- Desarrollada por el equipo de acreditación del Centro Criptológico Nacional.
- La solución está pensada para agilizar el proceso de auditoría de seguridad sobre configuraciones de equipos de comunicaciones: enrutadores y conmutadores Cisco y ahora cortafuegos Fortigate. Sigue previsto ampliar su alcance a otros fabricantes y equipos de red.
- El análisis del cumplimiento está basado en las normas de seguridad proporcionadas a través de las Guías CCN-STIC 641, 644 y 650.
Con el fin de facilitar la configuración de los dispositivos de red, enrutadores y conmutadores de Cisco (elementos básicos en la comunicación de redes IP), así como de los cortafuegos Fortigate, el equipo de acreditación del Centro Criptológico Nacional ha desarrollado la solución Rocío, disponible en el portal del CCN-CERT. Gracias a ella, los responsables de seguridad podrán comprobar, de un modo rápido y sencillo si su dispositivo está configurado adecuadamente o no.
El análisis del cumplimiento está basado en las normas de seguridad proporcionadas en las Guías CCN-STIC. En concreto la CCN-STIC-641 Seguridad en Routers Cisco, CCN-STIC-644 Seguridad en equipos de comunicaciones Switches Cisco y CCN-STIC-650 Seguridad en cortafuegos Fortigate. En ellas se explican y se dan una serie de pautas para conseguir una configuración segura de estos. Todo ello, basado en la comprobación de una serie de reglas, desarrolladas por el CCN, sobre la configuración y los resultados de ejecutar ciertos comandos en las consolas de los equipos (unas reglas que se actualizan periódicamente conforme los propios fabricantes desarrollan sus sistemas operativos y crean nuevas funcionalidades).
La solución se proporciona como una interfaz web en la que se permite almacenar configuraciones, seleccionar distintos paquetes de reglas y generar informes de cumplimiento de un modo rápido y sencillo.
Está previsto ampliar la solución a otros equipos y fabricantes como los abordados en las guías CCN-STIC-643 Allied Telesis y CCN-STIC-647 HP.
Para acceder al servicio se requiere instalar un certificado de seguridad en el navegador que debe solicitarse en el correo de contacto 
, indicando nombre, Teléfono y Organismo.
Rocío es una más de las soluciones propias de auditoría del Centro Criptológico Nacional que, junto con Pilar (análisis de riesgos), Clara (cumplimiento con el ENS/STIC) e Inés (Informe de estado de seguridad en el ENS), que buscan facilitar a todos los responsables de seguridad el análisis de sus equipos y sistemas.
CCN-CERT (04/07/2018)
