1. ¿Qué es Cyber Essentials?

2. ¿Cómo funciona?

3. ¿Por qué resulta importante Cyber Essentials para las pequeñas empresas?

4. ¿Cuáles son las ventajas de la certificación Cyber Essentials?

5. Software GFI y controles Cyber Essentials

6. Recursos

¿Qué es Cyber Essentials?

Cyber Essentials es una iniciativa respaldada por el gobierno británico y concebida para ayudar a las organizaciones a protegerse contra los ciberataques más comunes y demostrar su compromiso con la ciberseguridad.

El programa incluye un plan de acción y un conjunto sencillo de controles de seguridad para proteger la información de amenazas basadas en Internet como hacking, phishing y adivinación de contraseñas. Cumplir todos los requisitos puede reducir la gran mayoría de los riesgos de ciberseguridad a los que se enfrentan las organizaciones.

Según el Centro Nacional de Ciberseguridad (NCSC): "Los ciberataques pueden ser de muchas formas y tamaños, pero la gran mayoría son de naturaleza muy básica, llevados a cabo por personas relativamente poco cualificadas. Son el equivalente digital de un ladrón probando la puerta de casa para ver si está abierta. Nuestros consejos están pensados para prevenir estos ataques".

Cómo funciona

Para cumplir los requisitos de certificación, las organizaciones deben demostrar que han implementado cinco controles de seguridad básicos:

• Cortafuegos: use cortafuegos personales o fronterizos para proteger la conexión a Internet. Exige que las organizaciones configuren y empleen un cortafuegos para proteger sus dispositivos, especialmente los que se conectan a redes Wi-Fi públicas o de otro tipo que no sean de confianza.

• Configuración segura: escoja la configuración más segura para los dispositivos y el software. Esto incluye cambiar la configuración predeterminada para reforzar la seguridad. Exige que solo se empleen las cuentas, aplicaciones y software necesarios.

• Control de acceso de usuarios: controle quién tiene acceso a los datos y servicios. Los usuarios solamente deben tener el acceso necesario al software, la configuración, los servicios en línea y la conectividad de dispositivos para desempeñar sus funciones. Los privilegios de administración solo se conceden a quienes los necesitan.

• Protección contra malware: proteja a la empresa de virus y otros programas maliciosos. Requiere que las organizaciones empleen al menos una de las siguientes medidas: medidas antimalware, listas blancas o sandboxing.

• Gestión de parches: mantenga actualizados los dispositivos, las aplicaciones y el software (aplicación de parches). Los sistemas operativos, programas, dispositivos y apps deben configurarse para actualizarse de forma automática siempre que sea posible.

Existen dos tipos de certificaciones. Ambas exigen que las organizaciones declaren o demuestren que disponen de los cinco controles.

Con la certificación básica Cyber Essentials, la organización rellena un cuestionario de autoevaluación. Un organismo de certificación evalúa las respuestas y lleva a cabo un análisis externo de vulnerabilidades. Este nivel es adecuado para las empresas que desean demostrar que han adoptado los cinco controles.

Cyber Essentials Plus incluye las evaluaciones de referencia, así como una auditoría interna a cargo de un experto técnico. La auditoría identifica vulnerabilidades de seguridad (como software obsoleto) que requieren medidas correctoras para cumplir los requisitos. Este nivel de certificación es más complicado de lograr, pero demuestra un mayor nivel de garantía de seguridad.

¿Por qué es importante Cyber Essentials para las pequeñas empresas?

Las pequeñas y medianas empresas (pymes) son cada vez más el objetivo de hackers y ciberdelincuentes. Entre 2019 y 2020, dos terceras partes de las pymes del Reino Unido sufrieron un ciberataque.

Una brecha de ciberseguridad puede dañar gravemente la salud financiera y la reputación de una empresa, y el proceso de recuperación puede ser largo y costoso. Algunas organizaciones pueden incluso quebrar. Se calcula que los ciberataques cuestan a la comunidad de pequeñas empresas del Reino Unido aproximadamente 4500 millones de libras al año.

