Justificaciones Ciberseguridad Básico

Documentación técnica y resultados requeridos para la justificación «Ciberseguridad (Básico)», conforme al artículo 31.6.a) de esta Orden:

– Evidencias de la celebración de la reunión presencial de inicio de la prestación del servicio de asesoramiento, que se determinarán en cada convocatoria.

– Evidencias de celebraciones de reuniones intermedias, que se determinarán en cada convocatoria.

– Evidencias de la celebración de la reunión presencial final tras la prestación del servicio de asesoramiento, que incluya los resultados obtenidos y la conformidad del beneficiario al servicio prestado, que se determinarán en cada convocatoria.

– Diagnóstico inicial:

● Elaboración de un Análisis de vulnerabilidades, que incluya:

○ Inventario y recopilación de información de los sistemas y fuentes a evaluar.
○ Auditoría de los activos identificados y pruebas de penetración (pentesting).
○ Listado de vulnerabilidades detectadas.
○ Listado de dispositivos y servicios vulnerables. 

Soy Asesor Digital y necesito apoyo en materia de justificación

– Resultados:

● Elaboración de un plan de protección del negocio que cubra las necesidades detectadas en la organización, mediante la definición de una Política de seguridad que defina las medidas a implementar sobre los medios y sistemas de acceso a la información:

○ Gestión de usuarios. Autenticación, política de contraseñas fuertes.
○ Protección de correo electrónico / servidores /end-points.
○ Copias de seguridad con mecanismos específicos anti ransomware.
○ Actualización y parcheo periódico de software.

● Elaboración de un plan de continuidad de negocio enfocado a la protección de las personas y sistemas de la organización, así como al restablecimiento oportuno de los procesos, servicios críticos e infraestructura, frente a eventos de interrupción o desastre. El plan debe incluir al menos los siguientes puntos clave:

○ Gestión ante incidentes de seguridad.
○ Gestión de vulnerabilidades.

○ Medidas de respuesta y recuperación.

● Cumplimiento legal: medidas para el cumplimiento del RGPD, incluyendo registro e inventario de actividades de tratamiento de datos de carácter personal.

– Caso de uso: Análisis de vulnerabilidades con resultados de las pruebas realizadas y recomendaciones.

● Diagrama AS-IS sobre el cual se representen los elementos de los sistemas de información de los que dispone la organización y como se relacionan entre sí.

● Resultados de las pruebas de pentesting: reporte de las pruebas realizadas que incluya un resumen, metodología utilizada, hallazgos e impacto.