El blog de QA en español de Redsauce

Kit Consulting, ciberseguridad y no morir en el intento

Artículo de Pablo Gómez

Kit Consulting, ciberseguridad y no morir en el intento

1. ¿Qué es el Kit Consulting?

Estas últimas semanas, en Redsauce he tenido que responder a esta pregunta en el ámbito de la ciberseguridad varias veces. Muchas. A partir de la tercera me di cuenta de que la información online o era muy escueta o era necesario leer las 90 páginas (de la 54.064 a la 54.154) de la Orden TDF/436/2024 en el BOE o no me gustaba cómo venía escrita, de modo que decidí hacerme mi propia “chuleta”. Y quedó tan sabrosa que la llegué a considerar Bien de Interés Cultural y merecedora de ser compartida con todos ustedes. Las conversaciones vienen a ser de este formato:


- Escucha, que me han dicho que le han contado a un amigo algo de un Kit Consulting, ¿de qué va esto?

  • De una tacada, el Kit Consulting es un programa de ayudas del Gobierno de España, activo desde el 10 de mayo de 2024, que tiene como objetivo apoyar a las pymes en su proceso de digitalización mediante asesoría especializada. Las ayudas disponibles oscilan entre 12.000 y 24.000 €, y estarán vigentes hasta el 31 de diciembre de 2024. La información completa puede consultarse en el BOE, pero por profilaxis mental, ya te estoy haciendo yo el resumen.

- Caramba, hasta 24.000 €, no está nada mal. ¿Y en qué lo puedo emplear? ¿Ciberseguridad me “entra”?.

  • Pues parece que en España andamos flojillos en 10 áreas digitales las que 3 son de ciberseguridad. Así que han tenido a bien ofrecer una ayuda máxima de 6.000 euros por cada una de ellas, por lo que en total se ofrecen hasta 18.000 € para cibersecurizarte. ¿Cómo te quedas?

- Pues sigamos hablando que me suena bonito… Y oye, ¿esto es lo mismo que el Kit Digital?

  • No. Mira, esto es como los príncipes de Inglaterra; son de la familia, pero no tienen nada que ver entre ellos. La diferencia entre ambos Kits es que mientras el Kit Digital subvenciona a las PYMEs la adquisición de soluciones de digitalización, el programa Kit Consulting subvenciona a las PYMEs la contratación de servicios de asesoramiento en transformación digital pero no financia adquisiciones.

2. Requisitos para ser beneficiario

- Pero, ¿esto es café para todos? ¿Cualquiera puede tener su asesor digital?

  • Cualquiera que, como bien has intuido, cumpla una serie de requisitos. Te lanzo la lista, a ver qué me dices:

    1. Tener domicilio fiscal en territorio español.

    2. Tener la consideración de pequeña o mediana empresa, es decir, tener entre 10 y 250 empleados.

    3. Estar inscrito en el Censo de empresarios, profesionales y retenedores de la Agencia Estatal de Administración Tributaria o en el censo equivalente de la Administración Tributaria Foral, que debe reflejar la actividad económica efectivamente desarrollada a la fecha de solicitud de la ayuda.

    4. No tener la consideración de empresa en crisis.

    5. Estar al corriente de las obligaciones tributarias y frente a la Seguridad Social.

    6. No estar sujeto a una orden de recuperación pendiente tras una decisión previa de la Comisión Europea que haya declarado una ayuda ilegal e incompatible con el mercado común.

    7. No estar incurso en ninguna otra de las prohibiciones previstas en el artículo 13, apartado 2, de la Ley 38/2003, de 17 de noviembre, General de Subvenciones. Dichas prohibiciones afectarán también a aquellas empresas que sean continuación o que deriven de otras empresas en las que hubiesen concurrido aquéllas.

    8. No superar el límite de ayudas de minimis conforme a la normativa de aplicación dispuesta en el artículo 2, apartado 4, de la Orden TDF/436/2024.

3. Acceso a la solicitud del bono

- ¡Anda, pues cumplimos todos los requisitos! Vamos a por ello, ¿cuál sería el primer paso?

  • Fácil. Desde la página principal de la Administración pública debemos acceder al trámite del Kit Consulting, donde tendrás que autenticarte como empresa.  Disponer de certificado electrónico hará las cosas mucho mucho más sencillas.

Acceso al trámite del Kit Consulting




Una vez dentro del portal, haciendo clic en “Acceder al trámite” llegamos al wizard que nos ayuda a rellenar toda la información necesaria para realizar la solicitud del bono: https://sedepkd.red.gob.es/oficina/wizard/wizard.do


Cuando lo hayamos terminado, sólo queda esperar a que se resuelva el expediente.




