PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL APROVISIONAMIENTO DE SERVICIOS DE SUPORTE A LA ACTIVIDAD DERIVADA DE LA OPERACIÓN DE LA SEGURIDAD DEL

Transcripción

1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL APROVISIONAMIENTO DE SERVICIOS DE SUPORTE A LA ACTIVIDAD DERIVADA DE LA OPERACIÓN DE LA SEGURIDAD DEL CENTRE DE SEGURIDAD DE LA INFORMACIÓ DE CATALUNYA (CESICAT) Exp. CP/02/2014

2 CDAM/XX/XXXX Índex ÍNDICE 1. INTRODUCCIÓN CESICAT OBJETIVOS ESTRATÉGICOS CONTEXTO DE LOS SERVICIOS ESTRUCTURA DE LOTES INDUSTRIALIZACIÓN DE SERVICIOS HERRAMIENTAS LOTE 1: SOPORTE A LA OPERACIÓN DE LA SEGURIDAD OBJETO DE LA LICITACIÓN DESCRIPCIÓN EQUIPO HUMANO VOLUMETRÍAS ESPERADAS LOTE 2: MEDIOS TÈCNICOS OBJETO DE LA LICITACIÓN DESCRIPCIÓN EQUIPO HUMANO VOLUMETRÍAS ESPERADAS CONDICIONES DE EJECUCIÓN HORARIOS LOCALIZACIÓN FÍSICA EQUIPO HUMANO Y CRITERIOS DE EVALUACIÓN HERRAMIENTAS Y EQUIPAMIENTO PARA LA PRESTACIÓN DE SERVICIOS SEGURIDAD CORPORATIVA CONTROL DE GESTIÓN VALIDACIÓN DE LA DOCUMENTACIÓN FORMACIÓN INTEGRACIÓN CON OTROS EQUIPOS CONTINGENCIA ACUERDOS DE NIVEL DE SERVICIO Y PENALIZACIONES INDICADORES Y ACUERDOS DE NIVEL DE SERVICIOS MODELO DE PENALIZACIONES POR LOS SERVICIOS FASES DE LA PRESTACION TRANSICIÓN NUEVA PRESTACIÓN DEVOLUCIÓN ESTRUCTURA DE LA OFERTA ANEXO I LISTADO DE HERRAMIENTAS ANEXO II MARCO NORMATIVO CESICAT CP/02/ Pàg. 0

3 1. INTRODUCCIÓN La Fundación Centro de Seguridad de la Información de Cataluña (en adelante, CESICAT), tiene la necesidad de licitar un conjunto de servicios de apoyo para la ejecución de las funciones de seguridad TIC delegadas por el Gobierno de la Generalitat de Cataluña (Acuerdo de Gobierno GOV/103/2012, de 16 de octubre), la Administración Pública Catalana, a la ciudadanía de Cataluña y, en extensión, en todo el territorio Catalán. El CESICAT, con este encargo, asume funciones y responsabilidades en el ámbito de la ciberseguridad, convirtiéndose así en una pieza fundamental en la estrategia de ciberseguridad del Gobierno de Cataluña. El CESICAT complementará estos servicios con otros nuevos que den respuesta a las necesidades actuales del país en materia de ciberseguridad y los encargos directos del Gobierno. Es por ello que la entidad inicia esta licitación para procurar disponer de las mejores prácticas, herramientas, recursos y proveedores que den apoyo a la actividad operativa del CESICAT, aseguren que este se mantiene al día en el ámbito de la ciberseguridad, le aporten nuevas tecnologías, excelencia en el servicio y máxima flexibilidad, para dar respuesta en estos objetivos de País 1.1. CESICAT La Fundación Centro de Seguridad de la Información de Cataluña nace en el año 2010, a raíz del acuerdo de gobierno GOV/50/2009 del 17 de marzo y la autorización de constitución de la Fundación CESICAT. Su finalidad es garantizar una Sociedad de la Información segura al conjunto de la sociedad catalana y de su Administración Pública, con voluntad de convertirse un referente a nivel nacional e internacional en materia de ciberseguridad, y que tiene el patrimonio, los rendimientos y los recursos dedicados a la realización de los fines de interés general previstas en sus estatutos. Hoy en día, la tecnología se presenta como un elemento transversal e inherente a la actividad humana tanto personal, social, profesional, como institucional, siendo pues un reto y una obligación para la Administración el hecho de trabajar y garantizar la seguridad tecnológica en la ciudadanía en todo su ámbito. Consciente de la importancia creciente y la necesidad de velar por la seguridad en los sistemas de la información, el CESICAT ha definido un modelo de seguridad para ser desplegado de forma homogénea y extensible a toda la Administración Pública catalana, empezando por la Generalitat de Cataluña y su sector público. Los tiempos avanzan y la digitalización social y de la Administración da lugar y obliga a poner en valor este servicio clave para la sociedad y para la propia Administración. El concepto y servicio de la ciberseguridad se convierte en un servicio crítico y básico hacia la ciudadanía y un valor estratégico de país. En el año 2012 se dio un paso más y, con el acuerdo de Gobierno del 16 de Octubre de 2012, se reafirmó el valor clave y estratégico CESICAT CP/02/ Pàg. 1

