Cyber Essentials se lanzó en el Reino Unido con gran fanfarria en junio de 2014, con el objetivo de ayudar a las empresas a “protegerse contra las amenazas cibernéticas más comunes y demostrar su compromiso con la seguridad cibernética”. Se centra en cinco áreas de “controles técnicos” amplios: cortafuegos, configuración segura y control de acceso de usuarios. protección contra malware y gestión de parches.
Desde que se introdujo el plan, IASME ha informado que se han otorgado 132.094 certificados Cyber Essentials. Sin embargo, las pequeñas empresas siguen siendo blanco de delitos cibernéticos con una regularidad alarmante. De hecho, el 43% de los ciberataques tienen como objetivo a las PYME, y el 60% cierran dentro de los seis meses posteriores al ciberataque. Esto significa que sigue siendo fundamental para la industria de la seguridad evaluar los éxitos y fracasos de Cyber Essentials en relación con el objetivo principal del esquema de certificación: mantener a las empresas del Reino Unido, particularmente a las pequeñas, a salvo de los efectos del delito cibernético.
Cyber Essentials como base
En los términos más amplios posibles, Cyber Essentials ha tenido éxito. Esto se debe a que ha ayudado a muchas organizaciones a implementar los conceptos básicos de seguridad cibernética.
Cuando trabajaba en las fuerzas del orden para proteger e investigar los delitos cibernéticos, uno de los principales factores que contribuían a que una organización fuera violada o afectada de otro modo por una actividad delictiva cibernética era que no contaban con los controles básicos establecidos, lo que llevaba a que fueran vistos por Los ciberdelincuentes son una fruta madura y podrían ser atacados por actores en el extremo inferior del espectro de sofisticación, es decir, actores de amenazas que simplemente han descargado un kit de phishing o ransomware y están probando suerte.
Cyber Essentials, y los marcos asociados que sugiere, han logrado proteger contra las formas básicas de ciberataques de los que las PYMES suelen ser víctimas. Si bien es poco probable que los marcos sugeridos por Cyber Essentials protejan completamente a una organización de ataques en el extremo más persistente y sofisticado, han proporcionado a las organizaciones la munición para defenderse contra los casos más cotidianos de delitos cibernéticos, que para una pequeña empresa pueden ser tan devastadores como los sofisticados.
Concientización sobre los elementos esenciales cibernéticos
Desafortunadamente, Cyber Essentials ha tenido algo menos de éxito en el frente de la concientización. La reciente encuesta sobre violaciones de seguridad cibernética de 2024 sugirió que el conocimiento de Cyber Essentials está disminuyendo; El 12% de las empresas y el 11% de las organizaciones benéficas conocen el plan Cyber Essentials, cifra coherente con 2023 pero que representa una disminución en los últimos dos o tres años. La concienciación es mayor entre las medianas empresas (43%) y las grandes empresas (59%). Esto está muy por detrás de lo que nos gustaría que estuviera y podría reflejar la disminución del presupuesto de marketing asociado con Cyber Essentials.
Sin embargo, la encuesta también contenía algunas noticias positivas. Aunque solo el 3% de las empresas y organizaciones benéficas informan que se adhieren directamente a Cyber Essentials, una proporción mucho mayor (22% de las empresas y 14% de las organizaciones benéficas) informan tener controles técnicos en las cinco áreas cubiertas por Cyber Essentials.
Margen de mejora: Cyber Essentials y la industria de la ciberseguridad
Como ocurre con cualquier esquema o marco como Cyber Essentials, hay margen de mejora, tanto en el conocimiento como en la adopción. 130.000 PYME del Reino Unido han aprovechado Cyber Essentials, pero esto sigue siendo sólo una fracción de los 5,51 millones de PYME del Reino Unido. Que la Encuesta sobre violaciones de seguridad cibernética sugiera que algunos cuentan con marcos adyacentes a Cyber Essentials es alentador, pero aún deja una brecha significativa entre el tipo de adopción que el esquema hubiera esperado.
Desafortunadamente, esto refleja un problema más amplio dentro de la industria de la seguridad cibernética. Las PYMES sufren crónicamente una falta de servicios y sus preocupaciones desde una perspectiva de seguridad no generan el mismo tipo de atención que las de una empresa. Como tal, el trabajo educativo sobre Cyber Essentials y la seguridad de las PYME en general no se ha realizado al mismo nivel que para las organizaciones empresariales. Esto significa que persiste la percepción de que la seguridad es “demasiado compleja” para las pequeñas empresas.
Es importante que la industria en su conjunto combata esta narrativa. Si bien los márgenes de ganancia al proteger a las pequeñas empresas pueden no ser tan sísmicos, y las violaciones e incidentes de seguridad tienen menos probabilidades de ser de interés para la prensa, Cyber Essentials puede representar la diferencia entre la supervivencia y el fracaso para el 99% de las empresas que conforman el La economía del Reino Unido.
Adam Pilton es consultor de seguridad cibernética en Ciberinteligente y ex sargento detective que investiga delitos cibernéticos en la policía de Dorset.