Formulario de solicitud

5. Bono concedido ? Selección del Asesor digital y sus servicios

(Dos o tres semanas después…)

- ¡Me llegó el email avisando de que ya tengo concedido el bono de 18.000 euritos! ¡Invito a un café! ?

  • ¡Acepto el café! Sobre los bonos, ahora tienes que seleccionar un asesor digital del catálogo y qué servicios te interesan. Para ciberseguridad empezaremos por el Plan Básico, que luego nos abrirá las puertas para el Avanzado y la Certificación. Tendrás que ponerte en contacto con el asesor digital que prefieras y firmar un contrato privado para la prestación del servicio. Este contrato es un documento requerido para formalizar la relación entre la empresa beneficiaria y el asesor digital.

6. Formalización del acuerdo de prestación de servicios

- Uy, muchas cosas son esas… ¿Desde dónde debo empezar, dices?

  • No te preocupes, respira. Afortunadamente hay una plataforma de tramitación común para los programas Kit Digital y Kit consulting. Desde ella podemos gestionar qué bonos tenemos, los estados de las solicitudes, qué acuerdos tenemos y con qué asesor. Desde allí también gestionaremos los propios acuerdos, aceptando las propuestas del asesor, cancelando acuerdos, etc.

Total, que es ahí donde tienes que comenzar para crear el acuerdo, te enseño una imagen:


Espacio digitalizador kit digital y consulting


Esta otra imagen muestra los pasos para gestionar la subvención: sólo 5 pasos. Fácil, ¿verdad?


Fases kit consulting

7. Realización de los servicios

La prestación de Servicios de Asesoramiento por el Asesor Digital Adherido se realizará en un plazo máximo de tres meses, a contar desde la validación del Acuerdo de Prestación de Servicios de Asesoramiento.

8. Emisión de la factura

(Un mes después de un fructífero y revelador análisis de ciberseguridad…)

- Telita, amigo. Uno no sabe dónde se encuentra a nivel de ciberseguridad hasta que ponen patas arriba tu infraestructura. Similar a cuando la suegra entra en tu cocina por primera vez. El asesor me está preparando la factura, ¿qué me puedo esperar?


Efectivamente, tras la prestación de los servicios, el asesor digital emite una única factura a la empresa beneficiaria.


Esta factura refleja el coste total del servicio menos el importe de la subvención concedida, indicando claramente que ha sido financiado por el programa Kit Consulting.


En tu caso: has contratado el servicio de ciberseguridad básico y firmas el acuerdo de prestación de servicio con un Asesor Digital por un importe de 6.000 € más 1.260 € del impuesto IVA.


EL ASESOR DIGITAL

La factura debe contener la siguiente información:

  • Descripción del servicio: Servicios de asesoramiento en ciberseguridad.

  • Importe del servicio: 6.000 euros.

  • IVA (21%): 1.260 euros.

  • Total con IVA: 7.260 euros.

  • Descuento aplicado por el bono de asesoramiento digital: 6.000 € (cubierto por la subvención que se verá reflejado en la factura restando la base imponible).

  • Importe a pagar por ti como empresa beneficiaria: 1.260 € (correspondiente al IVA).

LA EMPRESA BENEFICIARIA

Tu debes pagar directamente al asesor digital el importe del IVA, que en este caso es de 1.260 €.


El importe de la subvención (6.000 €) es gestionado y pagado por Red.es directamente al asesor digital una vez que el servicio ha sido prestado y justificado conforme a las normativas del programa.

9. Presentación de la justificación desde el propio portal de gestión del bono

- Entendido queda. La duda que me surge es, ¿en base a qué se considera que el servicio está terminado? Cierto es que el asesor me ha organizado la documentación, ha guardado información de las reuniones… pero, ¿qué hace con ello?

  • ¡Esa es la madre del cordero! La documentación generada durante el servicio se presenta desde el propio portal de gestión del bono, donde se han de rellenar documentos con evidencias de que se han llevado a cabo las reuniones, los documentos presentados, etc.

La documentación técnica y resultados requeridos para la justificación, conforme al artículo 31.6.a de la Orden TDF/436/2024, de 10 de mayo de 2024 son los siguientes, en función del servicio de ciberseguridad que hayas realizado:

BÁSICO

  1. Evidencias de la celebración de la reunión presencial de inicio de la prestación del servicio de asesoramiento, que se determinarán en cada convocatoria.

