MEMORANDO *20152530004383* Radicado No.: 20152530004383 253 - GRUPO DE SEGURIDAD DE LA INFORMACION Y CALIDAD PARA: DE: ASUNTO: JAIRO ALEXANDER CASALLAS MACHETE Subdirector Administrativo y Financiero Comité Estructurador. Respuesta a las observaciones presentadas a los pliegos definitivos para el concurso de méritos No. 001 de 2015 Fecha: 2015-08-25 El Comité Estructurador del proceso Concurso de Méritos No. 001 de 2015, que tiene como objeto Contratar la consultoría para realizar el diagnóstico que permita a la Entidad la mejora del Sistema de Gestión de Seguridad de la Información y el Plan de Continuidad del Negocio, para garantizar la confiabilidad, integridad y disponibilidad de la información generada como parte de la ejecución y operación de las funciones que realiza la Unidad Administrativa Especial Migración Colombia., luego del análisis de las observaciones presentadas por los interesados en el presente proceso, emite respuesta a cada una de ellas en los siguientes términos: OBSERVACIÓN No. 1 OBSERVACIONES PRESENTADAS POR NewNet En el numeral D EXPERIENCIA inciso II Experiencia Mínima del Equipo de Trabajo para el rol de Gerente de Proyecto la entidad solicita que para el rol Gerente de Proyecto sea Ingeniero de sistemas o ingeniero de software o ingeniero industrial o ingeniero electrónico y adicionalmente cuente con Posgrado en Gerencia de Proyectos. Respetuosamente solicitamos que dicho perfil sea profesional universitario no específicamente como ingeniero de sistemas o ingeniero de software o ingeniero industrial o ingeniero electrónico dado que un profesional universitario está en condiciones de liderar cualquier tipo de proyecto, toda vez que cuente con conocimientos y experiencia que lo acredite. Adicionalmente, teniendo en cuenta que el objeto del proyecto está orientado a LA CONSULTORÍA PARA REALIZAR EL DIAGNÓSTICO QUE PERMITA A LA ENTIDAD LA MEJORA DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y EL PLAN DE CONTINUIDAD DEL NEGOCIO solicitamos la posibilidad de reemplazar el Posgrado en Gerencia de Proyectos por Posgrado en Seguridad de la Información toda vez que en los puntuables solicitan dicho perfil sea certificado PMP. Una vez revisada la observación, el comité estructurador informa que en lo referente al título profesional, no se acepta la misma, toda vez que la Entidad requiere que el Gerente de Proyecto, tenga experiencia y conocimientos específicos en una de las carreras mencionadas (Ingeniero de sistemas o ingeniero de software o ingeniero industrial o ingeniero electrónico), teniendo en cuenta que la consultoría que se está contratando tiene relación directa con las TIC (tecnologías de la información y comunicaciones). En relación con el posgrado para el Gerente de Proyecto, el comité le informa que acepta parcialmente su observación, buscando pluralidad de oferentes, para lo cual se efectuará la modificación mediante adenda, de la siguiente manera. Cantida d Nombre de Rol Perfiles del Equipo de Trabajo Requisito 1 Gerente de Proyecto Ingeniero de sistemas o ingeniero de software o ingeniero industrial o ingeniero electrónico.
