¿Qué es la lista de verificación de Cyber Essentials?
La lista de verificación de Cyber Essentials es una guía práctica previa a la solicitud que detalla las configuraciones, la evidencia y las decisiones que una organización del Reino Unido necesita tener implementadas antes de completar el cuestionario de autoevaluación (SAQ). Abarca el alcance, las cinco áreas de control, los servicios en la nube, la autenticación multifactor, la aplicación de parches y las comprobaciones adicionales que se aplican a Cyber Essentials Plus.
Cyber Essentials es un programa de certificación respaldado por el gobierno del Reino Unido y administrado por IASME en nombre del Centro Nacional de Ciberseguridad. El programa evalúa si sus firewalls, dispositivos, cuentas, defensas contra malware y actualizaciones de software están configurados con una base sólida. La lista de verificación a continuación repasa todas las comprobaciones a las que se enfrentan la mayoría de los solicitantes, para que pueda corregir las deficiencias antes de enviar la solicitud, en lugar de después de una evaluación fallida. Para obtener información completa sobre el programa, consulte nuestra Centro de Cyber EssentialsPara obtener detalles sobre el control de cada partida, consulte Requisitos de Cyber Essentials.
Trabaje en cada sección en orden. Marque los elementos que ya cumple, enumere las brechas como acciones con un responsable y una fecha límite, y solo reserve su evaluación una vez que cada línea esté completa o tenga una excepción documentada. Los clientes que utilizan SGSI.online capture cada elemento a continuación como un control rastreado con evidencia vinculada, de modo que la misma lista de verificación impulse el ciclo de renovación anual así como la primera certificación.
¿Cómo se define el alcance de un proyecto de Cyber Essentials?
Antes de modificar cualquier control técnico, es necesario definir el alcance del proyecto. El alcance es la decisión más importante en un proyecto de Cyber Essentials, y cambiarlo posteriormente conlleva pérdidas de tiempo y dinero.
- Decida si el alcance abarcará toda la organización o un subconjunto claramente definido (departamento, unidad de negocio o entorno específico).
- Enumere todos los sitios y ubicaciones de trabajadores a domicilio donde se realizan trabajos incluidos en el alcance del proyecto.
- Documente las redes que conectan los dispositivos incluidos en el ámbito de aplicación: redes LAN corporativas, Wi-Fi, VPN y cualquier uso de datos móviles.
- Inventariar todas las cuentas de usuario incluidas en el ámbito de aplicación (empleados, contratistas, terceros con acceso).
- Inventarie todos los dispositivos incluidos en el ámbito de aplicación: portátiles, ordenadores de sobremesa, servidores, teléfonos móviles, tabletas y dispositivos de red.
- Enumera todos los servicios en la nube que se utilizan para procesar o almacenar datos de la organización (SaaS, PaaS, IaaS).
- Identifique cualquier acuerdo BYOD (traiga su propio dispositivo) y confirme si esos dispositivos están incluidos en el alcance.
- Confirme un límite técnico claro entre los entornos dentro y fuera del alcance (red, directorio o inquilino separados) si está utilizando un alcance de subconjunto.
- Documente por escrito la descripción del alcance del proyecto y obtenga la aprobación de un propietario con autoridad sobre la propiedad en cuestión.
Si el alcance del problema se amplía a medida que se descubren más dispositivos, más aplicaciones en la nube o más TI en la sombra, ese es precisamente el tipo de información que el programa está diseñado para revelar. Es mejor detectarla ahora que durante la evaluación.
¿Cómo se configuran los firewalls y los routers?
Todos los dispositivos que se conectan a Internet, así como el propio perímetro de la red, deben estar protegidos por un cortafuegos correctamente configurado (o un dispositivo de red equivalente).
- En todos los cortafuegos y enrutadores conectados a Internet, la contraseña administrativa predeterminada se cambia por una alternativa segura y única.
- Las conexiones entrantes no autenticadas están bloqueadas de forma predeterminada.
- Cada regla de firewall de entrada que permite un servicio tiene una justificación comercial documentada y un responsable.
