¿Qué es la autoevaluación de Cyber Essentials?
La autoevaluación Cyber Essentials es el cuestionario fundamental del programa Cyber Essentials del Gobierno del Reino Unido. Administrada por IASME en nombre del Centro Nacional de Ciberseguridad (NCSC), solicita a su organización que declare por escrito que ha implementado cinco conjuntos de controles técnicos a un nivel que protege contra los ataques cibernéticos más comunes. Un miembro de la junta directiva aprueba sus respuestas, usted envía el cuestionario a través del portal de IASME y un evaluador revisa sus respuestas y otorga (o deniega) la certificación.
Aunque se denomina autoevaluación, el proceso no es informal. Su declaración es una declaración contractual a un organismo de certificación, y el evaluador rechazará las respuestas que carezcan de los detalles correctos o que contradigan el alcance declarado. La mayoría de los intentos fallidos en el primer intento se deben a respuestas apresuradas y no probadas, más que a la falta de controles, por lo que el objetivo de esta guía es ayudarle a preparar la evidencia, definir correctamente el alcance de su entorno y responder con la precisión que busca el evaluador de IASME. Para conocer la base técnica subyacente contra la que está declarando, consulte nuestra explicación de la Requisitos de Cyber Essentials. Antes de abrir el SAQ en sí, trabaje a través de nuestro Lista de verificación de Cyber Essentials Para confirmar que el alcance, las pruebas y los controles están listos, está diseñado para detectar las mismas deficiencias que señalaría un evaluador.
El cuestionario contiene alrededor de 80 preguntas distribuidas en las cinco áreas de control. Cada pregunta es binaria (se cumple o no con el criterio de control), pero la mayoría también requiere una breve explicación escrita que describa cómo se cumple. SGSI.online Almacena tus respuestas, pruebas y justificaciones en un solo lugar para que puedas reutilizarlas al renovar tu certificación y durante una auditoría de Cyber Essentials Plus.
¿Cómo está estructurada la autoevaluación?
El cuestionario se divide en tres partes lógicas. Comprender bien la estructura antes de empezar agiliza considerablemente el proceso de respuesta.
- Información y alcance de la empresa — Entidad jurídica, sector, tamaño, ubicación y una descripción escrita de lo que está incluido y lo que no. Esto determina todas las respuestas posteriores.
- Declaración de seguro — Algunas preguntas sobre el seguro cibernético incluido para organizaciones domiciliadas en el Reino Unido con una facturación inferior a 20 millones de libras esterlinas.
- Controles técnicos — La mayor parte del cuestionario. Alrededor de 80 preguntas agrupadas en cinco temas de control. Cada tema evalúa una capa diferente de su entorno.
Fundamentalmente, sus respuestas en la sección de controles técnicos deben aplicarse a de todo. dentro del alcance que usted ha indicado. Si excluye parte del negocio, debe indicarlo claramente y delimitarla. Las respuestas parciales son la principal causa de reenvío, junto con el software no compatible incluido en el alcance.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
¿Cuáles son las cinco áreas de control y qué pregunta plantea cada una?
Los cinco temas de control técnico son los mismos, ya sea que elija Cyber Essentials o Cyber Essentials PlusLa diferencia radica en que Plus incluye una auditoría técnica independiente, ya sea presencial o remota; la autoevaluación es la base de dicha auditoría. La siguiente tabla resume el contenido de cada área de control y el tipo de preguntas que puede esperar.
