Subvenciones de Seguridad

Con el fin de promover las nuevas tecnologías y dar impulso a aspectos como la seguridad de la información dentro de este ámbito, se han establecido una serie de ayudas y subvenciones tanto de carácter autonómico como nacional aplicables a la implantación de la norma ISO 27001, que probablemente muchos de ustedes conozcan, independientemente si se trata de consultoras o de clientes. A continuación les muestro un breve resumen de las distintas ayudas y organismos gestores, aunque no tengo constancia de que haya alguna convocatoria abierta en estos momentos.

Innoempresa

Es un programa de apoyo de carácter autonómico dirigido exclusivamente a las PYMES. Los proyectos susceptibles de esta subvención son los que se enmarcan como:

  • Planes de mejora tecnológica
  • Proyectos de desarrollo tecnológico
  • Implantación y certificación tecnológica UNE 16601,16602 (SGIDi)
  • Implantación y certificación UNE-EN-ISO 14001 (Medio ambiente), 9001 (Calidad), EFQM, Seguridad de la información (ISO 27001)

Más información en la web del IMPIVA

Plan Avanza

Es un programa de ámbito nacional en el cual se establecen ayudas para proyectos de modernización de las PYME del sector TIC, destinados a la obtención de certificaciones en los ámbitos de la calidad del software, la gestión del servicio TI y la seguridad de la información, y más concretamente:

  • CMMI
  • ISO 9001
  • ISO 20000
  • ISO 27001

Más información en la web del Plan Avanza

INTECO

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), promovido por el Ministerio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología. Este instituto gestiona ayudas para el impulso de la implantación de ISO 27001 (SGSI) en PYMES.

Más información en la web de INTECO

Como pueden comprobar, existe un claro interés por parte de distintos organismos por fomentar la seguridad de la información a nivel de PYMEs, las cuales la mayoría de veces prescinden de ella en su negocio. Lo que se trata a través de estas subvenciones es de no ver la seguridad como un costo o una obligación, sino como un derecho.

No obstante, la existencia de estas subvenciones ha dado cabida a la especulación en el desarrollo de estos proyectos, algo de lo que habló en una entrada muy interesante Javier Cao. Con estas ayudas pasa algo similar a lo ampliamente criticado con la ejecución de proyectos de adecuación de LOPD mediante los créditos de formación de la Fundación Tripartita: la famosa coletilla del “COSTE CERO”, con la que muchas de empresas se lanzan abordar proyectos de este tipo con el pretexto de que puede ofrecerlo a sus clientes de manera gratuita (en ocasiones mediante gestiones un tanto dudosas), sin disponer del know-how adecuado. El problema de esto es que las especulaciones con estas medidas de apoyo lo único que consiguen es desprestigiar el sector y a los profesionales que formamos parte de él.

Comments

  1. Qué quieres que te diga, trabajo en una de esas consultoras que según tú y javier cao hacen sgsi virtuales a cero euros, y te puedo asegurar que de virtuales tienen poco, lo que pasa es que estamos en un sector en el que todavía somos pocos y todos nos conocemos y hay mucha envidia cuando una consultora consigue una subvención para su cliente que le cubre el 100% o casi el 100% del coste del proyecto, porque recordemos que el plan avanza da 19.000 euros para implantar y certificar una pyme, y perdóname, pero con esa cantidad se puede hacer el proyecto de implantanción, que venga una certificadora y encima ganarle dinero. El que diga que no tiene mucho morro o quiere ganar mucho dinero. Siempre y cuando hablemos de pymes pequeñas, no de una de 200 empleados que quiere certificar “todo”.

  2. Estoy totalmente de acuerdo contigo en que con 19000 euros hay dinero de sobra para implantar y certificar una pyme relativamente pequeña. Si me gustaria resaltar 2 cosas:

    En primer lugar, las subvenciones no suelen cubrir el 100% del coste puesto que la propia subvención es un % del coste de la implantación, con lo cual para conseguir el 100% debes emplear metodo un tanto dudoso como el tema de contrafacturas y demas argucias que me parece que de licito tienen mas bien poco.

    En segundo lugar el uso de subvenciones para implantar empresas porque “son amigas mias”, por ejemplo un tienda de informatica, un gimnasio, o similares, en las cuales el unico interes que hay es por parte de la implantadora sacar dinero y las empresas amigas hacen el favor para que la implantadora se lleve dinero por un proyecto que nunca usaran para nada. El hecho de certificar el gimnasio de mi vecino en 27001 no creo que sea un impulso para el sector, sino un acto de picaresca.

