Catálogo de Servicios de INTECO - INCIBE · 2020-05-12 · sistemas de gestiÓn de seguridad de la...

o o (1) 1

r:

CATÁLOGO DESERVICIOS

ÍNDICE

INTRODUCCIÓN 3

SERVICIOS DE SEGURIDAD 4 AUDITORÍAS TÉCNICAS DE SEGURIDAD 5 BASTIONADO DE SISTEMAS 6 ANÁLISIS FORENSE DE SISTEMAS 6 ANÁLISIS DE RIESGOS 7 SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y PLANES

DIRECTORES DE SEGURIDAD 7 ADECUACIÓN AL ENS (ESQUEMA NACIONAL DE SEGURIDAD) 8 SEGURIDAD GESTIONADA 9 FORMACIÓN Y CAPACITACIÓN 10

SERVICIOS DE ACCESIBILIDAD 12 INFORMES DE AUDITORÍA DE ACCESIBILIDAD WEB 12 SOPORTE DE CONSULTORÍA 12 IMPLANTACIÓN DE UN OBSERVATORIO DE ACCESIBILIDAD WEB 13 IMPLANTACIÓN DE UN SISTEMA INTEGRAL DE GESTIÓN DE LA

ACCESIBILIDAD WEB (SIGA) 14 FORMACIÓN 15

SERVICIOS DE CALIDAD TIC 16 EVALUACIÓN DE LA CALIDAD DE UN PRODUCTO SOFTWARE 16 OFICINA TÉCNICA DE CALIDAD TIC 17 SOPORTE AL DESARROLLO Y ADQUISICIÓN DE SOFTWARE 18 FORMACIÓN 18

SERVICIOS DE INVESTIGACIÓN Y ESTUDIOS 20 DISEÑO Y EJECUCIÓN DE PROYECTOS DE INVESTIGACIÓN AD HOC 20 PANEL DE USUARIOS DE INTERNET 20 ELABORACIÓN DE MATERIALES DE DIVULGACIÓN 21

RESUMEN DE SERVICIOS 22 SEGURIDAD 22 ACCESIBILIDAD 23 CALIDAD TIC 24 SERVICIOS DE INVESTIGACIÓN Y ESTUDIOS 25

Catálogo de Servicios - INTECO 2

INTRODUCCIÓN

El INSTITUTO NACIONAL DE TECNOLOGÍAS DE LA COMUNICACIÓN S.A. (INTECO) es una Sociedad Mercantil Estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información que tiene como objeto social la gestión, asesoramiento, promoción y difusión de proyectos tecnológicos en el marco de la Sociedad de la Información.

La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYMES, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional.

Aparece expresamente constituida como medio propio y servicio técnico de la Administración General del Estado, con lo que está obligada a realizar los trabajos que le encomienden los diferentes Departamentos ministeriales de la Administración General del Estado en las materias objeto de sus funciones. De esta manera presta servicios a la Administración en temas de seguridad tecnológica, accesibilidad Web y calidad TIC de una forma ágil y eficaz a través de la figura de las encomiendas de gestión.

A través de esta fórmula, cualquier órgano de la Administración General del Estado puede requerir la prestación de servicios de INTECO sin necesidad de acudir a licitación pública, al quedar expresamente excluida la aplicación de la Ley de Contratos del Sector Público (Ley 30/2007) de acuerdo con su artículo 4.1 n).



SERVICIOS DE SEGURIDAD

Actualmente INTECO es un referente nacional e internacional en materia de seguridad tecnológica, contando con una plantilla altamente cualificada que posee diversas certificaciones en el ámbito de los productos y servicios de seguridad de la información y una amplia experiencia en seguridad de la información1. Así mismo, INTECO forma parte de los más prestigiosos foros y grupos de trabajo de ámbito internacional en materia de seguridad de la información, colaborando activamente en diversas iniciativas y potenciando el conocimiento en todas nuestras líneas de actuación.

Este hecho, nos ha permitido innovar mediante el desarrollo de soluciones sostenibles a través del INTECO-CERT (INTECO - Computer Emergency Response Team), que nos permiten ofrecer una gama de servicios orientados a garantizar unos niveles de seguridad adecuados a cada tipo de organización.

INTECO-CERT cuenta actualmente con 55 profesionales en seguridad de la información.

Los principales servicios que presta son:

Auditorías Técnicas de seguridad.

Bastionado de sistemas.

Análisis forense de sistemas.

Análisis de riesgos.

SGSI y Planes directores de seguridad.

Adecuación al Esquema Nacional de Seguridad.

Seguridad gestionada.

Formación y capacitación.

Adicionalmente se prestan servicios hacia ciudadanos/as y empresas a través del portal web www.inteco.es. Dichos servicios son principalmente:

1 Experto en implantación de Sistemas de Gestión de Seguridad la Información (SGSI). Experto en auditoría de SGSI. Certified Information Systems Security Professional (CISSP) de ISC2. Certified Information Systems Auditor (CISA) de ISACA.

http://www.inteco.es/

Servicios de Información: con suscripción a boletines y alertas, actualidad, noticias y eventos, avisos en línea sobre nuevos virus, vulnerabilidades, virus más extendidos por correo electrónico e información sobre correo electrónico no deseado.

