Nos complace anunciar que ISMS.online ha obtenido la recertificación de Cyber ​​Essentials, el programa de ciberseguridad respaldado por el gobierno del Reino Unido. Nuestra recertificación confirma que hemos seguido abordando las vulnerabilidades e implementando controles de ciberseguridad eficaces en toda la empresa, lo que garantiza una defensa sólida contra una variedad de amenazas cibernéticas. 

Puede Revise la certificación Cyber ​​Essentials de ISMS.online y los muchos otros estándares cibernéticos que mantenemos en nuestro Centro de confianza.

Con nuestra exitosa recertificación en Cyber ​​Essentials, compartimos información sobre el esquema Cyber ​​Essentials, conocimientos de nuestro Gerente de IMS, Mike Jennings, sobre lo que aprendimos durante la recertificación y los enfoques que su organización puede adoptar para lograr la certificación.

¿Qué es Cyber ​​Essentials?

El plan Cyber ​​Essentials, respaldado por el gobierno del Reino Unido, permite a las organizaciones demostrar su compromiso con la ciberseguridad y prevenir los ciberataques más comunes, que a menudo dependen de la falta de preparación de una organización.

La certificación es necesaria para las organizaciones que participan en licitaciones para algunos contratos gubernamentales, como aquellos que implican el manejo de información confidencial y personal o el suministro de determinados productos o servicios técnicos.

Cyber ​​Essentials cubre cinco áreas principales:

  • Implementación de cortafuegos
  • Configuración segura de red y dispositivos de usuario.
  • Gestión de actualizaciones de seguridad
  • Control de acceso de usuario
  • Protección de malware

Niveles de evaluación de conocimientos básicos sobre ciberseguridad

Cyber ​​Essentials Implica una autoevaluación. Las organizaciones se evalúan a sí mismas en función de las cinco áreas que abarca Cyber ​​Essentials y un evaluador calificado verifica de forma independiente la información proporcionada.

Cyber ​​Essentials Plus Es una auditoría técnica en la que un evaluador visita las oficinas de la organización para realizar pruebas. Debe completarse dentro de los tres meses posteriores a la certificación Cyber ​​Essentials.

El costo de la certificación Cyber ​​Essentials depende del tamaño de su organización y, para Cyber ​​Essentials Plus, del tamaño y la complejidad de su red.

¿Por qué mi organización debería obtener la certificación Cyber ​​Essentials?

Mike Jennings, director de IMS en ISMS.online, afirma: “Cyber ​​Essentials no solo garantiza que su organización funcione de forma segura al ofrecer políticas y controles de seguridad de la información básicos basados ​​en las mejores prácticas, sino que también mejora su reputación como proveedor de confianza. Además, la certificación puede proporcionar un nivel de ciberseguro “gratuito” sujeto a ciertos criterios”.

si ya lo eres ISO 27001 y ISO 27701 certificado, existen varias razones por las que puede considerar la certificación Cyber ​​Essentials para su negocio:

  • Es posible que tenga un cliente que requiera contractualmente que su organización esté certificada (y, como se mencionó, la certificación suele ser una necesidad para los contratos gubernamentales).
  • La certificación Cyber ​​Essentials genera confianza y asegura a los clientes que cuenta con implementaciones técnicas específicas.
  • Puede proteger mejor sus sistemas de TI contra ataques cibernéticos
  • La certificación puede atraer nuevos prospectos y nuevos negocios al saber que tiene medidas de seguridad cibernética implementadas.
  • Tras obtener la certificación Cyber ​​Essentials, su organización puede ser elegible para obtener un seguro de ciberseguridad gratuito. Puede consultar todos los detalles en IASME.co.uk.

Mike comparte: “Tener un sistema de gestión de seguridad de la información (SGSI) que cumpla con la norma ISO 27001 ayuda enormemente a lograr la certificación Cyber ​​Essentials, ya que muchas de las políticas y controles ya están establecidos y pueden proporcionar evidencia para satisfacer los requisitos de CE, lo que hace que el proceso sea más eficiente. 

“Existen algunas diferencias sutiles en la información requerida para la certificación CE en comparación con la norma ISO 27001; sin embargo, con la ayuda del marco de certificación CE proporcionado por ISMS.online, esta información se puede registrar y acceder fácilmente, todo en un solo lugar”.

Cómo abordar la certificación Cyber ​​Essentials

En abril de 3.1, el Centro Nacional de Seguridad Cibernética (NCSC) publicó un conjunto actualizado de requisitos para la infraestructura de TI (v2023). Este conjunto de requisitos, conocido como perfil Montpelier, es una lectura fundamental para todas las organizaciones que estén considerando la evaluación para comprender qué se requiere para cumplir con Cyber ​​Essentials. De hecho, como parte del proceso de certificación, se le preguntará si ha leído este documento.

También puede descargar el conjunto completo de preguntas como preparación para la evaluación y antes de enviar sus respuestas a través del portal en línea. El conjunto de preguntas se puede descargar de forma gratuita desde el sitio web de IASME. Una vez que se haya abonado la tarifa de evaluación, se enviará una invitación al portal en línea a su representante designado.

IASME también dispone de una herramienta de preparación para Cyber ​​Essentials para ayudar a su empresa a prepararse. para el cumplimiento.

