stringtranslate.com

Fundamentos cibernéticos

Cyber ​​Essentials es un esquema de certificación del Reino Unido diseñado para demostrar que una organización tiene un nivel mínimo de protección en ciberseguridad a través de evaluaciones anuales para mantener la certificación.

Con el respaldo del gobierno del Reino Unido y la supervisión del Centro Nacional de Seguridad Cibernética (NCSC) , anima a las organizaciones a adoptar buenas prácticas en materia de seguridad de la información . [1] Cyber ​​Essentials también incluye un marco de garantía y un conjunto simple de controles de seguridad para proteger la información de las amenazas procedentes de Internet .

La certificación sufrió cambios sustanciales en enero de 2022, que incluyeron la inclusión de todos los servicios en la nube y cambios en los requisitos de autenticación multifactor, contraseñas y PIN. [2]

Proceso de dar un título

El programa Cyber ​​Essentials ofrece dos niveles, el primero es la autocertificación y el segundo requiere la validación independiente de las afirmaciones realizadas: [3] [4]

Fundamentos cibernéticos

Comúnmente conocida como "corrige tu propia tarea", [5] las organizaciones autoevalúan sus sistemas y luego completan una evaluación en línea. La evaluación en línea es calificada por un evaluador de Cyber ​​Essentials, quien brinda comentarios sobre las áreas en las que se podrían realizar mejoras.

No existe una validación independiente de la exactitud de las respuestas en este nivel.

El coste de Cyber ​​Essentials comienza en 300 libras y está sujeto al IVA en el Reino Unido. El modelo de precios está escalonado en función de la cantidad de empleados. Puede encontrar más información en el sitio web de IASME.

Elementos esenciales cibernéticos Plus

Igual que el básico pero con validación independiente por un tercero acreditado.

Los sistemas se prueban de forma independiente y Cyber ​​Essentials está integrado en la gestión de riesgos de información de la organización.

El coste de la acreditación Plus depende de la complejidad del entorno, pero para una PYME sencilla normalmente costaría alrededor de £1.400 y estaría sujeta al IVA dentro del Reino Unido. [6]

La IASME ha incorporado los aspectos esenciales de la ciberseguridad al estándar de garantía de la información de la IASME más amplio . [7]

Al igual que con la norma ISO/IEC 27001 , las organizaciones pueden optar por limitar el alcance de la certificación a un determinado subconjunto de su negocio y esto debe revelarse en su certificado.

Controles

Los cinco controles técnicos son:

  1. Cortafuegos de límite y puertas de enlace de Internet
  2. Configuración segura
  3. Control de acceso
  4. Protección contra malware
  5. Gestión de parches

La guía Cyber ​​Essentials los desglosa en detalles más finos.

Estos controles se pueden comparar con los controles requeridos por la norma ISO/IEC 27001 , la Norma de buenas prácticas para la seguridad de la información , y la gobernanza de IASME , [8] aunque Cyber ​​Essentials tiene un enfoque más estrecho, haciendo hincapié en los controles técnicos en lugar de la gobernanza, el riesgo y la política.

Historia

El programa Cyber ​​Essentials se puso en marcha el 5 de junio de 2014. A finales de junio, varias organizaciones recibieron rápidamente la certificación. [9] Desde octubre de 2014, la certificación Cyber ​​Essentials es obligatoria para los proveedores del gobierno central del Reino Unido que manejan determinados tipos de información confidencial y personal. [10] Esto tiene por objeto fomentar su adopción por parte de las empresas que deseen presentar ofertas para contratos gubernamentales. [11] Las aseguradoras han sugerido que los organismos certificados pueden atraer primas de seguro más bajas. [12] Se han concedido más de 30.000 certificados Cyber ​​Essentials a empresas y organizaciones. [13]

Fue desarrollado en colaboración con socios de la industria, incluido el Foro de Seguridad de la Información ( ISF ), el Consorcio de Garantía de la Información para Pequeñas y Medianas Empresas ( IASME ) y la Institución Británica de Normas ( BSI ), y está respaldado por el Gobierno del Reino Unido. [14] Fue lanzado en 2014 por el Departamento de Negocios, Innovación y Habilidades . [15]

Después del ataque del ransomware WannaCry , NHS Digital se negó a financiar los 1.000 millones de libras que era el coste estimado de cumplir con el estándar Cyber ​​Essentials Plus, afirmando que esto no constituiría una buena relación calidad-precio y que había invertido más de 60 millones de libras y planeaba gastar 150 millones más para abordar las principales debilidades de la ciberseguridad en los próximos dos años. [16]

En septiembre de 2019, había cinco organismos de acreditación, incluidos APMG, CREST, IASME , IRM Security y QG. [17]

A partir de abril de 2020, IASME ha sido elegido por el Centro Nacional de Seguridad Cibernética ( NCSC ) como el único organismo de acreditación del Esquema Cyber ​​Essentials.