Servicios de Formación: guías, manuales, cursos en línea.

Catálogo de Productos y Empresas de Tecnologías de Seguridad.

Servicios de Protección: útiles gratuitos y actualizaciones de software.

Servicios de Respuesta y Soporte: gestión y resolución de Incidencias, gestión de malware o código malicioso, fraude electrónico, asesoría Legal y foros.

INTECO dispone de una Red de Sensores de Seguridad desplegada en más de 170 organismos (Administración General del Estado, Gobiernos de CCAA, Ayuntamientos, Red Académica, proveedores de servicios y diversas entidades privadas del ámbito de las TIC). Gracias a estos sensores se recibe periódicamente información de la detección de numerosas incidencias de seguridad en las redes españolas (detección de malware en correo electrónico, spam, fraude electrónico, botnets, denegaciones de servicio, etc.).

Por último INTECO-CERT cuenta en la actualidad con más de 215.000 suscriptores a sus alertas y boletines diarios de seguridad de la información, foros de seguridad con más de 13.000 usuarios y más de 65.000 consultas y los diferentes contenidos accesibles en el sitio Web (como eFraude, guías, manuales y herramientas de seguridad) a los que acceden más de 550.000 visitantes al mes.

AUDITORÍAS TÉCNICAS DE SEGURIDAD

Las auditorías de seguridad permiten conocer cuál es la situación exacta de los activos de información en cuanto a protección, control y medidas de seguridad implantadas en su organización. Basándonos en técnicas de hacking ético, en algunos casos simulando un ataque real, analizamos sus activos en busca de

vulnerabilidades que supongan un riesgo para la organización.

Existen múltiples modalidades de auditorías técnicas que encuentran su equivalencia en las distintas tipologías de activos susceptibles de ser auditados. INTECO realiza actualmente auditorías técnicas sobre:

Auditoría de Seguridad Perimetral: sobre los activos de información visibles desde Internet.

Auditoría de Seguridad Interna: sobre los activos de información solo visibles desde las redes internas de la organización.

Auditorías de Seguridad Web: analizando externamente las posibles debilidades y vulnerabilidades que puedan estar presentes en desarrollos Web.

Auditorías de código de aplicaciones: analizando internamente las posibles debilidades y vulnerabilidades que puedan estar presentes en el código fuente de una aplicación, ya sea Web o de cualquier otro tipo.

Auditorías de Seguridad sobre Activos de Información móviles: tales como PDAs.

Auditorías de Seguridad sobre redes y protocolos de comunicación: Wi-Fi, VoIP, etc.


Todos estos tipos de auditorías pueden combinarse entre ellos con el fin de obtener una visión más amplia de la seguridad de su organización.

INTECO ha realizado numerosas auditorías de seguridad en diferentes organismos y entidades de la Administración General del Estado, administración autonómica y local.

BASTIONADO DE SISTEMAS

INTECO cuenta con un equipo de profesionales cualificados para el desempeño de tareas de aseguramiento, protección y bastionado de sistemas. El bastionado debe ser una parte de la instalación de un equipo o un paso previo a la explotación de un servicio. Sin embargo, es necesario realizar una revisión periódica del

mismo de forma que se garantice que los equipos estén correctamente asegurados y protegidos mientras estén ofreciendo el servicio para el que fueron destinados.

Este servicio le aportará una garantía de seguridad en sus pases a producción y le permitirá, de un modo sencillo, realizar revisiones periódicas con el fin de mantener esos niveles de seguridad en el tiempo.

INTECO ha realizado bastionado de sistemas tanto internos como externos, destacando el bastionado de los activos críticos realizados en diferentes organismos y entidades de la Administración General del Estado, administración autonómica y local.

ANÁLISIS FORENSE DE SISTEMAS

El análisis forense es una metodología de estudio para el análisis posterior de incidentes de seguridad informática y en redes, mediante la cual se trata de reconstruir cómo se ha penetrado en el sistema, intentando identificar el origen del ataque y los daños ocasionados.

Para llevar a cabo un análisis forense, INTECO combina procedimientos legales y técnicos para recolectar y analizar la información de los sistemas informáticos, redes, comunicaciones inalámbricas y dispositivos de almacenamiento.


INTECO ha recibido varias solicitudes de colaboración en este ámbito destacando informes técnicos para diversos juzgados y fiscalías, así como el análisis forense de discos y sistemas solicitados por la Brigada de Investigación Tecnológica y el Grupo de Delitos Telemáticos de la Guardia Civil.

ANÁLISIS DE RIESGOS

Para toda organización es imprescindible evaluar los riesgos asociados a sus activos y establecer las estrategias y los controles adecuados que aseguren una permanente protección y salvaguarda de la información de forma que se permita garantizar la confidencialidad, integridad y disponibilidad de la misma.

