¿Qué requisitos exige realmente Cyber Essentials?
Cyber Essentials es un programa respaldado por el gobierno del Reino Unido, administrado por IASME en nombre del Centro Nacional de Ciberseguridad (NCSC). Define cinco áreas de control técnico que, cuando se implementan correctamente, están diseñadas para detener alrededor del 80% de los ciberataques basados en Internet más comunes. Centro de Cyber Essentials Esta página explica el programa a grandes rasgos; esta otra página detalla lo que el programa exige realmente de su entorno.
Los requisitos son deliberadamente prácticos. En lugar de pedirle que redacte políticas, el esquema prueba si sus firewalls, dispositivos, cuentas, defensas contra malware y actualizaciones de software están configurados a una base defendible. En cada ciclo de certificación, su SGSI.online Los clientes y otros solicitantes completan un cuestionario de autoevaluación (SAQ) que confirma que los controles están implementados en todo el alcance. Para Cyber Essentials Plus, un evaluador independiente verifica los mismos controles mediante pruebas técnicas prácticas; consulte nuestra Requisitos de Cyber Essentials Plus guía para los detalles de las pruebas. Para obtener el complemento práctico de preparación línea por línea para estos requisitos, consulte nuestra Lista de verificación de Cyber Essentials.
Las cinco áreas de control son cortafuegos y enrutadores, configuración segura, control de acceso de usuarios, protección contra malware y gestión de actualizaciones de seguridad. El conjunto de preguntas actual, que se actualiza anualmente con la actualización de 2026 que incorpora mayores exigencias en la nube y la autenticación multifactor, aplica los mismos cinco controles a los portátiles, ordenadores de sobremesa, servidores, dispositivos móviles, equipos de red y servicios en la nube que entran dentro del ámbito de aplicación.
¿Cuáles son los requisitos para los firewalls y los routers?
Los cortafuegos se sitúan en el límite entre su red interna de confianza e internet, que no es de confianza. El área de control requiere que todos los dispositivos que se conectan a internet, además del propio perímetro de la red, estén protegidos por un cortafuegos (o dispositivo de red equivalente) correctamente configurado.
En concreto, el programa espera que usted:
- Cambie la contraseña administrativa predeterminada en cada firewall o enrutador con acceso a Internet por una contraseña segura y única.
- Bloquear las conexiones entrantes no autenticadas de forma predeterminada
- Documentar y aprobar cualquier regla de firewall de entrada que permita el paso de servicios, con un caso de negocio documentado.
- Elimine o desactive las reglas de entrada que ya no sean necesarias.
- Utilice un cortafuegos de software en los dispositivos que se utilicen fuera de la red corporativa (ordenadores portátiles en casa, en la red Wi-Fi de un hotel o en una cafetería).
- Deshabilite el acceso administrativo remoto al firewall desde Internet, a menos que esté protegido por MFA o una lista de direcciones IP permitidas y exista una necesidad comercial documentada.
Las deficiencias más comunes que señalan los evaluadores son los teletrabajadores cuyo router, suministrado por su proveedor de servicios de Internet, todavía tiene impresa la contraseña de administrador predeterminada en la parte posterior, y las organizaciones con un alto componente de SaaS que asumen que no tienen firewalls en su ámbito de aplicación cuando, de hecho, cada portátil de los empleados necesita que el firewall basado en el host esté habilitado.
Las pruebas que normalmente solicitará el evaluador incluyen una captura de pantalla o una certificación que muestre la versión del cortafuegos y el cambio de contraseña de administrador, una lista de reglas de entrada con su justificación comercial y la confirmación de que los cortafuegos basados en host están activados en todos los dispositivos.
¿Qué significa en la práctica la configuración segura?
La configuración segura consiste en eliminar las vulnerabilidades de seguridad inherentes a los dispositivos y el software: cuentas predeterminadas, contraseñas de ejemplo, servicios innecesarios, contenido de demostración y configuraciones de uso compartido demasiado permisivas. Todos los dispositivos, servidores y servicios en la nube incluidos en el ámbito de aplicación deben configurarse para minimizar la exposición antes de su uso.
Para cumplir con esta área de control, debe:
- Elimine o desactive las cuentas de usuario y el software que no necesite (incluido el software innecesario preinstalado, las cuentas de usuario no utilizadas y las cuentas de administrador predeterminadas, siempre que sea posible).
- Cambia cualquier contraseña predeterminada o fácil de adivinar en dispositivos, cuentas y servicios.