- Se han eliminado las reglas de entrada que ya no son necesarias.
- Los cortafuegos basados en software (basados en el host) están habilitados en ordenadores portátiles y otros dispositivos utilizados fuera de la red corporativa.
- El acceso administrativo remoto a los cortafuegos desde Internet está deshabilitado o protegido mediante autenticación multifactor o una lista de direcciones IP permitidas, siempre que exista una necesidad empresarial documentada.
- Los teletrabajadores utilizan routers de su proveedor de servicios de Internet (ISP) cuya contraseña de administrador predeterminada ha sido modificada, o bien confían en el cortafuegos integrado del propio portátil de la empresa.
Evidencia a recopilar: proveedor y versión del firewall, capturas de pantalla o certificaciones que confirmen el cambio de contraseña de administrador, una lista de reglas de entrada con su justificación y confirmación de que los firewalls de host están activados en todos los dispositivos.
¿Qué requisitos exige la configuración segura?
La configuración segura elimina las vulnerabilidades con las que vienen equipados los dispositivos y el software de forma predeterminada: cuentas no utilizadas, contraseñas de ejemplo, contenido de demostración y permisos de uso compartido excesivamente permisivos.
- Se han eliminado o desactivado las cuentas de usuario y el software que no necesita (software innecesario, cuentas de administrador predeterminadas, cuentas de usuario inactivas).
- Se han cambiado las contraseñas predeterminadas o fáciles de adivinar en dispositivos, cuentas y servicios.
- Las funciones de ejecución automática que ejecutan código desde medios extraíbles están desactivadas.
- Los usuarios deben autenticarse antes de acceder a cualquier dato o servicio de la organización.
- La autenticación multifactor (MFA) se aplica a todas las cuentas administrativas de cada servicio en la nube.
- La autenticación multifactor (MFA) está habilitada para los usuarios estándar de la nube siempre que la plataforma lo admita.
- La contraseña debe tener una longitud mínima de 12 caracteres si no se utiliza la autenticación multifactor (MFA), o de 8 caracteres si se utiliza MFA, o de 8 caracteres si se aplica limitación de acceso o bloqueo.
- La autenticación multifactor (MFA) basada únicamente en SMS ha sido sustituida (o complementada) con aplicaciones de autenticación o tokens de hardware siempre que ha sido posible.
- Las redes Wi-Fi para invitados están aisladas de la red LAN corporativa.
Esta es el área de control donde la mayoría de las organizaciones encuentran la mayor cantidad de trabajo inesperado, así que comience temprano en su proyecto. Compare las verificaciones aquí con su Autoevaluación de Cyber Essentials Responda antes de enviar.
¿Cómo funciona en la práctica el control de acceso de usuarios?
El control de acceso de usuarios limita quién puede hacer qué en sus sistemas y garantiza que las cuentas se eliminen cuando los usuarios se marchan.
- Existe un proceso documentado para la creación y aprobación de cuentas de usuario, y dicho proceso se sigue rigurosamente.
- Los usuarios se autentican con credenciales seguras y únicas antes de acceder a los sistemas incluidos en el ámbito de aplicación.
- Un procedimiento de incorporación/cambio/baja elimina o desactiva las cuentas rápidamente cuando las personas cambian de función o se marchan.
- La autenticación multifactor se aplica a todos los usuarios de los servicios en la nube donde la plataforma lo admite, y de forma incondicional a todas las cuentas administrativas.
- Las cuentas administrativas son independientes de las cuentas de usuario habituales; los administradores no navegan por internet ni leen el correo electrónico utilizando su cuenta privilegiada.
- La lista de usuarios con privilegios administrativos ha sido revisada en los últimos 12 meses y se han eliminado todos los derechos injustificados.
- Las cuentas compartidas (cuando existen) están documentadas, justificadas, protegidas mediante autenticación multifactor y tienen un propietario.
