Definición y propósito

El esquema Cyber Essentials se introdujo para establecer una base de seguridad cibernética para todas las organizaciones. El objetivo principal del esquema es promover la adopción de las mejores prácticas en seguridad de la información y garantizar que las organizaciones cuenten con protecciones fundamentales contra una variedad de las amenazas cibernéticas más comunes.

Órgano de gobierno

El esquema fue lanzado por el gobierno del Reino Unido y está supervisado por el Centro Nacional de Seguridad Cibernética (NCSC), una parte de GCHQ (Government Communications Headquarters).

Última actualización

La actualización más reciente se lanzó en abril de 2023 con la versión 3.1 de los Requisitos de Cyber Essentials.

Aplicable a

Cyber Essentials es adecuado para todas las organizaciones, de cualquier tamaño y en cualquier sector, ya sea privado, público o sin fines de lucro. Se recomienda especialmente para organizaciones que manejan datos personales o son proveedores de organismos gubernamentales.

Controles y requisitos

El esquema Cyber Essentials se centra en cinco controles clave que, cuando se implementan correctamente, pueden prevenir hasta el 80% de los ciberataques:

• Cortafuegos de perímetro y puertas de enlace a Internet: Asegurar que los dispositivos que conectan redes a Internet tengan las configuraciones adecuadas para evitar el acceso no autorizado.
• Configuración segura: Asegurar que los sistemas estén configurados de la manera más segura según las necesidades de la organización.
• Control de acceso de usuario: Gestionar las cuentas de usuario dando solo a aquellos que necesitan acceso el nivel apropiado de derechos de acceso y asegurando métodos de autenticación adecuados.
• Protección contra malware: Asegurar que la protección contra virus y malware esté instalada y actualizada.
• Gestión de parches: Asegurar que se utilicen las versiones más recientes y compatibles de las aplicaciones y el sistema operativo y que se hayan aplicado todos los parches necesarios.

Consulte la documentación oficial de Cyber Essentials para una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

Las organizaciones pueden lograr dos niveles de certificación:

• Cyber Essentials: Esto requiere que las organizaciones completen un cuestionario de autoevaluación, cuyas respuestas son revisadas de manera independiente por un organismo certificador externo.
• Cyber Essentials Plus: Esto implica tanto el cuestionario de autoevaluación como una prueba externa independiente del enfoque de ciberseguridad de la organización.

Mientras que la certificación básica de Cyber Essentials implica una autoevaluación, la certificación de Cyber Essentials Plus requiere una verificación técnica práctica.

El certificado es válido por 12 meses a partir de la fecha de emisión. Por lo tanto, las organizaciones deben considerar una revaluación anual para mantener su certificación. La duración de la auditoría, especialmente para Cyber Essentials Plus, dependerá del tamaño y la complejidad de la red y los sistemas de la organización.