  2. Evidencias de celebraciones de reuniones intermedias, que se determinarán en cada convocatoria.

  3. Evidencias de la celebración de la reunión presencial final tras la prestación del servicio de asesoramiento, que incluya los resultados obtenidos y la conformidad del beneficiario al servicio prestado, que se determinarán en cada convocatoria.

  4. Diagnóstico inicial:

    1. Elaboración de un Análisis de vulnerabilidades, que incluya:

      • Inventario y recopilación de información de los sistemas y fuentes a evaluar.

      • Auditoría de los activos identificados y pruebas de penetración (pentesting).

      • Listado de vulnerabilidades detectadas.

      • Listado de dispositivos y servicios vulnerables.

  5. Resultados:

    1. Elaboración de un plan de protección del negocio que cubra las necesidades detectadas en la organización, mediante la definición de una Política de seguridad que defina las medidas a implementar sobre los medios y sistemas de acceso a la información:

      • Gestión de usuarios. Autenticación, política de contraseñas fuertes.

      • Protección de correo electrónico / servidores /end-points.

      • Copias de seguridad con mecanismos específicos anti ransomware.

      • Actualización y parcheo periódico de software.

    2. Elaboración de un plan de continuidad de negocio enfocado a la protección de las personas y sistemas de la organización, así como al restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a eventos de interrupción o desastre. El plan debe incluir al menos los siguientes puntos clave:

      • Gestión ante incidentes de seguridad.

      • Gestión de vulnerabilidades.

      • Medidas de respuesta y recuperación.

    3. Cumplimiento legal: medidas para el cumplimiento del RGPD, incluyendo registro e inventario de actividades de tratamiento de datos de carácter personal.

  6. Caso de uso: Análisis de vulnerabilidades con resultados de las pruebas realizadas y recomendaciones.

  7. Diagrama AS-IS sobre el cual se representen los elementos de los sistemas de información de los que dispone la organización y como se relacionan entre sí.

  8. Resultados de las pruebas de pentesting: reporte de las pruebas realizadas que incluya un resumen, metodología utilizada, hallazgos e impacto.

  9. Factura del servicio (en formato Facturae).

  10. Conformidad con el servicio y justificante de abono de los gastos no subvencionables por parte del beneficiario.

  11. Declaraciones del asesor y beneficiario de no haber recibido otra subvención para el mismo tipo de servicio.

  12. Pruebas del cumplimiento de las obligaciones de publicidad.

AVANZADO

  1. Evidencias de la celebración de la reunión presencial de inicio de la prestación del servicio de asesoramiento, que se determinarán en cada convocatoria.

  2. Evidencias de celebraciones de reuniones intermedias, que se determinarán en cada convocatoria.

  3. Evidencias de la celebración de la reunión presencial final tras la prestación del servicio de asesoramiento, que incluya los resultados obtenidos y la conformidad del beneficiario al servicio prestado, que se determinarán en cada convocatoria.

  4. Diagnóstico inicial:

    1. Elaboración de un análisis de vulnerabilidades, que incluya:

      • Clasificación de vulnerabilidades encontradas en cada servicio y dispositivo, según el nivel de riesgo.

      • Recomendaciones y medidas a adoptar.

  5. Resultados:

    1. Elaboración de un plan de protección del negocio que cubra las necesidades detectadas en la organización:

    2. Política de seguridad, se definirán las medidas a implementar sobre los medios y sistemas de acceso a la información:

      • Cifrado de datos y seguridad en la nube, política de backup.

      • Configuraciones VPN y escritorios virtuales, procedimiento para los accesos mediante Autentificación Multifactor (MFA).

    3. Política y procedimiento de vigilancia activa, donde se definirán los sistemas y configuraciones necesarias para realizar una observación continua de las medidas de seguridad, así como la adecuación de las mismas a la aparición de nuevas tecnologías.

      • Monitorización de redes y servicios.

      • Monitorización correo electrónico.

    4. Plan de concienciación en ciberseguridad para empleados.

      • Usos permitidos de las TIC en la empresa.

      • Recursos y materiales formativos, como guías, videos y simulaciones de phishing, para reforzar la formación.

    5. Definición o revisión de la política de seguridad de la información aprobada por la Dirección.

      • Determinación del alcance del SGSI para ISO27001.

      • Categorización de seguridad de los sistemas de información para ENS.

      • Roles, responsabilidades y compromiso y liderazgo de la Dirección.

