Cyber Essentials es una certificación para organizaciones respaldada por el gobierno del Reino Unido que garantiza que las organizaciones dispongan de un conjunto de controles de seguridad básicos para proteger su infraestructura de TI de las ciberamenazas más comunes. Estos controles de seguridad ayudan a proteger los datos sensibles a la vez que mitigan los riesgos cibernéticos.
Con la certificación Cyber Essentials, las organizaciones son calificadas como más ciberresistentes y pueden optar entonces a licitaciones públicas.
Beneficios de la certificación Cyber Essentials
La certificación Cyber Essentials es beneficiosa para diferentes tipos de organizaciones:
- Pequeñas y medianas empresas: Proporciona una forma rentable de mejorar la seguridad de las PYME.
- Empresas grandes: Complementa los marcos de seguridad existentes y mejora la resistencia general.
- Organizaciones sin ánimo de lucro: Protege la información sensible de donantes y beneficiarios.
Funciones principales de Cyber Essentials
He aquí las tres facetas clave de Cyber Essentials:
- Cinco controles básicos: Los controles básicos se refieren a las medidas de seguridad fundamentales que toda organización debe implementar para proteger su infraestructura de TI de las amenazas informáticas más comunes. Estos controles establecen una sólida base de seguridad al abordar las vulnerabilidades más frecuentes que aprovechan los atacantes. Los cinco controles incluyen: 1) Firewalls, 2) Configuración segura, 3) Gestión de actualizaciones de seguridad, 4) Control de acceso de usuarios y 5) Protección contra malware.
- Niveles de certificación: Existen dos niveles de certificación Cyber Essentials: 1) Autoevaluación básica, y 2) Certificación avanzada que requiere una evaluación externa.
- Reconocimiento del sector: La certificación está reconocida por los organismos gubernamentales y las organizaciones del sector privado como un indicio de diligencia en materia de ciberseguridad.
Historia de Cyber Essentials
Cyber Essentials fue lanzado en 2014 por el Departamento de Digital, Cultura, Medios de Comunicación y Deporte del Gobierno del Reino Unido en colaboración con el Centro Nacional de Ciberseguridad. La iniciativa se creó en respuesta al creciente número de amenazas informáticas dirigidas a empresas de todos los tamaños. El objetivo era proporcionar una base clara y accesible de ciberseguridad para las organizaciones. En 2016, se introdujo Cyber Essentials Plus, que proporciona un mayor nivel de garantía porque las pruebas las realiza una parte externa.
Se están realizando actualizaciones periódicas de Cyber Essentials para abordar las amenazas informáticas en evolución e incorporar las mejores prácticas de seguridad más recientes.
Diferencia entre Cyber Essentials y Cyber Essentials Plus
Cyber Essentials Plus es una versión avanzada de la certificación Cyber Essentials. A continuación, exploraremos las principales diferencias entre ambos.
| Cyber Essentials | Cyber Essentials Plus | |
|---|---|---|
| Efectividad | Nivel básico de ciberseguridad que cubre los cinco controles básicos. | Enfoque más exhaustivo con requisitos adicionales. |
| Proceso | Implica la cumplimentación de un cuestionario de autoevaluación. | Implican tanto una autoevaluación como una auditoría externa realizada por un proveedor certificado. La auditoría externa consiste en un análisis de vulnerabilidades y revisiones en profundidad de la postura de seguridad. |
| Compromiso de tiempo | Menor compromiso de tiempo, suele completarse en unos pocos días o semanas dependiendo de la preparación. | Mayor compromiso de tiempo debido al requisito de la evaluación externa, que suele tardar unas semanas en completarse. |
| Reconocimiento | Reconocido como un estándar básico para demostrar las medidas de ciberseguridad. | Es más apreciado porque proporciona la validación de terceros, lo que aumenta la credibilidad ante clientes y socios. |
| Dificultad de cumplimiento | Más fácil de conseguir, ya que solo requiere una revisión interna y la recopilación de pruebas. | Más difícil debido al requisito de una evaluación independiente y la demostración del cumplimiento en un entorno real. |
| Precio | Menor costo, suele oscilar entre 300 y 500 libras esterlinas, dependiendo del organismo certificador. | Costo más elevado, a menudo entre 1.500 y 3.000 libras esterlinas o más, en función del tamaño y la complejidad de la organización y del organismo certificador. |
¿Quién debe cumplir?
Cyber Essentials es especialmente relevante para las organizaciones que manejan información sensible o prestan servicios al sector público. Sin embargo, la implementación de sus directrices beneficia a cualquier empresa que pretenda mejorar su postura de ciberseguridad. Cyber Essentials es obligatorio para las organizaciones que licitan para determinados contratos del gobierno británico.
No todos los contratos gubernamentales exigen la certificación Cyber Essentials. La necesidad de certificación depende de la naturaleza del contrato y de la sensibilidad de los datos implicados.
Desde el 1 de octubre de 2014, el gobierno del Reino Unido exige que los proveedores que liciten para determinados contratos públicos cuenten con la certificación Cyber Essentials o Cyber Essentials Plus. Este requisito se aplica a los contratos que implican el tratamiento de información personal y el suministro de productos y servicios específicos de tecnologías de la información y la comunicación.
Por ejemplo, el Ministerio de Defensa ha exigido a todos los proveedores que cumplan con el esquema Cyber Essentials desde el 1 de enero de 2016. Este mandato se extiende a toda la cadena de suministro, lo que significa que no solo los contratistas directos sino también los subcontratistas deben poseer la certificación.