INTECO cuenta con expertos certificados en materia de análisis de riesgos capaces de determinar los niveles de seguridad de cada organización.

Mediante el análisis de riesgos, su organización podrá realizar una gestión adecuada de los riesgos de una manera metódica y eficiente, justificando una mejora continua de la seguridad en los procesos de negocio. Así mismo, le permitirá establecer un plan para la continuidad de sus procesos de negocio.

En este ámbito, INTECO ha realizado distintos análisis de riesgos realizados sobre activos críticos de diversas entidades y organismos de diferentes sectores, destacando, principalmente, la Administración General del Estado.

Para ello INTECO se ha basado en metodologías de referencia como MAGERIT (Versión 2) y herramientas de análisis de riesgos como PILAR.

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y PLANES DIRECTORES DE

SEGURIDAD

Su organización podrá establecer una estrategia de seguridad a

través del diseño y la implementación de un sistema de gestión de la seguridad de la información (SGSI) que responda a los objetivos de la organización.

Basándonos en la norma ISO 27001, que define los procesos de gestión de la seguridad, se establece una estrategia de actuación mediante la definición de políticas, procedimientos y controles en relación a los objetivos de negocio de su organización, con objeto de mantener siempre el riesgo por debajo del nivel asumible.

Así pues, el sistema le permitirá optimizar los esfuerzos en la mejora continua de la seguridad, priorizando aquellos aspectos críticos para su organización y descubriendo debilidades que supongan un riesgo en los procesos de negocio así como las salvaguardas más apropiadas para paliarlas.

INTECO está llevando a cabo actualmente la implantación y certificación de 150 sistemas de gestión de seguridad de la información en el ámbito de la PYME a través de su Programa de Impulso a la Implantación y Certificación de SGSI ISO 27001 en la PYME.


http://www.csi.map.es/csi/pg5m20.htm

https://www.ccn-cert.cni.es/publico/herramientas/pilar43/tools/index.html

https://sgsi.inteco.es/index.php/es/conceptos-de-un-sgsi/normativa?start=1

Adicionalmente INTECO cuenta desde febrero de 2009 con el certificado ISO 27001 para los diversos servicios que se prestan desde el Centro Nacional de Respuesta a Incidentes de Seguridad TIC (INTECO-CERT), el Observatorio de la Seguridad de la Información y el Centro Demostrador de Tecnologías de Seguridad. Para dicho proceso de certificación INTECO se ha basado en metodologías de referencia como MAGERIT (Versión 2) y herramientas de análisis de riesgos como PILAR.

ADECUACIÓN AL ENS (ESQUEMA NACIONAL DE SEGURIDAD)

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, previsto en el artículo 42 de la Ley 11/2007, establece la política de seguridad en la utilización de medios electrónicos por las Administraciones Públicas y está constituido por

principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Así mismo se establece su ámbito de aplicación, de acuerdo a lo establecido en el artículo 2 de la Ley 11/2007, de 22 de junio, esto es: Administración General del Estado, Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas, y sus relaciones entre ellas y con los ciudadanos.

La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Con el fin del cumplimiento de la citada Ley INTECO pone al servicio de las diversas organizaciones objeto del ámbito de aplicación, un equipo de profesionales expertos en la implantación de diversos esquemas de seguridad y que permitirán la adecuación al Esquema Nacional de Seguridad de acuerdo con el siguiente flujo de trabajo:


http://www.csi.map.es/csi/pg5m20.htm

https://www.ccn-cert.cni.es/publico/herramientas/pilar43/tools/index.html

SEGURIDAD GESTIONADA

Los servicios de seguridad gestionada de INTECO permitirán detectar posibles incidentes de seguridad que se produzcan en sus activos mediante la monitorización de la red y la gestión de vulnerabilidades. Asimismo, el servicio está diseñado para realizar una respuesta eficiente ante la posible

materialización de un incidente o alerta.

El servicio realiza revisiones periódicas en busca de vulnerabilidades que pudieran surgir en la red así como una monitorización constante de la misma capaz de detectar anomalías que puedan suponer un riesgo para la confidencialidad, integridad o disponibilidad de los servicios.

Mediante un sistema de descarte (falsos positivos) y priorización, el reporte de situación y alertas proporciona a la organización un mapa constante de su estado de seguridad. Adicionalmente, este sistema de alertas podrá notificar a través de diversos canales,


aquellas incidencias que, por su severidad, sea necesario reportar en tiempo real a la organización.

Este servicio le permite, de forma desatendida, mantener protegidos sus activos de manera continua y ofrecer respuestas efectivas ante los incidentes y riesgos surgidos, minimizando el impacto para su organización.

FORMACIÓN Y CAPACITACIÓN

El equipo humano de INTECO ha realizado importantes esfuerzos en acciones formativas de capacitación de profesionales en materia de seguridad de la información, organizando o participando en distintos seminarios, talleres, cursos o masteres.