| Área de control | Lo que cubre | Preguntas de ejemplo |
|---|---|---|
| 1. Cortafuegos y puertas de enlace a Internet | Cortafuegos perimetrales que protegen la red de su oficina, además de cortafuegos basados en el host en los dispositivos utilizados fuera de la oficina (por ejemplo, para trabajar desde casa o en puestos de trabajo compartidos). | ¿Cambias las contraseñas predeterminadas del firewall? ¿Están documentadas, aprobadas y revisadas las reglas de entrada? ¿Están las interfaces administrativas bloqueadas desde internet o protegidas mediante autenticación multifactor? |
| 2. Configuración segura | Eliminar las cuentas predeterminadas, el software no utilizado y los servicios innecesarios de los servidores, los dispositivos de los usuarios finales, los dispositivos móviles y los servicios en la nube. | ¿Has eliminado o desactivado las cuentas de usuario no utilizadas? ¿Se han cambiado las contraseñas predeterminadas de todos los dispositivos incluidos en el ámbito de aplicación? ¿Está desactivada la ejecución automática? ¿Las credenciales de desbloqueo de los dispositivos tienen al menos 6 caracteres y protección contra ataques de fuerza bruta? |
| 3. Control de acceso de usuarios | Creación de cuentas, gestión de privilegios, separación de cuentas de administrador y cuentas estándar, y autenticación multifactor en servicios en la nube. | ¿Existe un proceso documentado de aprobación de cuentas de usuario? ¿Las cuentas administrativas se utilizan únicamente para tareas administrativas? ¿Está habilitada la autenticación multifactor (MFA) en todos los servicios en la nube para usuarios y administradores? ¿Se eliminan rápidamente las cuentas de los empleados que abandonan la empresa? |
| 4. Protección contra malware | Protección contra malware, inclusión en listas blancas de aplicaciones o entornos aislados (sandbox) en todos los dispositivos incluidos en el ámbito de aplicación, incluidos los dispositivos personales en el trabajo (BYOD) y los dispositivos móviles. | ¿Qué mecanismo de protección contra malware se utiliza en cada tipo de dispositivo? ¿Se actualizan las firmas diariamente? ¿Se impide a los usuarios ejecutar software de fuentes no confiables? |
| 5. Gestión de actualizaciones de seguridad | Actualización de sistemas operativos, aplicaciones y firmware dentro de plazos definidos; eliminación de software obsoleto. | ¿Está habilitada la actualización automática siempre que sea posible? ¿Se aplican las actualizaciones críticas y de alto riesgo dentro de los 14 días posteriores a su lanzamiento? ¿Se utiliza algún software que ya no cuenta con el soporte del proveedor? |
¿Cómo se define correctamente el alcance del proyecto?
El alcance es la razón más común por la que las organizaciones fallan o tienen que repetir preguntas, por lo que conviene ser meticuloso. El alcance debe abarcar las partes de la organización a través de las cuales un atacante podría acceder a los datos confidenciales. La opción predeterminada y más recomendable es "organización completa", pero se puede definir por unidad de negocio si se puede demostrar una clara separación técnica y física entre las partes incluidas y las que no lo están.
Cualquiera que sea la opción que elija, deberá poder describir y demostrar lo siguiente:
- Usuarios incluidos en el alcance — Todos los empleados, contratistas y terceros con acceso a los sistemas incluidos en el alcance, incluidos los trabajadores remotos. Las cuentas de clientes en sus propios servicios quedan fuera del alcance.
- Dispositivos incluidos en el alcance — Todos los ordenadores portátiles, de sobremesa, tabletas, teléfonos móviles y servidores utilizados para acceder a datos o servicios de la organización, incluidos los dispositivos de propiedad personal (BYOD) utilizados para el correo electrónico o los archivos de trabajo.
- Ubicaciones incluidas en el alcance — Oficinas, espacios de trabajo en casa y cualquier centro de datos o instalación de coubicación que usted gestione.
- Servicios en la nube en el ámbito — Todos los servicios de software como servicio (SaaS), plataformas como servicio (PaaS) e infraestructura como servicio (IaaS) que almacenan datos de la organización. Desde la actualización de 2022, la nube está explícitamente incluida y no puede excluirse.
Documente el alcance en un lenguaje sencillo antes de responder cualquier pregunta técnica. Si no puede describir los límites con precisión, el evaluador no podrá confirmar si sus controles son suficientes.
¿Cómo debes prepararte antes de abrir el cuestionario?
La mayor parte del trabajo se realiza antes de iniciar sesión en el portal de IASME. Al ingresar con la documentación adecuada, el tiempo de finalización se reduce de semanas a días.
Elabore un inventario de activos.
Enumere todos los dispositivos, servidores, servicios en la nube y cuentas de usuario incluidos en el alcance, junto con el sistema operativo o la versión del software, la fecha de la última actualización y el usuario asignado. Este es el documento más útil para la autoevaluación y se reutiliza al renovar la licencia. SGSI.online Incluye un registro de activos que se corresponde directamente con las áreas de control de Cyber Essentials, de modo que pueda obtener una lista precisa del alcance en cualquier momento.
