¿Qué es ISO/IEC 15408 Common Criteria?

En un mundo cada vez más conectado y digitalizado, la seguridad en la tecnología se vuelve un factor clave en cualquier organización. Es por esto que existe una norma internacional para medir la seguridad y calidad en el diseño, desarrollo y evaluación de los sistemas de tecnología de la información: la norma ISO/IEC 15408, también conocida como Common Criteria. 

En esta guía, te explicaremos todo lo que necesitas saber sobre esta norma y cómo obtener su certificación.

Antecedentes de la Norma ISO 15408:

La norma ISO/IEC 15408 nace de la colaboración de diversos organismos de estándares internacionales, con el fin de establecer una medida confiable y reconocida mundialmente para asegurar la calidad y seguridad de los sistemas de tecnología de la información. 

Fue publicada por primera vez en el año 1999 y se ha actualizado en diversas ocasiones para adaptarse a las necesidades actuales.

Perfiles de Actores relacionados con las Tecnologías de la Seguridad según la Norma 15408:

Según esta norma, existen diferentes perfiles de actores que se relacionan con las tecnologías de la seguridad, cada uno con diferentes responsabilidades y elementos a evaluar. 

Estos perfiles son: el proponente, el desarrollador, el evaluador, el usuario y el asegurador.

1. El proponente es quien solicita la evaluación y certificación del sistema de tecnología de la información.
2. Los desarrolladores son los que crean el sistema de tecnología de la información.
3. Los evaluadores son quienes establecen el proceso de evaluación del sistema, para medir si cumple con las condiciones de la norma y definir los elementos esenciales que deben estar presentes en el mismo.
4. Los usuarios son quienes utilizan el sistema de tecnología de la información.
5. Y los aseguradores son los encargados de otorgar la certificación.

Partes que conforman la Norma ISO 15408:

La norma consta de tres partes, cada una de ellas enfocada en diferentes aspectos de la evaluación y certificación de los sistemas de tecnología de la información. 

La Parte 1 establece los conceptos fundamentales, incluyendo el modelo de evaluación, los perfiles de actor y las funciones para evaluar la seguridad.

La Parte 2 define los criterios de seguridad que los sistemas deben cumplir para obtener la certificación, estos criterios están divididos en diferentes niveles de seguridad, y dependiendo del nivel que se pretenda alcanzar se deberá cumplir con un número específico de los mismos.

Finalmente, la Parte 3 se enfoca en los métodos de evaluación para determinar si el sistema cumple con los criterios establecidos.

Cómo obtener la Certificación ISO/IEC 15408:

Para obtener esta certificación, es necesario seguir algunos pasos. Primero, se debe nombrar a un equipo evaluador que será el encargado de realizar las pruebas necesarias para determinar si el sistema cumple con los criterios de seguridad establecidos por la norma.

Esta evaluación puede ser realizada internamente por la organización o contratando a un tercero.

Una vez realizada la evaluación, se debe enviar el informe al organismo asegurador, quien será el encargado de emitir la certificación correspondiente.