AEI Sello de Ciberseguridad para Organizaciones

El Sello de Ciberseguridad para Organizaciones de la AEI Ciberseguridad es un esquema de certificación que incluye los requisitos de seguridad que debe cumplir cualquier organización cuando necesite demostrar, conforme a los requisitos del esquema, que dispone de los sistemas y medidas de seguridad físicas y lógicas necesarias para proteger sus activos de las distintas amenazas que puedan provocar daños en los servicios o capacidades de la organización.

Está dirigido a cualquier entidad pública o privada (grandes, medianas y pequeñas empresas) que quiera demostrar que cumple con los requisitos de ciberseguridad establecidos por este sello.

Códigos éticos, de conducta o buenas prácticas

Este sello no se encuentra adherido a códigos de conducta, aunque integra en sus especificaciones las normativas, estándares internacionales y mejores prácticas:

  • LPIC o Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y su reglamento RPIC
  • LOPD o Ley orgánica 15/1999, de 13 de diciembre de protección de datos personales
  • ENS o Esquema Nacional de Seguridad
  • ISO 27001:2014 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de Seguridad de la Información (SGSI). Requisitos.
  • ISO 22301:2013 Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del Negocio (SGCN). Especificaciones.

Requisitos necesarios para su cumplimento

Las empresas que deseen certificarse, han de cumplir los requisitos de seguridad establecidos en las especificaciones de este sello, entre ellos los de la formación de determinados perfiles y la firma de un compromiso de promoción de la ciberseguridad y de un acuerdo para el uso de la marca, además de superar una auditoría de verificación.

Los requisitos de la auditoría de verificación tratan siguientes aspectos de la ciberseguridad:

  • utilización de protocolos de comunicaciones seguros;
  • cumplimiento de la LOPD;
  • seguridad en las infraestructuras: seguridad física, sistemas operativos y aplicaciones;
  • formación y capacitación de los trabajadores;
  • contratos de prestación de servicio y medidas aplicadas en la relación con proveedores;
  • seguridad de los servicios ofrecidos: capacidades, dimensionamiento y disponibilidad.

El procedimiento comienza cuando la empresa rellena y firma un formulario de solicitud y un cuestionario para determinar el nivel de complejidad de la certificación. Este cuestionario permitirá valorar el tiempo que durará la auditoría de verificación. La complejidad se valora en función de diez elementos, entre los que se encuentran: la cantidad de empleados, usuarios, servidores, bases de datos, estaciones de trabajo y emplazamientos; el uso de firmas digitales y PKI, y el uso de mecanismos de cifrado; y el impacto que supondría la pérdida de información crítica para la empresa. La certificación inicial puede variar para una pyme con un emplazamiento, entre 3 días y 16 días según su nivel de complejidad.

El proceso de certificación incluye la selección de dos entidades, una consultora y una evaluadora —ambas aprobadas por la AEI— que ayudarán a la empresa a la implantación de la seguridad y a la evaluación de la certificación.

Pasos para su obtención

  1. Las empresas interesadas en certificarse con el Sello del Ciberseguridad deben de dirigirse a la Secretaría Técnica del Sello de la AEI para obtener la información necesaria través de su web AEI Ciberseguridad.

  2. La AEI informará sobre el proceso de certificación y le facilitará a la empresa la siguiente información:

    • precios de la certificación;
    • listado de empresas evaluadoras oficiales;
    • listado de entidades consultoras oficiales;
    • siguientes pasos.

    La entidad interesada en la certificación también podrá consultar en la web de la AEI los listados oficiales de empresas evaluadoras/certificadoras y consultoras oficiales.

    Obtención sello ciberseguridad AEI (Pasos 1 a 2)

  3. La entidad interesada contacta con una consultora aprobada por la AEI de su elección para iniciar el proceso de implantación del Sello.

  4. Una vez la entidad ha implantado los requisitos y medidas exigidas en las especificaciones del Sello, la entidad interesada contacta con una evaluadora aprobada por la AEI de su elección para iniciar el proceso de evaluación del Sello.

  5. La AEI recibe el informe de evaluación y estudia la conveniencia de certificación.

  6. En caso de valoración positiva, la AEI emite el certificado.

    Obtención sello ciberseguridad AEI (Pasos 3 a 6)

Renovación

El Sello tiene una validez de 3 años, realizándose evaluaciones anuales de mantenimiento.