¿Qué es una certificación en ciberseguridad?
Una certificación de ciberseguridad es una confirmación independiente de que una organización cumple con un conjunto definido de controles de seguridad de la información. En el Reino Unido, las certificaciones se dividen en tres grupos: programas respaldados por el gobierno como Cyber Essentials y Cyber Essentials Plus, estándares internacionales de sistemas de gestión como ISO 27001,y los informes de garantía, tales como SOC 2La norma NIS 2 se sitúa junto a estas como un mandato reglamentario, en lugar de una certificación voluntaria.
Compradores, reguladores, aseguradoras y socios de la cadena de suministro exigen cada vez más pruebas de que sus proveedores cumplen con un estándar reconocido. La certificación adecuada depende de quién la solicite, dónde venda y el nivel de seguridad requerido. Esta guía detalla los cinco esquemas más comunes para las organizaciones del Reino Unido, su cobertura, coste y a quién va dirigido.
SGSI.online Es la plataforma que utilizan las organizaciones del Reino Unido para gestionar todas las certificaciones de ciberseguridad en un solo lugar, mapeando la evidencia y los controles una sola vez en Cyber Essentials, ISO 27001, SOC 2 y NIS 2, en lugar de reconstruir el trabajo para cada esquema.
¿Por qué las organizaciones del Reino Unido obtienen certificaciones de ciberseguridad?
Cinco factores clave explican casi todos los proyectos de certificación que vemos:
- Requisitos de adquisición — Los contratos del gobierno central del Reino Unido exigen la certificación Cyber Essentials para los proveedores que manejan información personal o ciertos servicios de TIC (Nota de política de adquisiciones 09/14). El Ministerio de Defensa exige Cyber Essentials o Cyber Essentials Plus para los proveedores pertinentes en el marco del nivel de alerta DEFCON 658. Muchos compradores del sector privado replican este requisito en sus procesos de calificación de proveedores.
- Demanda del cliente — Los clientes B2B envían cada vez más cuestionarios de seguridad antes de firmar. Un certificado ISO 27001 o SOC 2 vigente suele sustituir un cuestionario de 200 preguntas por un único archivo adjunto.
- Regulación del sector — La NIS 2 (en la UE) y el régimen equivalente del Reino Unido exigen que las entidades esenciales e importantes de sectores críticos demuestren controles de ciberseguridad e informes de incidentes.
- Ciberseguro — Las aseguradoras suelen solicitar pruebas de controles básicos antes de formalizar una póliza. La certificación Cyber Essentials suele ser suficiente para las pymes; las aseguradoras más grandes o de mayor riesgo requieren cada vez más la certificación ISO 27001 o SOC 2.
- Garantía interna — Los consejos de administración y los comités de auditoría utilizan la certificación independiente como prueba de que los controles que aprueban realmente existen y funcionan.
Si aún no sabe qué controlador se aplica a usted, nuestra guía sobre ¿Merece la pena Cyber Essentials? Se explica detalladamente el cálculo de la relación coste-beneficio del plan básico, y a partir de ahí la elección se vuelve más clara.
¿Cuáles son las principales certificaciones de ciberseguridad del Reino Unido?
Cinco programas dominan el panorama de la certificación en ciberseguridad en el Reino Unido. Los cuatro primeros son certificaciones voluntarias, que abarcan desde la familia Cyber Essentials, específica del Reino Unido, hasta estándares reconocidos internacionalmente, mientras que el quinto es una obligación regulatoria más que una certificación propiamente dicha. La mayoría de las organizaciones británicas cuentan con más de una de estas certificaciones a lo largo del tiempo, en función de la evolución de la demanda de los clientes, el sector y la geografía.
Cyber Essentials: el punto de entrada respaldado por el gobierno del Reino Unido
Cyber Essentials es un programa de certificación respaldado por el gobierno del Reino Unido, lanzado en 2014 y supervisado actualmente por el Centro Nacional de Ciberseguridad (NCSC), con IASME como único organismo de acreditación desde abril de 2020. Este programa evalúa cinco áreas de control técnico (cortafuegos y enrutadores, configuración segura, control de acceso de usuarios, protección contra malware y gestión de actualizaciones de seguridad) en todos los dispositivos y servicios en la nube incluidos en el ámbito de aplicación.
Hechos clave:
- Formato: Cuestionario de autoevaluación Revisado por un evaluador acreditado por IASME.