Pese a los riesgos, muchas PYMES están mal preparadas para una brecha cibernética. Según una encuesta reciente de Small Business Trends, el 68 % carece de políticas formales de ciberseguridad y el 26 % no aplica ninguna medida. Los principales obstáculos citados son los presupuestos limitados, la formación insuficiente del personal y la falta de tiempo.

Cyber Essentials comprende las necesidades de las organizaciones más pequeñas, que son aquellas con un máximo de 250 empleados (normalmente sin un equipo de seguridad interno). El programa ofrece un marco de ciberseguridad sencillo y de bajo coste para ayudar a las PYME a proteger sus entornos informáticos. Cumplir todos los requisitos puede disminuir considerablemente los riesgos de ciberseguridad a los que se enfrentan.

¿Cuáles son las ventajas de la certificación Cyber Essentials?

Aunque el beneficio central es la protección contra los ciberataques, Cyber Essentials presenta también ventajas empresariales. La certificación es una forma fácil de demostrar que la organización cumple una norma del sector y está comprometida con la ciberseguridad. La acreditación puede mostrarse en los sitios web de la empresa y en otros medios.

Los proveedores, clientes y socios pueden estar más dispuestos a compartir sus datos con empresas certificadas. Es más, una organización podría atraer nuevos negocios con la promesa de que cuenta con medidas de ciberseguridad sancionadas.

Cyber Essentials también resulta obligatorio para los contratos públicos. El Gobierno británico exige que todos los proveedores que opten a contratos que impliquen el manejo de información de carácter sensible y personal cuenten con la certificación.

Controles de GFI Software y Cyber Essentials

La certificación Cyber Essentials exige que las organizaciones adopten los cinco controles para prevenir los ciberataques habituales. Pero mantener estos controles de forma manual puede no ser factible en cuanto a tiempo y recursos. El software de ciberseguridad puede ayudar.

GFI Software ofrece una gama de soluciones que van desde cortafuegos a gestión de parches, antivirus y mucho más para ayudar a proteger su empresa contra las ciberamenazas y los ataques más comunes. Más concretamente, nuestras soluciones le ayudan a hacer frente al 80 % de los requisitos de cumplimiento de Cyber Essentials. A continuación, se muestra cómo nuestros productos GFI se alinean con cuatro de los cinco controles requeridos.

• Cortafuegos
  "Asegúrese de que únicamente se puede acceder desde Internet a los servicios de red seguros y necesarios.... Todos los dispositivos deben estar protegidos por un cortafuegos perimetral correctamente configurado (o un dispositivo de red equivalente)".
   

  Según el NCSC: "Un cortafuegos de límites es un dispositivo de red que puede restringir el tráfico de red entrante y saliente a los servicios de su red de ordenadores y dispositivos móviles. Puede ayudar a proteger contra ciberataques implementando restricciones, conocidas como "reglas de cortafuegos", que pueden permitir o bloquear el tráfico según su origen, destino y tipo de protocolo de comunicación."

  GFI Kerio Control ofrece protección de cortafuegos de frontera para bloquear las amenazas entrantes y el malware de Internet. La solución incluye un cortafuegos y un router de nueva generación, antivirus de gateway y filtrado de contenidos y aplicaciones web.

  Las funciones de detección y prevención de intrusiones (IPS) supervisan las comunicaciones de red entrantes y salientes en busca de actividades sospechosas. Además, puede crear políticas de tráfico entrante y saliente para restringir las comunicaciones por URL, aplicación, tipo de tráfico, categoría de contenido e incluso hora del día.

• Configuración segura
  "Asegúrese de que los ordenadores y los dispositivos de red están configurados de forma adecuada para reducir el nivel de vulnerabilidades y proporcionar únicamente los servicios necesarios para cumplir su función".
  
  Entre los requisitos para este control:

  • ​​​​​Elimine y desactive las cuentas de usuario innecesarias

  • Cambie cualquier contraseña de cuenta predeterminada o que pueda adivinarse.

