¿Qué es el Kit Consulting?

El Kit Consulting es un programa de ayudas del Gobierno de España que permite a pymes diseñar la hoja de ruta para su transformación digital.

Proyectos y dotación presupuestaria 

Proyecto en números: se pretender llegar a 15.000 pymes. 300 millones de euros de presupuesto.

¿A quién va dirigido?

Los servicios de asesoramiento que proporciona el programa Kit Consulting están orientados a la pequeñas y medianas empresas entre 10 y menos de 250 empleados.

¿Cuál es la ayuda?

• Entre 10 y menos de 50 empleados: 12.000 €
• Entre 50 y menos de 100 empleados: 18.000 €
• Entre 100 y menos de 250 empleados: 24.000 €

Categorías de servicios

• Servicios de Digitalización: implantación de IA, mejora de los procesos de negocios, etc. 
• Servicios de Ciberseguridad: servicios de Asesoramiento en Ciberseguridad (Básico) - 6.000 €, Servicios de Asesoramiento en Ciberseguridad (Avanzado) - 6.000 €, Servicios de Asesoramiento en Ciberseguridad (Preparación para Certificación) - 6.000 €.

 

Para optar al servicio de Asesoramiento en Ciberseguridad (Avanzado) y (Preparación para certificación), primero hay que pasar por el servicio de Asesoramiento en Ciberseguridad (Básico).

Asesoramiento en Ciberseguridad (Básico)

Pensado para PYMES que no disponen de una protección básica o que, aun teniéndola, no cuentan con un plan de Ciberseguridad adaptado a la actividad económica desarrollada, para implantarlo, y para definir y aplicar la documentación básica de ISO 27001 y ENS (Media – Alta), y realización de un caso de uso adaptado al negocio en el área de la Ciberseguridad.

Son PYMES que no tienen organizada la Ciberseguridad dentro de su organización y este bono de Asesoramiento en Ciberseguridad (Básico) les va a servir para que cuenten con un plan de Ciberseguridad y que además tengan la documentación mínima para comenzar la implantación de la ISO 27001 y/o el Esquema Nacional de Seguridad (ENS).

• Conocer la situación frente a riesgos. Es decir, qué situación tiene la empresa frente a los riesgos. Qué amenazas y qué vulnerabilidades existen que les pueda crear un incidente. ¿Para qué? Para establecer un plan de respuesta que, por un lado, mitigue esas vulnerabilidades y por otro lado, nos proporcione una respuesta apropiada en caso de que tengamos un incidente.
• Garantizar la continuidad de negocio. Es decir, que las operaciones de la empresa no se paren por un ciberincidente, de tal forma que tengamos ya un Plan de Continuidad de Negocio.
• Elaborar un plan de respuesta a incidentes en caso de ciberataque. Que tengamos un sistema de gestión de incidentes para poder responder de forma apropiada.
• Establecer la estrategia de ciberseguridad. Una vez que conocemos los activos, las amenazas y las vulnerabilidades que tienen los activos y cómo las gestionamos, se va a poder establecer una estrategia y decir qué es lo que se va a implantar en cada momento. En definitiva, que haya un plan para poder mejorar la Ciberseguridad en la organización.
• Cumplir con el RGPD/LOPDGDD. Todas las empresas manejamos información personal, ya sea de nuestros clientes, de nuestros proveedores, de nuestros empleados, de potenciales clientes, etc. Una de las obligaciones que establece la normativa de Protección de Datos es que tengamos los datos seguros, es decir, que implantemos medidas apropiadas en función de un Análisis de Riesgos que se haya hecho, y tratemos esos riesgos para minimizarles, es decir, bajarles a un nivel apropiado.
• Documentación básica para ISO 27001 y ENS en categoría Media – Alta.
• Desarrollo caso de uso y aplicación IA enfocada a la Ciberseguridad dentro de la empresa.

• Elaboración del inventario de activos porque es básico para gestionar la Ciberseguridad ya que, si una organización no sabe que activos tiene, difícilmente va a poder gestionar la Ciberseguridad de forma conveniente en esos activos.

  • Pero ¿qué son los activos? La información que se tiene, es decir, archivos, bases de datos, etc. También son los equipos, los servidores, los equipos informáticos, los portátiles, las tabletas, los teléfonos móviles, etc. Activos son también las aplicaciones que utiliza que, convenientemente deberán ser actualizadas, instalación de parches…etc. También son los soportes externos, como son los discos duros, memorias, etc. También los servicios externos que tengamos contratados.

