Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Conoce el Marco CBEST del Reino Unido

Inicio Glosario Conoce el Marco CBEST del Reino Unido

Cuando se trata de proteger el panorama de ciberseguridad del Reino Unido, el marco CBEST juega un papel crucial. La Supervisión y Evaluación de Pruebas de Infraestructura Nacional Crítica Bancaria, o CBEST en resumen, es un marco de pruebas basado en inteligencia que ayuda a las instituciones financieras a comprender el impacto potencial de los ciberataques. Este artículo explora el marco, cómo se originó, quién lo sigue y por qué, y finalmente cuáles son los beneficios empresariales de su adhesión.

Conoce el Marco CBEST del Reino Unido

¿Qué es el Marco CBEST?

El marco CBEST es un conjunto estructurado de directrices y pruebas de ciberseguridad, diseñado para identificar vulnerabilidades en los sistemas de ciberseguridad. Iniciado por el Banco de Inglaterra (BoE), CBEST es el primero de su tipo en aprovechar la inteligencia de amenazas y las pruebas de penetración para comprender las amenazas cibernéticas que enfrentan las instituciones financieras sistémicamente importantes en el Reino Unido. El objetivo del marco CBEST es mejorar la postura de ciberseguridad de estas instituciones, permitiéndoles gestionar y mitigar eficazmente las amenazas cibernéticas potenciales.

Las evaluaciones CBEST no son obligatorias, pero se recomiendan encarecidamente para las entidades que forman una parte crucial del sector de servicios financieros del Reino Unido. El marco proporciona un enfoque estandarizado para identificar, evaluar y gestionar el riesgo cibernético, lo que a su vez contribuye a la resiliencia operativa general de las instituciones.

El Origen del Marco CBEST

El marco CBEST fue lanzado en 2014 por el Banco de Inglaterra, en asociación con el gobierno del Reino Unido y el CISP (Cyber-security Information Sharing Partnership) de la industria financiera. La urgencia de desarrollar tal marco fue impulsada por el aumento continuo de ciberataques sofisticados dirigidos a instituciones financieras. El objetivo era establecer un conjunto de procedimientos y prácticas que ayudaran a estas instituciones a comprender sus vulnerabilidades, prepararse para amenazas cibernéticas potenciales y responder eficazmente a cualquier incidente.

El marco CBEST fue único e innovador en su enfoque basado en inteligencia. Fue el primer programa de pruebas de ciberseguridad en replicar comportamientos de actores de amenazas reales, basado en inteligencia de amenazas actual. Esto marcó un cambio respecto a las evaluaciones tradicionales basadas en cumplimiento y contribuyó a un sector financiero más robusto y resiliente en el Reino Unido.

¿Quién Necesita Adherirse al Marco CBEST?

Aunque las pruebas CBEST fueron desarrolladas pensando en las instituciones financieras, no están exclusivamente confinadas al sector bancario. Cualquier organización que forme una parte crítica de la infraestructura de servicios financieros del Reino Unido es un candidato potencial para las pruebas CBEST. Esto incluye bancos, aseguradoras, grandes compañías de inversión, infraestructuras de mercados financieros e incluso los proveedores clave de estas empresas.

Sin embargo, a pesar de los claros beneficios de una evaluación CBEST, es importante señalar que estas evaluaciones no son obligatorias. En cambio, son fuertemente recomendadas por organismos reguladores como el BoE y la Autoridad de Conducta Financiera (FCA). La idea aquí es alentar a estas instituciones a adoptar un enfoque basado en inteligencia para la ciberseguridad con el fin de proteger el ecosistema financiero del Reino Unido de amenazas cibernéticas potenciales.

Beneficios de Adherirse al Marco CBEST

El marco CBEST proporciona una serie de beneficios a las organizaciones y al sector financiero en general. Primero, enfatiza un enfoque proactivo hacia la ciberseguridad, permitiendo a las organizaciones identificar vulnerabilidades potenciales antes de que puedan ser explotadas. Esto contribuye en gran medida a construir una infraestructura de ciberseguridad robusta.

En segundo lugar, las evaluaciones CBEST proporcionan valiosos conocimientos sobre la preparación de una organización para responder a amenazas cibernéticas del mundo real. Esto ayuda a las instituciones a prepararse y gestionar eficazmente posibles incidentes cibernéticos. En tercer lugar, los resultados de una evaluación CBEST pueden informar decisiones estratégicas de inversión y ayudar a la alta dirección a entender dónde se deben asignar recursos para mejorar la ciberseguridad. Finalmente, al alinearse con CBEST, las instituciones demuestran un compromiso con la ciberseguridad, lo que puede aumentar la confianza entre clientes, inversores y reguladores.

Adoptando el Marco CBEST

Adoptar el marco CBEST requiere una comprensión clara de las amenazas cibernéticas potenciales que una organización podría enfrentar y las vulnerabilidades de sus defensas cibernéticas actuales. Las organizaciones primero necesitan realizar una evaluación de inteligencia de amenazas CBEST. Esto ayuda a identificar los actores de amenazas más relevantes, sus motivos, los métodos que podrían usar y su impacto potencial en las funciones críticas de la organización.

Después de la evaluación de inteligencia de amenazas, se debe realizar una prueba de penetración CBEST. Esto implica simular un ataque dirigido a las funciones empresariales más importantes de la organización, utilizando la inteligencia recopilada en el paso anterior. El resultado de esta prueba proporciona una imagen clara de cómo un ciberataque real podría impactar a la organización e identifica áreas donde los controles de ciberseguridad necesitan ser mejorados.

