El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha presentado propuestas para establecer un nuevo servicio de Asesor Cibernético para pequeñas y medianas empresas (PYME), y solicita la opinión de la comunidad de seguridad para ayudar a que sea un éxito.
El esquema propuesto construirá una red de personas evaluadas por el NCSC que tienen un “buen entendimiento” de las mejores prácticas de seguridad de referencia y la capacidad de brindar ayuda práctica a quienes la necesitan.
Inicialmente, estos Cyber Advisors centrarán sus esfuerzos en ayudar a sus clientes a implementar los controles técnicos Cyber Essentials propios del NCSC (cortafuegos, configuraciones seguras, controles de acceso, malware y actualizaciones de software) al identificar y ayudar a implementar las mejoras adecuadas para las necesidades del cliente.
Si el esquema llega a buen término, solo las organizaciones con un asesor cibernético calificado en su personal podrán convertirse en proveedores de servicios garantizados por el NCSC, y solo las organizaciones acreditadas como tales podrán ofrecer servicios de asesor cibernético.
La organización respaldada por GCHQ dijo que financiaría las primeras 100 evaluaciones de Cyber Advisor y está invitando tanto a individuos como a organizaciones a registrar su interés. Las experiencias de los primeros 100 aprendices que pasan por el proceso informarán el desarrollo futuro del esquema.
El NCSC dijo que estaba presentando el programa porque su garantía de consultoría existente solo cubre especialidades para problemas de seguridad cibernética más complejos y es utilizado principalmente por grandes organizaciones. El esquema Cyber Advisor asegurará el asesoramiento para empresas de cualquier tamaño que buscan asegurarse contra los ataques cibernéticos.
Señaló que a muchas organizaciones más pequeñas a menudo les resulta difícil elegir la ayuda adecuada para cumplir con su orientación y estándares, y dijo que el esquema también apuntaría a garantizar la “comprensión y aplicación” de consejos de seguridad confiables.
Las propuestas han recibido una cálida bienvenida por parte de la comunidad de seguridad. Joseph Carson, científico jefe de seguridad y director asesor de seguridad de la información en Delinea (anteriormente Thycotic), especialista en administración de acceso privilegiado, ha estado abogando por este tipo de programa durante algún tiempo y tocará el tema en un próximo podcast. Describió el esquema como una gran noticia para la industria.
“Los mentores cibernéticos, también conocidos como embajadores cibernéticos, han ido creciendo dentro de organizaciones de todo el mundo, y es fantástico ver que el NCSC toma la misma iniciativa para ayudar a más empresas a cumplir con los cinco controles de seguridad de Cyber Essentials”, dijo.
“Si las empresas implementan Cyber Essentials, será mucho más difícil para los ciberdelincuentes atacar. El esquema de ciberasesores del NCSC es un gran paso adelante y espero que este sea el comienzo de un plan más amplio para fortalecer la conciencia de seguridad y la resiliencia empresarial contra las amenazas cibernéticas cada vez mayores”.
Darren Williams, director ejecutivo y fundador de Blackfog, especialista en protección contra la exfiltración de datos y ransomware, agregó: “Nuestra investigación nos dice que las pandillas ciberdelincuentes a menudo toman el camino de menor resistencia, apuntando a aquellas organizaciones que se han vuelto vulnerables a los malos actores. por estar desprotegido y con recursos insuficientes cuando se trata de ciberdefensa; algunas organizaciones más pequeñas incluso suponen que no serán atacadas porque “no tienen datos de valor”.
“El nuevo Esquema de Asesoría Cibernética propuesto por el NCSC es un movimiento positivo en la dirección correcta para ayudar a combatir el crimen cibernético”, dijo.
“Nuestra esperanza es que los expertos miren más allá de las tecnologías de seguridad cibernética de primera y segunda generación, como antivirus y EDR, y se centren en tecnologías más nuevas que eviten la filtración de datos para proteger completamente a las organizaciones de la extorsión y asegurar su activo más valioso, los datos”.