- Validez: 12 meses, renovable anualmente
- Costo: Desde 330 £ + IVA para microorganizaciones (1–9 empleados) hasta 500 £ + IVA para grandes (250 o más); ver Costo de Cyber Essentials Para obtener el desglose completo de precios
- Cronología típica: De 4 a 12 semanas desde el inicio hasta la obtención del certificado.
- Bonus: Las organizaciones del Reino Unido que cumplan los requisitos y tengan una facturación inferior a 20 millones de libras esterlinas reciben un seguro de responsabilidad cibernética gratuito por valor de 25,000 libras esterlinas.
- Ideal para: Pymes del Reino Unido que optan a contratos gubernamentales; proveedores de grandes empresas; requisitos de seguros; primera certificación formal
Cyber Essentials es la certificación de ciberseguridad del Reino Unido más económica y rápida. También es la que tiene el mayor valor de contratación directa, ya que el gobierno del Reino Unido y muchos compradores privados la exigen específicamente por su nombre. Para el trabajo de preparación línea por línea, nuestro Lista de verificación de Cyber Essentials Revisa cada comprobación antes de que la envíes.
Cyber Essentials Plus: garantía auditada de forma independiente
Cyber Essentials Plus utiliza las mismas cinco áreas de control que Cyber Essentials, pero añade una auditoría técnica independiente. Un evaluador acreditado por IASME analiza dispositivos de muestra, verifica la autenticación multifactor mediante inicio de sesión en tiempo real, prueba el filtrado de correo electrónico y web, y confirma que los controles que usted ha certificado funcionan correctamente en la práctica.
- Formato: SAQ más auditoría técnica práctica de una muestra representativa de dispositivos
- Validez: 12 meses
- Costo: Normalmente, entre 1,500 y 3,000 libras esterlinas adicionales al coste base de Cyber Essentials, dependiendo de la complejidad del entorno.
- Línea de tiempo: De 1 a 2 semanas adicionales a Cyber Essentials, una vez que se complete el trabajo de preparación.
- Ideal para: Proveedores del Ministerio de Defensa o de cadenas de suministro de alto riesgo (DEFCON 658), compradores que requieren específicamente Plus, organizaciones que utilizan Plus como un paso previo a la norma ISO 27001.
Las cinco áreas de control técnico se documentan en detalle en Requisitos de Cyber Essentials PlusSi está comparando CE con CE Plus, el factor decisivo suele ser si un contrato o aseguradora específico requiere el nivel Plus.
ISO 27001: Certificación internacional de gestión de la seguridad de la información
La norma ISO/IEC 27001 es el estándar internacional para los sistemas de gestión de la seguridad de la información (SGSI). Mientras que Cyber Essentials evalúa cinco controles técnicos, la ISO 27001 certifica un sistema de gestión completo: un marco basado en riesgos que abarca la gobernanza, las políticas, la gestión de activos, la seguridad de los proveedores, la respuesta a incidentes, la continuidad del negocio y 93 controles específicos del Anexo A (la revisión de 2022; reducida de los 114 de la versión de 2013).
- Formato: Auditoría de documentación de la Etapa 1, luego auditoría de implementación de la Etapa 2, luego auditorías de vigilancia cada año y una auditoría de recertificación completa cada tres años.
- Validez: Tres años entre recertificaciones, con vigilancia anual.
- Costo: Normalmente, el coste oscila entre 3,000 y 15,000 libras esterlinas o más para las pymes del Reino Unido, dependiendo del alcance y del organismo de certificación elegido.
- Línea de tiempo: De 4 a 9 meses para la certificación inicial; más tiempo para organizaciones complejas.
- Ideal para: Organizaciones que venden internacionalmente, SaaS B2B, sectores regulados, cualquier persona cuyos clientes soliciten un certificado ISMS por su nombre.
La norma ISO 27001 es el estándar de oro en certificaciones de ciberseguridad a nivel mundial. La mayoría de los clientes empresariales esperan que sus proveedores la posean; muchas organizaciones del Reino Unido utilizan Cyber Essentials como base y luego avanzan a ISO 27001 a medida que crece la demanda de los clientes. Para conocer las diferencias en profundidad, alcance y reconocimiento, consulte Cyber Essentials frente a ISO 27001Para obtener información detallada sobre el proceso de auditoría, consulte Certificación ISO 27001.
SOC 2: garantía para clientes estadounidenses y proveedores de SaaS.
SOC 2 (Service Organisation Control 2) es un informe de aseguramiento originario de EE. UU., elaborado conforme a los estándares establecidos por el Instituto Americano de Contadores Públicos Certificados (AICPA). Evalúa a una organización de servicios según los cinco Criterios de Servicios de Confianza (seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad), siendo la seguridad obligatoria y los demás criterios opcionales según el alcance.