  • Elimine o desactive el software innecesario (incluidas las aplicaciones).

  GFI LanGuard explora de forma automática su entorno de TI en busca de vulnerabilidades para mantener su red y aplicaciones seguras. Brinda una visión completa de los elementos de su red, incluidos los dispositivos, el software instalado y el hardware nuevo.

  Las capacidades de corrección le permiten implementar parches de software, eliminar usuarios obsoletos y tomar otras medidas correctivas. Con GFI LanGuard, puede ejecutar análisis con la frecuencia necesaria, en toda la red o únicamente en áreas específicas. Los paneles e informes le permiten mantenerse al día sobre las vulnerabilidades y los problemas de seguridad.

• Protección contra malware
  "Restringir la ejecución de malware conocido y software no fiable para evitar que código dañino cause daños o acceda a datos confidenciales".

  "Los programas maliciosos, como los virus informáticos, los gusanos y los programas espía, son programas escritos y distribuidos de forma deliberada para realizar acciones maliciosas", afirma el NCSC. "Entre las fuentes potenciales de infección por malware se encuentran los archivos adjuntos maliciosos a correos electrónicos, las descargas y la instalación directa de software no autorizado".

  GFI MailEssentials es un software de protección del correo electrónico que puede satisfacer las necesidades antispam y antimalware de su empresa. Incluye 14 filtros antispam, 4 motores antivirus, análisis de malware y filtrado de contenidos para proteger frente a las amenazas del correo electrónico.

  El software incluye cuatro motores de análisis antimalware, cada uno con sus propios protocolos de detección. Estas funciones integradas mejoran la protección de su entorno de correo electrónico para bloquear los virus transmitidos por correo electrónico y otro malware de manera más efectiva.

  Otros productos de GFI Software brindan protección adicional. GFI Kerio Control incluye un servicio Kerio Antivirus (Bitdefender) integrado opcionalmente, que ayuda a evitar que entren virus, gusanos y spyware en su red. La auditoría de red con GFI LanGuard identifica dispositivos, aplicaciones y programas no autorizados, que podrían ser fuentes potenciales de malware.

• Gestión de parches
  "Asegúrese de que los dispositivos y el software no son vulnerables a problemas de seguridad conocidos para los que existen correcciones".
  
  Este control requiere que el software y las aplicaciones estén:

  • Con licencia y soporte

  • Se eliminan cuando dejan de ser compatibles

  • Actualizados de forma automática siempre que sea posible

  • Actualizados en los 14 días siguientes a la publicación de una actualización de software

  FI LanGuard automatiza la gestión de parches para mantener su software actualizado. Analiza su red en busca de actualizaciones que falten en aplicaciones y sistemas operativos. El software también identifica los parches que faltan en navegadores web y software de terceros como Adobe, Java y otros proveedores importantes.

  Con GFI LanGuard, ya no necesitará gestionar las actualizaciones manualmente. Puede implementar parches de forma automática en todo el sistema, o implementar agentes en equipos específicos para actualizaciones periódicas. Si es necesario, puede controlar qué parches instalar o revertirlos si encuentra problemas.

  Más allá de la ciberseguridad, la gestión periódica de parches presenta una ventaja añadida: muchos parches también corrigen errores de software, lo que puede ayudar a que sus aplicaciones funcionen mejor.

Recursos

Notas de pie de página

1. https://www.ncsc.gov.uk/cyberessentials/overview

2. https://www.towergateinsurance.co.uk/liability-insurance/smes-and-cyber-attacks

3. Ibid

4. https://smallbiztrends.com/2017/07/prepared-for-a-cyber-attack-small-business.html

5. https://www.ncsc.gov.uk/files/Cyber-Essentials-Requirements-for-Infrastructure-v3-0-January-2022.pdf

6. https://www.ncsc.gov.uk/files/Cyber-Essentials-Requirements-for-Infrastructure-v3-0-January-2022.pdf

7. https://www.ncsc.gov.uk/files/Cyber-Essentials-Requirements-for-Infrastructure-v3-0-January-2022.pdf