Mike dice: "Hay cierta información que se debe compartir para Cyber ​​Essentials que no es un requisito para el cumplimiento de las normas ISO. Esto se relaciona principalmente con la identificación de las compilaciones de software de la base de activos del usuario final para garantizar que cumplan con las últimas versiones que aún están respaldadas por actualizaciones de seguridad. 

“Esto resalta las diferencias sutiles entre el cumplimiento de la CE y la ISO 27001, donde la CE es más rígida y binaria en sus requisitos en comparación con la ISO 27001, que se basa en el riesgo y permite cierta flexibilidad según el nivel de riesgo y cómo se gestiona”.

Cómo abordó ISMS.online la recertificación de Cyber ​​Essentials

La participación de su gerente de TI es vital para la evaluación, ya que debe especificar todos los dispositivos de usuario y de red, incluida la numeración de la versión del sistema operativo y cualquier servicio en la nube utilizado.

Con la participación de nuestro gerente de TI, armamos nuestro equipo de evaluación de Cyber ​​Essentials. Luego, el equipo revisó el documento de requisitos de Cyber ​​Essentials y el conjunto de preguntas para identificar las áreas que necesitaban posibles cambios de política o configuración.

Mike añade: “Se trataba de una nueva certificación de CE, por lo que ya conocíamos los requisitos de Montpelier, aunque era necesario comprobar si se habían producido cambios sutiles en los requisitos en comparación con el año pasado. Parecía que se necesitaba más granularidad en los niveles de compilación del SO para satisfacer los requisitos de este año. También tuvimos que actualizar uno de los niveles del SO de nuestros sistemas”.

También consideramos el alcance de la evaluación. Al igual que con otros tipos de certificaciones como la ISO 27001, recomendamos que toda la organización esté incluida en el alcance de su evaluación Cyber ​​Essentials. Su organización solo es elegible para un seguro cibernético gratuito si toda la organización está incluida en el alcance.

Una vez decidido el alcance, el equipo respondió preguntas que abarcaban las cinco áreas técnicas relacionadas con nuestra red y los dispositivos de los usuarios. La lista que figura a continuación no es exhaustiva y siempre se debe hacer referencia al documento de requisitos y al conjunto de preguntas. Dicho esto, las consideraciones importantes incluyen:

  • Se deben implementar firewalls en los límites de la red. Si los trabajadores que trabajan desde casa utilizan dispositivos sin una VPN, se deben incluir firewalls de software en los sistemas operativos de los dispositivos.
  • Debe detallar todos los dispositivos de red y de usuario, incluidos los sistemas operativos, las versiones y los dispositivos móviles. Nota: Aunque no es un control específico de Cyber ​​Essentials, gestión de activos Debe considerarse una función de seguridad central y puede ayudar a su organización a cumplir con los controles técnicos.
  • Todos los servicios en la nube que utiliza su organización también están dentro del alcance
  • Las actualizaciones de seguridad críticas y de alto riesgo de todas las aplicaciones deben instalarse dentro de los 14 días posteriores a su lanzamiento. Esto también incluye el firmware de los firewalls y enrutadores.
  • Debe contar con controles y políticas técnicas para las cuentas de usuario y administrador y la autenticación. Se debe utilizar la autenticación multifactor para todos los servicios en la nube.
  • Todos los dispositivos deben estar protegidos contra malware ya sea instalando un software anti-malware y/o limitando la instalación de aplicaciones, por ejemplo mediante el uso de una tienda de aplicaciones.

Si ya lo has implementado controles de seguridad de la información o cumplen con la norma ISO 27001, sus políticas existentes ayudarán a responder algunas preguntas.

Los mejores consejos de ISMS.online para lograr los requisitos esenciales de seguridad cibernética

  1. Utilice el documento Requisitos para la infraestructura de TI (v3.1) para determinar qué se considera dentro y fuera del alcance en lo que respecta a traer su propio dispositivo (BYOD), trabajo remoto, dispositivos inalámbricos, dispositivos de usuario y servicios en la nube.
  2. La responsabilidad de los controles de implementación, ya sea de la organización o del proveedor de la nube, dependerá del tipo de servicio en la nube: IaaS, PaaS o SaaS.
  3. El conjunto de preguntas de Montpelier también proporciona orientación que indica dónde el requisito es obligatorio para el cumplimiento. Su equipo de evaluación de Cyber ​​Essentials debe revisar el conjunto de preguntas antes de enviarlo.
  4. Antes de poder enviarla al evaluador independiente, la respuesta de autoevaluación debe ser certificada por un miembro del equipo ejecutivo de la organización.
  5. Es posible que reciba comentarios para mayor aclaración o cambios necesarios. Debe completar cualquier cambio dentro de los dos días hábiles anteriores al reenvío.

Una vez que haya completado el proceso con éxito, se le notificará que ha aprobado la certificación Cyber ​​Essentials. La certificación le permite a su organización demostrar a sus clientes actuales y potenciales que ha protegido su TI contra los ciberataques. Su certificado tendrá una validez de 12 meses.

Su historia de éxito de Cyber ​​Essentials comienza aquí

Si está buscando comenzar su viaje hacia el cumplimiento de Cyber ​​Essentials, ISMS.online puede ayudarlo.

Nuestra plataforma de cumplimiento permite un enfoque simple, seguro y sostenible para la privacidad de datos y la gestión de la información con Cyber ​​Essentials y más de 100 marcos más, incluidos ISO 27001, NIST, GDPR, HIPAA y más. Descubra su ventaja competitiva hoy mismo.