Cyber ​​Essentials se lanzó en el Reino Unido con gran fanfarria en junio de 2014, con el objetivo de ayudar a las empresas «a protegerse contra las amenazas cibernéticas más comunes y demostrar su compromiso con la seguridad cibernética». Se centra en cinco áreas de amplios «controles técnicos»: cortafuegos, configuración segura, control de acceso de usuarios, protección contra malware y gestión de parches. Desde que se introdujo el plan, IASME ha informado de que se han otorgado 132.094 certificados Cyber ​​Essentials. Sin embargo, las pequeñas empresas siguen siendo el objetivo de los delitos cibernéticos con una regularidad alarmante. De hecho, el 43% de los ataques cibernéticos se dirigen a las pymes, y el 60% cierran en los seis meses posteriores a un ataque cibernético. Esto significa que sigue siendo fundamental para la industria de la seguridad evaluar los éxitos y los fracasos de Cyber ​​Essentials en relación con el objetivo principal del plan de certificación: mantener a las empresas del Reino Unido, en particular a las pequeñas empresas, a salvo de los efectos de los delitos cibernéticos. Cyber ​​Essentials como base En los términos más generales posibles, Cyber ​​Essentials ha tenido éxito. Esto se debe a que ha ayudado a muchas organizaciones a implementar los conceptos básicos de seguridad cibernética. Al trabajar en la aplicación de la ley para proteger e investigar el cibercrimen, uno de los principales factores que contribuyen a que una organización sea vulnerada, o de otro modo afectada por la actividad ciberdelictiva, es que no tienen los controles básicos en su lugar, lo que hace que los ciberdelincuentes la consideren una presa fácil y puedan ser el objetivo de actores en el extremo inferior del espectro de sofisticación, es decir, actores de amenazas que simplemente han descargado un kit de phishing o ransomware y están probando suerte. Cyber ​​Essentials, y los marcos asociados que sugiere, han logrado proteger contra las formas básicas de ciberataques de los que las pymes son víctimas rutinariamente. Si bien es poco probable que los marcos sugeridos por Cyber ​​Essentials protejan a una organización por completo de los ataques en el extremo más persistente y sofisticado, ha proporcionado a las organizaciones la munición para defenderse de los casos más cotidianos de ciberdelito, que para una pequeña empresa pueden ser igualmente devastadores que los sofisticados. Conciencia de Cyber ​​Essentials Desafortunadamente, Cyber ​​Essentials ha tenido algo menos de éxito en el frente de la concienciación. La reciente encuesta sobre violaciones de seguridad cibernética 2024 sugirió que la conciencia de Cyber ​​Essentials está disminuyendo; El 12% de las empresas y el 11% de las organizaciones benéficas conocen el plan Cyber ​​Essentials, en línea con 2023, pero que representa un descenso en los últimos dos o tres años. El conocimiento es mayor entre las empresas medianas (43%) y las grandes empresas (59%). Esto está muy por debajo de lo que nos gustaría que fuera y podría reflejar la disminución del presupuesto de marketing asociado con Cyber ​​Essentials. Sin embargo, la encuesta también contenía algunas noticias positivas. Aunque solo el 3% de las empresas y organizaciones benéficas informan de adherirse directamente a Cyber ​​Essentials, una proporción mucho mayor (el 22% de las empresas y el 14% de las organizaciones benéficas) informan de tener controles técnicos en las cinco áreas cubiertas por Cyber ​​Essentials. Margen de mejora: Cyber ​​Essentials y la industria de la ciberseguridad Como ocurre con cualquier plan o marco como Cyber ​​Essentials, hay margen de mejora, tanto en el conocimiento como en la adopción. 130.000 pymes del Reino Unido han aprovechado Cyber ​​Essentials, pero esto sigue siendo solo una fracción de los 5,51 millones de pymes del Reino Unido. El hecho de que la Encuesta sobre Violaciones de Seguridad Cibernética sugiera que algunas empresas tienen implementados marcos adyacentes a Cyber ​​Essentials es alentador, pero aún deja una brecha significativa entre el tipo de adopción que el plan hubiera esperado. Esto, desafortunadamente, refleja un problema más amplio dentro de la industria de la seguridad cibernética. Las PYME están crónicamente desatendidas y sus preocupaciones desde una perspectiva de seguridad no generan el mismo tipo de atención que las de una empresa. Como tal, el trabajo educativo en torno a Cyber ​​Essentials, y la seguridad de las PYME en general, no se ha realizado al mismo nivel que para las organizaciones empresariales. Esto significa que la percepción de la seguridad como «demasiado compleja» para las pequeñas empresas persiste. Es importante que la industria en su conjunto combata esta narrativa. Si bien los márgenes de beneficio en la protección de las pequeñas empresas pueden no ser tan sísmicos, y las violaciones e incidentes de seguridad tienen menos probabilidades de ser de interés para la prensa, Cyber ​​Essentials puede representar la diferencia entre la supervivencia y el fracaso para el 99% de las empresas que conforman la economía del Reino Unido. Adam Pilton es consultor de seguridad cibernética en CyberSmart y ex sargento detective que investiga delitos cibernéticos en la Policía de Dorset.