INTECO pone a su disposición la experiencia de nuestros formadores para capacitar a los profesionales de su organización. Cómo valorar y proteger sus activos, establecer mecanismos de mejora continua de la seguridad, cumplir con la legislación vigente en materia de protección de datos de carácter personal, son algunos de los aspectos que cubrimos en nuestras acciones formativas.

INTECO ha formado en materia de seguridad de la información a más 300 profesionales de diferentes ámbitos (Fuerzas y Cuerpos de Seguridad del Estado, personal técnico de diferentes Ministerios, Administraciones de CCAA y Entidades Locales, profesionales TIC, etc.).

A través de nuestra formación, su equipo humano se preparará para diseñar y afrontar los distintos objetivos de seguridad, pudiendo gestionar eficientemente todos los aspectos relativos a la seguridad global de los activos de su organización.

Formación en línea y presencial

Máster Profesional en Tecnologías de Seguridad. Curso de Especialización en SGSI. Curso de Protección de la Identidad Digital. Curso de Protección en Redes Sociales. Curso de Menores Protegidos. Curso de Menores Protegidos para Educadores / Padres. Curso de Actuaciones ante el Fraude en Internet. Curso de Organización de un CSIRT. Curso de Auditoría de Seguridad Web. Curso de Seguridad Informática Básica. Curso de Técnicos de Seguridad. Curso de Auditoría de Seguridad. Curso de Aspectos Legales en las TIC. Curso de Riesgos en Internet. Curso de Gestión de Incidentes de Seguridad. Curso de Criptografía Básica y Aplicaciones. Curso de Desarrollo Seguro y Seguridad en Aplicaciones. Curso de Investigador Tecnológico.


Curso de Introducción a la Seguridad de la Información. La LOPD en la PYME: Adecuación y Cumplimiento. El DNI electrónico: usos y ventajas. Protección y Uso Seguro del PC y otros dispositivos. Seguridad en Internet.



LsA

SERVICIOS DE ACCESIBILIDAD

Los servicios de accesibilidad ofrecidos por INTECO abarcan todos los procesos necesarios para que las organizaciones puedan cumplir de forma sostenible en el tiempo con la legislación vigente y con las directrices e iniciativas internacionales.

INTECO forma parte de los más prestigiosos foros y grupos de trabajo de ámbito nacional e internacional en materia de accesibilidad, es miembro del consorcio internacional W3C.

Las competencias atribuidas según Real Decreto 1494/2007 de 12 de noviembre y el amplio conocimiento adquirido por nuestro equipo de profesionales nos ha permitido innovar en el desarrollo de soluciones y herramientas orientadas a satisfacer las necesidades para todo tipo de organización y estado de partida.

INFORMES DE AUDITORÍA DE ACCESIBILIDAD WEB

as auditorías de accesibilidad le permiten conocer cuál es la situación exacta de us sitios Web en cuanto al cumplimiento de la legislación y los Principios de ccesibilidad generalmente conocidos: norma UNE139803:2004 y pautas

WCAG.

Basándonos en los requisitos y nuestra metodología de verificación, analizamos sus plantillas, entornos de desarrollo o sitios Web públicos o privados en busca de disconformidades que supongan problemas de accesibilidad.

Estos análisis, se han realizado a más de 100 organizaciones y en más de 170 ocasiones, con distinto nivel de profundidad, desde el análisis diagnóstico (permite tener una visión general del estado), hasta el análisis pormenorizado (identificando todos los problemas del sitio y proporcionando propuestas de soluciones para los mismos).

SOPORTE DE CONSULTORÍA

El soporte de consultoría especializada ha permitido ofrecer más de 500 soluciones a cerca de 100 consultores de diferentes organizaciones para todo tipo de consultas especializadas de accesibilidad y estándares Web por parte de nuestro equipo de profesionales, y en base a un acuerdo de nivel de servicio.

Consulta estándar: <24h.

Consulta con prototipado2: <72h.

2 Se considera consulta con “prototipado” a aquellas consultas que requieren del montaje de infraestructura y prototipos para la realización de pruebas en laboratorio de INTECO.

http://www.inteco.es/Accesibilidad/Normativa_1/Descarga/DescargaUNE_139803

http://www.w3.org/TR/WCAG/

http://www.w3.org/TR/WCAG/

En este caso aportamos las soluciones a través de nuestro Sistema Integral de Seguimiento de Consultoría de Accesibilidad (SISCA), una herramienta Web propia que nos permite un seguimiento eficiente del estado de cada consulta.

IMPLANTACIÓN DE UN OBSERVATORIO DE ACCESIBILIDAD WEB

Orientado a organizaciones responsables de más de un sitio Web o aquellas interesadas en seguir la evolución de su sitio, la implantación de un observatorio de accesibilidad permite a las organizaciones, mediante la metodología definida por el equipo de profesionales de INTECO, el análisis acerca del estado y la

evolución de la accesibilidad Web.

