Kit Consulting

Kit Consulting es un programa de ayudas dirigido a las pymes y destinado a contratar servicios de asesoramiento digital especializado y personalizado para sus negocios.

Se trata de un programa de ayudas del Gobierno de España, gestionado por Red.es, entidad adscrita al Ministerio para la Transformación Digital y de la Función Pública a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, cuyo objetivo es que las pymes de entre 10 y menos de 250 empleados den un paso más en el camino de su digitalización. Bono de asesoramiento digital especializado y personalizado.


Soluciones Ofertadas

Kit Consulting Básico

VII. Servicio de Asesoramiento en Ciberseguridad (Básico)

Objetivo:

Plan pensado para PYMEs que no disponen de una protección básica o que, aun teniéndola, no cuentan con un plan de ciberseguridad adaptado a la actividad económica desarrollada, para implantarlo, y para definir y aplicar la documentación básica de su Sistema de Gestión de Seguridad de la Información (SGSI) según ISO 27001 y ENS (categorías media-alta), y realización de un caso de uso adaptado al negocio en el área de la ciberseguridad.

Más Info
Tipología de asesoramiento: Básico
Importe de la ayuda:
  • Segmento A: 10 < 50 empleados 6.000 €
  • Segmento B: 50 < 100 empleados 6.000 €
  • Segmento C: 100 < 250 empleados 6.000 €
Actividades:
  • Conocer la situación actual de la empresa frente a riesgos, identificando los activos y datos más valiosos para la actividad de la empresa.
  • Garantizar la continuidad del negocio frente a posibles incidentes de seguridad, minimizando el riesgo de interrupciones en la actividad empresarial.
  • Elaborar y proporcionar un plan de respuesta detallado ante brechas de seguridad, definiendo protocolos y actuaciones específicas en caso de ciberataque.
  • Establecer y definir de forma conjunta con la pyme una estrategia de ciberseguridad personalizada a corto y medio plazo.
  • Cumplir con las regulaciones y estándares de seguridad relacionados con la protección de datos y la seguridad de la información.
  • Preparar la documentación básica para la implantación de un SGSI (ISO27001 y ENS media-alta) para un servicio core ofrecido a clientes o a AAPP.
  • Desarrollo y ejecución de un caso de uso adaptado al negocio utilizando las técnicas apropiadas, en el área de ciberseguridad.
  • Identificación de oportunidades o posibles usos de la IA en el ámbito de la ciberseguridad.
Documentación técnica y resultados requeridos para la justificación, conforme al artículo 31.6.a) de esta Orden:
  • Evidencias de la celebración de la reunión presencial de inicio de la prestación del servicio de asesoramiento, que se determinarán en cada convocatoria.
  • Evidencias de celebraciones de reuniones intermedias, que se determinarán en cada convocatoria.
  • Evidencias de la celebración de la reunión presencial final tras la prestación del servicio de asesoramiento, que incluya los resultados obtenidos y la conformidad del beneficiario al servicio prestado, que se determinarán en cada convocatoria.
  • Diagnóstico inicial:
    • Elaboración de un Análisis de vulnerabilidades, que incluya:
      • Inventario y recopilación de información de los sistemas y fuentes a evaluar.
      • Auditoría de los activos identificados y pruebas de penetración (pentesting).
      • Listado de vulnerabilidades detectadas.
      • Listado de dispositivos y servicios vulnerables.
  • Resultados:
    • Elaboración de un plan de protección del negocio que cubra las necesidades detectadas en la organización, mediante la definición de una Política de seguridad que defina las medidas a implementar sobre los medios y sistemas de acceso a la información:
      • Gestión de usuarios. Autenticación, política de contraseñas fuertes.
      • Protección de correo electrónico / servidores /end-points.
      • Copias de seguridad con mecanismos específicos anti ransomware.
      • Actualización y parcheo periódico de software.
    • Elaboración de un plan de continuidad de negocio enfocado a la protección de las personas y sistemas de la organización, así como al restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a eventos de interrupción o desastre. El plan debe incluir al menos los siguientes puntos clave:
      • Gestión ante incidentes de seguridad.
      • Gestión de vulnerabilidades.
      • Medidas de respuesta y recuperación.
    • Cumplimiento legal: medidas para el cumplimiento del RGPD, incluyendo registro e inventario de actividades de tratamiento de datos de carácter personal.
  • Caso de uso: Análisis de vulnerabilidades con resultados de las pruebas realizadas y recomendaciones.
    • Diagrama AS-IS sobre el cual se representen los elementos de los sistemas de información de los que dispone la organización y como se relacionan entre sí.
    • Resultados de las pruebas de pentesting: reporte de las pruebas realizadas que incluya un resumen, metodología utilizada, hallazgos e impacto.
Solicitar Más Información

VIII. Servicio de Asesoramiento en Ciberseguridad (Avanzado)

Objetivo:

Plan enfocado para empresas que disponen de una protección básica y de un plan de ciberseguridad pero, aun teniéndolo, quieren mejorar y conocer sistemas de protección más avanzada.