- Formato: Tipo 1 (evaluación del diseño en un momento determinado) o Tipo 2 (eficacia operativa durante un período de observación de 3 a 12 meses).
- Validez: SOC 2 genera un informe en lugar de un certificado; los informes suelen renovarse anualmente.
- Costo: Entre 15,000 y más de 100,000 libras esterlinas, dependiendo del alcance, los criterios incluidos y el período de observación.
- Línea de tiempo: Período de observación de 3 a 12 meses para el Tipo 2; el trabajo de preparación generalmente agrega de 2 a 4 meses.
- Ideal para: Proveedores de SaaS que venden en EE. UU., organizaciones de servicios que manejan datos de clientes, cualquier organización del Reino Unido cuyos clientes estadounidenses soliciten SOC 2 por su nombre.
SOC 2 e ISO 27001 se superponen en gran medida en los controles que requieren. Las organizaciones del Reino Unido que venden a ambos lados del Atlántico a menudo utilizan ambas, con SGSI.online como la capa de evidencia común. Nuestra SOC 2 El hub abarca los criterios, el proceso de preparación y en qué se diferencia de la norma ISO 27001.
NIS 2: Ciberseguridad regulatoria para entidades esenciales e importantes
La NIS 2 es la Directiva de la UE sobre seguridad de las redes y la información de segunda generación, y el Reino Unido ha adoptado un régimen nacional equivalente. No se trata de una certificación, sino de un requisito reglamentario para entidades esenciales e importantes en sectores críticos (energía, transporte, banca, infraestructuras de mercados financieros, sanidad, agua potable, infraestructuras digitales, administración pública, espacio, servicios postales, gestión de residuos, fabricación y distribución de productos químicos, alimentación, fabricación de dispositivos médicos y determinados proveedores de servicios digitales).
- Formato: Obligación reglamentaria de implementar medidas específicas de gestión de riesgos de ciberseguridad y plazos para la notificación de incidentes.
- Validez: Continuo, bajo supervisión del regulador.
- Costo: No hay cuota de certificación; el coste reside en los propios controles, que a menudo se ajustan a la norma ISO 27001.
- Línea de tiempo: Adopción por fases; las organizaciones incluidas en el alcance deberían estar implementándola ahora.
- Ideal para: Cualquier organización clasificada como entidad esencial o importante según la directiva; los proveedores de dichas entidades también se ven afectados indirectamente.
En ocasiones, NIS 2 es el detonante que impulsa a una organización de Cyber Essentials a ISO 27001, porque ISO 27001 proporciona una forma estructurada de demostrar las medidas de gestión de riesgos que exige la directiva. NIS 2 El centro de información explica los sectores incluidos en el ámbito de aplicación y las obligaciones específicas.
Comparativa: Certificaciones de ciberseguridad del Reino Unido de un vistazo
| Certificación | <b></b><b></b> | Coste típico (PYME del Reino Unido) | Cronología típica | Validez | Mejor ajuste |
|---|---|---|---|---|---|
| Cyber Essentials | 5 controles técnicos, autoevaluados | Desde 330 £ + IVA | 4-12 semanas | 12 meses | Pymes del Reino Unido, contratos gubernamentales, seguros, primera certificación |
| Cyber Essentials Plus | Los mismos 5 controles + auditoría independiente | Añadir entre 1,500 y 3,000 libras esterlinas o más. | +1–2 semanas | 12 meses | Proveedores del Ministerio de Defensa, contratos que requieren certificación Plus, paso previo a la ISO 27001 |
| ISO 27001, | SGSI completo, 93 controles del Anexo A, gobernanza | £3,000–£15,000+ | 4 – 9 meses | 3 años (vigilancia anual) | Ventas internacionales, SaaS B2B, sectores regulados |
| SOC 2 (Tipo 2) | 5 Criterios de Servicios de Confianza, eficacia operativa | £15,000–£100,000+ | Observación de 3 a 12 meses | Reporte anual | Venta de SaaS en EE. UU., organizaciones de servicios |
| NIS 2 | Gestión regulatoria del riesgo cibernético para entidades esenciales/importantes | Integrado en las operaciones | Continuo | Continuo | Sectores de infraestructura crítica y sus proveedores |
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Cómo elegir entre las diferentes certificaciones de ciberseguridad?