Reúna los documentos de política
No es necesario un manual de políticas de mil páginas, pero el evaluador espera ver procesos escritos y concisos que abarquen: aprobación y baja de cuentas de usuario, actualizaciones, estándares de contraseñas y autenticación multifactor, protección contra malware y teletrabajo. Es mejor contar con información breve, actualizada y aprobada que con información extensa y teórica.
Recopilar pruebas que lo respalden
Para cada área de control, identifique la captura de pantalla, la exportación de configuración o el informe del sistema que utilizaría en caso de ser requerido. No es necesario cargar evidencia al presentar la certificación Cyber Essentials (Plus es diferente), pero el evaluador puede solicitarla y la necesitará nuevamente para la renovación y para cualquier auditoría de Plus. Los elementos de evidencia comunes incluyen: pantallas de configuración de MDM, políticas de acceso condicional, paneles de parcheo, revisiones de cuentas y exportaciones de reglas de firewall.
Antes de la caminata, responde las preguntas.
El cuestionario completo está disponible en IASME antes de su presentación. Léalo de principio a fin, marque todas las preguntas a las que no pueda responder afirmativamente con seguridad y utilice esa lista como plan de recuperación. Presentarse sin preparación previa es la razón más común por la que las organizaciones terminan pagando por dos intentos.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Cómo se califican las preguntas y qué se considera un suspenso?
Cada pregunta sobre control técnico es binaria: sí o no. No se otorgan puntos parciales. Para obtener la certificación, debe poder responder «sí» (o la respuesta equivalente que cumpla con los requisitos) a todas las preguntas aplicables en las cinco áreas de control.
Para la mayoría de las preguntas, IASME también requiere una breve explicación en texto libre que describa cómo se cumple con el control. Los evaluadores califican estas explicaciones según tres criterios: ¿es la respuesta técnicamente correcta?, ¿es coherente con el resto del cuestionario? y ¿cubre todos los tipos de dispositivos o servicios incluidos en el alcance? Un «sí» sin detalles, o un detalle que contradiga una respuesta anterior, dará lugar a una solicitud de aclaración o a una calificación de suspenso.
Si el evaluador detecta incumplimientos, tiene una oportunidad para corregirlos y volver a enviar la solicitud sin costo adicional, siempre que lo haga dentro de los dos días hábiles posteriores a la recepción de la retroalimentación. Si pierde este plazo, deberá comenzar el proceso de certificación (y pagar) desde cero. Por eso es tan importante revisar las preguntas y las pruebas con anticipación: tendrá muy poco tiempo para corregir los errores una vez que comience el plazo.
¿Cuáles son los errores más comunes en la autoevaluación?
Los mismos pocos problemas son la causa de la mayoría de los cuestionarios rechazados y devueltos. Conocerlos de antemano le permite incluirlos en sus comprobaciones previas al vuelo.
- Software no compatible incluido en el alcance — Un único servidor Windows Server 2012 R2, una versión antigua de macOS en el portátil de un director o un entorno de ejecución Java obsoleto no superarán la sección de gestión de actualizaciones de seguridad. Actualícelo, aíslelo tras un cortafuegos con estrictas medidas de seguridad o elimínelo antes de enviarlo.
- BYOD sin controles adecuados Si el personal utiliza teléfonos o portátiles personales para acceder al correo electrónico o a los archivos del trabajo, dichos dispositivos están sujetos a control y deben cumplir con los cinco temas de control. El uso de dispositivos personales en el trabajo (BYOD) que no se hayan incluido en la gestión de dispositivos móviles o el acceso condicional es uno de los principales puntos débiles.
- Los servicios en la nube se consideran fuera del alcance. — Desde 2022, todos los servicios en la nube que almacenan datos de la organización están incluidos, como Microsoft 365, Google Workspace y cualquier SaaS que utilice su equipo. La autenticación multifactor (MFA) es obligatoria en estos servicios.
- Cuentas de administrador utilizadas para el trabajo diario — Las cuentas de administrador de dominio no deben utilizarse para leer correos electrónicos ni navegar por internet. Se requieren cuentas separadas.