4 de la seguridad TIC a nivel de país otorgando al CESICAT la responsabilidad de asumir las funciones en materia de seguridad TIC de la Generalitat, estableciendo y haciendo seguimiento de los programas de actuación del Plan nacional de impulso de la seguridad TIC en Cataluña bajo la dirección estratégica del Gobierno de la Generalitat, colaborando con las entidades del sector público de la Administración de la Generalitat, los gobiernos locales de Cataluña, del sector privado y de la sociedad civil. Con este acuerdo se pone de manifiesto la necesidad de que el CESICAT asuma el reto estratégico de aglutinar todos los servicios de "seguridad tecnológica" bajo un solo paraguas, para garantizar de una forma más eficiente y eficaz la gestión de la ciberseguridad en todos los sus términos y ámbitos, asumiendo las sinergias y ventajas que supone la visión y gestión global de este servicio, independientemente de su finalidad, ya sea en el ámbito interno, de la ciudadanía o de país. El alcance del CESICAT responde al rol que la ciberseguridad precisa en el marco tecnológico actual, asumiendo este como servicio y valor intrínseco de país, reto instigado la vez por la propia Comisión Europea. En las funciones que le son propias, el CESICAT es el ente idóneo para gestionar las tareas necesarias para alcanzar este objetivo de protección de la información y la infraestructura TIC de las instituciones y ciudadanía de Cataluña y, en especial la del Gobierno de la Generalitat. Es por ello que la Fundación Centro de Seguridad de la Información de Cataluña tiene la encomienda de la planificación, gestión y control de la seguridad de las TIC de la Administración de la Generalitat y su sector público, llevando a cabo las medidas necesarias para alcanzar estas funciones Objetivos Estratégicos La seguridad lógica o ciberseguridad es un concepto que avanza y evoluciona muy rápidamente, y que por definición no tiene sentido en un ámbito reducido o local, sino que tiene, desde el principio, una vocación claramente internacional. Todo esto provoca una auto regeneración muy rápida de los servicios (y de las propias amenazas), pero hace también muy importante su definición y gestión "al lado" de los clientes, trabajando de manera integral con sus propias motivaciones, retos y amenazas. El concepto de cooperación, interno a la propia organización, externo con los diferentes clientes, e internacional, con los organismos adecuados, es fundamental para poder responder con éxito a los retos que se plantean en la entidad. Para dar respuesta de manera lógica y ordenada a los retos y competencias, la Fundación estructura su actividad según cuatro ámbitos de actuación y seis ejes estratégicos, todos ellos relacionados y coordinados. CESICAT CP/02/ Pàg. 2

5 El primer ámbito es la Transformación. Se ha explicado en los antecedentes que el CESICAT ha sufrido, en el ejercicio 2013, una profunda transformación en su razón de ser, que obliga a una transformación de la propia organización. La consolidación organizativa de esta nueva estructura, la profesionalización de la gestión y el gobierno de la entidad a nivel directivo marcan los objetivos. Para poder alcanzar estos retos, se ha desplegado un nuevo modelo de gestión, que abarca todas las áreas de la Fundación, y la ha dotado de unos sistemas informacionales (operativos, económicos y analíticos) que lo apoyan. Otra vertiente de esta transformación, capital para la entidad en los últimos años, ha sido el desarrollo de un modelo de seguridad corporativo y la securización interna la operativa del CESICAT y de sus instalaciones. Con el objetivo último de gobernar el riesgo y disponer de una cobertura total a todos los Departamentos de la Administración, entes adscritos y del Gobierno de la Generalitat de Cataluña, dentro del ámbito de la Gobernanza y Planificación de la Seguridad, el CESICAT ha definido, diseñado e iniciado el despliegue de un Programa de Seguridad bajo el nombre de Modelo Estándar de Seguridad (MES). En este sentido, y por medio de una estrategia de seguridad que bebe del conocimiento y experiencia adquiridos por la entidad, así como también de las mejores prácticas internacionales, pretende atender las necesidades del negocio de cada cliente tomando como base la guía de análisis del riesgo de cada uno de ellos y aplicando de forma programada y organizada los servicios previstos en el catálogo del CESICAT. La concienciación y divulgación de la seguridad, tanto en las propias administraciones como la ciudadanía ha sido una actividad de creciente importancia para fortalecer determinadas actuaciones en materia de ciberseguridad, especialmente en aquellos sectores donde se es más vulnerable. CESICAT CP/02/ Pàg. 3

6 El tercer ámbito es la detección, protección y gestión de la seguridad, donde la búsqueda de la excelencia operativa, basada en criterios de eficiencia y eficacia de los servicios se ha soportado en la definición de procedimientos, herramientas y soluciones altamente industrializables para poder ser desplegadas y lograr así la mecanización del conocimiento y la mejora de la calidad de los servicios, garantizando así la sostenibilidad de la Entidad para hacer frente al crecimiento previsto en el alcance del proyecto. Por último, en el cuarto ámbito de actuación consistente en la estrategia y modelo relacional, el CESICAT ha establecido una definición y conceptualización previa a cualquier prestación de la entidad tanto en el ámbito de la evolución y la mejora de los servicios, como en la iteración del Modelo Estándar de Seguridad, así como también en la confección de un marco normativo propio y las acciones de seguridad específica particulares de cada negocio. En este sentido, y vinculado al modelo relacional, el CESICAT ha llevado a cabo un plan de acción específico para la conceptualización y el diseño, en consonancia con el contexto actual, en relación a la ciberseguridad, para establecer los mecanismos de interrelación del CESICAT con sus principales interlocutores. Hay que remarcar también la importancia que la organización ha imprimido en la orientación al cliente como estrategia de aproximación de la prestación de los servicios del CESICAT a las necesidades de sus clientes. Este enfoque debe abordarse desde una triple perspectiva: a) La comprensión y acompañamiento de las necesidades del cliente, facilitando el conocimiento de que el CESICAT dispuesto en materia de ciberseguridad y los riesgos derivados de la seguridad de la Información en cada ámbito. b) El progresivo despliegue de los servicios de seguridad del CESICAT, adaptado a las necesidades de cada negociado y tomando como calificación el impacto de los riesgos identificados para cada cliente. c) La concienciación y divulgación en materia de seguridad TIC en las distintas organizaciones que conforman la Administración Pública de Cataluña. Estos conceptos y principios rectores quedan recogidos en el Plan Estratégico de la entidad, que se muestra esquemáticamente en la imagen a continuación. CESICAT CP/02/ Pàg. 4