Empieza por la pregunta que dio origen al proyecto. La certificación adecuada depende de qué (o quién) la solicita.
- Contrato con el gobierno del Reino Unido o proveedor del Ministerio de Defensa — Empiece con Cyber Essentials y, si es necesario, con Plus. Esto se especifica en el PPN 09/14 y en DEFCON 658.
- póliza de seguro cibernético — La certificación Cyber Essentials suele ser suficiente para las pymes. Las empresas más grandes o con mayor riesgo pueden necesitar la certificación ISO 27001.
- Cliente empresarial solicita un certificado ISMS. — ISO 27001. Los clientes casi siempre lo mencionan específicamente.
- Un cliente de SaaS con sede en EE. UU. solicita un informe de garantía. — SOC 2 (normalmente Tipo 2 una vez establecida la relación).
- NIS 2 o obligación regulatoria equivalente — Implementar los controles que exige la normativa; muchas organizaciones utilizan la norma ISO 27001 como marco de referencia para demostrarlo.
- Primera certificación, no impulsada por un comprador específico. — Cyber Essentials. Es la opción más económica, rápida y con el valor de contratación más claro en el Reino Unido, y el trabajo se integra directamente en la norma ISO 27001 si se avanza en el proceso.
La mayoría de las organizaciones del Reino Unido terminan obteniendo más de una certificación con el tiempo. Una progresión típica sería Cyber Essentials → Cyber Essentials Plus → ISO 27001 → SOC 2 una vez que aparecen clientes estadounidenses. Los controles se superponen lo suficiente como para que mantener la siguiente certificación sea un proceso gradual en lugar de empezar de cero, siempre que se disponga de una única capa de evidencia que mapee los controles entre los diferentes esquemas.
¿Qué ocurre si necesitas varias certificaciones?
Gestionar Cyber Essentials, ISO 27001 y SOC 2 por separado resulta costoso. Las tres certificaciones solicitan la misma información (reglas de firewall, configuración de MFA, registros de altas y bajas, inventario de activos, informes de parches), aunque en formatos diferentes. En la mayoría de los casos, esta información termina almacenada en tres lugares con tres ciclos de actualización distintos.
La alternativa es capturar cada control y cada pieza de evidencia una sola vez, mapeándola a cada esquema que satisface. Eso es lo que SGSI.online Sí — un único SGSI que expone los conjuntos de controles Cyber Essentials, ISO 27001, SOC 2 y NIS 2 al mismo tiempo, con evidencia vinculada una vez y reutilizada en todas partes. Los clientes que comienzan con Cyber Essentials en SGSI.online A menudo, los clientes ya han recorrido la mitad del camino para obtener la certificación ISO 27001 cuando surge la demanda.
¿Cuáles son las ideas erróneas más comunes sobre la certificación en ciberseguridad?
- “Una certificación significa que estamos seguros.” Una certificación significa que se cumplen ciertos controles definidos en un momento dado. No significa que no se puedan producir infracciones. Considere el certificado como evidencia de un programa, no como un resultado.
- “Cyber Essentials e ISO 27001 son lo mismo.” No lo son. Cyber Essentials abarca cinco áreas de control técnico; ISO 27001 certifica un sistema completo de gestión de la seguridad de la información que abarca la gobernanza, el riesgo y 93 controles específicos.
- “Necesitamos las certificaciones ISO 27001 y SOC 2 desde el primer día.” Normalmente no. La mayoría de las organizaciones del Reino Unido comienzan con la que requiere su mayor comprador actual y luego añaden la segunda cuando las ventas internacionales la necesitan.
- “La certificación de nuestro proveedor de servicios en la nube nos da cobertura.” El certificado de tu proveedor de servicios en la nube cubre su infraestructura, no la configuración de tu cuenta, los controles de acceso ni el manejo de datos. Aún necesitas tu propia certificación.
- “La certificación es un proyecto que se realiza una sola vez.” Cada certificación de ciberseguridad tiene un ciclo de renovación anual o trienal. Trátela como un programa operativo, no como un proyecto.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir ISMS.online para la certificación en ciberseguridad?
- Una plataforma, todos los planes — Cyber Essentials, Cyber Essentials Plus, ISO 27001, SOC 2 y NIS 2 están todos preconfigurados en SGSI.online, con controles armonizados en todos los esquemas para que la evidencia se reutilice, no se reescriba.
- Fuente única de evidencia — Adjunte una captura de pantalla o un documento una sola vez y vincúlelo a cada control que cumpla, en todas las certificaciones. Sin duplicaciones ni desviaciones de versión.
