenta con el certificado ENS Medio+ para el sistema?
Sí, pero sólo se deben cumplimentar las pestañas de los servicios que apliquen en el apartado 4. Por ejemplo, al tener ENS Medio + sólo se tiene que cumplimentar la pestaña CERT.ENS (Una casilla).
- ¿Qué plazo de tiempo tienen las empresas de SSG para adecuarse a este PEC?
No existe un plazo fijado para adecuarse y certificarse respecto a la Guía STIC 896. En estos momentos la certificación es voluntaria, pero recomendable puesto que está previsto que en un futuro próximo la certificación empiece a ser obligatoria para optar a prestar Servicios de Seguridad Gestionados a Entidades públicas, Infraestructuras Críticas y/o Esenciales o para formar parte de la RNS.