Cómo implementar Cyber Essentials y Cyber Essentials Plus en su organización
La implementación de Cyber Essentials o Cyber Essentials Plus implica una serie de pasos estratégicos para garantizar que su organización cumpla los estándares de seguridad exigidos.
Implementación paso a paso
- Comprenda los requisitos
- Establezca el alcance.
- Familiarícese con los cinco controles básicos de Cyber Essentials.
- Evalúe su postura de seguridad actual con respecto a estos controles.
- Realice una autoevaluación
- Llene el cuestionario de Cyber Essentials para identificar las carencias.
- Involucre a las partes interesadas de TI, operaciones y gestión.
- Aborde las carencias identificadas
- Implemente las medidas de seguridad necesarias, como configuraciones de firewall, controles de acceso y parches periódicos.
- Capacite a los empleados en las mejores prácticas de ciberseguridad.
- Elija un organismo de certificación
- Seleccione un organismo de certificación acreditado para llevar a cabo la evaluación.
- Prepare la documentación y las pruebas de cumplimiento.
- Sométase a una evaluación
- Para Cyber Essentials: Complete una autoevaluación en línea.
- Para Cyber Essentials Plus: Participe en un análisis externo de vulnerabilidades y en comprobaciones in situ.
- 6. Mantenga el cumplimiento
- Revise y actualice periódicamente las medidas de seguridad.
- Recertifíquese anualmente para garantizar el cumplimiento continuo.
Lista de control de Cyber Essentials
Siga esta lista de control para garantizar que su organización cumple los requisitos de Cyber Essentials:
- Firewalls
- Instale y mantenga firewalls para proteger las conexiones a Internet.
- Configure los firewalls para bloquear el acceso no autorizado.
- Configuración segura
- Elimine el software y los servicios innecesarios.
- Desactive las funciones de ejecución automática que permiten la ejecución de archivos al descargarlos.
- Garantice el cambio de las contraseñas predeterminadas.
- Aplique las configuraciones de seguridad a todos los dispositivos.
- Gestión de actualizaciones de seguridad
- Actualice regularmente todo el software y los sistemas operativos.
- Aplique los parches de seguridad con prontitud para mitigar las vulnerabilidades.
- Control de acceso de usuarios
- Implemente políticas de contraseñas seguras.
- Restrinja los privilegios administrativos al personal esencial.
- Utilice la autenticación multifactor siempre que sea posible.
- Protección contra malware
- Instale y mantenga un software antimalware en todos los dispositivos.
- Garantice que la protección contra malware se actualice con regularidad.
Aparte de la lista de control anterior, las organizaciones también deberían invertir en:
- Capacitación de los empleados: Realice sesiones periódicas de capacitación en ciberseguridad.
- Copia de seguridad de los datos: Implemente procedimientos regulares de copia de seguridad de los datos.
- Plan de respuesta a incidentes: Desarrolle y mantenga un plan de respuesta a incidentes cibernéticos.
Implicaciones del incumplimiento de Cyber Essentials
No lograr o mantener el cumplimiento de Cyber Essentials puede acarrear importantes consecuencias para su organización.
- Vulnerabilidad incrementada:
- Mayor riesgo de ataques cibernéticos y violaciones de la seguridad de los datos.
- Pérdida potencial de información sensible y propiedad intelectual.
- Pérdida de oportunidades de negocio:
- Inelegibilidad para determinados contratos y licitaciones gubernamentales.
- Reducción de la confianza de los clientes y socios preocupados por la seguridad.
- Consecuencias financieras:
- Costos asociados a las violaciones de la seguridad de los datos, incluida la reparación y los gastos legales.
- Posibles multas en virtud de normativas de protección de datos como el GDPR.
- Daños a la reputación:
- Publicidad negativa derivada de incidentes de seguridad.
- Erosión de la confianza de los clientes en su marca.
- Interrupciones operativas:
- Tiempo de inactividad y pérdida de productividad debido a incidentes cibernéticos.
- Asignación de recursos para hacer frente a los ataques y recuperarse de ellos.
Cómo ManageEngine Log360 le ayuda a lograr el cumplimiento de Cyber Essentials
ManageEngine Log360 es una solución SIEM unificada que acelera y mejora el cumplimiento de Cyber Essentials de su organización. Veamos cómo Log360 le ayuda a cumplir cada una de las funciones.
Firewalls: Log360 ayuda a generar informes como la auditoría del firewall de Windows, los inicios de sesión fallidos del firewall, el usuario conectado a la VPN del firewall, etc.
Configuración segura: Log360 proporciona informes detallados sobre la instalación del software.
Gestión de actualizaciones de seguridad: Log360 proporciona numerosos informes, como Informe de parches, eventos de parches exitosos, eventos de implementación de políticas, etc.
Control de acceso de usuarios: Log360 ofrece información a través de los informes de inicio y cierre de sesión de los usuarios que le ayudan a controlar los accesos de los usuarios. El UEBA de Log360 le ayuda a detectar actividades sospechosas de los usuarios de su red utilizando técnicas de machine learning. Las funciones de agrupación dinámica de usuarios le permiten detectar anomalías a un nivel detallado agrupando a los usuarios de una red en función del comportamiento que muestren y estableciendo una línea de base para el grupo.
Protección contra malware: Log360 proporciona informes como eventos de objetos maliciosos, detección de malware de Defender, actividad de reconocimiento de malware de Trickbot, etc. para ayudarle a cumplir esta función. Log360 también genera informes de procesos que controlan el inicio de procesos de fondo en su red que indican una posible actividad de malware.