Desde su infraestructura de TI hasta contabilidad, desde estrategias de ventas y marketing hasta cadena de suministro y fabricación, cada proceso empresarial central conlleva sus propios riesgos de ciberseguridad.
Esta es la razón por la que la ciberseguridad se ha convertido en un tema tan candente durante la última década y por la que tantas empresas están invirtiendo fuertemente en sus sistemas de seguridad.
Pero a pesar de estos esfuerzos cuatro de cada diez empresas (39 %) y más de una cuarta parte de las organizaciones benéficas (26 %) aún fueron víctimas de una violación o ataque de seguridad cibernética el año pasado, y lamentablemente, esos números solo parecen estar aumentando.
Es por eso que el gobierno decidió intervenir y crear un sistema respaldado por el gobierno y la industria para ayudar a las empresas a protegerse de la creciente amenaza de los ciberdelincuentes.
Esta iniciativa se denomina Cyber Essentials (CE) y posteriormente Cyber Essentials Plus (CE+) y fue desarrollada por el Centro Nacional de Seguridad Cibernética (NCSC).
Obtener la certificación Cyber Essentials Plus permite a las empresas mostrar sus credenciales y demostrar a los clientes, proveedores y otros terceros que son una empresa confiable y segura.
Pero, ¿cómo hacer para obtener la certificación CE? Pues existen ciertos requisitos que debes cumplir y te los explicamos a continuación.
¿Cuál es la diferencia entre Cyber Essentials y Cyber Essentials Plus?
Antes de entrar en detalles, primero repasemos las diferencias entre Cyber Essentials y Cyber Essentials Plus. CE es el paquete básico que incluye acceso a la opción de autoevaluación en línea, marca CE para su empresa y un certificado válido por 12 meses después de la solicitud exitosa.
Sin embargo, Cyber Essentials Plus es mucho más que la revisión básica de Cyber Essentials. Significa pasar por una revisión técnica práctica y múltiples pruebas complejas para obtener la certificación. Esto significa que los requisitos para lograr su certificado son más altos, pero en última instancia, su empresa estará más segura.
Requisitos del solicitante de Cyber Essentials
Para obtener una certificación CE+, primero debe tener la certificación CE y obtener su certificado a través del proceso de autoevaluación.
Con eso en mente, veamos ahora los requisitos para la primera parte de la certificación CE+ y ese es el esquema básico de Cyber Essentials.
Para obtener la certificación, debe asegurarse de que su organización cumpla con todos los requisitos. Ocasionalmente, esto puede significar proporcionar evidencia a su organismo de certificación elegido a pedido.
Los requisitos de los solicitantes de Cyber Essentials se dividen en cinco temas de control técnico, que incluyen:
1. Cortafuegos
El objetivo de esta parte de la evaluación es garantizar que solo se pueda acceder a los servicios de red seguros y necesarios desde Internet de su organización. Los cortafuegos le permiten restringir el acceso a estos servicios, reduciendo el riesgo de ataques.
Por lo tanto, las directivas de la CE exigen que cualquier dispositivo enumerado en el alcance debe estar protegido por un firewall configurado correctamente.
2. Configuración segura
Una configuración segura es esencial para reducir el nivel de vulnerabilidades y permitir el acceso solo a los servicios necesarios para cumplir su función, reduciendo nuevamente el riesgo de un ataque.
Esta categoría requiere que la empresa sea activa en la administración de computadoras, dispositivos de red, cuentas de usuario, software, protección con contraseña, etc.
3. Control de acceso de usuarios
Para reducir el riesgo de violación, las cuentas de usuario deben asignarse solo a personas autorizadas y solo deben permitir el acceso a las aplicaciones, computadoras y redes que están autorizados a usar.
Esto significa que su organización debe tener el control de todas las cuentas de usuario y los derechos de acceso que se otorgan a cada cuenta. En particular, esto incluye a quienes tienen acceso a los datos y servicios de la organización, así como a las cuentas que utilizan terceros para acceder.
4. Protección contra malware
Para evitar que el código malicioso cause daños o permita el acceso a datos confidenciales, se debe utilizar la protección para restringir la ejecución de malware o software que no sea de confianza.
Para lograr esto, su organización debe tener una protección contra malware efectiva y actualizada en todos los dispositivos dentro del alcance.
5. Gestión de actualizaciones de seguridad
Las vulnerabilidades o los problemas de seguridad pueden explotarse cuando hay errores o fallas en su software; Por lo tanto, los parches/arreglos se deben encontrar e implementar de inmediato.
Para hacer esto, su empresa debe asegurarse de que todo su software se mantenga lo más actualizado posible y que cualquier error o problema se solucione de inmediato.
Requisitos adicionales para Cyber Essentials Plus
Una vez que su organización haya cumplido adecuadamente con todos los requisitos anteriores y obtenido la certificación CE, puede comenzar el proceso de certificación Cyber Essentials Plus. Como esto es más complejo, un suspenso en cualquier área de la evaluación resultará en un suspenso general.
Uno de los principales requisitos de CE+ es que complete la evaluación dentro de los tres meses posteriores a la obtención de su estatus de CE.
Para lograr Cyber Essentials Plus, se deben completar una serie de pruebas técnicas externas e internas. Por esta razón, la autoridad de certificación que elija necesita acceso a una selección de dispositivos y sistemas en su organización.
Como se mencionó anteriormente, no puede fallar en ninguna área, lo que significa que sus sistemas deben pasar pruebas como:
- Binarios de correo electrónico entrante y prueba de carga útil
- Prueba del navegador para descargar archivos maliciosos y no maliciosos
- Análisis de verificación de parches y vulnerabilidades autenticadas
- Separación de cuentas para confirmar que los usuarios estándar no tienen privilegios administrativos
- Comprobación de autenticación multifactor
Estas pruebas a menudo se realizan de forma remota y pueden variar según el alcance que configure y el cuerpo que elija.
Si la auditoría remota de su organización revela problemas o necesita solución, la organización debe realizar esos cambios dentro de los 30 días posteriores a la evaluación CE+ o la aplicación se marcará como fallida.
¿Listo para certificarte en Cyber Essentials Plus?
La Autoevaluación de Cyber Essentials es un buen primer paso para proteger su negocio. Sin embargo, si está buscando llevar sus esfuerzos de seguridad cibernética al siguiente nivel, podría valer la pena buscar Cyber Essentials Plus.
Si ha completado la autoevaluación, ha ganado la mitad de la batalla, pero la certificación CE+ le permite demostrar a cualquier cliente, cliente o tercero que trabaje con su empresa que está haciendo todo lo que está a su alcance para proteger sus datos confidenciales. información a proteger (y la suya propia, por supuesto).
Esto puede conducir a una mejor reputación y más confianza en su marca. Sin mencionar que podría ahorrarle el costo de una costosa violación de datos: es beneficioso para todos.