Documentación a recopilar: el procedimiento de incorporación, traslado y baja de empleados, una lista de usuarios administrativos con la justificación empresarial para cada uno, capturas de pantalla de la configuración de la autenticación multifactor (MFA) de sus principales plataformas en la nube y una muestra de las cuentas de usuarios que se han dado de baja recientemente y que han sido desactivadas.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Cómo se debe configurar la protección contra malware?
Todos los dispositivos incluidos en el ámbito de aplicación deben protegerse contra el código malicioso mediante software antivirus, listas de aplicaciones permitidas o entornos aislados (sandboxing).
- En cada dispositivo incluido en el ámbito de aplicación, está instalado uno de los tres mecanismos aprobados (antimalware, listado de permisos de aplicaciones o sandboxing).
- Las definiciones y los motores antivirus se actualizan automáticamente.
- El software antivirus está configurado para analizar los archivos al acceder a ellos y también las páginas web.
- Las conexiones a sitios web maliciosos conocidos se bloquean cuando el producto antivirus ofrece esa función.
- Si se utiliza la opción de permitir la ejecución de aplicaciones, existe una lista de aplicaciones aprobadas que impide que se ejecuten otras aplicaciones.
- Si se utiliza el aislamiento de procesos (iOS, Android, ciertas compilaciones administradas de Windows), cada aplicación se ejecuta en su propio entorno aislado.
- Los dispositivos móviles solo pueden instalar aplicaciones desde las tiendas oficiales (Apple App Store, Google Play) o desde una tienda empresarial gestionada.
- Todos los dispositivos BYOD no gestionados se han incluido en el sistema MDM o se han excluido del ámbito de aplicación.
El problema más común aquí es que un empleado use su Mac personal para el correo electrónico del trabajo sin registrarla ni que el departamento de TI la tenga en cuenta. Hay que registrar el dispositivo en el sistema de gestión o dejar de usarlo para el trabajo.
¿Cómo funciona la gestión de actualizaciones de seguridad?
Todo el software incluido en el alcance debe contar con soporte, licencia y actualizaciones. Los sistemas operativos, navegadores, complementos, firmware y aplicaciones obsoletos no superarán la evaluación.
- Todos los sistemas operativos de los dispositivos incluidos en el ámbito de aplicación tienen licencia y siguen recibiendo actualizaciones de seguridad del proveedor.
- Todas las aplicaciones en los dispositivos incluidos en el ámbito de aplicación tienen licencia y siguen recibiendo actualizaciones de seguridad del proveedor.
- El firmware de los routers, firewalls, switches y puntos de acceso sigue recibiendo actualizaciones del fabricante.
- Los complementos y extensiones del navegador tienen licencia y están actualizados.
- Las actualizaciones automáticas están habilitadas siempre que el proveedor las ofrezca.
- Las actualizaciones de seguridad de gravedad alta y crítica se instalan dentro de los 14 días posteriores a su lanzamiento (la regla de los 14 días).
- Se han revisado las ventanas de mantenimiento mensual de los servidores para asegurar que no superen el plazo de 14 días para la aplicación de parches.
- Existe un inventario de versiones de software y firmware, para que pueda ver de un vistazo qué está incluido y en qué estado se encuentra.
No aprovechar el plazo de 14 días para aplicar los parches es la razón más común por la que las organizaciones no cumplen con los requisitos de Cyber Essentials Plus. Incorpore el seguimiento de parches a su ciclo de cumplimiento mensual.
¿Cómo encajan los servicios en la nube en la lista de verificación?
Los servicios en la nube que procesan o almacenan datos de la organización están incluidos en el ámbito de aplicación. La responsabilidad compartida de cada control depende del modelo de servicio.
- Todas las aplicaciones SaaS (Microsoft 365, Google Workspace, Salesforce, Xero, etc.) utilizadas por la organización figuran en su inventario de activos.
- Se incluye una lista de todos los entornos PaaS (App Service, App Runner, Heroku, etc.) y se actualiza la capa de aplicación.
- Cada servidor IaaS (EC2, máquina virtual de Azure, Compute Engine) se trata como si fuera un servidor local, con el control que usted tiene sobre las actualizaciones, el malware y los firewalls del host.