Los resultados permiten a las organizaciones disponer de un análisis pormenorizado fiable y con ello la explotación de los resultados mediante la generación de estadísticas comparativas sobre los mismos, identificando claramente la evolución y las tendencias, así como los problemas más comunes, las conclusiones y aquellas propuestas de mejora o planes de acción a llevar a cabo por parte de las organizaciones.

Desde INTECO se han realizado cuatro Observatorios de Accesibilidad de la Administración General del Estado sobre una muestra de 30 portales pertenecientes a Ministerios y organismos de primer nivel.

9,91

8 ,54 8,23

7,32 7 ,09

6,15 6,005,53 5,49

4,72

9,368,84

7,88 7,787,09 7,01 6,81

5,90 5,72

4 ,58

9,04 8,63

7,737,63

6,75 6,62

5,82 5,54 5,48 5,23

0,00

1,00

2,00

3,00

4,00

5,00

6,00

7,00

8,00

9,00

10,00

Pun

tuac

ione

s M

edia

s de

Res

ulta

dos

Puntuaciones Medias de Resultados

Portales Segmento I Portales Segmento II Portales Segmento III


IMPLANTACIÓN DE UN SISTEMA INTEGRAL DE GESTIÓN DE LA ACCESIBILIDAD WEB (SIGA)

Debido a la obligación que impone la legislación y al elevado volumen de cambios que continuamente se aplican sobre los sitios Web (realizado generalmente por personal no especializado en accesibilidad), el riesgo de incumplimiento es elevado.

La implantación de un Sistema Integral de Gestión de la Accesibilidad Web (SIGA), permite a las organizaciones optimizar los esfuerzos en materia de accesibilidad de uno o varios sitios Web, permitiendo su evolución continua y garantizando de forma sostenible en el tiempo, un nivel óptimo de cumplimiento de la legislación en materia de accesibilidad Web.

En el proceso de implantación intervienen de forma organizada, los distintos servicios de Accesibilidad de INTECO:

Procedimientos y definición de indicadores.

Herramientas de monitorización continua. Informes de auditoría. Soporte de consultoría. Formación.

De esta manera se consigue afianzar un nivel de madurez en materia de Accesibilidad en la organización permitiendo una gestión eficiente y profesionalizada.

El modelo de servicios del SIGA ha sido implantado exitosamente en 15 organismos de la Administración General del Estado.


FORMACIÓN

El equipo humano de INTECO ha realizado gran cantidad de acciones formativas, capacitando a los profesionales del sector en materia de accesibilidad, organizando o participando en distintos seminarios, talleres y cursos.

INTECO pone a su disposición la experiencia de nuestros formadores para capacitar a los profesionales de su organización, ya que la disponibilidad de personal cualificado se considera imprescindible para el mantenimiento efectivo de la accesibilidad de un sitio Web de forma sostenible en el tiempo.

Para ello proponemos una oferta formativa a través de distintos canales y orientada a distintos perfiles:

1. Formación en línea: donde se ha formado a más de 900 alumnos. Dirigida por parte de nuestros tutores, con prácticas y ejercicios para diferentes perfiles y niveles:

Básico (10 h.).

Gestor (35 h.).

Técnico (60 h.).

Avanzado (130 h.).

2. Formación presencial: realización de acciones de formación presencial en los que nuestros formadores explican los aspectos y técnicas más relevantes de accesibilidad, estándares y usabilidad Web. Desde el año 2007 se ha formado a más de 450 profesionales de forma presencial.

3. Guías y buenas prácticas: guías complementarias y especificas, sobre diversas tecnologías (Ej.: Flash, PDF, etc.) contabilizando más de 12.300 descargas. Esta información ayuda por tanto a resolver gran cantidad de problemas comunes manteniendo un repositorio de buenas prácticas.


SERVICIOS DE CALIDAD TIC

Los servicios de calidad TIC y en particular los servicios de calidad del software ofrecidos por INTECO, tienen como objetivo fundamental la mejora de la calidad de los productos software generados durante el desarrollo de aplicaciones y sistemas informáticos, así como la mejora de los procesos de adquisición de software.

INTECO se ha convertido en un referente en calidad del software a nivel nacional mediante la creación de un grupo especializado de profesionales que han aunado sus esfuerzos en el desarrollo de servicios orientados a la mejora de la competitividad desde el punto de vista del negocio, tanto en las empresas productoras como en las compradoras de software.

La mejora en la calidad del software se apoya en tres pilares fundamentales: los procesos, las herramientas y las personas. Los servicios de INTECO proporcionan los medios para esta mejora, aportando mejores prácticas, herramientas y metodologías aplicables a la gestión de calidad en el desarrollo y adquisición de software.

EVALUACIÓN DE LA CALIDAD DE UN PRODUCTO SOFTWARE

Es evidente que la calidad en la producción de software, a un coste razonable, produce beneficios tanto para la empresa que lo adquiere como para la empresa que lo produce, es por ello que desarrollar o seleccionar productos software de calidad hoy en día es de vital importancia para las organizaciones.

