PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL APROVISIONAMIENTO DE SERVICIOS DE CONSULTORÍA, CUMPLIMIENTO NORMATIVO Y GOBIERNO DEL RIESGO DEL CENTRO DE

Transcripción

1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL APROVISIONAMIENTO DE SERVICIOS DE CONSULTORÍA, CUMPLIMIENTO NORMATIVO Y GOBIERNO DEL RIESGO DEL CENTRO DE SEGURIDAD DE LA INFORMACIÓN DE CATALUÑA (CESICAT) Exp. CP/01/2014

2 ÍNDICE 1. INTRODUCCION CESICAT OBJETIVOS ESTRATÉGICOS CONTEXTO DE LOS SERVICIOS ESTRUCTURA DE LOTES INDUSTRIALIZACIÓN DE SERVICIOS HERRAMIENTAS LOTE 1: GOBIERNO DEL RIESGO Y EL CUMPLIMIENTO OBJETO DE LA LICITACIÓN DESCRIPCIÓN LOTE 2: SOPORTE AL CUMPLIMIENTO NORMATIVO Y CONSULTORIA DE SEGURIDAD OBJETO DE LA LICITACIÓN DESCRIPCIÓN VOLUMETRÍAS ESPERADAS CONDICIONES DE EJECUCIÓN HORARIOS LOCALIZACIÓN FÍSICA EQUIPO HUMANO Y CRITERIOS DE EVALUACIÓN HERRAMIENTAS Y EQUIPAMIENTO PARA LA PRESTACIÓN DE SERVICIOS SEGURIDAD CORPORATIVA CONTROL DE GESTIÓN VALIDACIÓN DE LA DOCUMENTACIÓN FORMACIÓN INTEGRACIÓN CON OTROS EQUIPOS CONTINGENCIA ACUERDOS DE NIVEL DE SERVICIO Y PENALIZACIONES INDICADORES Y ACUERDOS DE NIVEL DE SERVICIO MODELO DE PENALIZACIONES POR LOS SERVICIOS FASES DE LA PRESTACION TRANSICIÓN NUEVA PRESTACIÓN DEVOLUCIÓN ESTRUCTURA DE LA OFERTA ANEXO I LISTADO DE HERRAMIENTAS ANEXO II MARCO NORMATIVO CESICAT CP/01/ Pàg. 1

3 1. INTRODUCCION La Fundación Centro de Seguridad de la Información de Cataluña (en adelante, CESICAT), tiene la necesidad de licitar un conjunto de servicios de apoyo para la ejecución de las funciones de seguridad TIC delegadas por el Gobierno de la Generalitat de Cataluña (Acuerdo de Gobierno GOV / 103/2012, de 16 de octubre), la Administración Pública Catalana, a la ciudadanía de Cataluña y, en extensión, en todo el territorio Catalán. El CESICAT, con este encargo, asume funciones y responsabilidades en el ámbito de la ciberseguridad, convirtiéndose así en una pieza fundamental en la estrategia de ciberseguridad del Gobierno de Cataluña. El CESICAT complementará estos servicios con otros nuevos que den respuesta a las necesidades actuales del país en materia de ciberseguridad y los encargos directos del Gobierno. Es por ello que la entidad inicia esta licitación para procurar disponer de las mejores prácticas, herramientas, recursos y proveedores que den apoyo a la actividad operativa del CESICAT, aseguren que este se mantiene al día en el ámbito de la ciberseguridad, le aporten nuevas tecnologías, excelencia en el servicio y máxima flexibilidad, para dar respuesta en estos objetivos de País 1.1. CESICAT La Fundación Centro de Seguridad de la Información de Cataluña nace en el año 2010, a raíz del acuerdo de gobierno GOV / 50/2009 del 17 de marzo y la autorización de constitución de la Fundación CESICAT. Su finalidad es garantizar una Sociedad de la Información segura al conjunto de la sociedad catalana y de su Administración Pública, con voluntad de convertirse un referente a nivel nacional e internacional en materia de ciberseguridad, y que tiene el patrimonio, los rendimientos y los recursos dedicados a la realización de los fines de interés general previstas en sus estatutos. Hoy en día, la tecnología se presenta como un elemento transversal e inherente a la actividad humana tanto personal, social, profesional, como institucional, siendo pues un reto y una obligación para la Administración el hecho de trabajar y garantizar la seguridad tecnológica en la ciudadanía en todo su ámbito. Consciente de la importancia creciente y la necesidad de velar por la seguridad en los sistemas de la información, el CESICAT ha definido un modelo de seguridad para ser desplegado de forma homogénea y extensible a toda la Administración Pública catalana, empezando por la Generalitat de Cataluña y su sector público. Los tiempos avanzan y la digitalización social y de la Administración da lugar y obliga a poner en valor este servicio clave para la sociedad y para la propia Administración. El concepto y servicio de la ciberseguridad se convierte en un servicio crítico y básico hacia la ciudadanía y un valor estratégico de país. En el año 2012 se dio un paso más y, con el acuerdo de Gobierno del 16 de Octubre de 2012, se reafirmó el valor clave y estratégico CESICAT CP/01/ Pàg. 2

4 de la seguridad TIC a nivel de país otorgando al CESICAT la responsabilidad de asumir las funciones en materia de seguridad TIC de la Generalitat, estableciendo y haciendo seguimiento de los programas de actuación del Plan nacional de impulso de la seguridad TIC en Cataluña bajo la dirección estratégica del Gobierno de la Generalitat, colaborando con las entidades del sector público de la Administración de la Generalitat, los gobiernos locales de Cataluña, del sector privado y de la sociedad civil. Con este acuerdo se pone de manifiesto la necesidad de que el CESICAT asuma el reto estratégico de aglutinar todos los servicios de "seguridad tecnológica" bajo un solo paraguas, para garantizar de una forma más eficiente y eficaz la gestión de la ciberseguridad en todos los sus términos y ámbitos, asumiendo las sinergias y ventajas que supone la visión y gestión global de este servicio, independientemente de su finalidad, ya sea en el ámbito interno, de la ciudadanía o de país. El alcance del CESICAT responde al rol que la ciberseguridad precisa en el marco tecnológico actual, asumiendo este como servicio y valor intrínseco de país, reto instigado la vez por la propia Comisión Europea. En las funciones que le son propias, el CESICAT es el ente idóneo para gestionar las tareas necesarias para alcanzar este objetivo de protección de la información y la infraestructura TIC de las instituciones y ciudadanía de Cataluña y, en especial la del Gobierno de la Generalitat. Es por ello que la Fundación Centro de Seguridad de la Información de Cataluña tiene la encomienda de la planificación, gestión y control de la seguridad de las TIC de la Administración de la Generalitat y su sector público, llevando a cabo las medidas necesarias para alcanzar estas funciones Objetivos Estratégicos La seguridad lógica o ciberseguridad es un concepto que avanza y evoluciona muy rápidamente, y que por definición no tiene sentido en un ámbito reducido o local, sino que tiene, desde el principio, una vocación claramente internacional. Todo esto provoca una auto regeneración muy rápida de los servicios (y de las propias amenazas), pero hace también muy importante su definición y gestión "al lado" de los clientes, trabajando de manera integral con sus propias motivaciones, retos y amenazas. El concepto de cooperación, interno a la propia organización, externo con los diferentes clientes, e internacional, con los organismos adecuados, es fundamental para poder responder con éxito a los retos que se plantean en la entidad. Para dar respuesta de manera lógica y ordenada a los retos y competencias, la Fundación estructura su actividad según cuatro ámbitos de actuación y seis ejes estratégicos, todos ellos relacionados y coordinados CESICAT CP/01/ Pàg. 3

5 El primer ámbito es la Transformación. Se ha explicado en los antecedentes que el CESICAT ha sufrido, en el ejercicio 2013, una profunda transformación en su razón de ser, que obliga a una transformación de la propia organización. La consolidación organizativa de esta nueva estructura, la profesionalización de la gestión y el gobierno de la entidad a nivel directivo marcan los objetivos. Para poder alcanzar estos retos, se ha desplegado un nuevo modelo de gestión, que abarca todas las áreas de la Fundación, y la ha dotado de unos sistemas informacionales (operativos, económicos y analíticos) que lo apoyan. Otra vertiente de esta transformación, capital para la entidad en los últimos años, ha sido el desarrollo de un modelo de seguridad corporativo y la securización interna la operativa del CESICAT y de sus instalaciones. Con el objetivo último de gobernar el riesgo y disponer de una cobertura total a todos los Departamentos de la Administración, entes adscritos y del Gobierno de la Generalitat de Cataluña, dentro del ámbito de la Gobernanza y Planificación de la Seguridad, el CESICAT ha definido, diseñado e iniciado el despliegue de un Programa de Seguridad bajo el nombre de Modelo Estándar de Seguridad (MES). En este sentido, y por medio de una estrategia de seguridad que bebe del conocimiento y experiencia adquiridos por la entidad, así como también de las mejores prácticas internacionales, pretende atender las necesidades del negocio de cada cliente tomando como base la guía de análisis del riesgo de cada uno de ellos y aplicando de forma programada y organizada los servicios previstos en el catálogo del CESICAT. La concienciación y divulgación de la seguridad, tanto en las propias administraciones como la ciudadanía ha sido una actividad de creciente importancia para fortalecer determinadas actuaciones en materia de ciberseguridad, especialmente en aquellos sectores donde se es más vulnerable. CESICAT CP/01/ Pàg. 4

6 El tercer ámbito es la detección, protección y gestión de la seguridad, donde la búsqueda de la excelencia operativa, basada en criterios de eficiencia y eficacia de los servicios se ha soportado en la definición de procedimientos, herramientas y soluciones altamente industrializables para poder ser desplegadas y lograr así la mecanización del conocimiento y la mejora de la calidad de los servicios, garantizando así la sostenibilidad de la Entidad para hacer frente al crecimiento previsto en el alcance del proyecto. Por último, en el cuarto ámbito de actuación consistente en la estrategia y modelo relacional, el CESICAT ha establecido una definición y conceptualización previa a cualquier prestación de la entidad tanto en el ámbito de la evolución y la mejora de los servicios, como en la iteración del Modelo Estándar de Seguridad, así como también en la confección de un marco normativo propio y las acciones de seguridad específica particulares de cada negocio. En este sentido, y vinculado al modelo relacional, el CESICAT ha llevado a cabo un plan de acción específico para la conceptualización y el diseño, en consonancia con el contexto actual, en relación a la ciberseguridad, para establecer los mecanismos de interrelación del CESICAT con sus principales interlocutores. Hay que remarcar también la importancia que la organización ha imprimido en la orientación al cliente como estrategia de aproximación de la prestación de los servicios del CESICAT a las necesidades de sus clientes. Este enfoque debe abordarse desde una triple perspectiva: a) La comprensión y acompañamiento de las necesidades del cliente, facilitando el conocimiento de que el CESICAT dispuesto en materia de ciberseguridad y los riesgos derivados de la seguridad de la Información en cada ámbito. b) El progresivo despliegue de los servicios de seguridad del CESICAT, adaptado a las necesidades de cada negociado y tomando como calificación el impacto de los riesgos identificados para cada cliente. c) La concienciación y divulgación en materia de seguridad TIC en las distintas organizaciones que conforman la Administración Pública de Cataluña. Estos conceptos y principios rectores quedan recogidos en el Plan Estratégico de la entidad, que se muestra esquemáticamente en la imagen a continuación. CESICAT CP/01/ Pàg. 5

7 1.3. Contexto de los servicios Los servicios que se ponen a licitación tienen como objetivo fundamental apoyar desarrollar las funciones y responsabilidades operativas que el CESICAT tiene asignadas los estatus de su fundación y los sucesivos encargos, acuerdos de Gobierno, acuerdos de colaboración y encargos de Gobierno que ha recibido. El alcance de estos servicios, en consecuencia, tiene las siguientes dimensiones, Dimensión territorial, La ciudadanía de Cataluña, con especial atención a los colectivos con más riesgos de seguridad de la información, como son los niños, jóvenes, personas mayores y otros colectivos de reciente incorporación a la red. Los profesionales y las entidades privadas, con especial atención a las pymes y otras organizaciones de reducida dimensión. Sector público y gobierno de Cataluña: la Generalitat de Cataluña y, con una atención especial, a los gobiernos locales de Cataluña de pequeña y mediana población. Las universidades y los centros de investigación, con independencia de su naturaleza pública o privada. CESICAT CP/01/ Pàg. 6

8 Dimensión funcional, los objetivos del Plan Nacional de impulso de la Seguridad TIC, tiene los objetivos principales siguientes, - Primeramente, estableciendo una estrategia nacional de seguridad en las tecnologías de la información y la comunicación, centrada en las herramientas de concienciación del público respecto a las amenazas y vulnerabilidades de la seguridad en línea. - Apoyando a la protección de las infraestructuras críticas, con especial énfasis en las de Telecomunicaciones, mediante actuaciones de análisis y apoyo y dirigidas a los servicios TIC públicos, las redes de los servicios de emergencias y de protección civil y los servicios privados que lo apoyan. - Protegiendo los activos TIC y la información de la Generalitat de Cataluña y el Sector Público de Cataluña. - Haciendo promoción de un tejido empresarial catalán sólido en seguridad en las nuevas tecnologías, que complemente la actuación pública en esta materia y potencie el sector TIC catalán. - Incrementando la confianza y protección de la ciudadanía en la sociedad de la información, con especial atención a los colectivos con más riesgos, como los niños y los jóvenes. La voluntad es participar activamente en apoyo de la lucha contra todas las formas de delincuencia informática de forma coordinada con los agentes competentes, reforzando las capacidades de detección y denuncia. Para hacer frente a las necesidades que se derivan de la ejecución del Plan Estratégico y del cumplimiento de las funciones que el CESICAT tiene asignadas, se desarrolla y mantiene un Catálogo de Servicios que articula la prestación de la actividad del centro con los diferentes clientes. Este catálogo permite al mismo tiempo el despliegue del MES a los distintos Departamentos de la Administración de la Generalitat de Cataluña, así como los entes adscritos de su Sector Público de forma granular y planificada, previendo al mismo tiempo la ejecución de servicios bajo demanda y dando la flexibilidad necesaria para de modular la prestación los servicios de acuerdo con la planificación y la demanda puntual de los clientes. En julio de 2014, el Catálogo de Servicios de CESICAT contiene la estructura de servicios representada en la figura, y la su descripción podrá ser consultada en los apartados propios de este mismo documento donde se detalla el objeto de los servicios licitados. Dado que el Catálogo de Servicios es la herramienta fundamental para la comunicación con los clientes y el canal para la oferta de servicios CESICAT CP/01/ Pàg. 7

9 del CESICAT a sus clientes, su estructura y contenidos podrán cambiar con el tiempo y durante el período de ejecución de los servicios que se licitan. El despliegue del MES depende del cliente objetivo del CESICAT. En el caso de la Generalitat de Cataluña, es un objetivo principal el desarrollo del MES a todos los Departamentos de la administración. Este despliegue es liderado por personal del CESICAT asignado a los Departamentos, a través de los Responsables de Seguridad de la Información (RSI), adscritos al área de Relación con Clientes del CESICAT. Los RSI son los responsables de este desarrollo, de la demanda de los servicios que se deriva, de la relación con el cliente y la entrega final del servicio hacia el cliente. En estos rol de gestores de la demanda, la prestación de los servicios aquí descritos proveen de las herramientas y los mecanismos para llevar a cabo este objetivo primordial del despliegue del MES. Al igual que los RSI asumen, entre otros, este rol y funciones, los Responsables de la Línea de Servicio (RLS), son las personas del CESICAT que gestionan la capacidad, planificación y ejecución de los servicios solicitados por los RSI y otros clientes del CESICAT. Los servicios que se describen en este pliego, tienen, como objetivo fundamental, dar el apoyo en la ejecución de estos servicios Estructura de Lotes Los servicios de apoyo a la operación del CESICAT que se ponen a licitación en este pliego son los iluminados en color naranja en el siguiente esquema (Lote 1 - Gobierno del Riesgo y Cumplimiento y Lote 2 - Cumplimiento normativo y Consultoría). En este esquema también se muestran los dos lotes que se ponen a licitación en otro concurso independiente (Operación de la Seguridad y Medios Técnicos), así como otros ámbitos del CESICAT con que los adjudicatarios de los presentes lotes deberán relacionarse de manera especial (Seguridad Corporativa y Control de Gestión): CESICAT CP/01/ Pàg. 8

10 Se espera de los licitadores de estos lotes que presenten detalladamente sus mejores propuestas de modelo, organización, metodología, recursos y funciones que cumplan con los requisitos y cubran las necesidades del CESICAT expresadas en este pliego, valorándose específicamente la aportación de valor del licitador en forma de criterios, experiencia, capacidades y conocimientos para alcanzar estos objetivos Lote 1 Gobierno del Riesgo y Cumplimiento En el servicio de Gobierno del Riesgo y Cumplimiento correspondiente a este lote se pide que el adjudicatario dote de los equipos humanos, capacidades técnicas, herramientas, habilidades, estructuras organizativas, metodologías y modelos de trabajo y actividades de relación y coordinación, por dar soporte operativo al CESICAT de modo que éste pueda prestar los servicios del su catálogo relacionados con la gobernanza de la seguridad (gobierno del riesgo y el cumplimiento, análisis y seguimiento de tendencias y del sector, etc.) que se muestran en el siguiente esquema Lote 2 Servicios de Cumplimiento Normativo y Consultoría de Seguridad En el servicio de Cumplimiento Normativo y Consultoría de Seguridad correspondiente a este lote se pide que el adjudicatario dote de los equipos humanos, capacidades técnicas, herramientas, habilidades, estructuras organizativas, metodologías y modelos de trabajo y actividades de relación y coordinación, para apoyar el CESICAT en la prestación de los servicios de su catálogo dentro de las áreas de Consultoría y Cumplimiento Normativo (proyectos de consultoría interna y externa, certificación y mantenimiento, aseguramiento de la continuidad del negocio, gobierno de la seguridad en proveedores, auditorías, asesoramiento legal TIC y marco normativo...), tal como se indica en el siguiente esquema. CESICAT CP/01/ Pàg. 9

11 1.5. Industrialización de servicios Durante estos últimos años, se han desplegado diversos servicios y procesos de seguridad susceptibles de ser industrializados. Después de una madurez suficiente estos servicios han de poder entrar en la rueda de la operativa diaria con el mínimo esfuerzo y retorno adecuado, y con la voluntad de que los recursos se liberen para el diseño de nuevos servicios. Para la maduración y la industrialización de los servicios, cualquier servicio, sub-servicio o proceso de cualquiera de los lotes debe ser susceptible de ser industrializado. Es decir, en el proceso de diseño y desarrollo debe tener en cuenta este objetivo, por lo que deberá seguir los siguientes criterios: Eficiente, en recursos y herramientas Eficaz, en resultados rápidos, tangibles y evaluables Susceptible de mejora continua Con relaciones de entradas y salidas y sinergias con el resto de procesos Por tanto, los licitadores tendrán en consideración estos criterios a la hora de definir y pensar en los servicios, procesos, procedimientos y herramientas, y por tanto, se evitarán propuestas de servicios que exijan: Procesos que consuman grandes esfuerzos de recursos Herramientas con bajo retorno, tanto de eficiencia como de eficacia Procesos monolíticos y aislados, que no puedan revertir en mejoras de otros procesos y servicios Conocimientos cerrados, que no comuniquen y que impiden el crecimiento de la organización. CESICAT CP/01/ Pàg. 10

12 El proceso de industrialización de los servicios planteados por los licitadores habrá de ser debidamente documentado, demostrando la línea de industrialización planteada y teniendo en cuenta qué procesos y herramientas pueden ser requeridas. El licitador deberá plantear en la descripción de los servicios el modelo de industrialización propuesto y su plan de desarrollo. Con este enfoque se quieren conseguir los objetivos de eficiencia operativa y el máximo retorno de las inversiones. Finalmente, se ha de tener en cuenta que la industrialización de una tarea determinada no consiste obligatoriamente en su mecanización o automatización; en el ámbito concreto de este pliego podemos encontrar tareas de consultoría o auditoría en las que la industrialización puede ocurrir, a modo de ejemplo, en la creación de modelos, estándares o documentos de auto evaluación del cumplimiento normativo. Este interés por la industrialización de las actividades es uno de los ejes de este pliego: los clientes del CESICAT están viviendo procesos de transformación muy activos, el número y complejidad de sistemas de información y de elementos a proteger crece de manera continua y las ciberamenazas a las que están expuestos son cada vez más complejas; todo esto hace que el volumen de demanda por CESICAT sea creciente y la industrialización de los servicios ha de dotar al organismo de mecanismos que permitan asumir esta demanda con los mismos recursos asegurando su sostenibilidad y aumentando su eficiencia 1.6. Herramientas Los licitadores de cada uno de los lotes objeto de este expediente deberán presentar conjuntamente con la descripción de los servicios, y en los casos que sea necesario, la estrategia de las herramientas que los apoyarán. Esta estrategia tendrá en cuenta: Mantenimiento y adecuación de las herramientas actuales. Incorporación de nuevas herramientas, si fuera adecuado. Por tanto, siguiendo esta estrategia, el adjudicatario deberá: Utilizar las herramientas y estándares vigentes en el CESICAT. Garantizar que todas las comunicaciones / interacciones con los clientes se realizan utilizando las cuentas de servicio habilitadas a las herramientas de seguimiento de la actividad (Por ejemplo, GIP). Adecuar las herramientas actuales y en su caso para la prestación del servicio aportar de nuevas. Por ejemplo, el adjudicatario deberá garantizar que dispone de las herramientas necesarias y adecuadas para integrar, consolidar y hacer el análisis de la información proporcionada por los diferentes lotes, de modo que sirva para la alimentación del QDC Gestionar el servicio y definir en todo momento los requerimientos y necesidades de mantenimiento de las herramientas de gestión (de proyectos, de CESICAT CP/01/ Pàg. 11

13 sistemas, de rendimiento, de disponibilidad, etc) que el CESICAT ponga a su disposición en cada momento. En el caso en que el licitador lo considere necesario podrá plantear la incorporación de nuevas herramientas para desarrollar sus funciones, explicando con detalle cómo las nuevas herramientas dan valor al servicio y al CESICAT teniendo en cuenta los objetivos de celeridad en la prestación de los servicios, así como la de aprovechar sinergias y eficiencias económicas. En este caso, el licitador detallará, de forma separada del resto de servicios, en su oferta económica el coste total y en todos sus aspectos (adquisición, cesión, instalación, puesta en marcha, formación, mantenimiento de licencias y soporte, etc) de las herramientas que aporta, teniendo en cuenta que estas herramientas y licencias serán para el uso exclusivo del CESICAT, que deberán ser registradas a su nombre (atendiendo que se deriva de un contrato de servicios licitados por CESICAT), y que una vez finalizado el servicio, y en caso de que CESICAT así lo desee, el adjudicatario deberá estar en disposición de permitir el uso de estas herramientas al CESICAT de acuerdo con las condiciones propuestas por el licitador en su oferta, valorándose consecuentemente las más ventajosas. Por tanto, el licitador incluirá en su propuesta el modelo de aportación y uso de las herramientas (adquisición, cesión, alquiler, pago por uso...) así como el período de amortización, condiciones de mantenimiento, o cualquier otro condicionante aplicable. Es de vital importancia que las herramientas se integren no sólo con el servicio específico, sino también con el resto de herramientas de los diferentes servicios y lotes, ya que los servicios y sus procesos se necesitarán mutuamente. Dada la segmentación en los ámbitos de responsabilidad dentro de la estructura organizativa del CESICAT, se debe tener en cuenta que el espíritu general en referencia a las herramientas y sistemas de información es que el adjudicatario será el encargado de proporcionar e instalar las nuevas herramientas (el coste de instalación deberá estar previsto como una parte más del coste de las herramientas), que el equipo que presta los servicios de Medios Técnicos encargará siempre del su desarrollo, mantenimiento y operación técnica (copias, rotación de logs, control de la infraestructura, etc) y los equipos de los otros bloques organizativos (en el ámbito concreto de este pliego, los equipos de Auditoría, Consultoría o Estrategia de la Seguridad) se encargarán de la parametrización (por la adecuación al uso según sus necesidades puntuales en cada momento) y del uso de estas herramientas. Así, y a modo de ejemplo, en el caso en que fuera necesario implantar una herramienta de gestión de cuadros de mando, sería el adjudicatario de este concurso que proporcionaría e instalaría la herramienta, el equipo de Medios Técnicos el encargado de su desarrollo, mantenimiento y operación técnica y el equipo de Estrategia de la Seguridad el encargado de la definición de los indicadores, cargas de datos y configuración. En caso de dudas, el CESICAT actuará siempre como árbitro y determinará las instrucciones en este sentido por aclarar y concretar la ejecución y la responsabilidad de determinadas tareas. CESICAT CP/01/ Pàg. 12

14 2. LOTE 1: GOBIERNO DEL RIESGO Y EL CUMPLIMIENTO 2.1. Objeto de la Licitación Los servicios que se licitan en este lote corresponden a las tareas de apoyo al CESICAT en la creación de una unidad que preste servicio a la Dirección General y las Direcciones de Área como una capa intermedia que tiene como objetivos la ejecución de los siguientes servicios: Definición, creación, mantenimiento y alimentación de un Cuadro de Mando ("QDC") del Riesgo y Cumplimiento Medición y seguimiento global del riesgo a los clientes del CESICAT Análisis y Seguimiento del sector de la ciberseguridad Estudio y Seguimiento de tendencias de ciberseguridad Estos servicios no representan una gobernanza delegada, sino un apoyo a las funciones operativas del CESICAT en la gestión y prestación de sus servicios Descripción Para la prestación de estos servicios, el licitador deberá hacer una propuesta de equipo humano, modelo organizativo y de relación, metodología de trabajo, funciones, tareas de gestión, operativas y de coordinación, herramientas y cualquier otro aspecto que considere necesario, para dar respuesta al menos a las necesidades del CESICAT descritas a continuación: Funciones de Gobierno Definición (funcional y técnica) del QDC de Riesgo y Cumplimiento con sus indicadores y métricas correspondientes, incluyendo la definición del catálogo de métricas (Propuesta e identificación, caracterización y definición de atributos, organización y agrupación, definición de su contribución a los indicadores...) y el plan de implementación de los mecanismos de obtención de estas métricas e indicadores. Evaluación del nivel de riesgo y cumplimiento (particular y agregado), entendido como la traducción del resultado del grado de desarrollo y de implantación del Programa de Seguridad (MES), el resultado y grado de cobertura de las auditorías, la actividad del área de Operación de la Seguridad y en general de toda la actividad de la entidad, así como la elaboración de propuestas y planes de mejora. Definición de indicadores de consecución agregados transversales a las áreas del CESICAT, aportar directrices a las diferentes direcciones de área para que gobiernen los servicios bajo su responsabilidad de manera coordinada y asegurar que la información que proporcionen estos permita construir el indicador de riesgo (El adjudicatario deberá proponer indicadores, interpretar la información, definir el CESICAT CP/01/ Pàg. 13

15 modelo de riesgo a partir de experiencia, metodologías, mejores prácticas y conocimiento práctico) con las siguientes consideraciones: o La gestión de los servicios prestados al CESICAT, mediante el uso de las herramientas y procedimientos que éste determine, la debe hacer cada adjudicatario y las direcciones de área del CESICAT velarán para que se ejecute de manera adecuada. o Proporcionar la información de base requerida sobre la actividad de cada servicio es responsabilidad del adjudicatario del lote correspondiente (Gobierno del Riesgo y Cumplimiento, Apoyo a la Consultoría de Seguridad, Operaciones de Seguridad, Medios Técnicos). Será obligatorio que reporten dicha actividad sobre las herramientas que el CESICAT ponga a su disposición y que se aporte en un formato compatible. o El adjudicatario del lote de servicios de Gobierno del Riesgo y Cumplimiento será el encargado de valorar la información proporcionada por los diferentes proveedores de servicios del CESICAT para asegurar su calidad, emitiendo los informes y propuestas de actuación correspondientes. Apoyo a los directores de área en la implementación de mecanismos de medida y de obtención de la información requerida para el QDC, así como apoyo en la modificación de la operativa cuando sea necesario. Medida del grado de avance de la implantación de estos mecanismos de medida y obtención de información y de los riesgos incurridos para su implementación. Apoyo al CESICAT en la interpretación de los indicadores y métricas del QDC de riesgo y cumplimiento, dándoles la orientación de negocio específica requerida para que sea comprensible para sus clientes especialmente desde la perspectiva de organizaciones perteneciente a la administración pública. Definición del árbol de indicadores y el catálogo de métricas. Definición del modelo de obtención de datos para la construcción de los indicadores y arquitectura del modelo de reporting. Hoja / modelos estándar de reporting de indicadores específicos para los clientes. Documentación de los procedimientos de uso de esta hoja de indicadores para su análisis y la definición de iniciativas de mejora. Análisis del estado del arte y nuevas tendencias en el mercado de la ciberseguridad para la redacción de informes y artículos que faciliten el posicionamiento del CESICAT Funciones Transversales Aunque la actividad principal de los equipos estará centrada en la ejecución de las funciones relacionadas con la prestación de la Gobernanza de la Seguridad y el Riesgo, se contemplar la necesidad de una serie de tareas transversales para dotar de coherencia e integridad a todas las funciones ejecutadas en CESICAT: Mantener actualizada toda la información relativa al riesgo ya su gestión en el Sistema de Gestión del Riesgo que proporcione el CESICAT. CESICAT CP/01/ Pàg. 14

16 Participar en el modelo de relación con los clientes del CESICAT, involucrándose con ellos según las necesidades de seguridad, el reporting requerido y las tipologías de actividad. Gestionar las reuniones y los conflictos que puedan aparecer durante la ejecución de los servicios Generación de informes globales de actividad y tendencias de ciberataques, ciberamenazas, vulnerabilidades e incidentes de seguridad. Llevar a cabo los planes de actuación que faciliten la industrialización de la actividad, según el modelo presentado por el licitador en su propuesta y según la planificación pactada con la Dirección del CESICAT. Mantener una comunicación fluida con el equipo de medios técnicos para garantizar la adecuación de las herramientas necesarias para su labor. Alineación y orientación de la prestación del servicio para la consecución de los objetivos estratégicos del CESICAT. Realizar, de acuerdo con la Dirección General del CESICAT, el plan de actuación bimensual con las tareas planificadas por las diferentes iniciativas de evolución o transformación por la propia operación del servicio. Disponer de recursos adicionales para dar respuesta puntual a picos elevados de trabajo. Definir y gestionar el plan de capacidad del servicio. Generar los indicadores, informes de actividad y medidas del impacto de esta actividad. Definición, creación, distribución y mantenimiento de los informes de riesgo. CESICAT CP/01/ Pàg. 15

17 3. LOTE 2: SOPORTE AL CUMPLIMIENTO NORMATIVO Y CONSULTORIA DE SEGURIDAD 3.1. Objeto de la Licitación En el servicio correspondiente a este lote se pide que el adjudicatario presente su propuesta de equipos humanos, capacidades técnicas, herramientas, habilidades, estructuras organizativas, metodologías y modelos de trabajo y actividades de relación y coordinación, por apoyar el CESICAT en la prestación de los servicios de su catálogo dentro de las áreas de Consultoría y Auditoría siguientes: Ámbito de Consultoría: Proyectos de consultoría en cuatro grandes dominios: o Seguridad en desarrollo y despliegue de los Sistemas de Información o Proyectos de consultoría interna o Certificación y mantenimiento de las certificaciones en materia de Seguridad de la Información (ISO 22301, ISO o equivalentes) o Proyectos de Continuidad Elaboración de BIA Elaboración de PRD Seguimiento de las pruebas de PRDS Ejecución de la Gobernanza de la Seguridad en proveedores de las administraciones públicas clientes del CESICAT Ámbito de Cumplimiento Normativo: Ejecución de proyectos de auditoría en los siguientes dominios: o Auditorías de cumplimiento normativo, sobre el marco normativo propio de la Generalitat de Cataluña o elaborado por CESICAT y sus evoluciones y adaptaciones. o Auditorías de cumplimiento legal, sobre marcos normativos legales vigentes en relación a la seguridad de la información como pueden ser LOPD o ENS Asesoramiento Legal TIC Seguimiento del Cumplimiento Normativo Gestión del Marco Normativo 3.2. Descripción Para la prestación de estos servicios, el licitador deberá dotarse de los recursos humanos y materiales y organizarse según un modelo y una metodología de trabajo y relación que CESICAT CP/01/ Pàg. 16

18 considere necesarios, para dar respuesta al menos a las necesidades del CESICAT descritas a continuación. La ordenación de estas funciones según los servicios de CESICAT es meramente informativa. Se pide al licitador proponer otras maneras de organizar y agrupar tareas, equipos y funciones para aprovechar sinergias y generar beneficios en términos de eficacia y eficiencia BLOQUE 2A: Consultoría Dependiendo del Área Relación con el Cliente, y bajo la dirección de los Responsables de Línea de Servicio correspondientes, el equipo del adjudicatario deberá ejercer las funciones y tareas adecuadas para dar respuesta a las siguientes necesidades derivadas de los servicios del CESICAT: Proyectos de Seguridad en los Sistemas de Información Dirigir, ejecutar y coordinar las tareas responsabilidad de CESICAT los proyectos de construcción y transformación de Sistemas de Información en los clientes. Formar parte de los equipos de proyecto definidos por los clientes (con posible participación de uno o más proveedores externos) para garantizar que los proyectos se desarrollan de acuerdo con los parámetros de seguridad requeridos y de acuerdo con lo Marco Normativo del CESICAT Hacer el seguimiento del cumplimiento de los controles y las recomendaciones en materia de seguridad Definir y aportar de arquitecturas, modelos de referencia y buenas prácticas de seguridad, incluyendo los controles de seguridad correspondientes que sirvan de base para la comprobación de la adecuación de los sistemas y aplicaciones que se construyan o evolucionen mediante proyectos TIC por los clientes del CESICAT Facilitar el uso de los modelos y arquitecturas de referencia impulsados por CESICAT Diseñar y proponer al cliente y al equipo de proyecto los modelos de seguridad adecuados para el proyecto Resolver consultas en materia de seguridad para el diseño del Sistema de Información Planificar las acciones necesarias para hacer el seguimiento del riesgo en los proyectos de Sistemas de Información Proyectos de Consultoría Interna Dirigir y ejecutar proyectos bajo demanda, ad hoc, para resolver consultas o necesidades concretas tanto del cliente como internas del CESICAT Mantener, evolucionar y facilitar la industrialización de las herramientas metodológicas propias del CESICAT, o aportar otras nuevas al inicio del contrato, que permitan el logro de los objetivos buscados. Podemos poner como ejemplos del ámbito de actuación los siguientes: o Modelo de Controles o Mecanismos de adecuación del MES a clientes para crear el Plan de Seguridad específico del cliente. o Guías y modelos de seguridad o Arquitecturas de referencia CESICAT CP/01/ Pàg. 17

19 o o o o o Sistema de Gestión del Riesgo (Portal de Seguridad) Herramientas para la realización de diagnóstico del grado de cumplimiento de normas ISO (22301, y relacionadas) Plantillas de documentos para el desarrollo de los Sistemas de Gestión en proyectos de certificación y mantenimiento. Adaptación al entorno de CESICAT y de sus clientes de herramientas de auto evaluación del cumplimiento de los modelos de seguridad Nuevos marcos de seguridad y controles vinculados a nuevos entornos y tecnologías (como por ejemplo la seguridad en la nube, BYOD...) Certificación y mantenimiento de la Certificación Dirección del proyecto de adecuación y certificación en normas relativas a la Seguridad de la Información (22301, y relacionadas) Presentación de normas, beneficios y esfuerzos relacionados al cliente Coordinación del proceso de certificación y de mantenimiento / recertificación Realizar diagnósticos del grado de cumplimiento de la norma Realizar gap-analysis y definición del plan de acciones necesarias para alcanzar el grado de cumplimiento por la certificación Apoyo a la redacción de los materiales propios del Sistema de Gestión Apoyo al desarrollo del sistema de gestión Formación del personal del cliente en herramientas, procesos, estándares y normas de seguridad relacionadas con la certificación Realización de las auditorías internas previas a la certificación Acompañamiento del cliente en el proceso de certificación Realización de las auditorías previas a las de mantenimiento de la certificación Definición y seguimiento del plan de acciones derivado de las auditorías Proyectos de Continuidad Dirección, ejecución y coordinación de proyectos BIA bajo demanda Dirección, ejecución y coordinación de proyectos de desarrollo de planes de continuidad transversales con la involucración de los diferentes proveedores del Nuevo Modelo TIC de la Generalitat de Cataluña Seguimiento de las pruebas de los PRD, de sus resultados y los planes de acción derivados Gobierno de la Seguridad Apoyar a los Responsables de Seguridad de la Información (RSI), como personas clave del CESICAT a sus clientes, para que ellos puedan dar visibilidad del estado de la seguridad a los clientes del CESICAT de su organización. Impulsar y participar activamente en los comités de seguimiento de la seguridad con proveedores. Hacer el seguimiento del desarrollo del Modelo de Seguridad en los proveedores de las Administraciones Públicas clientes del CESICAT. Hacer el seguimiento de los resultados de los proyectos de implantación de los controles definidos el modelo de seguridad. Hacer la identificación del nivel de riesgo asociado a cada uno de los proveedores y de su impacto y ejecutar las acciones de comunicación necesarias. Mantener actualizada esta información al Sistema de Gestión de Riesgos proporcionado por CESICAT. Actuar de punto de conexión con los interlocutores de la gestión de la seguridad en los proveedores. CESICAT CP/01/ Pàg. 18

20 Gestionar el riesgo asociado a los procesos existentes de excepciones de Seguridad en todo su ciclo de vida (validación, valoración, gestión y seguimiento) Facilitar la interconexión entre los procesos de gestión de la seguridad del CESICAT y los de los proveedores BLOQUE 2B: Cumplimiento Normativo Dependiendo del Área de Asesoramiento Legal y Formación, y bajo la dirección de los Responsables de Línea de Servicio correspondientes, el equipo del adjudicatario deberá desarrollar las tareas suficientes y adecuadas para cubrir, como mínimo, las siguientes necesidades del CESICAT: Auditoria Colaborar con el RLS en la preparación y ejecución del Plan Anual de Auditorías. Ejecutar y coordinar los proyectos de auditoría tanto de marco normativo (basadas en el marco normativo elaborado o adoptado por CESICAT, con sus actualizaciones y adaptaciones específicas o estándares internacionales de seguridad) como de cumplimiento legal en los marcos legales relativos a la seguridad de la información, principalmente LOPD y ENS. Documentar y presentar los resultados de las auditorías Asesoría Legal TIC Gestionar los diferentes canales de entrada de las consultas legales y mantener informado en el GIP los tickets correspondientes a este servicio. Mantener la comunicación con el cliente durante todo el ciclo de vida de la consulta legal para su correcta resolución. Dar respuesta a las consultas relacionadas con aspectos de seguridad TIC, atendiendo al canal a través del cual se ha formulado la consulta, aportando los documentos, informes, dictámenes, escritos u opiniones que sean requeridos en cada uno de los casos. Analizar las consultas recibidas para determinar la posibilidad de industrializar los contenidos más requeridos Seguimiento del Cumplimiento Normativo Definir el plan de acciones necesarias para corregir todas las excepciones y desviaciones encontradas en los clientes durante las auditorías o análisis previos realizados, ya sea a través de reuniones, entrevistas o a través del Área de Relación con Clientes. Hacer el seguimiento de este plan, en colaboración con el área de relación con clientes, con los clientes cuando corresponda y / o con los proveedores implicados e impulsar las acciones necesarias para su cumplimiento, incluyendo entre otros la redacción documentos, la realización de asesoramiento sobre las acciones a tomar o la determinación de medidas de seguridad destinadas al cumplimiento normativo. Reportar y mantener actualizado el grado de cumplimiento en los sistemas de gestión proporcionados por el CESICAT Gestión del Marco Normativo CESICAT CP/01/ Pàg. 19

21 Mantener, mejorar y evolucionar el Marco Normativo en materia de seguridad de la información propiedad del CESICAT y de sus clientes. Actualizar los diferentes materiales del Marco Normativo: o Guías o Estándares o Normas o Políticas o Etc. Crear nuevos materiales de acuerdo con las necesidades manifestadas por CESICAT o de manera proactiva, atendiendo a factores como la tecnología empleada a sus clientes, la evolución tecnológica, o la urgencia en la regulación de determinados fenómenos, entre otros. Integrar el Marco Normativo con los modelos de seguridad y controles preventivos, operativos y de gestión presentes y futuros. Incorporar y mantener la información del Marco Normativo en el Sistema de Gestión del Riesgo del CESICAT Funciones Transversales Aunque la actividad principal de los equipos estará centrada en la ejecución de las funciones relacionadas con la prestación de los servicios del CESICAT, se debe contemplar la necesidad de una serie de tareas transversales y comunes a todos los equipos dentro del presente Lote: Gestionar los diferentes canales de entrada de la demanda, dar respuesta y mantener informados en las herramientas de gestión determinadas por CESICAT los tickets correspondientes, registrándose toda la actividad realizada. Definir, implantar, ejecutar y mantener un modelo de gestión por procesos que dé cobertura a las diferentes tareas y servicios prestados. Gestión del conocimiento y documentación de las tareas del servicio. Mantener actualizada toda la información relativa al riesgo ya su gestión en el Sistema de Gestión del Riesgo que proporcione el CESICAT. Participar en el modelo de relación con los clientes del CESICAT, involucrándose con ellos según sus necesidades de seguridad y las tipologías de proyecto. Gestionar las reuniones y los conflictos que puedan aparecer durante la ejecución de los servicios y para su configuración. Generar los materiales, textuales y gráficos, que faciliten la industrialización de la actividad, según el modelo presentado por el adjudicatario a su propuesta y según los planes de actuación coordinados con la Dirección del CESICAT y los correspondientes Responsables de Línea de Servicio. Definición e implantación de los mecanismos de auto-aprovisionamiento que faciliten la industrialización del servicio. Mantener la comunicación y coordinación permanente entre las áreas para garantizar una prestación adecuada de los servicios a los clientes, evitando la duplicación de esfuerzos. Realizar las tareas de comunicación con los usuarios de las diferentes plataformas gestionadas. Alineación y orientación de la prestación del servicio para la consecución de los objetivos estratégicos del CESICAT Realizar de acuerdo con el Responsable de la Línea de Servicio y del Responsable la Unidad de Evolución y Transformación, del plan de actuación CESICAT CP/01/ Pàg. 20

22 bimensual, con las tareas planificadas por las diferentes iniciativas de evolución o transformación por la propia operación del servicio. Disponer de recursos adicionales para la ejecución extraordinaria de acciones en horario nocturno, festivos o para dar respuesta puntualmente a picos elevados de trabajo Disponer de conocimiento sobre las herramientas actuales, provisión de herramientas complementarias y evolución de las actuales, y capacitación del personal para prestar y gestionar adecuadamente el servicio. Definir y gestionar el plan de capacidad del servicio. Mantener una comunicación fluida con el equipo de Operación de la Seguridad para garantizar la adecuación de las herramientas de monitorización y seguimiento de alertas según las necesidades expresadas y el tratamiento de todos los aspectos de la seguridad en los clientes con visión completa de su ciclo de vida (amenazas, vulnerabilidades, riesgos, incidentes, etc) Realizar de acuerdo con el RLS el plan de actuación bimensual, con las tareas planificadas por las diferentes iniciativas de evolución o transformación de plataformas y sistemas de información, plantillas, protocolos de actuación, etc Generar los indicadores, informes de actividad y medidas del impacto de esta actividad y colaborar con los otros servicios del área operativa y el servicio de Gobierno del Riesgo y el Cumplimiento, obteniendo las medidas y generando los indicadores necesarios para alimentar el Cuadro de Mando de CESICAT, especialmente todos aquellos indicadores que contribuyan al cálculo del grado de desarrollo del MES en los clientes de la Fundación y el cálculo de los grados de madurez de los perímetros de seguridad gestionados por CESICAT. Esta compartición de información y coordinación entre servicios y áreas deberá permitir el aprovechamiento adecuado de la información generada por cada servicio y la creación de eficiencias entre los mismos Volumetrías esperadas Las volumetrías esperadas, a nivel estimativo, para el primer año de prestación de servicios son las siguientes: BLOQUE DE SERVICIO BLOC 2A - CONSULTORIA BLOC 2B- CUMPLIMIENTO NORMATIVO CONCEPTO Cantidad Proyectos de Certificación 2 Proyectos de Mantenimiento de la Certificación 2 Proyectos de PRD 10 Proyectos de Sistemas de Información 60 Servicios de Gobierno 18 Consultorías Ad-Hoc 30 Auditorias 28 Consultas Asesoría Legal TIC 960 Gestión Marc Normativo 48 Seguimiento de cumplimiento normativo 12 CESICAT CP/01/ Pàg. 21

23 4. CONDICIONES DE EJECUCIÓN 4.1. Horarios Los servicios deberán prestarse de acuerdo con los horarios de prestación de los servicios de CESICAT. BLOQUE DE SERVICIO Gobierno Riesgo y cumplimiento Cumplimiento Normativo Consultoría HORARIO DE PRESTACIO 8x5 en horario de Días Laborables 8x5 en horario de Días Laborables con disponibilidad muy puntual fuera del horario para realizar auditorías de emergencia en caso de existir la necesidad 8x5 en horario laboral CESICAT (Barcelona) Se considera horario de días laborables los días que sean laborables en cualquiera de los centros de trabajo de los clientes que hacen uso de los servicios con prestación de 8:30 h. a 19:00h. 1 A petición expresa del CESICAT, se podría pedir la realización de algunas tareas fuera del horario de días laborables para garantizar el correcto desarrollo del servicio. A petición del CESICAT, los adjudicatarios resultantes de este pliego deberán dar soporte presencial a los diferentes clientes. Los adjudicatarios deben contemplar que, ocasionalmente, este soporte se puede producir fuera del horario laboral habitual del CESICAT. Si durante la ejecución del contrato el CESICAT o los adjudicatarios detectan la necesidad de modificar el horario de servicio de alguno de los servicios o equipos descritos en este pliego, el CESICAT y los adjudicatarios consensuarán de forma conjunta la modificación, siendo el CESICAT quien finalmente designe el horario de prestación que se adecue a las necesidades propias y de los clientes y que no perjudique de forma excesiva al adjudicatario Localización Física Los equipos prestatarios de los servicios estarán instalados físicamente en las oficinas del CESICAT, ubicadas principalmente en los centros operativos del CESICAT, en L Hospitalet de Llobregat y en la ciudad de Reus. Puntualmente se podrán ubicar recursos 1 El adjudicatario prestará este horario considerando que la jornada laboral de los integrantes del equipo dedicado es de 8 horas diarias. El servicio se prestará mediante un política de turnos que será validada por CESICAT al inicio del contrato y que se podrá revisar de mutuo acuerdo durante la duración del contrato CESICAT CP/01/ Pàg. 22