La categoría de Ciberseguridad del Kit Consulting financiaba un asesoramiento experto para que una pyme conociera su nivel de exposición y construyera un plan de protección a su medida. No es la compra de un antivirus ni una auditoría puntual: es consultoría que entrega un diagnóstico de seguridad, un plan de ciberseguridad priorizado, las políticas y procedimientos básicos y, en su nivel avanzado, la preparación para una certificación como la la norma ISO 27001 o el ENS. El programa la dividía en tres subniveles —básico, avanzado y preparación de certificación—, con un tope de 6.000 € por servicio. El plazo de solicitud cerró el 31 de marzo de 2025; este artículo explica, de forma informativa, qué cubría la categoría, qué te llevabas y para quién tenía sentido.
Qué es la categoría de Ciberseguridad del Kit Consulting
La mayoría de las pymes con las que trabajo no tienen un problema de «herramientas» de seguridad: tienen un problema de criterio. Han comprado un antivirus, quizá un firewall, han activado copias de seguridad… y aun así nadie sabe responder a la pregunta clave: «¿estamos realmente protegidos y dónde estamos más débiles?». Esa fotografía honesta del riesgo es lo que financiaba la categoría de Ciberseguridad del Kit Consulting.
El Kit Consulting es un programa público de Red.es, dentro del Componente 13 del Plan de Recuperación, Transformación y Resiliencia (PRTR) y financiado con fondos NextGenerationEU. Su lógica es distinta a la del el programa Kit Digital: el Kit Digital paga la implantación de soluciones (incluida una de ciberseguridad), mientras que el Kit Consulting paga el asesoramiento experto que decide qué hacer y cómo. Si buscas la panorámica del programa, la tienes en mi guía sobre qué es el Kit Consulting.
Dentro del programa, la ciberseguridad era una de las categorías con más demanda, y por buenas razones: el número de incidentes que afectan a pymes españolas no deja de crecer, y muchas no se recuperan bien de un ataque serio. Conviene aclarar que este artículo describe la categoría de asesoramiento en su conjunto. Si lo que te interesa es el enfoque concreto de preparar una certificación ISO 27001 con el Kit Consulting, lo trato en detalle en ciberseguridad e ISO 27001 con el Kit Consulting; aquí me centro en el alcance general, los entregables y el perfil del asesor.
¿Qué cubre el asesoramiento en ciberseguridad del Kit Consulting?
El programa estructuraba la ciberseguridad en tres subniveles, pensados para acompañar a la empresa según su punto de partida. Lo razonable era empezar por el básico antes de saltar a los avanzados.
Ciberseguridad básico. Es la puerta de entrada. El asesor ayuda a desarrollar un plan de ciberseguridad básico adaptado a las necesidades concretas de la pyme: identificar los activos importantes, evaluar los riesgos principales y proponer las medidas esenciales de protección. Para una empresa que parte de cero, este nivel ya supone un salto enorme de control.
Ciberseguridad avanzado. Para empresas con más madurez, profundiza en aspectos como la gestión de incidentes, la continuidad de negocio, la seguridad de proveedores o medidas técnicas más exigentes. Suele requerir haber completado antes el nivel básico.
Preparación para certificación. Orientado a las pymes que quieren acreditar formalmente su seguridad ante clientes o licitaciones. Prepara el terreno para certificaciones como la ISO 27001 o el Esquema Nacional de Seguridad, dejando documentación y procesos listos para afrontar la auditoría.
Entregables: ¿qué te llevas a casa?
Lo que distingue un buen asesoramiento de una charla es el entregable tangible. En la categoría de ciberseguridad, esto es lo que una pyme debería esperar recibir al terminar. Lo he resumido en esta infografía, que sirve también como checklist para evaluar cualquier propuesta de consultoría de seguridad:
| Entregable | Qué incluye | Para qué te sirve |
|---|---|---|
| Diagnóstico de seguridad | Inventario de activos, análisis de riesgos y vulnerabilidades detectadas | Saber dónde estás débil de verdad |
| Plan de ciberseguridad | Medidas técnicas y organizativas priorizadas por riesgo | Tener una hoja de ruta, no una lista de miedos |
| Políticas y procedimientos | Normas de uso, contraseñas, copias y respuesta a incidentes | Que el equipo sepa cómo actuar |
| Plan de continuidad | Cómo seguir operando tras un incidente grave | No quedarte parado tras un ataque |
| Preparación de certificación | Documentación y procesos listos para ISO 27001 o ENS | Acreditar tu seguridad ante clientes |
Fíjate en un matiz importante: el asesoramiento no implanta las medidas técnicas, las planifica. La instalación del cortafuegos, el despliegue del doble factor o la contratación de copias en la nube son ejecución, y para eso encaja mejor otra vía (como el Kit Digital). El Kit Consulting te da el plano; construir la casa viene después.
¿Cuánto financiaba el bono de ciberseguridad?
El Kit Consulting funcionaba con un bono cuyo importe total dependía del tamaño de la empresa, y cada servicio individual tenía un tope de 6.000 €. Estos eran los tres segmentos:
| Segmento | Tamaño de empresa | Importe total del bono | Servicios (tope 6.000 €/servicio) |
|---|---|---|---|
| Segmento A | De 10 a menos de 50 empleados | 12.000 € | Hasta 2 servicios |
| Segmento B | De 50 a menos de 100 empleados | 18.000 € | Hasta 3 servicios |
| Segmento C | De 100 a menos de 250 empleados | 24.000 € | Hasta 4 servicios |
En la práctica, una pyme podía dedicar uno de sus servicios a ciberseguridad y combinar otro, por ejemplo, con la categoría de IA o de procesos. La ayuda se concedía por concurrencia no competitiva, por orden de llegada y hasta agotar fondos.
¿Sirve para preparar una ISO 27001 o el ENS?
Sí, y es uno de los usos con más sentido del nivel avanzado y de preparación de certificación. Una pyme que quiere optar a contratos públicos o trabajar con grandes clientes suele necesitar acreditar su seguridad, y las dos referencias habituales son la ISO 27001 (norma internacional de gestión de la seguridad de la información) y el Esquema Nacional de Seguridad (obligatorio para el sector público y, de facto, para sus proveedores).
El asesoramiento no entrega la certificación —esa la otorga una entidad acreditada tras auditar—, pero deja el camino preparado: el análisis de riesgos, las políticas, los procedimientos y la documentación que la auditoría va a pedir. Es la diferencia entre llegar a la certificación con los deberes hechos o empezar de cero. El ángulo específico de la ISO 27001 lo desarrollo en este artículo complementario, y si te interesa el plan director de seguridad como marco más amplio, lo trato en plan director de seguridad.
¿Para qué tipo de pyme tiene sentido?
Por mi experiencia acompañando a empresas en Castilla y León y Canarias, el asesoramiento en ciberseguridad encaja especialmente cuando:
Manejas datos sensibles. Datos de clientes, información financiera, propiedad industrial... Cuanto más valioso es lo que guardas, más atractivo eres para un atacante y más te conviene un plan serio.
Dependes de tus sistemas para operar. Si un ataque que te deje sin sistemas durante días pone en jaque tu facturación, la inversión en prevención se paga sola.
Tienes clientes que exigen garantías. Cada vez más contratos —públicos y privados— piden acreditar medidas de seguridad. Un buen plan te abre puertas comerciales, no solo te protege.
Nunca has hecho un diagnóstico formal. Si tu seguridad se basa en «lo que fuimos comprando», es muy probable que haya huecos que solo un análisis ordenado sacará a la luz.
¿Quién presta este asesoramiento?
Solo un asesor digital adherido al programa, inscrito en el catálogo oficial de Red.es y con solvencia técnica acreditada para la categoría de ciberseguridad. No valía cualquier proveedor: el programa exigía el alta formal del asesor y la firma de un acuerdo de prestación con la pyme.
Para ciberseguridad, busca un perfil que entienda tanto la parte técnica (riesgos, controles, normativa) como la realidad operativa de una pyme. Un plan de seguridad de manual, copiado de una gran empresa, suele ser inaplicable —y por tanto inútil— en una organización de veinte personas. La proporcionalidad es clave: protegerte de lo que de verdad te amenaza, sin disparar costes en controles que no necesitas. Si quieres ver cómo se traduce esto en servicios y costes reales fuera del programa, lo cuento en consultoría de ciberseguridad para empresas.
Errores frecuentes en ciberseguridad de pymes
El asesoramiento, bien hecho, evita los tropiezos que más veo. Estos son los habituales:
Creer que «somos demasiado pequeños para que nos ataquen». Es justo al revés: los atacantes automatizan y van a por el eslabón débil, que suele ser la pyme con pocas defensas. El tamaño no protege.
Confiar todo a una herramienta. Un antivirus no es un plan de seguridad. Sin políticas, formación y copias verificadas, la herramienta sola deja huecos enormes.
No probar las copias de seguridad. Tener copias que nadie ha restaurado nunca es tener una falsa sensación de seguridad. La copia que no se prueba es la que falla el día del incidente.
Olvidar al equipo. La mayoría de los incidentes entran por un clic humano: un correo de phishing, una contraseña reutilizada. Sin formación a las personas, la mejor tecnología se queda corta.
Ignorar a los proveedores. Muchos ataques entran por terceros con acceso a tus sistemas. Un buen plan también mira la seguridad de tu cadena de suministro.
Básico, avanzado o certificación: ¿qué nivel encaja contigo?
Una de las dudas más frecuentes es cuál de los tres subniveles elegir. La respuesta depende de tu madurez de partida, y conviene pensarlo bien porque dentro de un bono limitado cada servicio cuenta. Esta es la lógica que aplico al orientar a una pyme:
Si nunca has hecho nada formal en seguridad, empieza por el nivel básico. Te dará el diagnóstico y el plan que ordenan el caos inicial, y muchas veces destapa riesgos que la empresa ni sospechaba. Saltarte este paso para ir directo a lo avanzado suele salir mal, porque construyes sobre cimientos que no conoces.
Si ya tienes lo básico cubierto —copias, antivirus, alguna política— y quieres profundizar en gestión de incidentes, continuidad o seguridad de proveedores, el nivel avanzado es tu sitio. Da por hecho un punto de partida más maduro.
Si tu objetivo es comercial —acreditar tu seguridad para ganar contratos o satisfacer a un gran cliente—, la preparación de certificación es la vía. Pero ojo: solo tiene sentido si vas a por la certificación de verdad; si no, te quedas con documentación que no usarás.
En empresas con más de un servicio disponible en su bono, una combinación habitual y sensata era básico + avanzado, o básico + preparación de certificación, encadenando el recorrido completo en una sola convocatoria.
Kit Consulting y Kit Digital en ciberseguridad: se complementan
Un punto que genera confusión: tanto el Kit Consulting como el Kit Digital tocan la ciberseguridad, pero hacen cosas distintas y, bien usados, se complementan. El Kit Consulting te da el asesoramiento: el diagnóstico, el plan y las políticas, es decir, el «qué hacer y por qué». El Kit Digital, por su parte, financia la implantación de soluciones concretas de ciberseguridad —como antivirus avanzado o protección de dispositivos—, es decir, el «hazlo».
La secuencia ideal, cuando ambos programas estaban abiertos, era usar el asesoramiento para decidir qué necesitabas y la implantación para ponerlo en marcha. Comparo a fondo ambos programas en Kit Digital frente a Kit Consulting, una lectura recomendable si todavía dudas de cuál encaja con cada necesidad.
Estado actual del Kit Consulting y remanentes
Para no generar falsas expectativas: el plazo ordinario de solicitud del Kit Consulting finalizó el 31 de marzo de 2025 y la convocatoria figura como cerrada en la sede de Acelera pyme. Las pymes con bono concedido están en fase de ejecución y justificación.
La novedad de 2026 es la Orden TDF/38/2026, de 26 de enero (BOE-A-2026-2069), que modificó las bases del programa para permitir redistribuir los fondos remanentes y atender solicitudes excluidas por falta de crédito. Eso sí, la propia orden no fijó aún plazos ni procedimiento concreto, así que lo riguroso es hablar de «vía de remanentes», no de reapertura confirmada. Lo mantengo actualizado en la situación del Kit Consulting en 2026.
Mi recomendación es sencilla: la ciberseguridad no espera a las subvenciones. Si tu empresa nunca ha hecho un diagnóstico serio, hazlo —con bono o sin él—. Y si finalmente se concretan los remanentes, habrás avanzado mientras otros aún se lo piensan. Si quieres una mirada experta y proporcionada a tu caso, estaré encantado de ayudarte a empezar por el diagnóstico.