- Desactive las funciones de ejecución automática que ejecutan automáticamente código desde medios extraíbles.
- Exigir a los usuarios que se autentiquen antes de otorgarles acceso a cualquier dato o servicio de la organización.
- Aplique la autenticación multifactor (MFA) a todas las cuentas administrativas en los servicios en la nube y a todos los usuarios estándar donde el servicio en la nube lo admita.
- Utilice una contraseña con una longitud mínima de 12 caracteres (o 8 más MFA, o 8 con limitación/bloqueo).
El cuestionario de 2026 ha reforzado las expectativas en cuanto a la autenticación multifactor (MFA), especialmente para los servicios en la nube. Si su organización utiliza Microsoft 365, Google Workspace, AWS, Azure o cualquier otra plataforma en la nube, la MFA en cada cuenta administrativa es ahora obligatoria y los evaluadores exigirán pruebas de su funcionamiento.
Las brechas comunes incluyen cuentas de administrador de dominio heredadas sin MFA, cuentas de servicio compartidas con contraseñas estáticas almacenadas en hojas de cálculo y redes de invitados Wi-Fi conectadas a la LAN corporativa. Revise su Autoevaluación de Cyber Essentials Tener en cuenta la configuración segura desde el principio del proyecto es fundamental, ya que es en el área de control donde la mayoría de las organizaciones se encuentran con trabajo inesperado.
¿Cómo funciona el control de acceso de usuarios en Cyber Essentials?
Esta área de control limita quién puede hacer qué en sus sistemas. Cyber Essentials quiere asegurarse de que las cuentas de usuario solo se creen con aprobación, que los privilegios administrativos sean escasos y que las cuentas se eliminen cuando los empleados se marchen.
Los requisitos específicos son:
- Contar con un proceso documentado de creación y aprobación de cuentas de usuario.
- Autentique a los usuarios con credenciales seguras y únicas antes de otorgarles acceso.
- Eliminar o deshabilitar las cuentas de usuario cuando ya no sean necesarias (proceso de altas, traslados y bajas).
- Implementar la autenticación multifactor en los servicios en la nube para todos los usuarios donde la plataforma lo admita, y de forma incondicional para todas las cuentas administrativas.
- Separe las cuentas administrativas de las cuentas de usuario cotidianas: los administradores no deben navegar por Internet ni leer correos electrónicos utilizando su cuenta privilegiada.
- Revisar al menos anualmente qué usuarios tienen privilegios administrativos y eliminar aquellos que ya no estén justificados.
Los evaluadores de pruebas suelen solicitar: su procedimiento de incorporación, traslado y baja de empleados, una lista de usuarios administrativos con la justificación empresarial para cada uno, capturas de pantalla de la configuración de la autenticación multifactor (MFA) de sus principales plataformas en la nube y una muestra de las cuentas de empleados que se han dado de baja recientemente y que han sido desactivadas.
El caso típico de un empleado veterano cuyo puesto ha cambiado tres veces y que aún conserva derechos de administrador heredados de un trabajo anterior. Otro caso importante son los accesos compartidos a herramientas de finanzas, marketing o redes sociales: el sistema no prohíbe todas las cuentas compartidas, pero exige que estén debidamente justificadas, protegidas con autenticación multifactor y monitorizadas.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Cómo funcionan los requisitos de protección contra malware?
La protección contra malware exige que todos los dispositivos incluidos en el ámbito de aplicación estén protegidos contra código malicioso mediante al menos uno de los tres métodos aprobados: software antimalware, lista de aplicaciones permitidas o sandboxing. La mayoría de las organizaciones cumplen este requisito utilizando el software antimalware integrado en sus sistemas operativos (Microsoft Defender en Windows, XProtect en macOS), complementado con un producto EDR en los dispositivos de mayor riesgo.
Para aprobar, debes:
- Utilice uno de los tres mecanismos aprobados en cada dispositivo incluido en el ámbito de aplicación (antimalware, listado de permisos de aplicaciones o sandboxing).
- Mantén actualizado el software antivirus, idealmente de forma automática, para que las firmas y los motores estén al día.
- Configure el antivirus para que analice los archivos al acceder a ellos y para que analice las páginas web.
- Bloquea las conexiones a sitios web maliciosos conocidos cuando el producto antivirus ofrece esa función.
- Si utiliza la función de listado de permisos de aplicaciones, mantenga una lista de aplicaciones aprobadas e impida que se ejecuten otras.