- brechas en el análisis de flujo de trabajo Cualquier servicio en la nube que admita la autenticación multifactor (MFA) debe tenerla habilitada para todos los usuarios y administradores. Las cuentas de servicio sin MFA deben estar documentadas y protegidas por otros medios.
- Descripciones de alcance vagas — “Operaciones en el Reino Unido” no es un alcance. “Acme Ltd, oficina en el Reino Unido, 42 portátiles para empleados, Microsoft 365, VPC de producción de AWS” sí lo es.
Puede evitar casi todos estos problemas realizando una preevaluación interna con respecto al conjunto de preguntas publicado antes de abrir el cuestionario oficial. Para obtener un cronograma indicativo que incluya la remediación, consulte nuestro desglose de cuánto tiempo tarda Cyber Essentials de principio a fin.
¿Cómo se envía la solicitud y qué sucede después?
El envío se gestiona completamente a través del portal IASME Cyber Essentials. Usted compra su evaluación (los precios se escalonan según el tamaño de la organización; consulte nuestra guía para Costo de Cyber Essentials), recibirá una cuenta en el portal, completará el cuestionario en línea y lo enviará para que lo revise el evaluador.
- Enviar a través del portal — Un miembro del consejo directivo confirma que las respuestas son correctas antes de su envío.
- Revisión por parte del evaluador (normalmente de 1 a 3 días hábiles) — Un evaluador acreditado por IASME revisa sus respuestas comparándolas con los requisitos publicados de Cyber Essentials para la infraestructura de TI.
- Resultado — Recibirá una aprobación (certificado emitido, incluido en el registro de IASME) o comentarios que identifiquen los incumplimientos.
- Reenvío (si es necesario) — Dispone de dos días hábiles para solucionar los problemas y volver a enviar la solicitud. Se incluye un intento de corrección gratuito; para intentos adicionales, deberá adquirir una nueva copia.
- Certificación — Si apruebas el examen, obtendrás un certificado Cyber Essentials con una validez de 12 meses. Además, si cumples los requisitos, recibirás un seguro cibernético opcional.
Si desea obtener la certificación Cyber Essentials Plus, debe hacerlo dentro de los tres meses posteriores a la aprobación de su autoevaluación; de lo contrario, primero deberá volver a realizar el cuestionario.
¿Por qué elegir ISMS.online para la autoevaluación de Cyber Essentials?
- Espacio de trabajo para cuestionarios prediseñado - SGSI.online Refleja el conjunto de preguntas de IASME para que pueda redactar, revisar y aprobar las respuestas internamente antes de que lleguen al portal.
- Registro integrado de activos — Realice un seguimiento de todos los dispositivos, usuarios y servicios en la nube incluidos en el alcance en un solo lugar, con el estado de los parches y la propiedad listos para servir como evidencia.
- Plantillas de políticas alineadas con los cinco controles — Políticas editables para cortafuegos, configuración segura, control de acceso, protección contra malware y gestión de actualizaciones de seguridad, escritas para pymes del Reino Unido, no para grandes empresas.
- Biblioteca de evidencias — Cargue las capturas de pantalla, las exportaciones y las instantáneas de configuración una sola vez y vincúlelas a cada control relevante para la revisión del evaluador o una futura auditoría de Plus.
- Colaboración y aprobación — Asigne las preguntas al responsable adecuado, haga un seguimiento del progreso y obtenga la aprobación de la junta directiva antes de enviarlas a IASME.
- Listo para la renovación — Las respuestas, las pruebas y la lista de activos del año pasado se conservan, por lo que la renovación es un ejercicio de actualización en lugar de un reinicio completo.
- Aprovechamiento de múltiples marcos — La misma evidencia respalda ISO 27001,, SOC 2 y otros marcos que puedas adoptar más adelante, para que tu trabajo en Cyber Essentials nunca sea en vano.
Guías relacionadas de Cyber Essentials
Continúa tu aprendizaje sobre Ciberseguridad Fundamental con las demás guías de esta serie:
- Requisitos de Cyber Essentials — Las cinco áreas de control, las decisiones sobre el alcance y las pruebas que buscan los evaluadores.
- Costo de Cyber Essentials — Niveles de precios de IASME, costes adicionales, costes ocultos y totales a 3 años para empresas del Reino Unido.
