444 lecturas

Los cambios en el esquema CyberEssentials del Reino Unido ponen a las empresas en riesgo

por André Ferreira, MSc6m2023/02/06

Demasiado Largo; Para Leer

NCSC CyberEssentials (**CE**) es, en pocas palabras, un esquema respaldado por el gobierno del Reino Unido que tiene como objetivo sacar a las empresas de su pobreza de seguridad. Si la empresa falla inicialmente en la evaluación, se le otorgarán unos días para corregir y volver a presentar sin costo alguno.

featured image - Los cambios en el esquema CyberEssentials del Reino Unido ponen a las empresas en riesgo

NCSC CyberEssentials ( CE ) es, en pocas palabras, un esquema respaldado por el gobierno del Reino Unido que tiene como objetivo sacar a las empresas de su pobreza de seguridad.

Aquellos que optan por cumplir con el esquema, se benefician de la protección contra los ciberataques más comunes . Eso es lo que puedes leer en la etiqueta de la lata, sin embargo, dentro de la lata, hay mucho más.

El esquema tiene dos sabores: CE y CE+ .

CE es una autoevaluación, realizada completando un cuestionario en línea que luego es revisado por IASME . Si las respuestas son de suficiente calidad y claridad, se otorga el certificado a la empresa. Si la empresa falla inicialmente en la evaluación, se le otorgarán unos días para corregir y volver a presentar sin costo adicional.

CE+ se diferencia de CE porque también incluye una verificación técnica práctica o, en otras palabras, la información enviada se verifica de forma independiente mediante una prueba de penetración.

Otra ventaja es que una empresa certificada, domiciliada en el Reino Unido con una facturación inferior a 20 millones de libras esterlinas, también tiene derecho a un seguro de responsabilidad cibernética con un valor de hasta 25 000 libras esterlinas, mientras que las empresas del extranjero pueden beneficiarse de descuentos en seguros de corredores que reconocen la certificación.

Si considera el esquema como un obstáculo que, una vez superado, también garantiza a la empresa un mayor nivel de confianza para hacer negocios y una mejor reputación para ese año en particular, tendría razón.

Cualquiera de los sabores tiene un costo de adquisición insignificante, pero los líderes empresariales deben dar cuenta y asignar suficiente tiempo para permitir la finalización de la evaluación, no es trivial. También deben preparar a su fuerza laboral para los cambios culturales y operativos, ya que serán necesarios para cumplir con los requisitos de certificación.

Listo o no, una vez embarcado en su aventura de adoctrinamiento en seguridad, la empresa obtendrá una apreciación más profunda del tema y saldrá con una postura de seguridad mejorada.

un poco de critica

1- De los que quieren más

A algunos profesionales de la seguridad les gustaría que el esquema evolucionara y ofreciera diferentes tonos de gris de acuerdo con los hallazgos de la evaluación, lo que significa que debería ofrecer una clasificación más fina que solo el sello de "certificado".

Observé esta crítica en las redes sociales y agrupé a sus partidarios como aquellos que ya están del otro lado de la barrera y sufren de fatiga de diligencia debida en sus evaluaciones de seguridad de la cadena de suministro. Su afán por pasarle la pelota a IASME podría reducir potencialmente los costos de sus empresas y obtener respuestas uniformes. Me pregunto si IASME lo aceptará.

Luego de una mayor reflexión, también reconocí la existencia muy agradable de aquellos que pueden desear diferenciarse de otras empresas certificadas. Ya sea porque no tomaron atajos para obtener la certificación y creen que otros lo hicieron, o porque son conscientes de que las formas particulares de lograr X en realidad brindan un valor NULO o incluso porque pueden saber de compañías que declaran el cumplimiento cuando simplemente no es el caso.

No obstante, por mi parte, no apoyo esta mutación propuesta del esquema ya que soy de la opinión de que debe mantenerse hasta que el número de empresas certificadas sea tan alto que la certificación ya no tenga un propósito, en lugar de cambiar su pobreza. misión de hambre a mediados de maratón.

Mi razonamiento surge de haber experimentado la pobreza de seguridad y ser capaz de reconocer el nivel de esfuerzo requerido para sacar un negocio de ella. Como tal, aunque comprendo que volver a certificar cada año no será tan emocionante y transformable como la primera vez que se logra, frunciré el ceño si después de unos años sigue siendo la única certificación de seguridad que posee una empresa...

