Servei d’Assessorament en Ciberseguretat (bàsic)

Objectiu

Pla pensat per a pimes que no disposen d’una protecció bàsica o que, tot i tenir-la, no compten amb un pla de ciberseguretat adaptat a l’activitat econòmica desenvolupada, per implantar-lo, i per definir i aplicar la documentació bàsica del seu Sistema de Gestió de Seguretat de la Informació (SGSI) segons ISO 27001 i ENS (categories mitjana-alta), i realització d’un cas d’ús adaptat al negoci a l’àrea de la ciberseguretat.

 

Tipologia d’assessorament: Bàsic

IMPORT DE L’AJUDA
Petites empreses entre 10 i 50 empleats 6.000€
Petites empreses entre 50 i 100 empleats 6.000€
Petites empreses entre 100 i 250 empleats 6.000€

Servei inclòs

Activitats

– Conèixer la situació actual de l’empresa davant de riscos, identificant els actius i dades més valuoses per a l’activitat de l’empresa.
– Garantir la continuïtat del negoci davant de possibles incidents de seguretat, minimitzant el risc d’interrupcions a l’activitat empresarial.
– Elaborar i proporcionar un pla de resposta detallat davant de bretxes de seguretat, definint protocols i actuacions específiques en cas de ciberatac.
– Establir i definir de manera conjunta amb la pime una estratègia de ciberseguretat personalitzada a curt i mitjà termini.
– Complir les regulacions i els estàndards de seguretat relacionats amb la protecció de dades i la seguretat de la informació.
– Preparar la documentació bàsica per a la implantació d’un SGSI (ISO27001 i ENS mitjana-alta) per a un servei core ofert a clients oa AAPP.
– Desenvolupament i execució d’un cas d’ús adaptat al negoci utilitzant les tècniques apropiades, a l’àrea de ciberseguretat.
– Identificació d’oportunitats o possibles usos de la IA a l’àmbit de la ciberseguretat.

Documentació tècnica i resultats requerits per a la justificació, conforme al article 31.6.a) d’aquesta Ordre:

– Evidències de la celebració de la reunió presencial d’inici de la prestació del servei d’assessorament, que es determinaran a cada convocatòria.
– Evidències de celebracions de reunions intermèdies, que es determinaran a cada convocatòria.
– Evidències de la celebració de la reunió presencial final després de la prestació del servei d’assessorament, que inclogui els resultats obtinguts i la conformitat del beneficiari al servei prestat, que es determinaran a cada convocatòria.

– Diagnòstic inicial.

  • Elaboració d’un Anàlisi de vulnerabilitats, que inclogui:
    • Inventari i recopilació dinformació dels sistemes i fonts a avaluar.
    • Auditoria dels actius identificats i proves de penetració (pentesting).
    • Llistat de vulnerabilitats detectades.
    • Llistat de dispositius i serveis vulnerables.

– Resultats:

  • Elaboració d’un pla de protecció del negoci que cobreixi les necessitats detectades a l’organització, mitjançant la definició d’una Política de seguretat que defineixi les mesures a implementar sobre els mitjans i sistemes d’accés a la informació:
    • Gestió d’usuaris. Autenticació, política de contrasenyes fortes.
    • Protecció de correu electrònic / servidors /end-points.
    • Còpies de seguretat amb mecanismes específics anti ransomware.
    • Actualització i pegat periòdic de programari
  • Elaboració d’un pla de continuïtat de negoci enfocat a la protecció de les persones i sistemes de l’organització, així com al restabliment oportú dels processos, serveis crítics i infraestructura, davant d’esdeveniments d’interrupció o desastre. El pla ha d’incloure almenys els punts clau següents:
    • Gestió davant d’incidents de seguretat.
    • Gestió de vulnerabilitats.
    • Mesures de resposta i recuperació
  • Compliment legal: mesures per al compliment del RGPD, incloent registre i inventari dactivitats de tractament de dades de caràcter personal.

– Cas d’ús: Anàlisi de vulnerabilitats amb resultats de les proves realitzades i recomanacions.

  • Diagrama AS-IS sobre el qual es representin els elements dels sistemes de informació de què disposa l’organització i com es relacionen entre si.
  • Resultats de les proves de pentesting: reporti de les proves realitzades que
    inclogui un resum, metodologia utilitzada, troballes i impacte.