- Si utiliza el aislamiento de procesos (sandboxing), asegúrese de que cada aplicación se ejecute en un entorno aislado y no pueda acceder a los datos de otras aplicaciones aisladas sin permiso explícito.
Los dispositivos móviles (teléfonos, tabletas) están explícitamente incluidos. Tanto iOS como Android se basan en el aislamiento de procesos (sandboxing) como método subyacente, lo cual es aceptable, pero solo se deben instalar aplicaciones desde las tiendas oficiales (Apple App Store, Google Play o una tienda empresarial gestionada).
La deficiencia más común reside en los dispositivos BYOD no gestionados: un Mac personal que un empleado utiliza para el correo electrónico del trabajo, sin registro, sin una política antimalware centralizada y sin visibilidad para el departamento de TI. La solución consiste en integrar el dispositivo en el ámbito de la gestión de dispositivos móviles (MDM) o trasladar esa tarea a un dispositivo gestionado.
¿Qué requisitos debe cumplir la gestión de actualizaciones de seguridad?
Esta área de control exige que todo el software incluido en el ámbito de aplicación cuente con soporte, licencia y actualizaciones. El esquema es estricto en cuanto a lo que se considera «soportado»: debe tratarse de una versión para la que el proveedor aún publique actualizaciones de seguridad. Los sistemas operativos, navegadores, complementos, firmware y aplicaciones obsoletos no son aceptables y su presencia conllevará el rechazo de la evaluación.
Los requisitos específicos son:
- Todos los sistemas operativos y aplicaciones en los dispositivos incluidos en el alcance deben estar licenciados y contar con el soporte del proveedor.
- Elimine o reemplace cualquier software que el proveedor ya no admita con actualizaciones de seguridad.
- Habilite las actualizaciones automáticas cuando el proveedor las ofrezca.
- Instale las actualizaciones de seguridad “altas” o “críticas” dentro de los 14 días posteriores a su lanzamiento (la regla de los 14 días).
- Esto se aplica a sistemas operativos, aplicaciones, firmware en enrutadores y cortafuegos, y complementos o extensiones.
El plazo de 14 días para la aplicación de parches es la razón principal por la que las organizaciones no superan la certificación Cyber Essentials Plus. Los evaluadores analizarán sus dispositivos e identificarán cualquier elemento que no tenga un parche de alta gravedad instalado fuera de este plazo. Los servidores que solo se actualizan durante el mantenimiento mensual suelen perder la fecha límite.
El software incluido en el ámbito de aplicación comprende todo aquello que se utiliza para acceder a los datos o servicios de la organización. Esto incluye el sistema operativo, las suites de productividad, los navegadores, las extensiones de navegador, los lectores de PDF, las herramientas de videoconferencia, los gestores de contraseñas y cualquier aplicación empresarial. El firmware de los routers, cortafuegos y puntos de acceso también está incluido.
Tabla resumen: los 5 controles de un vistazo
La tabla que aparece a continuación resume las cinco áreas de control de Cyber Essentials, los requisitos de cada una y las deficiencias que suelen encontrar los evaluadores.
| Área de control | Los requisitos clave | Lagunas comunes |
|---|---|---|
| 1. Cortafuegos y enrutadores | Cambiar las contraseñas de administrador predeterminadas; bloquear el tráfico entrante no autenticado; documentar las reglas de entrada; habilitar cortafuegos basados en host en dispositivos móviles; proteger el acceso de administrador remoto con MFA o lista de direcciones IP permitidas. | Contraseñas predeterminadas en los routers proporcionados por el ISP utilizados por los teletrabajadores; cortafuegos de host desactivados en los portátiles; reglas de entrada no documentadas o desactualizadas. |
| 2. Configuración segura | Elimine las cuentas y el software que no utilice; cambie las contraseñas predeterminadas; desactive la ejecución automática; aplique la autenticación multifactor (MFA) a los servicios en la nube y a todas las cuentas de administrador; la longitud mínima de la contraseña debe ser de 12 caracteres. | Cuentas de administrador heredadas sin autenticación multifactor; credenciales predeterminadas en dispositivos de red; software innecesario y servicios no utilizados en compilaciones estándar. |
| 3. Control de acceso de usuarios | Proceso de creación de cuentas aprobado; eliminación inmediata de usuarios que abandonan la plataforma; separación de cuentas de administrador y cuentas estándar; autenticación multifactor (MFA) para todos los usuarios de la nube donde sea compatible; revisión anual de los privilegios de administrador. | Derechos de administrador acumulados con el tiempo; administradores navegando por la web con cuentas privilegiadas; inicios de sesión compartidos sin justificación. |
| 4. Protección contra malware | Utilice software antimalware, permita la inclusión de aplicaciones en listas o el uso de entornos aislados (sandbox) en todos los dispositivos; mantenga las definiciones actualizadas; restrinja las aplicaciones móviles a las tiendas oficiales; analice los archivos al acceder a ellos. | Dispositivos BYOD no administrados; software antimalware desactualizado o deshabilitado en los servidores; permisos de listado implementados sin una lista de aplicaciones aprobada. |
| 5. Gestión de actualizaciones de seguridad | Utilice únicamente software compatible y con licencia; elimine el sistema operativo, las aplicaciones y el firmware obsoletos; aplique los parches de seguridad críticos en un plazo de 14 días; habilite las actualizaciones automáticas siempre que sea posible. | Se omitió el plazo de 14 días para la aplicación de parches en los servidores; se siguen utilizando sistemas Windows antiguos o navegadores no compatibles; el firmware del enrutador está desactualizado. |
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Cómo se ajustan los servicios en la nube a los requisitos?