2- De los que más necesitan

Por otro lado, y a pesar del éxito del esquema desde 2014, continúa recibiendo quejas sobre información insuficiente y solicitudes de mayor claridad sobre una variedad de temas. Yo mismo tenía preguntas.

No obstante, creo que esta retroalimentación es inevitable y esperada dada la amplia audiencia a la que se dirige el esquema, ya que uno puede hacer poco más que esperar lograr un gran nivel de resonancia incluso cuando solo transmite un mensaje corto a una audiencia diversa.

Sin embargo, esta crítica importante y recurrente enfatiza inequívocamente que los pobres y los descarriados buscan ayuda y quieren hacerlo mejor. Pero también cuestiona si subir el listón no es de hecho subóptimo o prematuro.

3- De los que no están de acuerdo

También hay ciertos profesionales de la seguridad que desafían algunos de los detalles del esquema. Aquí se debe tener cuidado y pausa, ya que todos los profesionales de la seguridad deben comprender el contenido del desafío con facilidad. Por lo tanto, cuando alguien comienza a GRITAR con la intención de mantener prácticas que se adentran en el terreno de lo no ético, otros cuestionarán la verdadera razón detrás de ello, aunque invariablemente tendrá la misma causa fundamental: los costos financieros, en lugar de la ausencia de conocimiento acerca de los riesgos.

Creo que esto solo ocurre debido a que el peso del costo identificado no se ha casado con las compensaciones logradas. No obstante, reconozco que aquí, las batallas deben librarse una por una con el objetivo de educar para permitir un estado compartido de iluminación que será un proceso lento y mejor atendido con modelos de amenazas personalizados, identificación de riesgos y cuantificación antes de cualquier tratamiento (aceptación, transferencia, mitigación, evitación).

Aunque hasta el momento no he respaldado los desafíos planteados, ya que estoy limitado por mi esfera de influencia y visibilidad, también reconozco una oportunidad para que el esquema ofrezca más valor y ayude a quienes estén dispuestos a certificar enumerando qué leyes pueden violarse si Y y Z no están en su lugar. Si bien pueden ser específicos del Reino Unido, la información puede resultar beneficiosa y reducir la resistencia.

Próximos cambios que pueden perjudicar a su empresa

Cuestiono dos de los cambios propuestos , ya que todos los demás se sienten como mejoras en este momento, pero me gusta tener la libertad de revisarlos.

1- El esquema ya no requerirá que se informen los modelos de dispositivos de los usuarios.

Puedo imaginarme a IASME recibiendo quejas de empresas que tienen una gran cantidad de activos sobre lo lento y doloroso que es el proceso. Estuve allí, pero cualquiera que presente esta queja plantea preguntas inmediatas sobre cómo la empresa supervisa, controla y reemplaza dichos activos y cómo es parte de hacer lo correcto para mejorar la seguridad de la empresa. Como tal, no aceptaría esto como la razón del cambio.

Me inclino a creer que este cambio es para favorecer a las empresas evaluadoras de IASME y posiblemente CE+, que pueden estar buscando disminuir su nivel de trabajo y, por lo tanto, dispuestas a bajar el listón para permitir una presentación más flexible. Esto se siente más cercano a la realidad en el sentido de que el tiempo invertido por aquellos, dependiendo del tamaño de la organización que se evalúa, puede llevar a que no se cubran los costos.

Sin embargo, para mí, debido a que diferentes modelos pueden tener diferentes ciclos de vida de soporte y pueden tener diferentes sistemas operativos y firmware asociados, entonces, este es un cambio negativo.

Un ejemplo sería informar: "solo usamos Mac" cuando los modelos particulares ya no pueden admitir diferentes requisitos de seguridad. Esto ofusca la información enviada.

IASME por favor reconsidere!

2- El esquema solo requerirá informes de firmware de enrutador y firewall

Este me desconcierta. Las empresas tienen repetidores wifi y esos tienen firmware, tienen servidores que tienen firmware y todos los demás dispositivos… todos con firmware.

Aquí señalaría con el dedo a los proveedores de nube y virtualización que no comparten dicha información. Y si estoy cerca, entonces cuestionaría a IASME si no tendría más sentido tener requisitos separados para activos tangibles e intangibles.

No saber qué firmware se usa en un dispositivo perjudica la toma de decisiones con respecto al nivel de seguridad que requiere el activo. Así que es otro cambio negativo que lleva a una menor seguridad.