Postgrado en Gerencia de Proyectos o Posgrado en Seguridad de la Información. Mínimo tres (3) años de experiencia profesional específica en proyectos de seguridad de la información y/o seguridad informática y/o proyectos de implantación de TIC, la cual debe ser demostrada mediante la participación en proyectos o desempeño de cargos o roles..observación No. 2 En el numeral XIV. CONDICIONES Y ESPECIFICACIONES TECNICAS para la realización de la actividad Plan Estratégico de Seguridad de la Información con Enfoque PETIC y teniendo en cuenta que el plazo de ejecución es hasta el 15 de Diciembre de 2015 y debe estar alineado con los objetivos estratégicos de la entidad y con la estrategia de la Gerencia de Información y Tecnología, se estima que para la ejecución de esta sola actividad puede ser aproximadamente de cuatro (4) meses y se debe contar con el insumo de las demás actividades del anexo técnico, por lo tanto solicitamos se revise el plazo del proyecto o la eliminación de este requerimiento. Una vez revisada la observación, el comité estructurado informa que no acepta la misma, toda vez que el Plan Estratégico a formular con enfoque PETIC, debe cubrir solo los proyectos de seguridad de la información y el contratista de acuerdo con su metodología puede desarrollar las actividades previas en forma paralela. OBSERVACIÓN No. 3 En el numeral XIV. CONDICIONES Y ESPECIFICACIONES TECNICAS para la realización de la actividad Modelo de Seguridad de la Información la entidad solicita Crear, Revisar y/o actualizar el Plan de Continuidad y Recuperación de desastres del negocio acordes con las necesidades de la Entidad: bajo la norma técnica ISO 22301/BS25999. Basados en nuestra experiencia esta actividad se estima en un promedio de 4 a 5 meses dependiendo del número de procesos y se debe desarrollar por fases, por lo tanto solicitamos se revise el plazo del proyecto o la eliminación de este requerimiento. Una vez revisada la observación, el comité estructurado informa que no acepta la misma, toda vez que los procesos que se deben tener en cuenta son los tres (3) misionales y el de gestión tecnológica; adicionalmente, durante los estudios de mercado se definió el alcance de la consultoría y el tiempo de ejecución, encontrando que en el mercado existen firmas que ofrecen lo solicitado en el tiempo requerido por la Entidad. OBSERVACIÓN No. 4 Con relación a la experiencia adicional a la mínima exigida solicitamos nos aclaren si esta se medirá en nuevas certificaciones o si se contarán los tiempos presentados con las certificaciones mínimas. Una vez revisada la observación, el comité estructurado informa que estas certificaciones si serán tenidas en cuenta para la experiencia adicional a la mínima exigida, descontando para el primer criterio (Experiencia en servicios de consultoría en seguridad de la información y/o seguridad informática) el tiempo de experiencia mínimo habilitante exigido, es decir menos un total de 18 meses. Para el segundo criterio (Experiencia en implementación de sistemas de gestión de seguridad de la información), si cumplen con lo requerido, se tendrá en cuenta el tiempo total de las certificaciones. Para el tercer criterio (Experiencia en servicios de Ethical Hacking), si cumplen con lo requerido, se tendrán en cuenta como contratos individuales.
OBSERVACIÓN No. 5 Igualmente con relación a este mismo numeral de la experiencia del proponente adicional a la mínima exigida solicitamos nos aclaren la diferencia entre los 100 puntos que se dan por: Experiencia en servicios de consultoría en seguridad de la información y/o seguridad informática. Para lo cual se sumaran los plazos de ejecución de los contrato La propuesta que acredite el mayor número de meses de experiencia adicional en el criterio señalado, por encima del mínimo exigido que es de dieciocho (18) meses se le otorgará cien (100) puntos. A las demás propuestas se les asignará puntaje de manera proporcional por regla de tres simple directa y Experiencia en implementación de sistemas de gestión de seguridad de la información. Para lo cual se sumarán los plazos de ejecución de los contratos La propuesta que acredite el mayor número de meses de experiencia adicional en el criterio señalado, se le otorgará cien (100) puntos. A las demás propuestas se les asignará puntaje de manera proporcional por regla de tres simple directa. Una vez revisada su observación, el comité estructurador aclara que la diferencia entre los dos criterios señalados por usted radica en que: El primer criterio se calificará sobre contratos de servicio de consultoría en seguridad de la información y/o seguridad informática, y El segundo criterio se calificará sobre contratos que hayan implicado la implementación de sistemas de gestión de seguridad de la información. OBSERVACIÓN No. 6 Teniendo en cuenta que estan solicitando perfiles con certificaciones y experiencia a los que se les adicionalmente se les otorga puntaje respetuosamente sugerimos a la entidad se exija incluir dichos documentos con la propuesta pues si bien exige un trabajo adicional para la entidad validar que las certificaciones coincidan con los formatos, es una forma transparente en que los proveedores podemos revisar la evidencia presentada por los todos los proveedores. Una vez revisada su observación, el comité le informa que no acepta la misma, toda vez que Migración Colombia ya ha adelantado un proceso utilizando este método de verificación, con buenos resultados. Adicionalmente aclara que esta documentación será requerida, para verificación, al proveedor que obtenga el mayor puntaje de acuerdo con los criterios de evaluación. OBSERVACION No 1 OBSERVACIONES PRESENTADAS POR DIGIWARE De la manera más cordial, se solicita que para el Rol Gerente de proyecto, se tenga en cuenta la Especialización en Administración Financiera afín al Postgrado en Gerencia de proyectos, dado que en la gerencia de proyectos se deben desarrollan competencias en aplicación de herramientas financieras para análisis y diseño de proyectos de negocios, así mismo se aplican herramientas y conceptos de matemática financiera como valor del dinero en el tiempo, tasas de interés, análisis y valoración de alternativas de inversión, cuantificación del riesgo y análisis de costos asociado al ciclo de vida del proyecto, control del presupuesto requerido para la ejecución del proyecto. Aspectos de la gestión financiera propiamente tal y formas de financiación de proyectos, para la efectiva gestión financiera de proyectos. Una vez revisada la observación, el comité informa que no acepta la misma, toda vez que Migración Colombia requiere que el Gerente de Proyecto tenga formación específica en Gerencia de Proyectos o Seguridad de la Información, teniendo en cuenta que dicha especialidad es la de mayor relevancia para que la Entidad pueda garantizar que el futuro contratista cuenta con el equipo humano calificado para el desarrollo del objeto contractual y sus obligaciones asociadas.