- ¿Merece la pena Cyber Essentials? — Una evaluación honesta de los beneficios, los inconvenientes y quiénes realmente necesitan la certificación.
- Requisitos de Cyber Essentials Plus — La auditoría técnica, los análisis de vulnerabilidades y las ventajas que Plus ofrece con respecto a la certificación básica.
- ¿Cuánto tiempo tarda la instalación de Cyber Essentials? — Cronograma típico en el Reino Unido, opciones para acelerar el proceso y qué lo ralentiza.
- Renovación de Cyber Essentials — El ciclo de 12 meses, los cambios en los controles de 2026 y cómo prepararse con 60 días de antelación.
- Fundamentos de ciberseguridad para pequeñas empresas — Precios, alcance y análisis de costo-beneficio específicos para pymes.
- Cyber Essentials frente a ISO 27001 — Comparación del alcance, el coste, el tiempo y el reconocimiento.
Preguntas Frecuentes
¿Cuánto tiempo se tarda en completar la autoevaluación de Cyber Essentials?
La mayoría de las pymes británicas bien preparadas dedican entre dos y tres semanas a la autoevaluación completa: aproximadamente una semana para definir el alcance y recopilar pruebas, una semana para redactar y revisar las respuestas internamente, y unos días para enviarlas y responder a los comentarios de los evaluadores. Las organizaciones que no hayan implementado, reforzado o puesto en marcha el MFA antes de comenzar deberían prever entre seis y ocho semanas, ya que la solución, y no el papeleo, se convierte en el principal obstáculo.
¿Debemos incluir los dispositivos personales (BYOD) en el ámbito de aplicación?
Sí, si esos dispositivos se usan para acceder a datos de la organización, correo electrónico del trabajo, archivos o servicios en la nube. La única forma de evitar que el uso de dispositivos personales en el trabajo (BYOD) se vea afectado es bloquear técnicamente su acceso a cualquier elemento incluido en el alcance, por ejemplo, mediante la aplicación de políticas de acceso condicional que requieran un dispositivo administrado. Si se permite el uso de BYOD, este debe cumplir con los cinco temas de control, al igual que un dispositivo corporativo.
¿Qué ocurre si suspendemos la autoevaluación?
Recibirá comentarios del evaluador de IASME que identificarán las no conformidades específicas. Dispone de una oportunidad gratuita para corregirlas y volver a enviar la solicitud en un plazo de dos días hábiles. Si no puede solucionar los problemas dentro de ese plazo, la solicitud se cerrará y deberá adquirir una nueva evaluación para intentarlo de nuevo. Por ello, es tan importante realizar una preevaluación interna con el conjunto de preguntas publicado antes de abrir el cuestionario oficial.
¿Es suficiente la autoevaluación por sí sola, o necesitamos Cyber Essentials Plus?
La autoevaluación (a veces denominada Cyber Essentials «básica») es suficiente para la mayoría de los contratos del sector público del Reino Unido, según la normativa del gobierno central, y para garantizar la seguridad general de la cadena de suministro. Cyber Essentials Plus incluye una auditoría técnica independiente y su exigencia es cada vez mayor para los contratos del Ministerio de Defensa, los procesadores de datos del NHS y las grandes empresas. Si tiene un requisito contractual, revise la redacción; de lo contrario, la autoevaluación es el punto de partida habitual.
¿Quién de la organización debe aprobar la autoevaluación?
Un representante del consejo de administración —normalmente un director, el director general, el propietario o el CISO— debe confirmar, a su leal saber y entender, que las respuestas del cuestionario son correctas antes de su envío a IASME. Esta aprobación es contractual, por lo que el firmante debe revisar las respuestas, no simplemente aprobarlas sin más. SGSI.online Esto facilita el flujo de trabajo de revisión interna, de modo que el firmante vea una versión limpia y aprobada, en lugar de un borrador a medio editar.
¿Con qué frecuencia debemos repetir la autoevaluación?
La certificación Cyber Essentials tiene una duración de 12 meses. Para mantener la certificación, debe completar una nueva autoevaluación anualmente. El cuestionario de renovación es el mismo que el inicial, pero si ha mantenido actualizados su registro de activos, políticas y evidencias, la renovación suele tardar unos días en lugar de semanas. Consulte nuestra página principal sobre Cyber Essentials para el contexto general del plan.