Ahora, la nube se considera una extensión de su entorno, en lugar de una excepción. Si su organización utiliza un servicio en la nube para procesar o almacenar datos, dicho servicio está incluido en el alcance y usted es responsable de configurarlo para que cumpla con los controles. El esquema distingue tres modelos de servicio en la nube, con responsabilidades compartidas ligeramente diferentes para cada uno:
- Software como Servicio (SaaS) — por ejemplo, Microsoft 365, Google Workspace, Salesforce, Xero. Usted es responsable del control de acceso de usuarios, la configuración segura de cuentas y ajustes de inquilino, y la autenticación multifactor (MFA). El proveedor se encarga de la protección contra malware en la plataforma subyacente, pero usted sigue siendo responsable de cualquier configuración del lado del cliente.
- Plataforma como servicio (PaaS) — por ejemplo, AWS App Runner, Azure App Service, Heroku. Además, usted es responsable de la gestión de las actualizaciones de seguridad de la capa de aplicación que implementa, así como de las mismas tareas de configuración segura y control de acceso que en SaaS.
- Infraestructura como Servicio (IaaS) — por ejemplo, AWS EC2, máquinas virtuales de Azure, Google Compute Engine. Usted es responsable del sistema operativo, todo el software que se ejecuta en él, los firewalls (grupos de seguridad), las actualizaciones, el malware y el control de acceso. En la práctica, un servidor IaaS se trata de forma casi idéntica a un servidor local.
La conclusión más importante es la siguiente: no se puede afirmar que un servicio en la nube está fuera del alcance de la protección solo porque el proveedor gestione la infraestructura. Los datos que contiene, y las cuentas que acceden a ellos, siempre son responsabilidad del usuario.
¿Cómo se aplican las políticas BYOD (Trae tu propio dispositivo) y el teletrabajo?
El uso de dispositivos personales en el trabajo (BYOD, por sus siglas en inglés) suele generar confusión. La regla es sencilla: cualquier dispositivo utilizado para acceder a los datos o servicios de la organización está incluido, independientemente de quién sea su propietario. Esto incluye teléfonos personales para el correo electrónico del trabajo, portátiles de contratistas y ordenadores domésticos para acceder a aplicaciones en la nube.
Existen algunas exclusiones: los dispositivos que solo acceden a mensajes de voz o texto (sin correo electrónico, aplicaciones ni documentos) y los que se utilizan exclusivamente para la autenticación de dos factores quedan fuera del alcance de esta medida. En todos los demás casos, el dispositivo debe cumplir con todos los controles pertinentes: un sistema operativo compatible, actualizaciones de seguridad vigentes, software antimalware (o equivalente), un código de acceso y la capacidad de bloquearse o borrarse de forma remota.
Los trabajadores remotos están incluidos en el alcance por defecto. Se espera que el portátil corporativo tenga su propio cortafuegos integrado (sin depender del router doméstico) y que cualquier tarea confidencial de administración en la nube esté protegida mediante autenticación multifactor (MFA). Los routers domésticos no están incluidos en el alcance a menos que la organización los haya proporcionado o configurado, pero el dispositivo corporativo se comporta como si estuviera siempre en una red hostil.
¿Cómo decides qué está dentro del alcance del proyecto y qué está fuera de él?
Definir el alcance es la decisión inicial más importante en un proyecto de Cyber Essentials. Si se hace mal, se certifica una parte demasiado pequeña de la empresa (lo que limita la credibilidad del certificado) o se abarca demasiado (lo que dificulta la evaluación innecesariamente).