    Y creeme que se de que estoy hablando…

  3. Creo que en el propio comentario se deja entrever precisamente lo que nosotros indicamos. Creo que tanto la gente de S2-Grupo como la de Firma-e que tradicionalmente nos hemos dedicado a la “seguridad de la información” no vemos esto de la 27001 como “implantación de sistemas de gestión” sino una “implantación de medidas de seguridad que están vigiladas con un sistema de gestión”. El sello no es el objetivo, es el premio por hacer bien las cosas.

    ¿En dónde se nota el matiz? Básicamente en el análisis de riesgos y su correspondiente plan de tratamiento. Se supone que construyes un modelo de seguridad que debe reflejar lo que podría pasar. Si ves un análisis que no responde a las preguntas básicas de los posibles problemas, o bien, los que diagnostica están muy alejados de la realidad, eso es un paripe para cubrir los controles de la norma y no va a permitir a esa empresa realmente gestionar nada.

    Adelante con todos los clientes que solo buscan un sello… yo siempre digo lo mismo.
    En un sistema de gestión de la calidad, un error o un fallo supone la pérdida de algunos clientes.

    En un sistema de gestión de la seguridad de la información, un error o un fallo puede suponer quedarte sin empresa. Los clientes así que solo quieren la medalla pero no solventar sus problemas de seguridad creo que no son objetivo ni para S2-Grupo ni para Firma-e. Todos para tí, amigo Paco.

  4. No sé qué pasa, pero siempre que sale este tema hay piques por todas partes.

    No he dicho de hacerlo a un gimnasio de mi amigo, ni he dicho de hacer el paripé, simplemente he dicho que con 19.000 hay dinero más que suficiente.

    El tema de los “SGSI virtuales” tan predicados salieron a la luz en el blog de Javier Cao, y sinceramente no sé por qué, no sé si es que ha visto alguno o es que ha visto consultoras que se mueven bastante más que la suya para poder entrar y hacer proyectos ayudándose de las subvenciones y en el fondo quisiera estar en esa situación.

    Javier, subvención no es lo mismo que trabajar mal, que veo que no lo tienes claro.

  5. Por supuesto, Paco, que con 19000 euros se puede implantar y certificar el SGSI de una PYME de tamaño pequeño (o incluso medio, dependiendo de la empresa). Sin ninguna duda. El problema que se plantea es hasta qué punto esos 19000 euros son dedicados realmente al proyecto, porque lógicamente, cuanta menor dedicación y más rápidamente y “en serie” se haga todo, mayor margen de beneficio; cuando dicho margen es lo que lo dirige todo, a expensas de una mejor implantación, facilidad de gestión futura, o incluso de análisis de conveniencia del SGSI para la empresa cliente, es cuando surgen los SGSIs virtuales, que no buscan mejorar la seguridad sino a) conseguir el certificado para el cliente y b) un suculento margen para la consultora.

    En cualquier caso, dejando aparte el tema de chanchullos varios, que por desgracia los hay en todos los sectores donde existen subvenciones, en los SGSI’s a coste cero el problema que surge es que no en pocas ocasiones las subvenciones se basan en un esquema busca-y-captura por parte de la consultora (que no digo que sea ese tu caso) para encontrar clientes dispuestos a obtener un certificado ISO 27001, que en cualquier otra situación (aunque fuese a bajo coste) ni siquiera se plantearían ya sea por la carga de trabajo o por el coste económico. Esto deriva en sistemas mal diseñados, mal implementados, certificables por los pelos, y mal o nada mantenidos, que sí, son un desprestigio para el sector.

    Obviamente, para conseguir estos clientes, algunas consultoras “evitan” trasladar al cliente el esfuerzo, implicaciones y necesidades que la implantación y mantenimiento de un SGSI conlleva, dejando únicamente el aspecto positivo más inmediato: Certificado ISO 27001. Clientes que, en realidad, nunca han tenido un interés real en incrementar o preocuparse por su nivel de seguridad, ni lo siguen teniendo, sino que únicamente buscan conseguir el dichoso certificado ISO 27001 que la consultora les ha vendido.

    Resumiendo, no es lo mismo partir de un cliente que busca un respaldo “oficial” para la gestión de la seguridad que está haciendo, o un cliente que de manera sincera se plantea una mejora significativa de la gestión de su seguridad, y para los que una subvención es una buena ayuda pero no el motor del proceso, que partir de clientes que les da igual la seguridad, pero les atrae aquello del certificado porque les sale gratis y así se lo ha vendido la consultora. Estos últimos son a los que podríamos denominar “SGSIs virtuales”.

