Justificaciones Ciberseguridad Avanzado

Documentación técnica y resultados requeridos para las justificaciones de la categoría «Ciberseguridad (Avanzado)», conforme al artículo 31.6.a) de esta Orden:

– Evidencias de la celebración de la reunión presencial de inicio de la prestación del servicio de asesoramiento, que se determinarán en cada convocatoria.

– Evidencias de celebraciones de reuniones intermedias, que se determinarán en cada convocatoria.

Soy Asesor Digital y necesito apoyo en materia de justificación

– Evidencias de la celebración de la reunión presencial final tras la prestación del servicio de asesoramiento, que incluya los resultados obtenidos y la conformidad del beneficiario al servicio prestado, que se determinarán en cada convocatoria.

– Diagnóstico inicial:

● Elaboración de un análisis de vulnerabilidades, que incluya:

○ Clasificación de vulnerabilidades encontradas en cada servicio y dispositivo, según el nivel de riesgo.
○ Recomendaciones y medidas a adoptar.

– Resultados:

● Elaboración de un plan de protección del negocio que cubra las necesidades detectadas en la organización:

○ Política de seguridad, se definirán las medidas a implementar sobre los medios y sistemas de acceso a la información:

▪ Cifrado de datos y seguridad en la nube, política de backup.

▪ Configuraciones VPN y escritorios virtuales, procedimiento para los accesos mediante Autentificación Multifactor (MFA).

○ Política y procedimiento de vigilancia activa, donde se definirán los sistemas y configuraciones necesarias para realizar una observación continua de las medidas de seguridad, así como la adecuación de las mismas a la aparición de nuevas tecnologías.

▪ Monitorización de redes y servicios.

▪ Monitorización correo electrónico.

○ Plan de concienciación en ciberseguridad para empleados.

▪ Usos permitidos de las TIC en la empresa.

▪ Recursos y materiales formativos, como guías, videos y simulaciones de phishing, para reforzar la formación.

○ Definición o revisión de la política de seguridad de la información aprobada por la Dirección.

▪ Determinación del alcance del SGSI para ISO27001.

▪ Categorización de seguridad de los sistemas de información para ENS.

▪ Roles, responsabilidades y compromiso y liderazgo de la Dirección.

○ Acompañamiento para la contratación de servicios de seguridad gestionada (protección, detección y respuesta). 

– Caso de uso: Análisis de vulnerabilidades con resultados de las pruebas realizadas y recomendaciones.

● Diagrama AS-IS sobre el cual se representen los elementos de los sistemas de información de los que dispone la organización y como se relación entre sí.

● Diagrama TO-BE: elaboración del diagrama que incluya los medios y sistemas de información recomendados para cubrir las necesidades de la organización basadas en los resultados de las pruebas de penetración.

● Recomendaciones y medidas a adoptar.

● Benchmark para la contratación de servicios, que cubran las recomendaciones y medidas a adoptar. Deberán focalizarse en:

1. Gestión de vulnerabilidades: monitorización continua de la seguridad y en tiempo real.

2. Respuesta ante incidentes: soporte y asesoramiento en caso de sufrir una intrusión.

Limitaciones:

– La contratación de este servicio de asesoramiento sólo podrá formalizarse si el beneficiario ha formalizado previamente un Acuerdo de Prestación del Servicio de Asesoramiento en Ciberseguridad (Básico).

– La prestación de este servicio deberá iniciarse tras la finalización y presentación de la documentación justificativa del servicio de Asesoramiento en Ciberseguridad (Básico).