El Proceso de Evaluación CBEST

El proceso de evaluación CBEST se divide en tres fases principales: la fase de alcance, la fase de pruebas y la fase de informes. Antes de que comience la evaluación, la organización participante, la autoridad reguladora relevante y el proveedor de servicios acreditado por CBEST deciden colectivamente el alcance de la prueba. Esto incluye identificar las funciones críticas del negocio que probablemente serían objetivo de un ciberataque y los actores de amenazas potenciales que podrían llevar a cabo tal ataque.

Durante la fase de pruebas, los equipos rojos—hackers éticos que desempeñan el papel de los actores de amenazas potenciales—intentan violar las defensas cibernéticas de la organización utilizando las mismas técnicas, tácticas y procedimientos identificados en el informe de inteligencia de amenazas. Esto le da a la organización una imagen precisa de cómo se desempeñarían durante un ciberataque real. El equipo rojo registra todos sus hallazgos a lo largo de la prueba, que se incluirán en el informe final.

Entendiendo el Papel de CBEST en el Cumplimiento Normativo

Aunque el marco CBEST y las evaluaciones no son obligatorias, son fuertemente recomendadas por el Banco de Inglaterra y la Autoridad de Conducta Financiera. Dicho esto, los resultados de una evaluación CBEST pueden tener implicaciones regulatorias. Si se encuentra que una organización tiene vulnerabilidades significativas durante la prueba, el organismo regulador puede imponer requisitos de ciberseguridad más estrictos. Por lo tanto, adherirse al marco CBEST puede demostrar a los reguladores que la organización toma en serio la ciberseguridad y ha tomado medidas proactivas para identificar y abordar sus vulnerabilidades.

Además, el marco CBEST está diseñado para integrarse sin problemas con otros estándares y regulaciones de ciberseguridad globales como el Reglamento General de Protección de Datos (GDPR) y el estándar de seguridad de la información ISO 27001. Esta adaptabilidad lo hace beneficioso para las organizaciones que ya han logrado el cumplimiento con estas regulaciones, ya que les permite aprovechar sus procesos y protocolos de ciberseguridad existentes para adherirse al marco CBEST sin requerir una revisión completa de sus sistemas.

Implementando el Marco CBEST

Implementar el marco CBEST puede ser una tarea sustancial, pero es una inversión que vale la pena. El primer paso en el proceso es contratar a un proveedor de servicios acreditado por CBEST para realizar la evaluación de inteligencia de amenazas y la prueba de equipo rojo. Es importante señalar que estos proveedores de servicios son rigurosamente evaluados por el Banco de Inglaterra y deben demostrar un alto nivel de competencia en pruebas de ciberseguridad.

Una vez que las evaluaciones están completas, la organización debe actuar sobre los hallazgos. Esto podría implicar implementar nuevas medidas de ciberseguridad, mejorar las existentes o proporcionar capacitación adicional para el personal. La organización recibirá ayuda y orientación del proveedor de servicios a lo largo de este proceso.

Acciones y Mejoras Post-evaluación

Tras la finalización de las evaluaciones, el siguiente paso crucial implica que la organización tome medidas apropiadas basadas en los hallazgos. Estas acciones podrían variar desde implementar nuevas medidas de ciberseguridad, mejorar las existentes o incluso proporcionar capacitación adicional para su personal. El proveedor de servicios permanece involucrado durante esta etapa vital, proporcionando la orientación y el apoyo necesarios a la organización.

Kiteworks Ayuda a las Organizaciones del Reino Unido a Proteger Contenido Sensible en Adherencia al Marco CBEST del Reino Unido

Para las organizaciones dentro del sector financiero del Reino Unido, el marco CBEST sirve como una herramienta invaluable para evaluar y fortalecer su ciberseguridad. Proporciona profundos conocimientos sobre las amenazas cibernéticas que enfrentan estas organizaciones y mide su preparación para enfrentar estas amenazas. Aunque el cumplimiento con las evaluaciones CBEST no es obligatorio, el mero hecho de adherirse al marco CBEST muestra un fuerte compromiso de la organización hacia la ciberseguridad. Esto puede, a su vez, fortalecer la confianza de clientes, inversores y reguladores. Al contratar a un proveedor de servicios acreditado por CBEST y trabajar proactivamente en los hallazgos de la evaluación, las organizaciones pueden fortalecer significativamente sus defensas de ciberseguridad y contribuir a mejorar la resiliencia general del sector financiero del Reino Unido.

La Red de Contenido Privado de Kiteworks, una plataforma de uso compartido seguro de archivos y transferencia de archivos validada FIPS 140-2 Nivel 1, consolida correo electrónico, uso compartido de archivos, formularios web, SFTP y transferencia de archivos administrada, para que las organizaciones controlen, protejan y rastrean cada archivo a medida que entra y sale de la organización.

Con Kiteworks: controla el acceso a contenido sensible; protégelo cuando se comparte externamente usando cifrado automatizado de extremo a extremo, autenticación multifactor y integraciones de infraestructura de seguridad; ve, rastrea e informa toda la actividad de archivos, es decir, quién envía qué a quién, cuándo y cómo.

Finalmente, demuestra cumplimiento con regulaciones y estándares como GDPR, HIPAA, CMMC, Cyber Essentials Plus, IRAP, y muchos más. 

Para saber más sobre Kiteworks, programar una demostración personalizada adaptada a su entorno.

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks