A partir del 27 de abril de 2026, cualquier organización que posea una certificación CyberEssential y no haya implementado la verificación de inicio de sesión en todos los servicios en la nube que utiliza se enfrentará a una falla en la evaluación automatizada.
No es una disconformidad que deba abordarse gradualmente. No es un punto de remedio. Fallo inmediato sin segunda oportunidad dentro de ese ciclo de certificación.
El artículo continúa a continuación.
Fundador y Asesor Jefe de Control Forense.
El cambio específico es: si un servicio en la nube ofrece autenticación multifactor (MFA) y una organización no la habilita para todos los usuarios, la evaluación falla inmediatamente.
Esto se aplica cuando la función solo está disponible a través de una actualización paga a un plan existente. En versiones anteriores del esquema, se mantuvieron las respuestas no conformes hasta este punto. Ese camino ahora está cerrado.
Para la mayoría de las organizaciones, este es un proyecto técnico sencillo de resolver. Pero en mi evaluación de este año encontré una cierta clasificación de instituciones para las que no es nada parecido. Ahora, la brecha entre lo que requiere la versión 3.3 y lo que realmente pueden ofrecer es significativa y la actualización del esquema no la aborda.
Directrices que no resuelven el problema
Los puntos de presión que veo aparecen constantemente en entornos construidos en torno al acceso compartido, el cambio rápido de tareas y la rotación frecuente de personal o voluntarios.
Estas son organizaciones donde las personas necesitan acceder a los sistemas rápidamente, donde los dispositivos se comparten entre turnos o donde la administración de credenciales de inicio de sesión individuales para una fuerza laboral en constante rotación crea una carga operativa real.
Piense en la sala de operaciones de una estación donde varios miembros del personal rotan a través de terminales compartidas entre turnos y necesitan acceder a información crítica en cuestión de segundos.
O una organización benéfica conocida a nivel nacional con cientos de ubicaciones en las principales calles y una gran fuerza laboral voluntaria en turnos cortos, para quien gestionar la autenticación individual a escala es un problema práctico real.
En ambos casos, los servicios en la nube relevantes ofrecen las funciones de verificación necesarias. En ambos casos no está habilitado, no por descuido, pero la realidad operativa hace que los enfoques estándar sean realmente difíciles de implementar.
Esta posición persistió en la versión anterior del plan. En la versión 3.3 se convierte en un error automático.
Esto no hace que la autenticación sólida sea redundante. En todo caso, lo hace más importante. Pero también significó que algunas organizaciones apoyaron la política y al mismo tiempo retrasaron el arduo trabajo de diseñar cómo funcionaría en el día a día. Esta diferencia es mucho más importante en la versión 3.3.
Esta es una cuestión de diseño del flujo de trabajo, no una cuestión de política.
Las organizaciones que navegarán bien por la versión 3.3 no son las que tienen las políticas de seguridad más sofisticadas. Han realizado el trabajo práctico de hacer que la autenticación sólida sea utilizable en entornos donde es más difícil de implementar.
Esto significa mapear cada servicio en la nube dentro del alcance y determinar dónde se encuentran las funciones de verificación y dónde requieren una actualización paga, ya que la versión 3.3 no hace ninguna diferencia. Esto significa revisar si los métodos de autenticación actuales son adecuados para un entorno operativo en rápida evolución.
Y eso significa considerar seriamente opciones como claves de seguridad FIDO2, claves de acceso, flujos de trabajo de identidad vinculados a credenciales y controles de acceso contextuales que puedan reducir la fricción sin reducir la seguridad.
Las propias directrices del NCSC han reflejado cada vez más los estándares de enfoque antiphishing en códigos e indicaciones, y la versión 3.3 avanza en la misma dirección.
Cyber Essentials ahora hace que los servicios en la nube formen sin ambigüedades el ámbito donde almacenan o procesan datos organizacionales. Las organizaciones ya no pueden asumir que se tolerarán excepciones operativas incómodas.
El listón está subiendo. Las organizaciones que lo cumplen tratan la autenticación como un desafío de diseño, no como una casilla de verificación de cumplimiento.
Empezar ahora, no renovar
Las empresas que pueden tener más problemas con Cyber Essentials v3.3 no son aquellas que no están en desacuerdo con la autenticación sólida. Ellos son los que han pospuesto el trabajo práctico de hacerlo utilizable donde el estándar ahora espera que sea.
No se debe dejar hasta la renovación. Implementar nuevos métodos de autenticación, ajustar los procesos para los que entran y salen y hacer que los usuarios se sientan cómodos con un nuevo modelo de acceso lleva tiempo. Si sus servicios en la nube tienen funciones de verificación disponibles pero aún no habilitadas, el 27 de abril está más cerca de lo que parece.
Cyber Essentials v3.3 no es solo un estricto punto de control de cumplimiento. Este es un mensaje para garantizar que la forma en que su organización verifica quién puede acceder a sus sistemas realmente funcione en el mundo real, especialmente en entornos donde obtener ese derecho es más difícil.
Hemos presentado el mejor software de cifrado.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