Este servicio permite evaluar la calidad del producto en desarrollo o producto final desarrollado utilizando metodologías, personas, herramientas y procesos, todo ello alineado con las principales normas internacionales de calidad del producto (ISO/IEC 14.598, ISO/IEC 9126 e ISO/IEC 25.000).

Según el estado del producto se establecen dos niveles de evaluación:

Producto software en desarrollo. El objetivo de este servicio es la detección temprana de defectos en el ciclo de vida de desarrollo del producto. La detección y corrección de estos defectos permitirá: mejorar la calidad de las aplicaciones y su percepción por el negocio, disminuir el tiempo de entrega del software y disminuir los costes de desarrollo y mantenimiento de las aplicaciones.

Se establecerá un Proceso de Medición y Análisis de la Calidad del producto a lo largo del ciclo de vida de desarrollo software que constará de los siguientes pasos:

□ Adquisición de datos. Utilización de métodos, técnicas y herramientas para la captura de los datos necesarios.

□ Análisis de los datos. Almacenamiento, manipulación y análisis de las mediciones.

□ Presentación de datos. Elaboración de informes con las conclusiones del análisis: mejoras del producto en desarrollo.

Producto software final. Evaluación de la calidad de un producto software desarrollado mediante el establecimiento de un Proceso de Evaluación de la Calidad que constará de los siguientes pasos:


□ Definición de los requisitos de la evaluación. Establecimiento del propósito de la evaluación, identificación del producto (tamaño) y de las características a evaluar: funcionalidad, usabilidad, eficiencia, etc.

□ Diseño de la evaluación. Selección de métricas y establecimiento de criterios de evaluación.

□ Ejecución de la evaluación. Toma de medidas, comparación con los criterios establecidos, valoración de los resultados y elaboración de recomendaciones de mejora del producto.

OFICINA TÉCNICA DE CALIDAD TIC

La constitución de una oficina técnica de calidad, con personal altamente cualificado, permite asegurar y certificar la calidad de los productos software generados durante el desarrollo de aplicaciones y sistemas informáticos o bien la implantación de metodologías de adquisición y gestión de software.

La oficina implanta metodologías de trabajo y establece un modelo operativo y define y pone en marcha los servicios necesarios para certificar la calidad de los productos.

Aunque los desarrollos software se ajusten a los requerimientos funcionales establecidos, pueden ser negativamente valorados por los usuarios si su rendimiento no es el esperado, si los niveles de disponibilidad no son satisfactorios o si la usabilidad penaliza su trabajo diario. Disponer de una Oficina Técnica que gestione estos aspectos garantiza la satisfacción del usuario final de la aplicación informática.


SOPORTE AL DESARROLLO Y ADQUISICIÓN DE SOFTWARE

La calidad es cada vez más una exigencia para las empresas y organizaciones públicas, que deben incorporar y desarrollar nuevos instrumentos y sistemas de gestión de la calidad, introducir metodologías de la mejora continua, adaptar sus

estructuras, recursos y procesos.

Este servicio permite realizar un análisis inicial con el objetivo de identificar la situación en la que se encuentran las distintas áreas de proceso de la organización, detectando aquellas que podrían ser objeto de mejora. A partir de este diagnóstico previo, se diseña un plan de mejora previo a la implantación, se implantan las mejoras y finalmente se obtienen las lecciones aprendidas para futuras mejoras.

En este proceso de implantación interviene el personal especializado de INTECO prestando los siguientes servicios:

Servicios de consultoría: análisis de la situación inicial de los procesos, definición de planes de mejora e implantación de mejoras.

Servicios en línea: auto-evaluación de empresas, directorio de herramientas y repositorio documental.

Servicios de formación: guías de mejores prácticas, talleres técnicos, formación presencial y formación en línea.

FORMACIÓN

INTECO pone a su disposición un amplio catálogo de cursos impartidos de forma presencial y en línea. Además, como apoyo a la formación, dentro de la estrategia formativa y de capacitación, se proporcionan guías de mejores prácticas en calidad TIC.

La oferta formativa está orientada los distintos perfiles implicados en el desarrollo y adquisición de software, así como a la gestión de servicios de TI:


Formación en línea y presencial

Desarrollo Software:

□ Curso de Introducción a la Calidad del Software. □ Curso de Metodologías y Certificaciones. □ Curso de Calidad de un Producto Software. □ Curso de Mejora Continua Orientada al Desarrollo. □ Curso de Introducción a la Ingeniería del Software: Modelos de Ciclo de Vida. □ Curso de Desarrollo Ágil. □ Curso de Gestión de Riesgos. □ Curso de Medición y Análisis. □ Curso de Introducción a la Gestión de Proyectos.

Adquisición de Software:

□ Curso de Introducción a la Gestión de Adquisiciones. □ Curso de Gestión de Contratos. □ Curso de Gestión de Relaciones con Proveedores.

Gestión de Servicios de TI:

□ Curso de Introducción a la Gestión de Servicios. □ Curso de Operación de Servicios.