    Supongo que en parte esto está motivado por el hecho de que hasta la fecha (yo al menos) no haya visto ningún certificado ISO 27001 que haya sido denegado.

    En el fondo de la cuestión reside un hecho que la propia naturaleza de la subvención pervierte: los 19000 euros son para el cliente, no para la consultora; es decir, para que la PYME interesada busque una consultora que le ayude a implantar y certificar un SGSI, no para que la consultora busque un cliente a quien implantar un SGSI.

  6. Estoy totalmente de acuerdo con Manuel, sobre todo en el busca-y captura y en que al final los SGSI que se hacen en el gimnasio del vecino y en la guarderia la cuñada del vecino se quedan en agua de borrajas y lo unico que aportan es una pegatina.

    Aceptamos 19000 euros como cantidad suficiente para certificar una PYME.

    Pero Paco me gustaria que me contestases como justificas el otro porcentaje de la implantación que debe de pagar el cliente porque que yo sepa la subvención de la implantacion en el innoempresa es un 50%, en el inteco es un 90%, en el avanza lo desconozco), con lo que no existen SGSI de coste 0 que sean LEGALES.

    ¿Cual es el procedimiento? supongo que la empresa a implantar le pagará a tu empresa la parte que debe pagar y luego tu empresa contratara los servicios de la empresa implantada con lo que todos todos felices y aqui no paga nadie (llamalo triangulacion, contrafactura) y si ya metemos por medio los organismo intermedios hay entonces ya puedes disfrutrar de un verdaderas obras de arte a nivel de facturación.

    Te hago esta reflexion, imaginate por una de aquellas que se hace una auditoria financiera de estas ayudas por parte del ministerio en tu empresa… ¿estariais preocupados?

  7. Por alusiones, quiero comentarte de donde salen los SGSI virtuales. Obviamente no son un tema del programa “Cuarto milenio” sino toda una realidad por varios motivos aunque todos ellos se resumen en el gran desconocimiento que existe todavía en temas de gestión de la seguridad de la información y las interpretaciones que se hacen tanto de las normas ISO 27001 como ISO 27002.

    [PACO]:”No sé si es que ha visto alguno o es que ha visto consultoras que se mueven bastante más que la suya para poder entrar y hacer proyectos ayudándose de las subvenciones y en el fondo quisiera estar en esa situación.”[/PACO]

    Jejeje, para nada. En la Región de Murcia que es donde me muevo no tenemos competencia (por ahora). Y hemos logrado también proyectos más grandes en un sector que tiene requisitos legales para tener que garantizar seguridad de la información donde nos toca arreglar los entuertos que montan las mega-consultoras que tienen mucho nombre pero a veces en temas extraños como este, poco conocimiento. El año 2009 ha sido particularmente bueno en lo profesional.

    Paco, te voy a hablar desde la perspectiva puramente técnica. A mi las rentabilidades de los proyectos me preocupan relativamente dado que me asignan unas horas y unos proyectos que tengo que ejecutar de la mejor manera posible. Me joden cuando ves que para implantar un SGSI decente requieres unas X horas y por el presupuesto destinado sólo puedes dedicar X/2 con lo que toca al cliente currar bastante más si lo quiere por ese precio “subvencionado”. Por supuesto que en una PYME, 18.000€ dan para hacer las cosas bien, pero siempre que sea un trabajo compartido entre consultora y cliente. Por ese precio, la consultora no puede hacer todo lo que supone implantar el SGSI (Como por ejemplo, el diseño e implantación de los controles ISO 27002 bajo el criterio profesional que tengo del trabajo que habría que hacer. A lo mejor otros interpretan los controles de otra forma y así si es posible y viable).

    Este año he visto de todo. Análisis de riesgos sin metodología, análisis de riesgos que se inventaban los resultados y seleccionaban las medidas que querían, hasta declaraciones de aplicabilidad que tenían sobre unos 40 controles “en blanco”. No se habían molestado ni en justificar las exclusiones. Han entendido que un SGSI no es más que el Documento de Seguridad de la LOPD con unas cuantas medidas más (las que les han apetecido porque no había un análisis de riesgos lógico) y poco más. Obviamente SGSI de esta naturaleza a 18.000€ son todo un chollo para quien tiene la jeta de montarlos.