• Auditoría de los activos identificados y pruebas de penetración (pentesting) para conocer que vulnerabilidades tienen esos activos.
• Elaboración del Plan de Protección del Negocio que cubra las necesidades detectadas. Una vez que se tiene el inventario de activos, la auditoría de esos activos identificados y un Análisis de Riesgos, se va a poder elaborar un plan de protección que cubra esas necesidades, esas vulnerabilidades que se han detectado o cómo se puede mejorar la Ciberseguridad dentro de la organización.
• Elaboración de la Política de Seguridad que incluya: esta política de seguridad debe incluir los siguientes apartados:

  • Gestión de usuarios: cómo se van a gestionar los usuarios, quién autoriza y quién establece los permisos que se le dan a un usuario. Debe haber una política de control de acceso que identifique los distintos perfiles de usuarios que hay en la organización y a qué información y a qué recursos tienen acceso, así como todo el proceso de creación del usuario.

  • Política de contraseñas robustas: es decir, que las contraseñas que se apliquen sean de al menos 12 caracteres y que contengan, mayúsculas, minúsculas, caracteres especiales, números y letras. Y cada cuanto se van a cambiar esas contraseñas, la periodicidad mínima es una vez al año y eso tiene que estar documentado en esa política de contraseñas. También es importante el sistema de autenticación que se va a emplear, es decir, dónde se va a meter esa contraseña, si es posible activar el doble factor de autenticación.

  • Protección del correo electrónico, servidores y ordenadores: es decir, cómo se van a proteger los servidores y los ordenadores, es decir, los

  • Copias de seguridad: qué se va a copiar, con qué periodicidad y dónde se va a copiar esa información. Si se va a tener una copia remota, dónde va a estar ubicada y si va a estar cifrada o no y de qué forma.

  • Actualización y parcheo de sistemas: todos los sistemas, todas las aplicaciones, sistemas operativos, etc, tienen vulnerabilidades de fábrica que es necesario parchear y actualizar para que mantengamos la seguridad en los sistemas en todo momento y en un nivel apropiado.

• Elaboración de un Plan de Continuidad de Negocio enfocado en la protección de las personas y los sistemas: este es un plan que establece una organización para que, en caso de un evento disruptivo, pueda continuar con sus operaciones. Este Plan de Continuidad de Negocio tiene que contemplar:

  • Gestión de incidentes de seguridad que se producen, cómo se van a comunicar, quién los va a gestionar y qué hay que hacer para la gestión hasta su cierre.

  • Gestión de vulnerabilidades a nivel técnico y a nivel organizativo.

  • Medidas de respuesta y recuperación que se van a tomar para atender esos incidentes disruptivos.

• Cumplimiento del RGPD/LOPDGDD, es decir, la implantación o actualización de la implantación para que cumpla íntegramente con la normativa vigente en ese momento.

• Análisis de vulnerabilidades y recomendaciones;
• Elaboración del diagrama de los elementos de los sistemas de información y sus relaciones;
• Realización de un pentesting.

Requisitos y funcionamiento

• Domicilio fiscal en territorio español;
• Tener entre 10 y 249 empleados
• Tener consideración de PYME
• Estar al corriente de la AEAT y la Seguridad Social

• Beneficiario: serían las empresas que van a beneficiarse del bono y van a mejorar la Ciberseguridad de su organización. ¿Qué es lo que tiene que hacer el beneficiario? Emplear el bono concedido en la contratación de uno o varios servicios de asesoramiento del catálogo del programa del Kit Consulting. 
• Asesor Digital: son los que van a realizar el servicio de asesoramiento de quien haya elegido a la empresa, y guiará a la PYME sobre los pasos que deberá seguir para conseguir mejorar la Ciberseguridad en su organización. 
• Entre medias está Red.es: que es el organismo que se encarga de gestionar y tramitar las ayudas. La ventaja es que el beneficiario no tiene que adelantar el importe de la ayuda. Simplemente, una vez que acaba el servicio solo tiene que abonar el IVA correspondientes a esa factura, pero el importe de la factura es abonado por Red.es al asesor digital. 

Plazo de tiempo

El plazo para presentar la solicitud finaliza el: 31 de diciembre de 2024 a las 11:00 horas.

Aunque en la página del Kit Consulting pone que el programa termina el 31 de diciembre de 2025, no es así porque para presentar la solicitud es hasta el 31 de diciembre de este año.

¿Por qué con Grupo CFI?

Porque llevamos 18 años protegiendo empresas. Tenemos las siguientes certificaciones: Esquema Nacional de Seguridad (ENS) RD 311/2022, ISO 27001 y su extensión ISO 27701, ISO 9001 y el Sello de Confianza Online, las cuales nos permiten brindar este servicio de forma profesional, solvente y que de verdad sirva para la empresa.

Tenemos también una cartera de más de 2.500 clientes de todos los sectores.

Y también nos encargamos de los trámites. Grupo CFI se puede encargar de los trámites con Red.es. Podemos actuar como Representantes para presentar la solicitud del Kit Consulting.

Conclusiones

• Kit Consulting es una oportunidad única para mejorar la Ciberseguridad en tu organización.
• También puedes preparar para obtener la certificación ISO 27001 y ENS en Categoría Media - Alta.
• No hay que adelantar dinero