SERVICIOS DE INVESTIGACIÓN Y ESTUDIOS

INTECO realiza proyectos de investigación y análisis enmarcados en el ámbito de las tecnologías de la información y la comunicación, especialmente en el campo de la seguridad y la e-confianza. Estos servicios se dirigen a empresas, asociaciones sectoriales, fundaciones, organizaciones sin ánimo de lucro, administraciones y organismos públicos de todos los ámbitos. Los principales servicios que presta son:

DISEÑO

o de profesionales de INTECO presta un servicio integral de diseño y

bre usos, hábitos, equipamiento y

Y EJECUCIÓN DE PROYECTOS DE INVESTIGACIÓN AD HOC

El equipejecución de proyectos de investigación de mercados y tecnologías, garantizando un análisis multidisciplinar que cubra los enfoques técnico, económico, jurídico y/o sociológico, tanto desde el punto de vista de la oferta sectorial como de la

demanda, ciudadanos (hogares y menores), empresas (especialmente pymes) y administraciones (entidades locales y comunidades autónomas).

INTECO presta un servicio “llave en mano”: elabora una propuesta de proyecto adaptada a las necesidades del cliente, define las metodologías apropiadas para el cumplimiento de los objetivos, gestiona el trabajo de campo tanto cuantitativo (encuestas presenciales, online, CATI) como cualitativo (entrevistas en profundidad, grupos de discusión, búsqueda documental), analiza los datos extraídos y elabora el correspondiente informe de resultados y recomendaciones, prestando un servicio integral consultoría en seguridad.

PANEL DE USUARIOS DE INTERNET

INTECO obtiene mensualmente información sopercepción de un Panel que cuenta con más 3.500 hogares españoles conectados a Internet en todo el territorio nacional. Esta

Además de su amplio conocimiento del mercado,INTECO ofrece un servicio de acceso a la información que proporciona su Panel de Hogares, posibilitando la incorporación de módulos adicionales diseñadosconjuntamente por INTECO y el cliente. El resultado es la lectura evolutiva de las variables solicitadas con un margen de error de ±1,5, sin costes de captación y la posibilidad de múltiples segmentaciones.

Panel onlinemetodología de investigación robusta e innovadora queaúna la realización de cuestionarios online conauditorías de seguridad remotas de los equipos, permiteconocer tanto incidencias y comportamientos puntualescomo las tendencias del mercado y la evolución en eltiempo de la percepción de los usuarios.


n > 3.500 hogares españoles conectados InternetCada oleada = 1 encuesta + 3 escaneos

Encuestas trimestrales a

usuarios

OPINIÓN

Escaneos mensuales a

equipos

AUDITORÍA REMOTA iScan

Percepción vs. Realidad(Lecturas evolutivas)


ELABORACIÓN DE MATERIALES DE DIVULGACIÓN

INTECO elabora manuales, guías, juegos educativos y otros materiales de divulgación, en sus áreas de actuación, dirigidos a colectivos específicos (ciudadanos, menores, PYMES). Los servicios abarcan desde la fase de propuesta de contenidos, hasta la elaboración de los mismos, edición en el formato deseado por el cliente (online y offline) e incluso el asesoramiento y la formación en la utilización óptima de dichos materiales.

RESUMEN DE SERVICIOS

SEGURIDAD

SERVICIO DETALLE

Auditoría Web periódica.

Auditoría trimestral durante un año sobre un aplicativo Web, proporcionando indicadores de la evolución de seguridad.

Incluye servicio de consultoría remota (30 h) para mitigación del riesgo.

Auditoría perimetral.

Auditoría de seguridad sobre los activos expuestos en Internet.

Incluye servicio de consultoría para la mitigación del riesgo detectado.

Posibilidad de modalidad periódica.

AUDITORÍAS TÉCNICAS DE SEGURIDAD

Auditoría interna.

Auditoría de seguridad sobre los activos internos de la organización.

Incluye servicio de consultoría para la mitigación del riesgo detectado.

Posibilidad de modalidad periódica.

BASTIONADO DE SISTEMAS

Fortificación de un sistema de la organización.

Incluye procedimientos para futuras revisiones de seguridad del sistema.

ANÁLISIS FORENSE DE SISTEMAS Análisis del incidente y recopilación de evidencias.

ANÁLISIS DE RIESGOS Identificación y valoración del riesgo asociado a un grupo de activos.

SGSI Y PLANES DIRECTORES DE SEGURIDAD

Diseño e implantación de estrategia de seguridad en la organización.

ADECUACIÓN AL ENS Implantación de estrategias de seguridad para la adecuación

al Esquema Nacional de Seguridad (ENS).

SEGURIDAD GESTIONADA Monitorización de seguridad y gestión de vulnerabilidades.

FORMACIÓN Y CAPACITACIÓN

En modalidades: □ En línea. □ Presencial.

SERVICIO INTEGRAL DE SEGURIDAD

Incluye: □ Auditoría perimetral. □ Auditoría Interna. □ SGSI y Plan Director de Seguridad. □ Seguridad Gestionada.