7 1.3. Contexto de los servicios Los servicios que se licitacitan tienen como objetivo fundamental apoyar el desarrollo de las funciones y responsabilidades operativas que el CESICAT tiene asignadas por los estatutoss de su fundación y los sucesivos encargos, acuerdos de Gobierno, acuerdos de colaboración y encargos de Gobierno que ha recibido. El alcance de estos servicios, en consecuencia, tiene las siguientes dimensiones, Dimensión territorial, La ciudadanía de Cataluña, con especial atención a los colectivos con más riesgos de seguridad de la información, como son los niños, jóvenes, personas mayores y otros colectivos de reciente incorporación a la red. Los profesionales y las entidades privadas, con especial atención a las pymes y otras organizaciones de reducida dimensión. Sector público y gobierno de Cataluña: la Generalitat de Cataluña y, con una atención especial, a los gobiernos locales de Cataluña de pequeña y mediana población. Las universidades y los centros de investigación, con independencia de su naturaleza pública o privada. CESICAT CP/02/ Pàg. 5

8 Dimensión funcional, los objetivos del Plan Nacional de impulso de la Seguridad TIC, tiene los objetivos principales siguientes, - Primeramente, estableciendo una estrategia nacional de seguridad en las tecnologías de la información y la comunicación, centrada en las herramientas de concienciación del público respecto a las amenazas y vulnerabilidades de la seguridad en línea. - Apoyando a la protección de las infraestructuras críticas, con especial énfasis en las de Telecomunicaciones, mediante actuaciones de análisis y apoyo y dirigidas a los servicios TIC públicos, las redes de los servicios de emergencias y de protección civil y los servicios privados que lo apoyan. - Protegiendo los activos TIC y la información de la Generalitat de Cataluña y el Sector Público de Cataluña. - Haciendo promoción de un tejido empresarial catalán sólido en seguridad en las nuevas tecnologías, que complemente la actuación pública en esta materia y potencie el sector TIC catalán. - Incrementando la confianza y protección de la ciudadanía en la sociedad de la información, con especial atención a los colectivos con más riesgos, como los niños y los jóvenes. La voluntad es participar activamente en apoyo de la lucha contra todas las formas de delincuencia informática de forma coordinada con los agentes competentes, reforzando las capacidades de detección y denuncia. Para hacer frente a las necesidades que se derivan de la ejecución del Plan Estratégico y del cumplimiento de las funciones que el CESICAT tiene asignadas, se desarrolla y mantiene un Catálogo de Servicios que articula la prestación de la actividad del centro con los diferentes clientes. Este catálogo permite al mismo tiempo el despliegue del MES a los distintos Departamentos de la Administración de la Generalitat de Cataluña, así como los entes adscritos de su Sector Público de forma granular y planificada, previendo al mismo tiempo la ejecución de servicios bajo demanda y dando la flexibilidad necesaria para de modular la prestación los servicios de acuerdo con la planificación y la demanda puntual de los clientes. En julio de 2014, el Catálogo de Servicios de CESICAT contiene la estructura de servicios representada en la figura, y la su descripción podrá ser consultada en los apartados propios de este mismo documento donde se detalla el objeto de los servicios licitados. Dado que el Catálogo de Servicios es la herramienta CESICAT CP/02/ Pàg. 6

9 fundamental para la comunicación con los clientes y el canal para la oferta de servicios del CESICAT a sus clientes, su estructura y contenidos podrán cambiar con el tiempo y durante el período de ejecución de los servicios que se licitan. El despliegue del MES depende del cliente objetivo del CESICAT. En el caso de la Generalitat de Cataluña, es un objetivo principal el desarrollo del MES a todos los Departamentos de la administración. Este despliegue es liderado por personal del CESICAT asignado a los Departamentos, a través de los Responsables de Seguridad de la Información (RSI), adscritos al área de Relación con Clientes del CESICAT. Los RSI son los responsables de este desarrollo, de la demanda de los servicios que se deriva, de la relación con el cliente y la entrega final del servicio hacia el cliente. En estos rol de gestores de la demanda, la prestación de los servicios aquí descritos provee de las herramientas y los mecanismos para llevar a cabo este objetivo primordial del despliegue del MES. Al igual que los RSI asumen, entre otros, este rol y funciones, los Responsables de la Línea de Servicio (RLS), son las personas del CESICAT que gestionan la capacidad, planificación y ejecución de los servicios solicitados por los RSI y otros clientes del CESICAT. Los servicios que se describen en este pliego, tienen, como objetivo fundamental, dar el apoyo en la ejecución de estos servicios Estructura de Lotes Los servicios de apoyo a la operación del CESICAT que se ponen a licitación en este pliego son los iluminados en color naranja en el siguiente esquema (Lote 1 Soporte a la Operación de la Seguridad y Lote 2 Medios Técnicos). En este esquema también se muestran los dos lotes que se ponen a licitación en otro concurso independiente (Gobierno del Riesgo y Cumplimiento y Cumplimiento normativo y Consultoría), así como otros ámbitos del CESICAT con que los adjudicatarios de los presentes lotes deberán relacionarse de manera especial (Seguridad Corporativa y Control de Gestión): CESICAT CP/02/ Pàg. 7

10 Se espera de los licitadores de estos lotes que presenten detalladamente sus mejores propuestas de modelo, organización, metodología, recursos y funciones que cumplan con los requisitos y cubran las necesidades del CESICAT expresadas en este pliego, valorándose específicamente la aportación de valor del licitador en forma de criterios, experiencia, capacidades y conocimientos para alcanzar estos objetivos Lote 1 Soporte a la Operación de la Seguridad En el servicio de soporte a la Operación de la Seguridad correspondiente a este lote se pide que el adjudicatario dote a los equipos humanos, capacidades técnicas, herramientas, habilidades, estructuras organizativas, metodologías y modelos de trabajo y actividades de relación y coordinación, por dar soporte operativo al CESICAT en la prestación de los servicios de catálogo relacionados con la Operación de la Seguridad según se indica en el siguiente esquema: Clients CESICAT Control i Operació de Perímetres de Seguretat (COPS) Anàlisi de Seguretat Gestió d Incidents de Seguretat Notificacions de Seguretat Anàlisi d Informació Service Desk Clients dels serveis de Catàleg Serveis i sub-serveis de Catàleg Participació del Lot Lot 1 Suport a l Operació de la Seguretat Lote 2 Medios Técnicos En el servicio de Medios Técnicos correspondiente a este lote se pide que el adjudicatario dote a los equipos humanos, capacidades técnicas, herramientas, habilidades, estructuras organizativas, metodologías y modelos de trabajo y actividades de relación y coordinación, para dar soporte al CESICAT en la prestación de los servicios técnicos de infraestructuras, aplicaciones y puesto de trabajo de la Fundación, tal como se muestra en el siguiente esquema: CESICAT CP/02/ Pàg. 8

11 1.5. Industrialización de servicios Durante estos últimos años, se han desplegado diversos servicios y procesos de seguridad susceptibles de ser industrializados. Después de una madurez suficiente estos servicios tienen que poder entrar en la rueda de la operativa diaria con el mínimo esfuerzo y retorno adecuado, y con la voluntad de que los recursos se liberen para el diseño de nuevos servicios. Para la maduración y la industrialización de los servicios, cualquier servicio, sub-servicio o proceso de cualquiera de los lotes debe ser susceptible de ser industrializado. Es decir, en el proceso de diseño y desarrollo debe tener en cuenta este objetivo, por lo que deberá seguir los siguientes criterios: Eficiente, en recursos y herramientas Eficaz, en resultados rápidos, tangibles y evaluables Susceptible de mejora continuada Con relaciones de entradas y salidas y sinergias con el resto de procesos Por tanto, los licitadores tendrán en consideración estos criterios a la hora de definir y pensar en los servicios, procesos, procedimientos y herramientas, y por tanto, se evitarán propuestas de servicios que exijan: Procesos que consuman grandes esfuerzos de recursos Herramientas con bajo retorno, tanto de eficiencia como de eficacia Procesos monolíticos y aislados, que no puedan revertir en mejoras de otros procesos y servicios Conocimientos cerrados, que no comuniquen y que impiden el crecimiento de la organización. CESICAT CP/02/ Pàg. 9

12 El proceso de industrialización de los servicios planteados por los licitadores deberá ser debidamente documentado, demostrando la línea de industrialización planteada y teniendo en cuenta qué procesos y herramientas pueden ser requeridas. El licitador deberá plantear en la descripción de los servicios el modelo de industrialización propuesto y su plan de desarrollo. Con este enfoque se quieren conseguir los objetivos de eficiencia operativa y el máximo retorno de las inversiones. Finalmente, se tiene que tener en cuenta que la industrialización de una tarea determinada no consiste obligatoriamente en su mecanización o automatización; en el ámbito concreto de este pliego podemos encontrar tareas de consultoría o auditoría en las que la industrialización puede ocurrir, a modo de ejemplo, en la creación de modelos, estándares o documentos de auto evaluación del cumplimiento normativo. Este interés por la industrialización de las actividades es uno de los ejes de este pliego: los clientes del CESICAT están viviendo procesos de transformación muy activos, el número y complejidad de sistemas de información y de elementos a proteger crece de manera continua y las ciberamenazas a las que están expuestos son cada vez más complejas; todo esto hace que el volumen de demanda por CESICAT sea creciente y la industrialización de los servicios ha de dotar al organismo de mecanismos que permitan asumir esta demanda con los mismos recursos asegurando su sostenibilidad y aumentando su eficiencia 1.6. Herramientas Los licitadores de cada uno de los lotes objeto de este expediente deberán presentar conjuntamente con la descripción de los servicios, y en los casos que sea necesario, la estrategia de las herramientas que los apoyarán. Esta estrategia tendrá en cuenta: Mantenimiento y adecuación de las herramientas actuales. Incorporación de nuevas herramientas, si fuera adecuado. Por tanto, siguiendo esta estrategia, el adjudicatario deberá: Utilizar las herramientas y estándares vigentes en el CESICAT. Garantizar que todas las comunicaciones/interacciones con los clientes se realizan utilizando las cuentas de servicio habilitadas a las herramientas de seguimiento de la actividad (Por ejemplo, GIP). Adecuar las herramientas actuales y en su caso para la prestación del servicio aportar de nuevas. Por ejemplo, el adjudicatario deberá garantizar que dispone de las herramientas necesarias y adecuadas para integrar, consolidar y hacer el análisis de la información proporcionada por los diferentes lotes, de modo que sirva para la alimentación del QDC Gestionar el servicio y definir en todo momento los requerimientos y necesidades de mantenimiento de las herramientas de gestión (de proyectos, de CESICAT CP/02/ Pàg. 10

13 sistemas, de rendimiento, de disponibilidad, etc) que el CESICAT ponga a su disposición en cada momento. En el caso en que el licitador lo considere necesario podrá plantear la incorporación de nuevas herramientas para desarrollar sus funciones, explicando con detalle cómo las nuevas herramientas dan valor al servicio y al CESICAT teniendo en cuenta los objetivos de celeridad en la prestación de los servicios, así como la de aprovechar sinergias y eficiencias económicas. En este caso, el licitador detallará, de forma separada del resto de servicios, en su oferta económica el coste total y en todos sus aspectos (adquisición, cesión, instalación, puesta en marcha, formación, mantenimiento de licencias y soporte, etc) de las herramientas que aporta, teniendo en cuenta que estas herramientas y licencias serán para el uso exclusivo del CESICAT, que deberán ser registradas a su nombre (atendiendo que se deriva de un contrato de servicios licitados por CESICAT), y que una vez finalizado el servicio, y en caso de que CESICAT así lo desee, el adjudicatario deberá estar en disposición de permitir el uso de estas herramientas al CESICAT de acuerdo con las condiciones propuestas por el licitador en su oferta, valorándose consecuentemente las más ventajosas. Por tanto, el licitador incluirá en su propuesta el modelo de aportación y uso de las herramientas (adquisición, cesión, alquiler, pago por uso...) así como el período de amortización, condiciones de mantenimiento, o cualquier otro condicionante aplicable. Es de vital importancia que las herramientas se integren no sólo con el servicio específico, sino también con el resto de herramientas de los diferentes servicios y lotes, ya que los servicios y sus procesos se necesitarán mutuamente. Dada la segmentación en los ámbitos de responsabilidad dentro de la estructura organizativa del CESICAT, se debe tener en cuenta que el espíritu general en referencia a las herramientas y sistemas de información es que el adjudicatario será el encargado de proporcionar e instalar las nuevas herramientas (el coste de instalación deberá estar previsto como una parte más del coste de las herramientas), que el equipo que presta los servicios de Medios Técnicos encargará siempre de su desarrollo, mantenimiento y operación técnica (copias, rotación de logs, control de la infraestructura, etc) y los equipos de los otros bloques organizativos (en el ámbito concreto de este pliego, los equipos de Auditoría, Consultoría o Estrategia de la Seguridad) se encargarán de la parametrización (por la adecuación al uso según sus necesidades puntuales en cada momento) y del uso de estas herramientas. Así, y a modo de ejemplo, en el caso en que fuera necesario implantar una herramienta de gestión de cuadros de mando, sería el adjudicatario de este concurso el que proporcionaría e instalaría la herramienta, el equipo de Medios Técnicos el encargado de su desarrollo, mantenimiento y operación técnica y el equipo de Estrategia de la Seguridad el encargado de la definición de los indicadores, cargas de datos y configuración. En caso de dudas, el CESICAT actuará siempre como árbitro y determinará las instrucciones en este sentido por aclarar y concretar la ejecución y la responsabilidad de determinadas tareas. CESICAT CP/02/ Pàg. 11

14 2. LOTE 1: SOPORTE A LA OPERACIÓN DE LA SEGURIDAD 2.1. Objeto de la Licitación Los servicios que se licitan en este lote corresponden a las tareas de apoyo a la operación de la seguridad, que deben permitir al CESICAT la prestación de servicios de catálogo dentro del ámbito de Operación de la Seguridad, tales como: Control y Operaciones de Perímetros de Seguridad (COPS) o Gestión de Alertas o Despliegue de Perímetros de Seguridad o Parametrización de Herramientas de Seguridad Análisis de Seguridad o Análisis de Infraestructura o Análisis de Aplicación Dinámico Estático Funcional o Análisis Proactivo Gestión de Incidentes de Seguridad o Apoyo a Incidentes o Gestión de Incidentes Notificaciones de seguridad Análisis de Información o Investigación de ciberamenazas o Seguimiento de ciberamenazas Service Desk 2.2. Descripción Para la prestación de estos servicios, el licitador deberá hacer una propuesta de equipo humano, modelo organizativo y de relación, metodología de trabajo, funciones, tareas de gestión, operativas y de coordinación, herramientas y cualquier otro aspecto que considere necesario, para dar respuesta al menos a las necesidades del CESICAT descritas a continuación. La estructuración de estas funciones según los servicios que proporciona el CESICAT a sus clientes es meramente informativa. Se pide al licitador proponer las mejores maneras de organizar y agrupar tareas, equipos y funciones para aprovechar sinergias y generar beneficios en términos de eficacia y eficiencia con la visión puesta en la generación del máximo valor posible hacia los clientes del CESICAT, en un modelo que potencie una visión extremo a extremo de la seguridad. Para el CESICAT, la operación de la seguridad gira en torno al concepto "perímetro de seguridad para Sistema de Información". Entendiendo por perímetro el conjunto mínimo de procesos operativos a ejecutar por los diferentes equipos de seguridad (análisis de CESICAT CP/02/ Pàg. 12

15 seguridad, gestión de incidentes, etc) con el fin de garantizar los niveles de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad definidos para cada Sistema de Información. De este modo, el modelo de operación de la seguridad que espera la Fundación es un modelo centrado en dos grandes cadenas de valor: por un lado la creación, mantenimiento y mejora permanente de perímetros de seguridad y por el otro la operación de estos perímetros. Estas dos cadenas están relacionadas entre sí: cada vez que se crea un nuevo perímetro o se modifica uno ya existente, esto afecta a las tareas que se desarrollan en la cadena de operación. Por otra parte, la misma operación de los perímetros (en sus tareas de detección, control y seguimiento de vulnerabilidades, amenazas y eventos) genera una retroalimentación hacia la cadena de creación y mejora de los perímetros. Los modelos de gestión y operación presentados deben tener en cuenta estas necesidades junto con una descripción detallada de los mecanismos de gestión del ciclo de vida completo de los diferentes conceptos de la seguridad de la información como pueden ser amenazas, vulnerabilidades, eventos e incidentes Control y Operación de Perímetros de Seguridad (COPS) Estudiar, clasificar, correlacionar y gestionar eficientemente y cualificadamente los eventos de seguridad que se producen en los perímetros de seguridad y SSII los clientes. Proporcionar información relativa a estos acontecimientos, su naturaleza, su objetivo y el grado de afectación a usuarios y clientes del servicio Determinar proactivamente en base a la evaluación y correlación de los diferentes eventos de seguridad, la materialización de una ciberamenazas en incidente de seguridad. Extraer la información del evento de seguridad para el intercambio de la información en formato CybOX, MAEC, STIX, taxis y CAPEC correspondientes. Tomar medidas correctoras y escalar los incidentes a otros grupos resolutorios (como Gestión de Incidentes, Análisis de Seguridad, etc.). Aplicación de contramedidas de seguridad para la contención de vulnerabilidades. Gestión del desarrollo de perímetros de seguridad para los diferentes SI de los clientes. Evolucionar (definición de requerimientos) parametrizar / configurar las diferentes herramientas de seguridad para hacer frente a las diferentes ciberamenazas actuales y futuras. Evolucionar (definición de requerimientos) parametrizar / configurar las diferentes herramientas de seguridad para dar cumplimiento a las políticas y normas de seguridad del CESICAT. Generación de advertencias sobre nuevos tipos de ataque a los clientes suscritos al servicio de notificaciones. Crear, gestionar y mantener constantemente los procedimientos y protocolos de actuación para la gestión de ciclo de un evento de seguridad (detección, clasificación, seguimiento, contención, escalado, etc.) con la colaboración de los otros grupos resolutorios (como Análisis de Seguridad, Gestión de incidentes, etc.) o grupos de interés (Responsables de Línea de Servicio, Responsables de Seguridad de la Información, etc.). CESICAT CP/02/ Pàg. 13

16 Ejecutar los mecanismos adecuados para hacer la integración operativa con los procesos del CTTI (por ejemplo, obtención de información, consultas a la CMDB o lanzamiento de peticiones y RFC necesarias para desplegar las medidas de seguridad, aplicación de contramedidas, etc.) Análisis de Seguridad Detección e identificación de vulnerabilidades de infraestructura y plataforma (elementos de red, servidor, estaciones de trabajo, software base, sistemas TELCO, dispositivos móviles, etc.) relacionadas principalmente con la configuración, operación y el mantenimiento del software. Detección e identificación de vulnerabilidades en el envío y recepción de información por parte de la aplicación relacionadas con el acceso no autorizado a base de datos, robo de credenciales de sesión, inclusión de código no autorizado, etc. Detección e identificación de vulnerabilidades en el código fuente de las aplicaciones relacionadas principalmente con el lenguaje de programación, módulos y estilos de programación utilizados. Detección e identificación de vulnerabilidades en los casos de uso de las aplicaciones relacionadas con el abuso de la funcionalidad de la aplicación (transacciones no permitidas, escalado de privilegios, etc.). Clasificar (CVE, CWE, CAPEC), priorizar, definir la criticidad y el grado de exposición (CVSS, CWSS) de cada vulnerabilidad (por ejemplo: vulnerabilidad explotable internamente, externamente, existencia de software para explotar la vulnerabilidad, etc.). Generación de archivos OVAL, alineados a las políticas y normas de seguridad del CESICAT, para la detección de vulnerabilidades. Generación de informes de vulnerabilidades (descripción de la vulnerabilidad, por qué existe, que permitiría la explotación de la vulnerabilidad, contramedidas aplicadas, acciones de resolución). Generación de recomendaciones para solucionar cada vulnerabilidad. Generación de advertencias sobre nuevas vulnerabilidades a los clientes suscritos al servicio de notificaciones. Definición de contramedidas para la mitigación del riesgo de cada vulnerabilidad y comunicación al servicio de Control y Operación de perímetros de seguridad, para su aplicación, así como la validación de su eficacia. Seguimiento de la resolución de las vulnerabilidades y comunicación del estado a los diferentes grupos resolutores (COPS, Gestión a Incidentes, etc.). Definición y ejecución de escenarios de pruebas de intrusión (prueba de los procesos, prueba de las contramedidas, prueba de la robustez del SI, etc) frente a las diferentes ciberamenazas actuales y futuras, para establecer el grado de seguridad y resiliencia con el que se ha construido el Sistema de Información. Parametrización de las herramientas de análisis de vulnerabilidades. Planificar semanalmente, mensualmente y trimestralmente la ejecución de los diferentes análisis de seguridad. Estudio de las mejores prácticas y evolución de los métodos de análisis de vulnerabilidades. Comunicación de las vulnerabilidades a los diferentes grupos de interés (Responsables de Línea de Servicio, Responsables de Seguridad de la Información, etc.). Automatización e industrialización del servicio para permitir asumir un volumen superior de gestión de vulnerabilidades, asegurar un nivel de calidad "constante, CESICAT CP/02/ Pàg. 14

17 coherente, sólido", mediante entre otros la mecanización de las pruebas, la ejecución de diferentes herramientas, la estandarización de los entregables, etc. Crear, gestionar y mantener constantemente los procedimientos y protocolos de actuación (metodologías de prueba, soluciones de vulnerabilidades, etc.) para la metodología de pruebas y gestión de ciclo de vida de las vulnerabilidades (detección, clasificación, seguimiento, resolución, etc) con la colaboración de los otros grupos resolutores (como COPS, Gestión de incidentes, etc) o grupos de interés (Responsables de Línea de Servicio, Responsables de Seguridad de la Información, etc). Ejecutar los mecanismos adecuados para hacer la integración operativa con los procesos del CTTI (por ejemplo, obtención de información, consultas a la CMDB, obtención del inventario de o lanzamiento de peticiones y RFC necesarias para: ejecutar análisis de seguridad, corrección y seguimiento de vulnerabilidades, etc.) Gestión de Incidentes Realizar la selección de los incidentes para su clasificación y priorización. Analizar el incidente para determinar sus causas, origen, motivación e impacto Identificar las vulnerabilidades que han permitido materializar la amenaza para su resolución y comunicación al Servicio de Análisis de vulnerabilidades para su gestión de la resolución. Identificar las contramedidas para hacer frente a la vulnerabilidad y comunicación al COPS para su aplicación y reforzamiento de perímetros, así como la validación de la efectividad de las mismas. Extraer y normalizar la información del incidente para el intercambio de la información en formato OpenIOC, MAEC, STIX, TAXII y DFXML correspondientes. Documentar el incidente en la BBDD de Conocimiento. Generación de informes ejecutivos y técnicos de los incidentes. Generación de advertencias sobre incidentes de seguridad que pueden poner en riesgo a los diferentes clientes del CESICAT suscritos al servicio de notificaciones. Comunicación de los incidentes en los colectivos afectados, así como a los diferentes grupos de interés (Responsables de Línea de Servicio, Responsables de Seguridad de la Información, etc). Automatización e industrialización del servicio para permitir asumir un volumen superior de gestión de incidentes y asegurar un nivel de calidad "constante, coherente, sólido". Crear, gestionar y mantener constantemente los procedimientos y protocolos de actuación para la gestión de los diferentes tipos de incidentes, actuales y futuros, para agilizar la respuesta y el tratamiento con la colaboración de los otros grupos resolutores (como COPS, Análisis de Seguridad, etc.) o grupos de interés (Responsables de Línea de Servicio, Responsables de Seguridad de la Información, etc.). Ejecutar los mecanismos adecuados para hacer la integración operativa con los procesos del CTTI (por ejemplo, obtención de información, consultas a la CMDB, obtención del inventario de IP@ o lanzamiento de peticiones y RFC necesarias CESICAT CP/02/ Pàg. 15

18 para: obtener información de registros de acceso, resolución de infecciones del puesto de trabajo, etc.) Análisis de Información Detección de ciberamenazas, incidentes y/o vulnerabilidades provenientes de fuentes externas que pueden afectar a los diferentes clientes del CESICAT o en relación a un evento concreto. Realizar el seguimiento de la evolución de las ciberamenazas, incidentes y/o vulnerabilidades. Extraer y normalizar la información de ciberamenazas para el intercambio de la información en formato CybOX, STIX, TAXII y CAPEC correspondientes. El uso y parametrización de las herramientas de análisis específicas. Generación de advertencias sobre las ciberamenazas detectadas a los clientes suscritos al servicio de notificaciones. Comunicación y escalado de las amenazas, incidentes y/o vulnerabilidades a otros grupos resolutorios (como Gestión de Incidentes, Análisis de Seguridad, COPS, etc.). Crear, gestionar y mantener constantemente los procedimientos y protocolos de actuación para la gestión de los diferentes tipos de incidentes, actuales y futuros, para agilizar la respuesta y el tratamiento con la colaboración de los otros grupos resolutores (como COPS, Análisis de Seguridad, etc.) o grupos de interés (Responsables de Línea de Servicio, Responsables de Seguridad de la Información, etc.). Ejecutar los mecanismos adecuados para hacer la integración operativa con los procesos del CTTI (por ejemplo, obtención de información, consultas a la CMDB, obtención del inventario de o lanzamiento de peticiones y RFC necesarias para: obtener información de registros de acceso, resolución de infecciones del puesto de trabajo, etc.) Notificaciones de seguridad Generación de notificaciones de seguridad en función de las diferentes ciberamenazas, la aparición y evolución de nuevas vulnerabilidades, los incidentes de seguridad a nivel interno o globales, así como la detección de nuevos tipos de ataque para los clientes suscritos al servicio. Las notificaciones, en función de su criticidad se realizarán mediante los diferentes canales de comunicación, establecidos por CESICAT (correo electrónico, SMS, llamada telefónica, publicación en los diferentes portales de informativos de la Generalitat de Cataluña, etc). Para aquellas notificaciones que lo requieran (vulnerabilidad sin resolución, incidentes con nueva información, etc.) se tendrá que realizar un seguimiento especial y enviar las diferentes actualizaciones correspondientes en función de su evolución. Ejecutar los mecanismos adecuados para hacer la integración operativa con los procesos del CTTI (por ejemplo, integración con el Centro de Control, consultas a la CMDB, publicación en portales, etc.). CESICAT CP/02/ Pàg. 16

19 Service Desk Actuar como punto único de contacto del CESICAT con sus clientes, a fin de canalizar los aspectos más operativos de la demanda (Gestión de Peticiones de Servicio, Incidencias y Consultas relativas a los servicios de catálogo prestados por CESICAT). Canalizar las peticiones de los RSI y mantenerlos informados del progreso y situación. Canalizar las comunicaciones del CESICAT hacia sus clientes relacionadas con la operación de la seguridad y la prestación de los servicios de catálogo (notificación de intervenciones, alertas especiales, gestión de los servicios de suscripciones, etc.). Canalizar las comunicaciones entre CESICAT y sus partners tecnológicos (CTTI, AOC, IMI, etc.) para su integración operativa. Realizar la gestión de los formularios y el control de la calidad de los datos de entrada a los procesos de provisión de servicios (peticiones, incidencias, etc.) Llevar a cabo las tareas administrativas y de gestión en la relación con los clientes y con el CTTI (p. Ej. Emisión y seguimiento de las RFC, creación de consultas, integración con el equipo SAU CTTI). Colaborar en la estandarización y automatización de las tareas más repetitivas del ServiceDesk Funciones Transversales Aunque la actividad principal de los equipos estará centrada en la ejecución de las funciones relacionadas con la prestación de los servicios del CESICAT, se debe contemplar la necesidad de una serie de tareas transversales y comunes a todos los equipos dentro del presente lote: Gestionar los diferentes canales de entrada de la demanda, dar respuesta y mantener informados en las herramientas de gestión determinadas por CESICAT los tickets correspondientes, registrándose toda la actividad realizada. Mantener actualizada toda la información relativa al riesgo y su gestión en el Sistema de Gestión del Riesgo que proporcione el CESICAT. Participar en el modelo de relación con los clientes del CESICAT, involucrándose con ellos según las necesidades de seguridad, el reporting requerido y las tipologías de actividad. Integración operativa con los equipos del cliente (especialmente con los equipos de CTTI) para hacer el seguimiento del desarrollo de las medidas de seguridad planteadas fruto de la actividad operativa del CESICAT. Gestionar y participar en las reuniones y los conflictos que puedan aparecer durante la ejecución de los servicios y para su configuración. Analizar de manera relacionada y global la información generada en las diferentes actividades de los servicios para disponer de una visión completa que permita hacer una gestión integral del riesgo técnico, proponiendo las acciones necesarias CESICAT CP/02/ Pàg. 17

20 para prevenirlo, mitigarlo, etc., y velando por que dentro del bloque de servicio correspondiente se ejecuten estas acciones. Mantener la CMDB de activos de los clientes con la información relativa a IPs, criticidad, contactos de emergencia, histórico de vulnerabilidades, amenazas, incidentes, etc. Estudio de nuevas ciberamenazas, técnicas de ataque, incidentes y/o vulnerabilidades y comunicación a los diferentes grupos resolutorios. Generación de informes globales de actividad y tendencias de ciberataque, ciberamenazas, vulnerabilidades e incidentes de seguridad. Generación y evolución de los diferentes cuadros de mando de operaciones para la gestión del riesgo técnico en tiempo real. Generar, mantener y difundir el conocimiento agregado sobre la seguridad de la información: o Ataques o Alertas o Tendencias o Respuesta a nuevas amenazas o Información agregada o Previsión y prevención o Etc. Llevar a cabo los planes de actuación que faciliten la industrialización de la actividad, según el modelo presentado por el adjudicatario a su propuesta y según la planificación pactada con la Dirección del CESICAT y los correspondientes Responsables de Línea de Servicio (RLS). Mantener la comunicación y coordinación permanente entre las áreas con el fin de garantizar una adecuada prestación de los servicios a los clientes, evitando la duplicación de esfuerzos. Evolución bajo las directrices de la dirección operativa del CESICAT los modelos de gestión operativa de la seguridad del CESICAT, transformando el modelo actual en un modelo orientado a procesos transversales para la detección y tratamiento integral de amenazas, vulnerabilidades, eventos e incidentes de seguridad que cubra como mínimo: o Gestión completa del ciclo de vida de las amenazas o Gestión completa del ciclo de vida de las vulnerabilidades o Gestión completa del ciclo de vida de los ataques o Gestión completa del ciclo de vida de los incumplimientos o Gestión completa del ciclo de vida de los incidentes de seguridad o Definición de los modelos de madurez de los perímetros o Definición y mantenimiento de los requerimientos para las herramientas de seguridad con el fin de evolucionar los perímetros y mantenerlos actualizados ante las nuevas amenazas, debilidades y vulnerabilidades que aparezcan. Parametrización de las herramientas de seguridad según los requerimientos y necesidades de los diferentes grupos operativos. CESICAT CP/02/ Pàg. 18