Estamos encantados de compartir que ISMS.online obtuvo la certificación Cyber Essentials, agregando niveles adicionales de confianza a nuestros servicios y confirmando controles de ciberseguridad sólidos y efectivos en toda nuestra organización. Puede revise nuestra certificación y muchos otros estándares cibernéticos que mantenemos en nuestro Centro de confianza.
Después de haber pasado por el proceso de obtención de Cyber Essentials (CE), queremos compartir algo de lo que aprendimos a lo largo del camino, definiendo la certificación, por qué es posible que necesite adquirirla y qué enfoques pueden adoptar las organizaciones para lograrla.
¿Qué es Cyber Essentials?
Cyber Essentials, aunque menos amplio que estándares como ISO 27001, tiene un enfoque más técnico en relación con sus dispositivos y la configuración de red. Cubre cinco áreas:
- Implementación de cortafuegos
- Configuración segura de red y dispositivos de usuario.
- Gestión de actualizaciones de seguridad,
- Control de acceso de usuario
- Protección de malware
Cyber Essentials representa el estándar básico del gobierno del Reino Unido para la ciberseguridad en el Reino Unido y está gestionado por el consorcio IASME.
Hay dos niveles de evaluación:
Cyber Essentials
– es una autoevaluación verificada de forma independiente, en la que las organizaciones se evalúan a sí mismas según cinco controles de seguridad básicos y un evaluador calificado verifica la información proporcionada.
Ciberesenciales+
– es una auditoría técnica en la que un evaluador visita las oficinas de la organización para realizar pruebas. La auditoría CE+ debe completarse dentro de los tres meses posteriores a la certificación CE.
El costo de la certificación Cyber Essentials depende del tamaño de su organización y, en el caso de Cyber Essentials+, del tamaño y la complejidad de su red.
¿Por qué las organizaciones deberían obtener la certificación Cyber Essentials?
Te preguntarás ¿por qué deberías considerar Cyber Essentials si ya tienes las certificaciones ISO 27001 e ISO 27701? Puede haber varias razones:
- Es un requisito contractual de un cliente (y, a menudo, una necesidad para los contratos gubernamentales).
- Genera confianza y asegura a los clientes que tiene implementaciones técnicas específicas.
- para proteger su TI contra ataques cibernéticos
- Atrae nuevos negocios sabiendo que cuenta con medidas de seguridad cibernética implementadas
- Un beneficio adicional es que su organización puede ser elegible para un seguro de ciberseguridad gratuito tras la certificación CE. Los detalles completos se pueden encontrar en: IASME.co.uk.
Enfoques prácticos para la certificación Cyber Essentials
A principios de este año, en abril de 3.1, el NCSC emitió un nuevo conjunto de requisitos para la infraestructura de TI (v2023), también conocido como perfil de Montpelier. Esta es una lectura esencial para que todas las organizaciones que se acercan a la evaluación comprendan los requisitos de cumplimiento de CE. Una pregunta específica es si este documento ha sido leído como parte del proceso de certificación.
También es una buena idea descargar el conjunto de preguntas completo como preparación para la evaluación y antes de enviar sus respuestas a través del portal en línea. El conjunto de preguntas se puede descargar de forma gratuita desde el sitio web de IASME. Una vez que se haya pagado la tarifa de evaluación, se enviará una invitación al portal en línea a su representante designado.
IASME también está disponible una herramienta de preparación Cyber Essentials para ayudar a prepararse para CE si es necesario.
Cómo ISMS.online abordó la certificación Cyber Essentials
Reunimos un pequeño equipo y revisamos el documento de requisitos y el conjunto de preguntas para determinar las áreas que necesitan posibles cambios de política o configuración.
Vale la pena resaltar que es necesario especificar todos los dispositivos de red y de usuario, incluida la numeración de la versión del sistema operativo y los servicios en la nube utilizados. El director de TI de la organización debe ser un miembro vital del equipo involucrado en la evaluación.
Una de las primeras consideraciones para el equipo fue el alcance de la evaluación. Recomendamos que se considere a toda la organización en el alcance de la evaluación, al igual que con otros tipos de certificaciones. También cabe destacar que su organización sólo es elegible para un seguro cibernético gratuito si toda la organización está dentro del alcance.
Luego se trató de responder preguntas que abarcaban las cinco áreas técnicas relacionadas con nuestra red y los dispositivos de los usuarios. No se debe hacer una lista exhaustiva y siempre se debe hacer referencia al documento de requisitos y al conjunto de preguntas; sin embargo, algunas consideraciones importantes son:
- Los cortafuegos deben implementarse en los límites de la red: si los trabajadores a domicilio utilizan dispositivos y no una VPN, es necesario incluir cortafuegos de software en el sistema operativo de los dispositivos.
- Es necesario detallar todos los dispositivos de usuario y de red, incluidos los sistemas operativos, versiones y dispositivos móviles. Nota: Aunque no es un control CE específico, gestión de activos debe considerarse una función de seguridad básica y puede ayudar a cumplir los controles técnicos.
- Todos los servicios en la nube que utiliza la organización también están dentro del alcance.
- Las actualizaciones de seguridad críticas y de alto riesgo de todas las aplicaciones deben instalarse dentro de los 14 días posteriores al lanzamiento. Esto también incluye firmware en firewalls y enrutadores.
- Se requiere tener controles técnicos y políticas relacionadas con las cuentas de usuario y administrador y la autenticación. Es necesario utilizar MFA para todos los servicios en la nube.
- Todos los dispositivos deben estar protegidos contra el malware, ya sea teniendo instalado un software antimalware y/o limitando la instalación de aplicaciones, por ejemplo, mediante el uso de una tienda de aplicaciones.
Si ya lo has considerado controles de seguridad de la información o cumplen con la norma ISO 27001, sus políticas existentes ayudarán a responder algunas preguntas.
Nuestros mejores consejos para abordar lo cibernético esencial
- El documento Requisitos para la infraestructura de TI (v3.1) guía lo que se considera dentro y fuera del alcance en relación con BYOD, trabajo remoto, dispositivos inalámbricos, dispositivos de usuario y servicios en la nube.
- La responsabilidad de los controles de implementación, ya sea de la organización o del proveedor de la nube, dependerá del tipo de servicio en la nube: IaaS, PaaS o SaaS.
- También hay orientación en el conjunto de preguntas de Montpelier de descarga gratuita, que indica dónde el requisito es obligatorio para su cumplimiento. El equipo de evaluación debe revisar la pregunta establecida antes de enviarla a través del portal.
- La respuesta de la autoevaluación debe ser certificada por un miembro del equipo ejecutivo de la organización antes de que se pueda completar la presentación al evaluador independiente.
- Es posible que reciba comentarios para obtener más aclaraciones o cambios necesarios. Es necesario completar cualquier cambio dentro de los dos días hábiles antes de volver a enviarlo.
Una vez que haya completado el proceso con éxito, se le notificará que ha aprobado la certificación Cyber Essentials y su organización también podrá demostrar a sus clientes actuales y potenciales que ha protegido su TI contra ataques cibernéticos. Su certificado tendrá una validez de 12 meses.
Su historia de éxito de Cyber Essentials comienza aquí
Si está buscando comenzar su viaje hacia el cumplimiento de Cyber Essentials, ISMS.online puede ayudarlo.
Nuestra plataforma de cumplimiento permite un enfoque simple, seguro y sostenible para la privacidad de datos y la gestión de la información con Cyber Essentials y más de 100 marcos más, incluidos ISO 27001, NIST, GDPR, HIPPA y más. Descubra su ventaja competitiva hoy.