En enero de 2022, el modelo de precios cambiará a un modelo escalonado basado en la cantidad de empleados, esto es para reflejar mejor la naturaleza más compleja de la evaluación de organizaciones más grandes. [18] Los servicios en la nube, BYOD , trabajo desde casa, clientes ligeros y MFA verán grandes cambios como parte de la evaluación. [19]

Véase también

Referencias

  1. ^ "El plan del gobierno muestra en quién se puede confiar en materia de ciberseguridad". Telegraph . 5 de junio de 2014 . Consultado el 1 de julio de 2014 .
  2. ^ "Cyber ​​Essentials: Requisitos para la infraestructura de TI versión 3.0" (PDF) . Centro Nacional de Seguridad Cibernética . 29 de noviembre de 2021 . Consultado el 26 de diciembre de 2021 .
  3. ^ "Marco de garantía del plan Cyber ​​Essentials" (PDF) . Gobierno de Su Majestad . Consultado el 1 de julio de 2014 .
  4. ^ stevevi. "UK Cyber ​​Essentials Plus - Cumplimiento de Azure". docs.microsoft.com . Consultado el 20 de agosto de 2021 .
  5. ^ Raywood, Dan (17 de noviembre de 2017). "Cyber ​​Essentials: Fad or Future" (Aspectos esenciales de la ciberseguridad: moda pasajera o futuro). Revista Infosecurity . Consultado el 8 de febrero de 2021 .
  6. ^ "Preguntas frecuentes - Iasme". iasme.co.uk . Consultado el 8 de febrero de 2021 .
  7. ^ "Cyber ​​Essentials Scheme – IASME" (Plan de elementos esenciales cibernéticos – IASME). www.iasme.co.uk . Consultado el 7 de septiembre de 2016 .[ enlace muerto permanente ]
  8. ^ "Requisitos para la protección técnica básica contra ataques cibernéticos" (PDF) . Gobierno de Su Majestad . Consultado el 1 de julio de 2014 .
  9. ^ "Las primeras siete pymes que se suman al plan Cyber ​​Essentials del Gobierno". Computer World . 30 de junio de 2014 . Consultado el 1 de julio de 2014 .
  10. ^ "Plan de elementos esenciales cibernéticos: descripción general". GOV.UK . Consultado el 1 de julio de 2014 .
  11. ^ "Riesgo cibernético y el plan Cyber ​​Essentials del Reino Unido". Computer Weekly . Junio ​​de 2014 . Consultado el 1 de julio de 2014 .
  12. ^ "Gobierno lanza plan de seguridad Cyber ​​Essentials". 6 de junio de 2014. Consultado el 1 de julio de 2014 .
  13. ^ "Discurso de Matt Hancock sobre ciberseguridad". 27 de marzo de 2017. Consultado el 7 de julio de 2017 .
  14. ^ "Cyber ​​Essentials Scheme" (PDF) . Gobierno de Su Majestad. Archivado desde el original (PDF) el 13 de junio de 2016 . Consultado el 9 de septiembre de 2016 .
  15. ^ "Lanzamiento del plan 'Cyber ​​Essentials'". ICO. Archivado desde el original el 25 de junio de 2014. Consultado el 1 de julio de 2014 .
  16. ^ "Los jefes de salud se niegan a pagar una factura de 1.000 millones de libras para mejorar la ciberseguridad del NHS". Building Better Healthcare. 15 de octubre de 2018. Consultado el 27 de noviembre de 2018 .
  17. ^ "Cyber ​​Essentials - SITIO OFICIAL" www.ncsc.gov.uk/cyberessentials/overview . Consultado el 5 de mayo de 2023 .
  18. ^ "Cyber ​​Essentials adoptará una estructura de precios escalonados a partir de 2022". www.ncsc.gov.uk . Consultado el 18 de diciembre de 2021 .
  19. ^ Muncaster, Phil (30 de noviembre de 2021). "Cyber ​​Essentials se prepara para sufrir grandes cambios en 2022". Revista Infosecurity . Consultado el 18 de diciembre de 2021 .

Enlaces externos