    Entiendo siempre que un buen trabajo es aquel que deja a la Empresa adecuada con un verdadero SGSI entre manos y que los hace autónomos para saber lo que llevan entre manos. Un buen SGSI debe proporcionar un cuadro de mandos que establezca qué eventos hay que monitorizar y que permita evaluar si la aplicación del plan de tratamiento de los riesgos está logrando modificar las tendencias indeseables que la Empresa haya detectado y que quiera lograr reducir en materia de seguridad.

    Proyectos subvencionados no es trabajar mal pero clientes subvencionados a menudo si son clientes poco motivados que se suben a un barco que pasaba por alli. Desconocen verdaderamente qué supone afrontar el proceso de certificación ISO 27001 pero la Dirección o alguien de relevancia se apunta al proyecto aunque luego supone un marrón para otras áreas que no cogen el proceso con “ilusión y entusiasmo”. Además, se supone que en las subvenciones, ellos se comprometen en un grado de implicación alto porque a ellos también se les subvenciona la parte de trabajo que van a tener que realizar para conseguirlo. Sin embargo, al final esto es otro marrón que cae en el area TI que además suele ser la más saturada de la empresa.

    Y hablo por experiencia porque este año hemos logrado certificar 14 SGSI con la 27001 (De ellos 12 son Pymes). Además, como auditor (interno) he podido revisar otros 16 SGSI realizados por diferentes consultoras también en Pymes. Total que opino con una muestra de 30 sistemas que me parecen suficientes para poder extrapolar resultados. Y los sintomas son similares:
    -Malos análisis de riesgos que no reflejan los riesgos potenciales y reales (Cosas como que no aparezcan en el modelo las personas, la información en soporte papel, valoraciones de activos realizadas por la propia consultora, etc.)
    -Mala o nula formación por parte del cliente.
    -Ausencia de objetivos de mejora que planteen a la Dirección qué beneficios aporta realmente el SGSI.

    Tampoco se de que te sorprendes. La norma ISO 27001 empieza a contaminarse de las malas aplicaciones de la ISO 9001. Muchas de las no conformidades que las empresas han recibido son fallos graves de la propia aplicación del proceso de mejora continua. Vamos, que son NC mayores tanto para calidad como para seguridad pero si se suponen que están certificados en ISO 9001, así que estos fallos no los deberían comenter. Se empiezan a dar circunstancias parecidas donde lo que vale es el sello y no el por qué de su existencia que no deja de ser algo tan sencillo como evitar problemas con la información.

  8. Quisiera comentar que yo trabajo en una consultora que nos dedicamos a CMMi e ISO y sincerament siempre es lo mismo en relación al cliente, la obtención del sello y nada más, nada de mejora ni nada por el estilo. Lo peor es que es eso lo que se vende, un sello y el paripé y al final a engañar a toda la gente que trabaja en el desarrollo e SW con palabrería barata de que esto va suponer un avance en la calidad del SW y bla, bla. Es curioso que la mayoría de los mandos intermedios que son responsables de departamentos de sistemas buscan lo mismo, el puñetero sello, sin interesarles la mejora, ¿Por qué será? La respuesta es obvia y es una mezcla de ignorancia, avaricia, miedo a que se vea lo que se hace o lo que no se hace, etc. Pero lo que más me ha sorprendido siempre es la ignorancia de estos responsables ¿No se supone que un responsable de sistemas sepa de sistemas, informática, IT, como se quiera llamar? La mayoría no tienen ni idea y están ahí por otros motivos totalmente distintos a la eficiencia, experiencia, conocimientos, sentido común. Pero es que también desde las consultoras no se tiene ni pajolera idea de software, se aprendenden de memoria cuatro chorradas y con eso a pregonarlo en todos los sitios donde se va sin la mínima capacidad para adaptarlo a cada casuisitica. No hablemos ya de los auditores encargados de acreditar, los mayores impostores que hay, y estado en bastantes procesos de certificación como para poder corroborar esto.
    ¿Qué hacer ante esta tesitura sin poner en peligro el puesto de trabajo? Pues me temo que el anonimato activo, es decir, denunciar esta mala praxis desde el anonimato.
    Gracias.

  9. Cierto es que hay mucho consultor “automático” que siempre da la misma respuesta a problemas diferentes, y está haciendo que el mercado de las TIC se deteriore, pero no es menos cierto la incompetencia de los auditores, que normalmente saben muy poco de lo que están certificando.
    Las certificadoras se han visto con un pico de trabajo enorme y están haciendo calificaciones a toda prisa de auditores, cogiendo gente sin experiencia, que no conoce las normas de las que son auditores, etc, en fin, una verguenza el tema de los auditores.
    Por supuesto hay excepciones, pero la gran gran mayoría son una panda de incompetentes.