Finalmente, es de anotar que en esta consultoría no se requiere de proyecciones y análisis financieros, más allá, de hacer el costeo a precios presentes de la implementación de los proyectos que se formulen, es decir el costeo del hardware, software y servicios requeridos en cada caso. OBSERVACION No 2 D. Experiencia Para garantizar la pluralidad de oferentes, y en relación a los Bienes, Obras y servicios del presente proceso, se solicita de la manera más atenta incluir los siguientes códigos de clasificación: Segm. Fami Clas Prod 43 22 25 00 43 22 26 00 43 23 32 00 80 10 15 00 81 14 18 00 92 12 17 00 Una vez revisada la observación, el comité informa que se acepta parcialmente la misma, incluyendo mediante adenda el código 81-14-18, de la siguiente manera: D. Experiencia Los Proponentes deben acreditar experiencia en cualquiera de las siguientes clasificaciones. Código 80 81 Tabla No. 6 Clasificación del objeto del contrato, experiencia a acreditar Segmento Familia Clase Nombre Servicios de Gestión, Servicios Profesionales e Empresas y Servicios Administrativos Servicios Basados en Ingeniería, Investigación y Tecnología. Códig o 10 14 Nombre Código Nombre Servicios de asesoría de gestión Tecnologías de fabricación 15 18 Servicios de consultoría de negocios y administración corporativa Administración de instalaciones En relación con el código 80-10-15, se aclara que éste ya hace parte de los Pliegos de Condiciones Definitivos. Los códigos relacionados a continuación no se aceptan por cuanto no guardan relación con el objeto contractual, como se precisa a continuación: Segmento Familias Clase Observación 43 22 25 Hace referencia a bienes (equipos) 43 22 26 Hace referencia a bienes (equipos)
43 23 32 Hace referencia a bienes (software) 92 12 17 Hace referencia a protección personal OBSERVACION No. 3 INDICADORES FINANCIEROS. INDICADOR RENTABILIDAD DEL ACTIVO Utilidad del patrimonio dividida por el activo total MARGEN SOLICITADO Mayor o igual a 0,5 Respetuosamente solicitamos a la entidad, modificar el indicador mencionado de la siguiente manera: Rentabilidad del Activo Menor o igual a 0,5. El comité estructurador se permite informar que no acepta su observación, toda vez que la Entidad requiere que el futuro contratista cuente con unos indicadores de capacidad organizacional suficiente para garantizar su permanencia en el tiempo y así ejecutar a cabalidad el objeto contractual sin ningún contratiempo. OBSERVACION No. 4 EXPERIENCIA. Dentro de los requisitos habilitantes, en el Literal D. EXPERIENCIA, Literal I. EXPERIENCIA ESPECIFICA DEL PROPONENTE, solicitamos tener en cuenta la experiencia mínima a doce (12) meses. Una vez revisada la observación, el comité le informa que no acepta la misma toda vez que para la Entidad es importante garantizar un mínimo de experiencia de los oferentes, que le permita contar con un contratista con la idoneidad suficiente para el desarrollo del objeto contractual. No obstante lo anterior, es importante tener en cuenta que la Experiencia Especifica Mínima del Proponente (18 meses), no se medirá por cada certificación, sino por la suma de máximo tres (3) certificaciones de contratos suscritos y ejecutados en su totalidad, cuyo objeto contemple consultoría en seguridad de la información y/o seguridad informática, que su cuantía individual sea igual o superior al 50% del presupuesto oficial. OBSERVACION No. 1 OBSERVACIONES PRESENTADAS POR SAFEID De acuerdo con los pliegos referidos en el asunto solicitamos que la experiencia solicitada del proponente sea válida para contratos de los últimos cuatro años, dado los cambios que han surgido en la ejecución y desarrollo de los SGSI. Una vez revisada su observación, el comité no acepta la misma, toda vez que dentro de la experiencia y formación académica adicional a los mínimos exigidos para el Equipo de Trabajo, se otorga puntaje a quienes demuestren que su personal está certificado o actualizado en ISO 27001:2013. Adicionalmente su requerimiento restringiría la pluralidad de oferentes. OBSERVACION No. 2