- Registro de riesgos y alcance del SGSI — Capture sus activos de información, riesgos y tratamientos en un SGSI estructurado que cumpla con los requisitos de la cláusula ISO 27001 y alimente su narrativa SOC 2.
- Políticas y procedimientos predefinidos — Una biblioteca de políticas predefinidas y alineadas con los controles de cada esquema, para que pueda comenzar con una base de trabajo en lugar de un documento en blanco.
- Listo para auditoría — Las auditorías de vigilancia, las auditorías de recertificación y los periodos de observación SOC 2 son más sencillos cuando la plataforma realiza un seguimiento automático de la vigencia de las pruebas, los responsables de las acciones y las fechas de vencimiento.
- Con la confianza de miles de organizaciones - SGSI.online Brinda soporte a empresas de todos los tamaños, desde solicitantes que obtienen la certificación Cyber Essentials por primera vez hasta grupos globales con múltiples certificaciones.
- Éxito de clientes que lo han experimentado — Apoyo en la implementación por parte de personas que se han certificado en los mismos esquemas, no solo que han vendido la plataforma.
Preguntas Frecuentes
¿Cuál es la mejor certificación en ciberseguridad para una pyme del Reino Unido?
Para la mayoría de las pymes del Reino Unido, el punto de partida ideal es Cyber Essentials. Es la certificación más económica, la más rápida de obtener y la obligatoria en materia de contratación pública del Reino Unido según la normativa PPN 09/14. Cyber Essentials Plus es el siguiente paso si un contrato o la cadena de suministro lo requiere. Se puede optar por la certificación ISO 27001 cuando surja demanda por parte de clientes empresariales o se inicien ventas internacionales.
¿Es Cyber Essentials una certificación de ciberseguridad reconocida internacionalmente?
Cyber Essentials es una certificación específica del Reino Unido. Si bien está reconocida por el gobierno británico, las aseguradoras del Reino Unido y muchos compradores privados británicos, no tiene validez directa fuera del país. La certificación ISO 27001 es la equivalente reconocida internacionalmente, y SOC 2 es el informe de garantía de calidad predominante en Estados Unidos. Las organizaciones británicas que venden a nivel global suelen pasar de Cyber Essentials a ISO 27001 o SOC 2.
¿Cuánto cuesta la certificación en ciberseguridad en el Reino Unido?
Los costes varían considerablemente. Cyber Essentials tiene un precio inicial de 330 £ + IVA para las organizaciones más pequeñas. Cyber Essentials Plus suele añadir entre 1,500 £ y 3,000 £ para la auditoría. ISO 27001 oscila entre 3,000 £ para organizaciones muy pequeñas y más de 15 000 £ para alcances complejos. SOC 2 Tipo 2 oscila entre 15 000 £ y más de 100 000 £, dependiendo de los criterios, el alcance y el periodo de observación. NIS 2 no tiene coste de certificación, pero requiere inversión en los controles subyacentes.
¿Cuánto tiempo se tarda en obtener la certificación en ciberseguridad?
La certificación Cyber Essentials suele tardar entre 4 y 12 semanas desde su inicio. Cyber Essentials Plus añade entre 1 y 2 semanas más, además del trabajo de preparación. La certificación ISO 27001 requiere entre 4 y 9 meses para una pyme que la obtiene por primera vez. La certificación SOC 2 Tipo 2 requiere un periodo de observación de entre 3 y 12 meses, además del trabajo de preparación. La certificación NIS 2 es continua: no es un proyecto puntual.
¿Una certificación en ciberseguridad cubre el RGPD?
Ninguna certificación por sí sola constituye cumplimiento del RGPD. Tanto ISO 27001 como SOC 2 cubren muchos de los controles de seguridad que exige el RGPD, y ISO 27701, Extiende la norma ISO 27001 específicamente a un sistema de gestión de la privacidad. Ninguna de ellas reemplaza las obligaciones legales y de documentación del RGPD del Reino Unido, pero facilitan enormemente la demostración de los controles de seguridad.
¿Necesito recertificarme cada año?
Las certificaciones Cyber Essentials y Cyber Essentials Plus tienen una validez de 12 meses y se renuevan anualmente. La certificación ISO 27001 se realiza cada 3 años con auditorías de vigilancia anuales. Los informes SOC 2 se actualizan generalmente cada año. La certificación NIS 2 es una obligación continua, no una certificación periódica. Independientemente del esquema que tenga, considérelo como un programa operativo, no como un proyecto puntual.
