Objetivo en Asesoramiento en Ciberseguridad (Avanzado)
Plan enfocado para empresas que disponen de una protección básica y de un plan de ciberseguridad pero, aun teniéndolo, quieren mejorar y conocer sistemas de protección más avanzada.
Tipología de asesoramiento: Avanzado.
Importe de la ayuda:
| Segmento A10 < 50 empleados–Euros | Segmento B50 < 100 empleados–Euros | Segmento C100 < 250 empleados–Euros |
|---|---|---|
| 6.000 | 6.000 | 6.000 |
Actividades en Asesoramiento en Ciberseguridad (Avanzado)
– Analizar y realizar pruebas de penetración y análisis de posibles vulnerabilidades de la empresa conociendo el entorno tecnológico y operativo en el que se desenvuelve.
– Implantar procedimientos y herramientas de ciberseguridad para la gestión diaria, la adquisición, la configuración, la protección preventiva, y para la detección y respuesta ante incidentes.
– Proteger de manera proactiva la pyme contra ataques dirigidos hacia los datos, mejorando la resistencia y la capacidad de respuesta ante amenazas.
– Concienciar a los empleados de la importancia en materia de ciberseguridad y fomentar una cultura organizacional centrada en la ciberseguridad dentro de la organización y la gestión de riesgos.
– Identificación de oportunidades o posibles usos de la IA en el ámbito de la ciberseguridad.
– Desarrollo y ejecución de un caso de uso adaptado al negocio utilizando las técnicas apropiadas, en el área de ciberseguridad.
Documentación técnica y resultados requeridos para la justificación, conforme al artículo 31.6.a) de esta Orden:
– Evidencias de la celebración de la reunión presencial de inicio de la prestación del servicio de asesoramiento, que se determinarán en cada convocatoria.
– Evidencias de celebraciones de reuniones intermedias, que se determinarán en cada convocatoria.
– Evidencias de la celebración de la reunión presencial final tras la prestación del servicio de asesoramiento, que incluya los resultados obtenidos y la conformidad del beneficiario al servicio prestado, que se determinarán en cada convocatoria.
– Diagnóstico inicial:
● Elaboración de un análisis de vulnerabilidades, que incluya:
○ Clasificación de vulnerabilidades encontradas en cada servicio y dispositivo, según el nivel de riesgo.
○ Recomendaciones y medidas a adoptar.
– Resultados:
● Elaboración de un plan de protección del negocio que cubra las necesidades detectadas en la organización:
○ Política de seguridad, se definirán las medidas a implementar sobre los medios y sistemas de acceso a la información:
▪ Cifrado de datos y seguridad en la nube, política de backup.
▪ Configuraciones VPN y escritorios virtuales, procedimiento para los accesos mediante Autentificación Multifactor (MFA).
○ Política y procedimiento de vigilancia activa, donde se definirán los sistemas y configuraciones necesarias para realizar una observación continua de las medidas de seguridad, así como la adecuación de las mismas a la aparición de nuevas tecnologías.
▪ Monitorización de redes y servicios.
▪ Monitorización correo electrónico.
○ Plan de concienciación en ciberseguridad para empleados.
▪ Usos permitidos de las TIC en la empresa.
▪ Recursos y materiales formativos, como guías, videos y simulaciones de phishing, para reforzar la formación.
○ Definición o revisión de la política de seguridad de la información aprobada por la Dirección.
▪ Determinación del alcance del SGSI para ISO27001.
▪ Categorización de seguridad de los sistemas de información para ENS.
▪ Roles, responsabilidades y compromiso y liderazgo de la Dirección.
○ Acompañamiento para la contratación de servicios de seguridad gestionada (protección, detección y respuesta).
– Caso de uso: Análisis de vulnerabilidades con resultados de las pruebas realizadas y recomendaciones.
● Diagrama AS-IS sobre el cual se representen los elementos de los sistemas de información de los que dispone la organización y como se relación entre sí.
● Diagrama TO-BE: elaboración del diagrama que incluya los medios y sistemas de información recomendados para cubrir las necesidades de la organización basadas en los resultados de las pruebas de penetración.
● Recomendaciones y medidas a adoptar.
● Benchmark para la contratación de servicios, que cubran las recomendaciones y medidas a adoptar. Deberán focalizarse en:
1. Gestión de vulnerabilidades: monitorización continua de la seguridad y en tiempo real.
2. Respuesta ante incidentes: soporte y asesoramiento en caso de sufrir una intrusión.
Limitaciones:
– La contratación de este servicio de asesoramiento sólo podrá formalizarse si el beneficiario ha formalizado previamente un Acuerdo de Prestación del Servicio de Asesoramiento en Ciberseguridad (Básico).
– La prestación de este servicio deberá iniciarse tras la finalización y presentación de la documentación justificativa del servicio de Asesoramiento en Ciberseguridad (Básico).
En Grupo ZAS hemos gestionado satisfactoriamente las soluciones del Kit digital, si necesitas información sobre estas nuevas ayudas, no dudes en consultarnos para solicitar las ayuda de Kit Consulting.