- La autenticación multifactor (MFA) se aplica a todas las cuentas administrativas en la nube, sin excepción.
- La autenticación multifactor (MFA) está habilitada para usuarios estándar en servicios en la nube donde la plataforma lo admita.
- Se han revisado y reforzado, cuando ha sido necesario, los ajustes de seguridad predeterminados para los inquilinos (configuración de seguridad predeterminada de Microsoft 365, configuración de seguridad de Google Workspace, medidas de protección de AWS).
- Las cuentas de administrador en la nube son independientes de las cuentas de usuario habituales.
- Se ha revisado el uso de TI en la sombra (aplicaciones SaaS a las que se suscriben personas con una tarjeta o dominio corporativo) y se ha decidido si se ha incluido en el alcance del proyecto o si se ha dado de baja.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Cómo te preparas para Cyber Essentials Plus?
Cyber Essentials Plus añade una auditoría técnica independiente a la autoevaluación. El evaluador tomará muestras de sus dispositivos, realizará análisis de vulnerabilidades y comprobará que los controles que usted ha certificado funcionan correctamente. La mayoría de los fallos en Plus son predecibles; utilice esta lista de verificación para evitarlos.
- Sus respuestas a la autoevaluación reflejan el estado actual del entorno, no un estado futuro idealizado.
- Actualmente, una muestra representativa de dispositivos se actualiza dentro del plazo de 14 días, no hace tres meses.
- El software antivirus está activo y genera informes sobre cada dispositivo analizado.
- La autenticación multifactor (MFA) en las cuentas en la nube se ha verificado iniciando sesión desde una nueva sesión del navegador, no consultando una página de políticas.
- El filtrado de correo electrónico y web está configurado para bloquear enlaces y archivos adjuntos maliciosos conocidos.
- El manejo de las unidades USB y los medios extraíbles se ajusta a la política documentada en los dispositivos de muestra.
- Las fechas del período de auditoría están reservadas con suficiente antelación como para que pueda actuar en función de cualquier análisis de deficiencias previo a la auditoría.
- Usted ha designado a una persona para que sea el punto de contacto técnico durante la auditoría, con acceso de administrador habilitado.
- Usted ha realizado una copia de seguridad de todos los dispositivos de muestra antes de que se sometan a pruebas, en caso de que se produzca algún cambio durante la auditoría.
Consulte el alcance técnico en Requisitos de Cyber Essentials Plus para las pruebas exactas que realizan los evaluadores y nuestra Costo de Cyber Essentials Página para el rango de precios típico de Plus.
¿Cuáles son las lagunas más comunes antes de presentar la solicitud?
Incluso los solicitantes con operaciones de seguridad maduras pueden verse afectados por las mismas pocas vulnerabilidades. Realice esta breve revisión previa a la presentación:
- El router proporcionado por el proveedor de servicios de Internet en la casa de un teletrabajador aún conserva su contraseña de administrador predeterminada.
- Un empleado con muchos años de servicio ha acumulado derechos administrativos gracias a sus funciones anteriores.
- Un buzón de correo compartido para finanzas o un inicio de sesión en redes sociales no tiene autenticación multifactor ni propietario documentado.
- En al menos un dispositivo incluido en el ámbito de aplicación todavía hay una versión de Windows no compatible o un navegador antiguo.
- Un programa de mantenimiento mensual de servidores ha provocado que una actualización crítica se haya retrasado más allá del plazo de 14 días.
- Un teléfono personal BYOD lee el correo electrónico corporativo fuera de cualquier sistema MDM.
- Se contrató una aplicación SaaS que almacena datos de clientes con una tarjeta personal y nunca se realizó un inventario.
- Una red Wi-Fi para invitados comparte el mismo dominio de difusión que la red LAN corporativa.
Registra cada hallazgo como una acción con un responsable y una fecha límite. Una vez que la lista esté clara, estarás listo para enviarla. Si estás estimando el tamaño del trabajo por primera vez, nuestra guía para ¿Cuánto tiempo tarda Cyber Essentials? Establece expectativas realistas.
Tabla resumen de la lista de verificación de Cyber Essentials
| Secciones | Enfócate | evidencia típica |
|---|---|---|
| Alcance | Decida si se trata de una organización completa o de un subconjunto; haga un inventario de sitios, usuarios, dispositivos, redes, servicios en la nube y BYOD (Traiga su propio dispositivo). | Declaración de alcance por escrito, inventario de activos, descripción de los límites del subconjunto. |
| Cortafuegos y enrutadores | Contraseñas predeterminadas cambiadas; reglas de entrada documentadas; cortafuegos del host activados; administrador remoto protegido. | Versión del firewall, certificación de cambio de contraseña, lista de reglas, cobertura del firewall del host. |
| Configuración segura | Se eliminó el software innecesario; se cambiaron las contraseñas predeterminadas; se implementó la autenticación multifactor (MFA) en la administración en la nube; la longitud de la contraseña debe ser de 12 caracteres o de 8 caracteres más la MFA. | Estándar de compilación, política de aplicación de la autenticación multifactor (MFA), política de contraseñas, capturas de pantalla de dispositivos de ejemplo. |
| Control de acceso de usuario | Proceso de incorporación/desvinculación; separación administrativa; revisión administrativa anual; autenticación multifactor para todos los usuarios de la nube. | Procedimiento JML, lista de usuarios administradores, evidencia de configuración de MFA, muestra de inhabilitación de baja. |
| Protección de malware | Antimalware, permite la indexación o el aislamiento en todos los dispositivos; aplicaciones móviles de tiendas oficiales. | Informe de cobertura de puntos finales, política de origen de la aplicación móvil, registro de inscripción de MDM. |
| Gestión de actualizaciones de seguridad | Todo el software cuenta con soporte y licencia; parches de alta prioridad/críticos en un plazo de 14 días; firmware cubierto. | Inventario de software con estado de soporte del proveedor, informe de implementación de parches, plan de reemplazo al final de su vida útil. |
| Servicios en la nube | Se realizó un inventario de SaaS, PaaS e IaaS; se instaló la autenticación multifactor (MFA) en el administrador; se revisaron las configuraciones predeterminadas del inquilino; se eliminó la TI en la sombra. | Registro de activos en la nube, evidencia de autenticación multifactor, certificación de valores predeterminados de seguridad, revisión de TI en la sombra. |
| Además, preparación | Verificación en tiempo real; estado del parche del dispositivo de muestra; autenticación multifactor verificada mediante inicio de sesión; logística de auditoría reservada. | Análisis de brechas previo a la auditoría, informe de parches de muestra, registro de verificación de MFA, confirmación de reserva de auditoría. |
Si estás comparando Cyber Essentials con marcos más amplios, nuestros Cyber Essentials frente a ISO 27001 La guía explica dónde encaja cada uno, y muchas organizaciones del Reino Unido que obtienen la certificación Cyber Essentials luego progresan a ISO 27001, or SOC 2 a medida que aumentan las demandas de los clientes.
¿Por qué elegir ISMS.online para Cyber Essentials?
- Lista de verificación predefinida — Cada línea de esta lista de verificación ya existe como un control rastreado en SGSI.online, de modo que se evalúa en función del plan completo sin reconstruirlo desde cero.
- La evidencia en un solo lugar — Adjunte capturas de pantalla, exportaciones de configuración y registros de altas/bajas a cada control una sola vez, y luego reutilícelos para renovaciones, auditorías Plus y otros marcos de trabajo.
- Alcance y registro de activos — Registrar los usuarios, dispositivos, redes y servicios en la nube incluidos en el ámbito de aplicación en un registro estructurado para que los límites del ámbito queden documentados y sean auditables.
- Seguimiento de la brecha a la acción — Cada laguna en la lista de verificación se convierte en una acción asignada con un responsable y una fecha límite, de modo que nada se pasa por alto entre su identificación y su solución.
- Listo para la renovación — La plataforma mantiene su documentación actualizada entre ciclos anuales, por lo que el próximo certificado es una actualización, no un reinicio.
- Aprovechamiento de múltiples marcos — Evidencia de Cyber Essentials en SGSI.online también alimenta ISO 27001,, SOC 2 y NIS 2 funciona, por eso los clientes que van más allá de Cyber Essentials permanecen en la plataforma.
- Con la confianza de miles de organizaciones - SGSI.online Brindamos apoyo a empresas de todos los tamaños en su proceso de cumplimiento normativo, desde quienes solicitan la certificación Cyber Essentials por primera vez hasta grupos globales con múltiples certificaciones.
Preguntas Frecuentes
¿Existe una lista de verificación oficial de Cyber Essentials?
IASME publica el cuestionario oficial de autoevaluación (SAQ), que funciona como lista de verificación para el evaluador. La lista de verificación de preparación que se presenta en esta página incluye las mismas cinco áreas de control y añade las comprobaciones de alcance, nube y Plus que la mayoría de los solicitantes necesitan antes de llegar al SAQ. Completarlo primero convierte el SAQ en un ejercicio de confirmación en lugar de un ejercicio de descubrimiento.
¿Cuánto tiempo se tarda en completar la lista de verificación de Cyber Essentials?
Para una organización pequeña con una infraestructura informática madura, completar la lista de verificación y recopilar la información necesaria lleva un par de días. Las deficiencias que se detectan son las que requieren más tiempo: la implementación de la autenticación multifactor (MFA), la actualización de parches y las decisiones sobre dispositivos personales en el trabajo (BYOD) pueden tardar varias semanas. La mayoría de los solicitantes calculan entre cuatro y doce semanas desde que comienzan a usar la lista de verificación hasta que envían el cuestionario de autoevaluación (SAQ).
¿Necesito una lista de verificación diferente para Cyber Essentials Plus?
Las cinco áreas de control son idénticas, pero Plus añade comprobaciones de auditoría técnica: análisis de vulnerabilidades, pruebas de dispositivos de muestra, verificación de MFA mediante inicio de sesión en tiempo real y pruebas de filtrado de correo electrónico y web. La sección de preparación para Plus de esta lista de verificación abarca las comprobaciones adicionales. La forma más rápida de obtener Plus es certificarse primero con Cyber Essentials, solucionar cualquier problema detectado y, a continuación, contratar Plus dentro del plazo de 3 meses.
¿Cuál es la razón más común por la que las organizaciones no superan la lista de verificación?
Dos problemas predominan: el software obsoleto que aún se utiliza en al menos un dispositivo incluido en el alcance del estudio y la falta de actualizaciones fuera del plazo de 14 días. Ambos son fáciles de solucionar una vez detectados, pero también pueden paralizar la evaluación si se descubren durante la auditoría en lugar de durante la lista de verificación de preparación.
¿La lista de verificación se aplica a los trabajadores que trabajan desde casa y a los usuarios de dispositivos personales en el trabajo (BYOD)?
Sí. Cualquier dispositivo utilizado para acceder a datos o servicios de la organización está incluido, incluidos los portátiles domésticos y los teléfonos personales utilizados para el correo electrónico del trabajo. Los dispositivos utilizados exclusivamente para llamadas de voz, mensajes de texto o autenticación de dos factores quedan fuera de este ámbito. Los portátiles corporativos utilizados en casa deben tener su propio cortafuegos integrado y tratar la red doméstica como hostil.
¿Cómo evoluciona la lista de verificación año tras año?
IASME actualiza el conjunto de preguntas aproximadamente una vez al año. Las actualizaciones recientes han reforzado las expectativas de autenticación multifactor para servicios en la nube, aclarado las responsabilidades de SaaS, PaaS e IaaS, reconocido la autenticación biométrica y sin contraseña, y extendido explícitamente el plazo de 14 días para la aplicación de parches al firmware. La estructura de las cinco áreas de control se mantiene estable; el nivel de detalle se perfecciona con cada actualización.