El esquema permite dos enfoques principales:
- Alcance de toda la organización Todos los usuarios, dispositivos, redes y servicios en la nube de la organización están incluidos en el alcance. Este es el enfoque recomendado y genera la certificación más sólida. Los clientes, las aseguradoras y los contratos gubernamentales suelen dar por sentado que esta es la certificación que usted posee.
- Alcance del subconjunto — Un departamento, unidad de negocio o entorno específico queda dentro del alcance, quedando excluido todo lo demás. Para utilizar un alcance de subconjunto, debe establecer un límite técnico claro —normalmente una red gestionada por separado, un directorio de usuarios independiente y un inquilino de nube independiente— para que el entorno dentro del alcance no se vea afectado por el entorno fuera del alcance.
Dondequiera que traces la línea, los mismos cinco controles se aplican a todo lo que esté dentro de ella. Planifica tu alcance antes de completar el SAQ; cambiar el alcance posteriormente cuesta tiempo y dinero. El precio varía según el tamaño del entorno dentro del alcance, así que revisa nuestra Costo de Cyber Essentials página al dimensionar su proyecto.
¿Qué novedades incluye la versión de 2026?
El programa evoluciona anualmente. El conjunto de preguntas actual mantiene las cinco áreas de control, pero endurece varios requisitos para reflejar los cambios en el comportamiento de los atacantes y el creciente dominio de la nube. Las actualizaciones más importantes que afectan a los solicitantes son:
- Autenticación de múltiples factores — La autenticación multifactor (MFA) ahora es obligatoria en todas las cuentas administrativas de los servicios en la nube, y se espera que también lo sea para los usuarios estándar de la nube cuando la plataforma lo admita. Se desaconseja la MFA solo mediante SMS y se recomienda el uso de aplicaciones de autenticación o tokens de hardware.
- Aclaración del alcance de la nube — Se abordan explícitamente los servicios SaaS, PaaS e IaaS, con directrices más claras sobre qué responsabilidades recaen en el proveedor y cuáles en el cliente. Las cuentas de administrador en la nube reciben el mismo escrutinio que los administradores de dominio locales.
- Autenticación sin contraseña y biométrica — El sistema ahora reconoce los métodos de autenticación modernos (claves de acceso, Windows Hello, Touch ID) como alternativas aceptables al sistema tradicional de contraseña más autenticación multifactor.
- Expectativas de gestión de activos — Se espera que mantenga un inventario actualizado de dispositivos y software, ya que no puede actualizar ni proteger de forma fiable aquello que desconoce.
- Corrección de vulnerabilidades — El período de actualización de 14 días ahora cubre explícitamente el firmware de los enrutadores, conmutadores y puntos de acceso, no solo los sistemas operativos y las aplicaciones.
Cuando venza su certificado, se aplicará el último conjunto de preguntas. Consulte nuestra Renovación de Cyber Essentials Guía sobre qué esperar al renovar su certificación según los criterios actualizados.
¿Por qué elegir ISMS.online para Cyber Essentials?
- Controles preconfigurados — Cada área de control de Cyber Essentials está mapeada en SGSI.online, de modo que se evalúa en función del esquema completo sin necesidad de crear una lista de verificación desde cero.
- Fuente única de evidencia — Adjunte capturas de pantalla, exportaciones de configuración, registros de altas/bajas y documentos de políticas al control correspondiente una sola vez, y luego reutilícelos en renovaciones, evaluaciones Plus y otros marcos.
- Herramientas de alcance — Registre los usuarios, dispositivos, redes y servicios en la nube incluidos en el ámbito de aplicación en un registro de activos estructurado para que los límites del ámbito de aplicación estén documentados, sean auditables y fáciles de actualizar.
- Seguimiento de la brecha a la acción — Cada deficiencia detectada durante la revisión de preparación se convierte en una acción asignada con un responsable y una fecha límite, para que nada pase desapercibido.
- Aprovechamiento de múltiples marcos — Evidencia de Cyber Essentials en SGSI.online también alimenta ISO 27001,, SOC 2 y NIS 2 funciona, por eso los clientes que van más allá de Cyber Essentials se quedan con la plataforma.
- Listo para la renovación — La plataforma mantiene su documentación actualizada entre ciclos anuales, por lo que nunca tendrá que empezar de cero cuando venza el próximo certificado.