    6. Acompañamiento para la contratación de servicios de seguridad gestionada (protección, detección y respuesta).

  6. Caso de uso: Análisis de vulnerabilidades con resultados de las pruebas realizadas y recomendaciones.

    1. Diagrama AS-IS sobre el cual se representen los elementos de los sistemas de información de los que dispone la organización y como se relación entre sí.

    2. Diagrama TO-BE: elaboración del diagrama que incluya los medios y sistemas de información recomendados para cubrir las necesidades de la organización basadas en los resultados de las pruebas de penetración.

    3. Recomendaciones y medidas a adoptar.

    4. Benchmark para la contratación de servicios, que cubran las recomendaciones y medidas a adoptar. Deberán focalizarse en:

      • Gestión de vulnerabilidades: monitorización continua de la seguridad y en tiempo real.

      • Respuesta ante incidentes: soporte y asesoramiento en caso de sufrir una intrusión.

  7. Factura del servicio (en formato Facturae).

  8. Conformidad con el servicio y justificante de abono de los gastos no subvencionables por parte del beneficiario.

  9. Declaraciones del asesor y beneficiario de no haber recibido otra subvención para el mismo tipo de servicio.

  10. Pruebas del cumplimiento de las obligaciones de publicidad.

PREPARACIÓN PARA CERTIFICACIÓN

  1. Evidencias de la celebración de la reunión presencial de inicio de la prestación del servicio de asesoramiento, que se determinarán en cada convocatoria.

  2. Evidencias de celebraciones de reuniones intermedias, que se determinarán en cada convocatoria.

  3. Evidencias de la celebración de la reunión presencial final tras la prestación del servicio de asesoramiento, que incluya los resultados obtenidos y la conformidad del beneficiario al servicio prestado, que se determinarán en cada convocatoria.

  4. Resultados:

    1. Manual del SGSI que recoja el detalle del ciclo PDCA de mejora continua, y el conjunto de políticas, procedimientos y directrices junto a los recursos y actividades que son administrados colectivamente por una organización, en la búsqueda de proteger sus activos de información esenciales.

    2. Declaración de aplicabilidad compartida ISO27001 y ENS aprobada por el Responsable de Seguridad. Acorde para ENS con CCN-STIC 804 y alineada con la categorización del servicio. Se deben establecer los controles del SGSI fundamentados en los procedimientos de evaluación y tratamiento de riesgos.

    3. Programa de formación en ciberseguridad. Capacitación profesional en competencias para perfiles y funciones críticas. Deberá abordar los puntos de concienciación de seguridad e identificar las necesidades del personal por perfiles y departamentos.

    4. Normativa y procedimientos de seguridad avanzados en base a la norma y el alcance del SGSI, entre otros:

      • Gestión de crisis.

      • Continuidad de negocio.

    5. Definición de un sistema de métricas de ciberseguridad para reevaluación periódica, mediante la definición de KPIs que ayuden a mitigar los riesgos midiendo continuamente el desempeño en comparación con los objetivos de seguridad establecidos. Algunos ejemplos de KPIs, N.º total de incidentes de seguridad, Tiempo medio de identificación (MTTI) / Tiempo medio de detección (MTTD) para una violación de seguridad, etc.

    6. Plan e informe de auditoría interna del SGSI. El plan debe definir la frecuencia y las fechas de ejecución, el alcance, la metodología de la propia auditoría y la asignación de interlocutores para la planificación, realización y presentación de informes de resultados. Dicho plan debe comprender una descripción de las ubicaciones físicas, unidades organizativas, actividades y procesos, así como las fechas de inicio y finalización. Las auditorías internas deben ser realizadas por personal que no haya participado en la implantación del SGSI, para garantizar la objetividad e imparcialidad.

  5. Factura del servicio (en formato Facturae).

  6. Conformidad con el servicio y justificante de abono de los gastos no subvencionables por parte del beneficiario.

  7. Declaraciones del asesor y beneficiario de no haber recibido otra subvención para el mismo tipo de servicio.

- ¿Y esto es todo? Es un alivio, me esperaba pagos en plazos, doscientas justificaciones, varias facturas, un riñón sano…

  • Pues si, esto es todo, que no es poco pero si ponemos en una balanza el esfuerzo realizado por la empresa beneficiaria y el beneficio obtenido valga la redundancia, creo que merece la pena. Y mucho.

- De acuerdo estoy. ¡Vamos a por el avanzado! ¿Otro café?

Categorías

Cybersecurity
Development
QA

Sobre nosotros

Has llegado al blog de Redsauce, un equipo de expertos en QA y desarrollo de software. Aquí hablaremos sobre testing ágil, automatización, programación, ciberseguridad… ¡Bienvenido!