Plan enfocado para empresas que disponen de una protección básica y de un plan de ciberseguridad pero, aun teniéndolo, quieren mejorar y conocer sistemas de protección más avanzada.
Importe de la ayuda:
10 < 250 empleados: 6000 €
Actividades
– Analizar y realizar pruebas de penetración y análisis de posibles vulnerabilidades de la empresa conociendo el entorno tecnológico y operativo en el que se desenvuelve.
– Implantar procedimientos y herramientas de ciberseguridad para la gestión diaria, la adquisición, la configuración, la protección preventiva, y para la detección y respuesta ante incidentes.
– Proteger de manera proactiva la pyme contra ataques dirigidos hacia los datos, mejorando la resistencia y la capacidad de respuesta ante amenazas.
– Concienciar a los empleados de la importancia en materia de ciberseguridad y fomentar una cultura organizacional centrada en la ciberseguridad dentro de la organización y la gestión de riesgos.
– Identificación de oportunidades o posibles usos de la IA en el ámbito de la ciberseguridad.
– Desarrollo y ejecución de un caso de uso adaptado al negocio utilizando las técnicas apropiadas, en el área de ciberseguridad.
– Diagnóstico inicial:
● Elaboración de un análisis de vulnerabilidades, que incluya:
○ Clasificación de vulnerabilidades encontradas en cada servicio y dispositivo, según el nivel de riesgo.
○ Recomendaciones y medidas a adoptar.
– Resultados:
● Elaboración de un plan de protección del negocio que cubra las necesidades detectadas en la organización:
○ Política de seguridad, se definirán las medidas a implementar sobre los medios y sistemas de acceso a la información:
▪ Cifrado de datos y seguridad en la nube, política de backup.
▪ Configuraciones VPN y escritorios virtuales, procedimiento para los accesos mediante Autentificación Multifactor (MFA).
○ Política y procedimiento de vigilancia activa, donde se definirán los sistemas y configuraciones necesarias para realizar una observación continua de las medidas de seguridad, así como la adecuación de las mismas a la aparición de nuevas tecnologías.
▪ Monitorización de redes y servicios.
▪ Monitorización correo electrónico.
○ Plan de concienciación en ciberseguridad para empleados.
▪ Usos permitidos de las TIC en la empresa.
▪ Recursos y materiales formativos, como guías, videos y simulaciones de phishing, para reforzar la formación.
○ Definición o revisión de la política de seguridad de la información aprobada por la Dirección.
▪ Determinación del alcance del SGSI para ISO27001.
▪ Categorización de seguridad de los sistemas de información para ENS.
▪ Roles, responsabilidades y compromiso y liderazgo de la Dirección.
○ Acompañamiento para la contratación de servicios de seguridad gestionada (protección, detección y respuesta).
– Caso de uso: Análisis de vulnerabilidades con resultados de las pruebas realizadas y recomendaciones.
● Diagrama AS-IS sobre el cual se representen los elementos de los sistemas de información de los que dispone la organización y como se relación entre sí.
● Diagrama TO-BE: elaboración del diagrama que incluya los medios y sistemas de información recomendados para cubrir las necesidades de la organización basadas en los resultados de las pruebas de penetración.
● Recomendaciones y medidas a adoptar.
● Benchmark para la contratación de servicios, que cubran las recomendaciones y medidas a adoptar. Deberán focalizarse en:
1. Gestión de vulnerabilidades: monitorización continua de la seguridad y en tiempo real.
2. Respuesta ante incidentes: soporte y asesoramiento en caso de sufrir una intrusión.
|