ACCESIBILIDAD

SERVICIO DETALLE

INFORMES DE AUDITORIA DE ACCESIBILIDAD WEB

Informe de auditoría de accesibilidad exhaustivo según WCAG / UNE 139803:2004 y comprobación tras el proceso de corrección.

SOPORTE DE CONSULTORIA

Bolsa de horas de consultoría especializada y plataforma online de Consultoría.

IMPLANTACIÓN DE UN OBSERVATORIO DE ACCESIBILIDAD WEB

Análisis de forma pormenorizada acerca del estado y la evolución de la accesibilidad Web. Incluye: metodología, definición de métricas, análisis automáticos y explotación de resultados.

IMPLANTACIÓN DE UN SISTEMA INTEGRAL DE GESTIÓN DE ACCESIBILIDAD WEB (SIGA)

Sistema de gestión que incluye:

□ Procedimientos e indicadores. □ Herramientas de monitorización continua. □ Informes de Auditoría. □ Soporte de Consultoría. □ Formación.

FORMACIÓN

Formación en línea:

□ Curso Básico (10 horas). □ Curso Gestor (35 horas). □ Curso Técnico (60 horas). □ Curso Avanzado (130 horas).

Formación presencial y guías.

SERVICIO BÁSICO DE ACCESIBILIDAD WEB

Incluye anualmente:

□ Informe de auditoría de accesibilidad. □ Formación de 5 alumnos/as. □ Monitorización continua del nivel de accesibilidad Web

sobre una muestra del portal. □ Monitorización continua del uso correcto del lenguaje

sobre una muestra del portal. □ Servicio de boletín mensual de accesibilidad Web.


CALIDAD TIC

SERVICIO DETALLE

EVALUACIÓN DE LA CALIDAD DE UN PRODUCTO SOFTWARE

En función del estado del producto se definen dos niveles de evaluación:

□ Producto software en desarrollo.

- Adquisición de datos.

- Análisis de los datos.

- Presentación de datos.

□ Producto software final.

- Definición de los requisitos de la evaluación.

- Diseño de la evaluación.

- Ejecución de la evaluación.

OFICINA TÉCNICA DE CALIDAD TIC

Incluye:

□ Implantación de metodologías de trabajo y establecimiento de un modelo operativo.

□ Definición y puesta en marcha de los servicios necesarios para certificar la calidad de los productos.

□ Realización y puesta en marcha de un plan de aseguramiento de la calidad, que asegure productos de calidad.

□ Generación de informes de resultados de las certificaciones realizadas.

□ Aseguramiento de la calidad en las distintas fases del desarrollo del producto.

□ Revisión de la documentación asociada a los proyectos de desarrollo software.

□ Seguimiento de objetivos estratégicos y asesoramiento tecnológico.

SOPORTE AL DESARROLLO Y ADQUISICIÓN DE SOFTWARE

Se incluyen las siguientes actividades de soporte para la mejora de los procesos implicados en el desarrollo y la adquisición software:

□ Diagnóstico inicial. □ Alcance de la mejora. □ Plan de Mejora. □ Implementación de las mejoras en la organización. □ Lecciones aprendidas.

FORMACIÓN □ Formación en línea y formación presencial. □ Guías de mejores prácticas.


SERVICIOS DE INVESTIGACIÓN Y ESTUDIOS

SERVICIO DETALLE

DISEÑO Y EJECUCIÓN DE PROYECTOS DE INVESTIGACIÓN AD HOC

□ Servicio integral de diseño y ejecución de proyectos de investigación de mercados y tecnologías.

□ Análisis multidisciplinar (técnico, económico, jurídico, sociológico) y multisectorial (cadena de valor de la oferta / demanda de seguridad: ciudadanos, empresas y administraciones).

INTECO presta un servicio “llave en mano”, que incluye:

□ Propuesta de proyecto adaptada a las necesidades del cliente.

□ Definición de las metodologías apropiadas. □ Gestión del trabajo de campo tanto cuantitativo

(encuestas presenciales, online, CATI) como cualitativo (entrevistas en profundidad, grupos de discusión, búsqueda documental).

□ Tratamiento de datos y análisis de resultados. □ Elaboración de informe de diagnóstico y

recomendaciones.

PANEL DE USUARIOS DE INTERNET

□ Muestra panelizada de más de 3.500 hogares conectados a Internet.

□ Lectura mensual y evolutiva de las variables solicitadas.

□ Margen de error de ±1,5. □ Múltiples segmentaciones. □ Sin costes de captación.

ELABORACIÓN DE MATERIALES DE DIVULGACIÓN

□ Manuales, guías, juegos educativos y otros materiales formativos.

□ Dirigidos a colectivos específicos (ciudadanos, menores, PYMES).


Catálogo de Servicios de INTECO - INCIBE · 2020-05-12 · sistemas de gestiÓn de seguridad de la...

Documents

Transcript of Catálogo de Servicios de INTECO - INCIBE · 2020-05-12 · sistemas de gestiÓn de seguridad de la...