  10. javier olcama says

    No solo hay auditores que no saben sino lo peor es que aun sabiendo algunos pocos de ellos ‘regalan’ las certificaciones y lo que una organzación dice ser según sus sellos de la ISO o un determinado nivel de CMMI, luego en realidad es todo mentira, un paripé y como bien se dice esto ha llevado a una degradación total de las TIC, a un engaño donde la ignorancia, la arrogancia, la estupidez, avaricia e incompetencia se han impuesto entre los mandos intermedios de las organizaciones y solo el esfuerzo personal de las personas que realmente sacan los proyectos adelante hace que la cosa salga adelante aunque no de la manera más eficiente.
    La mayoría de los procesos de acreditación se basan al final en revisar documentos con o sin sentido y en preguntar cuatro chorradas sin profudizar realmente en los resultados de la mejora, si es que realmente se ha mejorado. ¿Sabéis que España está actualmente dentro de los cinco primeros paises del mundo en número de organizaciones acreditadas en algún nivel de CMMI?
    Yo he oido comentarios a mandos intermedios de la siguiente guisa:
    – A mi lo que me interesa es el sello ese y lo demás me toca los h….
    – Pero vamos a ver…¿Cuánto vale tener el sello? Y no, no era Coto Matamoros
    – Cuando venga el auditor tenéis que decir que CMMI nos ha dado la luz ya que antes era todo oscuridad…bueno, no lo digais así que se va a notar pero ¿Lo habéis pillado?
    – Etc…

  11. Pues eso.
    ¿Y cuál es la solución?, porque yo no la sé.
    He visto sellos tan falsos que ahora cuando veo una empresa certificada en 27001 lo primero que pregunto es quién lo ha implantado y quién lo ha auditado. En función de eso me creo el sello o no.

  12. javier olcama says

    Toda certificación, sea ISO, CMMI, SPICE, etc, es llevada a cabo por cada vez más un determinado perfil de personas con caracteristicas similares y entre las características de estos perfiles está la hipocresia, el desconocimiento de la materia, la cobardía y la falta de ética profesional y de principios, pero han visto que sin hacer grandes esfuerzos tienen una actividad laboral sencilla y bastante lucrativa.
    Efectivamente vale el dicho “Dime quien te ha certificado y te diré lo que no eres”

    ¿Solución? No la hay, pero por lo menos sería interesante tocar lo h… un poco y deninciar aunque sea anonimamente este tipo de mala praxis.

  13. Antonio Huerta says

    El asunto de los auditores me parece totalemente cierto, yo lo he visto sobre todo en el ambito de la 27001, gente reciclada de calidad, gente de LOPD, que se limitan a poco mas que pasar un cuestionario que ha sido “LEGADO” por alguien que lo hizo en su dia.

    Ni que decir que las subvenciones tienen gran parte de culpa al respecto, puesto que cuando la consultora llega y asedia al futuro cliente con promesas de implantaciones de SGSI, tiene que garantizar al cliente que la certificacion inicial tambien le va a salir gratis, puesto que actualmente es requisito de la subvencion de la implantación conseguir la acreditacion, lo que vengo a decir es que la consultora debe garantizar que la peluqueria de la vecina se va a certificar de lo contrario adios subvencion. Y muchas veces se trata de negociar con las certificadoras:
    -Mira que te voy a pasar un paquete de tantas empresas para certificar , pero me lo tienes que hacer por este precio y estan flojitas
    -No puedo porque pierdo costes.
    -Pues entonces tendre que mirarla de hacerlo con otros.

    Entonces el certificador recorta costes, intenta contratar un auditor de la zona para ahorrar desplazamiento, etc.

    Conclusion que el tema de los SGSI “gratis” genera una espiral de “recorte” que al final queda todo en lo que decis un paripé, o como diria Ignatius Reily en algo “tan carente de teologia y geometría como de decencia y buen gusto”

    Tambien comentar en cuanto auditoras que no creo que sea la empresa la que le da la credibilidad puesto que la mayoria no tienen a los auditores de 27000 en plantilla, y son subcontratados, si no el auditor que realiza la auditoria de certificación.

Trackbacks

  1. […] de la AEPD? y Reglamento de desarrollo de la LOPD: Productos de software, en el blog de AudeaSubvenciones de Seguridad, en Security Art […]