Más Info
Kit Consulting Avanzado
Tipología de asesoramiento: Avanzado
Importe de la ayuda:
  • Segmento A: 10 < 50 empleados 6.000 €
  • Segmento B: 50 < 100 empleados 6.000 €
  • Segmento C: 100 < 250 empleados 6.000 €
Actividades:
  • Analizar y realizar pruebas de penetración y análisis de posibles vulnerabilidades de la empresa conociendo el entorno tecnológico y operativo en el que se desenvuelve.
  • Implantar procedimientos y herramientas de ciberseguridad para la gestión diaria, la adquisición, la configuración, la protección preventiva, y para la detección y respuesta ante incidentes.
  • Proteger de manera proactiva la pyme contra ataques dirigidos hacia los datos, mejorando la resistencia y la capacidad de respuesta ante amenazas.
  • Concienciar a los empleados de la importancia en materia de ciberseguridad y fomentar una cultura organizacional centrada en la ciberseguridad dentro de la organización y la gestión de riesgos.
  • Identificación de oportunidades o posibles usos de la IA en el ámbito de la ciberseguridad.
  • Desarrollo y ejecución de un caso de uso adaptado al negocio utilizando las técnicas apropiadas, en el área de ciberseguridad.
Documentación técnica y resultados requeridos para la justificación, conforme al artículo 31.6.a) de esta Orden:
  • Evidencias de la celebración de la reunión presencial de inicio de la prestación del servicio de asesoramiento, que se determinarán en cada convocatoria.
  • Evidencias de celebraciones de reuniones intermedias, que se determinarán en cada convocatoria.
  • Evidencias de la celebración de la reunión presencial final tras la prestación del servicio de asesoramiento, que incluya los resultados obtenidos y la conformidad del beneficiario al servicio prestado, que se determinarán en cada convocatoria.
  • Diagnóstico inicial:
    • Elaboración de un análisis de vulnerabilidades, que incluya:
      • Clasificación de vulnerabilidades encontradas en cada servicio y dispositivo, según el nivel de riesgo.
      • Recomendaciones y medidas a adoptar.
  • Resultados:
    • Elaboración de un plan de protección del negocio que cubra las necesidades detectadas en la organización:
      • Política de seguridad, se definirán las medidas a implementar sobre los medios y sistemas de acceso a la información:
        • Cifrado de datos y seguridad en la nube, política de backup.
        • Configuraciones VPN y escritorios virtuales, procedimiento para los accesos mediante Autentificación Multifactor (MFA).
      • Política y procedimiento de vigilancia activa, donde se definirán los sistemas y configuraciones necesarias para realizar una observación continua de las medidas de seguridad, así como la adecuación de las mismas a la aparición de nuevas tecnologías.
        • Monitorización de redes y servicios.
        • Monitorización correo electrónico.
      • Plan de concienciación en ciberseguridad para empleados.
        • Usos permitidos de las TIC en la empresa.
        • Recursos y materiales formativos, como guías, videos y simulaciones de phishing, para reforzar la formación.
      • Definición o revisión de la política de seguridad de la información aprobada por la Dirección.
        • Determinación del alcance del SGSI para ISO27001.
        • Categorización de seguridad de los sistemas de información para ENS.
        • Roles, responsabilidades y compromiso y liderazgo de la Dirección.
      • Acompañamiento para la contratación de servicios de seguridad gestionada (protección, detección y respuesta).
  • Caso de uso: Análisis de vulnerabilidades con resultados de las pruebas realizadas y recomendaciones.
    • Diagrama AS-IS sobre el cual se representen los elementos de los sistemas de información de los que dispone la organización y como se relacionan entre sí.
    • Diagrama TO-BE: elaboración del diagrama que incluya los medios y sistemas de información recomendados para cubrir las necesidades de la organización basadas en los resultados de las pruebas de penetración.
    • Recomendaciones y medidas a adoptar.
    • Benchmark para la contratación de servicios, que cubran las recomendaciones y medidas a adoptar. Deberán focalizarse en:
      1. Gestión de vulnerabilidades: monitorización continua de la seguridad y en tiempo real.
      2. Respuesta ante incidentes: soporte y asesoramiento en caso de sufrir una intrusión.
Limitaciones:
Solicitar Más Información