- Con la confianza de miles de organizaciones - SGSI.online Brindamos apoyo a empresas de todos los tamaños en su proceso de cumplimiento normativo, desde quienes solicitan la certificación Cyber Essentials por primera vez hasta grupos globales con certificación ISO.
Guías relacionadas de Cyber Essentials
Continúa tu aprendizaje sobre Ciberseguridad Fundamental con las demás guías de esta serie:
- Costo de Cyber Essentials — Niveles de precios de IASME, costes adicionales, costes ocultos y totales a 3 años para empresas del Reino Unido.
- ¿Merece la pena Cyber Essentials? — Una evaluación honesta de los beneficios, los inconvenientes y quiénes realmente necesitan la certificación.
- Requisitos de Cyber Essentials Plus — La auditoría técnica, los análisis de vulnerabilidades y las ventajas que Plus ofrece con respecto a la certificación básica.
- Autoevaluación de Cyber Essentials — El flujo de trabajo, el alcance, las evidencias y los errores comunes de SASQ.
- ¿Cuánto tiempo tarda la instalación de Cyber Essentials? — Cronograma típico en el Reino Unido, opciones para acelerar el proceso y qué lo ralentiza.
- Renovación de Cyber Essentials — El ciclo de 12 meses, los cambios en los controles de 2026 y cómo prepararse con 60 días de antelación.
- Fundamentos de ciberseguridad para pequeñas empresas — Precios, alcance y análisis de costo-beneficio específicos para pymes.
- Cyber Essentials frente a ISO 27001 — Comparación del alcance, el coste, el tiempo y el reconocimiento.
Preguntas Frecuentes
¿Qué abarca Cyber Essentials en términos sencillos?
Cyber Essentials abarca cinco áreas de control técnico: firewalls y routers, configuración segura, control de acceso de usuarios, protección contra malware y gestión de actualizaciones de seguridad. Cada área de control establece requisitos prácticos específicos para los dispositivos, las cuentas de usuario y los servicios en la nube que utiliza su organización. En conjunto, están diseñados para detener la mayoría de los ataques comunes basados en internet.
¿Cyber Essentials se aplica a los servicios en la nube?
Sí. Cualquier servicio en la nube utilizado para procesar o almacenar datos de la organización está incluido. SaaS, PaaS e IaaS están cubiertos, con responsabilidades compartidas ligeramente diferentes. Usted siempre será responsable del acceso de los usuarios, la autenticación multifactor (MFA) en las cuentas de administrador y la configuración segura de su inquilino; en el caso de IaaS, también deberá gestionar las actualizaciones, el malware y los firewalls del host.
¿Se incluyen en el ámbito de aplicación los teletrabajadores y el uso de dispositivos personales en el trabajo (BYOD)?
Sí. Cualquier dispositivo utilizado para acceder a los datos o servicios de su organización está incluido, incluidos los portátiles domésticos y los teléfonos personales utilizados para el correo electrónico del trabajo. Los dispositivos utilizados exclusivamente para llamadas de voz, mensajes de texto o autenticación de dos factores quedan fuera de este alcance. Los portátiles corporativos utilizados en casa deben tener habilitado su propio cortafuegos basado en el host.
¿Qué software está incluido en el alcance de Cyber Essentials?
Todo el software utilizado para acceder a datos o servicios de la organización. Esto incluye sistemas operativos, navegadores, extensiones de navegador, suites de productividad, aplicaciones empresariales y firmware de routers y firewalls. Todo ello debe contar con licencia, soporte del proveedor y actualizaciones importantes o críticas en un plazo de 14 días. No se acepta software obsoleto.
¿Qué pruebas quiere ver el evaluador?
Para la autoevaluación, usted proporciona respuestas y declaraciones para cada pregunta. Para Cyber Essentials Plus, el evaluador realiza pruebas prácticas: analiza dispositivos de muestra en busca de parches faltantes, verifica la configuración del antivirus, comprueba la autenticación multifactor (MFA) en las cuentas en la nube y confirma las reglas del firewall. Generalmente se solicitan los procedimientos documentados de ingreso y baja de usuarios, las listas de cuentas de administrador y los registros de parches.
¿Qué novedades incluye la versión 2026 de Cyber Essentials?
El conjunto de preguntas actual refuerza los requisitos de autenticación en la nube y multifactor, aclara las responsabilidades de SaaS, PaaS e IaaS, reconoce la autenticación sin contraseña y biométrica, y extiende explícitamente el plazo de 14 días para la aplicación de parches al firmware. Las expectativas sobre el inventario de activos también se han explicitado.