En la página 26 del pliego mencionan mínimo tres contratos y en la página 27 solicita aportar máximo tres contratos certificados para habilitar la experiencia técnica. Solicitamos clarificar si son mínimos o máximos Una vez revisada su observación, el comité considera importante aclarar que la experiencia habilitante solicitada en los dos criterios, es verificada en forma independiente la una de la otra, teniendo en cuenta que los contratos del primer criterio pueden servir para el segundo criterio, siempre y cuando cumplan con los requisitos que se solicitan en cada caso. Así mismo, se aclara cada criterio, en los siguientes términos: La acreditación de experiencia habilitante, solicitada en la página 26 Tabla No. 6 Clasificación del objeto del contrato, experiencia a acreditar, corresponde a contratos inscritos en el Registro Único de Proponentes (RUP), para lo cual se deben evidenciar en el RUP mínimo tres (3) contratos con la clasificación definida por la Entidad y que su cuantía individual sea igual o superior al 50% del presupuesto oficial estimado expresado en SMMLV, suscritos y ejecutados. La acreditación de experiencia especifica habilitante, solicitada en la página 27 Experiencia Especifica Mínima del Proponente, corresponde a máximo tres (3) certificaciones de contratos aportadas por el oferente que evidencien que su objeto contempló consultoría en seguridad de la información y/o seguridad informática, que adicionalmente su cuantía individual fue igual o superior al 50% del presupuesto oficial del presente proceso y que sumados los plazos de ejecución de las certificaciones, arrojan un mínimo de 18 meses. Los contratos con los cuales se acredite este criterio habilitante no necesariamente deben estar inscritos en el RUP. OBSERVACION No. 3 Solicitamos clarificar si en la experiencia habilitante del proponente se suman los plazos de ejecución de los contratos aún si estos se traslapan en las fechas de realización, dado que un proponente puede realizar contratos en simultánea del mismo objeto. Una vez revisada su observación, el comité estructurador precisa que para calcular el tiempo de experiencia habilitante del proponente, sí se sumaran los plazos de ejecución de cada contrato, independientemente que éstos se traslapen en las fechas de ejecución. OBSERVACION No. 4 Solicitamos sean admisibles para experiencia adicional del proponente, contratos finalizados que se traslapen en sus fechas de realización dado que un proponente puede realizar contratos en simultánea del mismo objeto. Una vez revisada su observación, el comité estructurador precisa que para calcular el tiempo de experiencia adicional a la mínima exigida y la cual otorga puntaje, igualmente se sumaran los plazos de ejecución de cada contrato, independientemente que éstos se traslapen en el tiempo de ejecución. Finalmente se precisa que para la experiencia de los profesionales que integran el equipo de trabajo, tanto en la experiencia mínima habilitante, como en la experiencia adicional a los mínimos exigidos que otorga puntaje, para contabilizar los años de experiencia los tiempos traslapados solo se contarán una vez. OBSERVACION No. 5 Dado que la realización de un SGSI exige la identificación de riesgos y valoración de riesgos, se recomienda que dentro de la experiencia adicional del proponente, se puedan incluir contratos que contemplen actividades de gestión de riesgos
Una vez revisada su observación, el comité estructurador informa que no acepta la misma, toda vez que lo solicitado por usted restringe la pluralidad de oferentes, adicionalmente dentro de la experiencia y formación académica adicional a los mínimos exigidos para el Equipo de Trabajo, se otorga puntaje a quienes demuestren que su personal está certificado o actualizado en ISO 27001:2013. OBSERVACION No. 6 Puesto que el alcance del proyecto incluye el plan de continuidad del negocio solicitamos sean admisibles para experiencia adicional contratos cuyo objeto haya sido el desarrollo e implementación de planes de continuidad del negocio y de planes de recuperación de desastres Una vez revisada la observación, el comité estructurado informa que acepta parcialmente la misma, toda vez que el objeto de la consultoría es realizar el diagnóstico que permita a la Entidad la mejora del Sistema de Gestión de Seguridad de la Información y el Plan de Continuidad del Negocio, para lo cual se generará la respectiva adenda en los siguientes términos: VI. EVALUACIÓN DE LA OFERTA Y ADJUDICACIÓN i. EXPERIENCIA DEL PROPONENTE ADICIONAL A LA MÍNIMA EXIGIDA CRITERIO Experiencia en implementación de sistemas de gestión de seguridad de la información. y/o Experiencia en implementación de planes de continuidad del negocio. Para lo cual se sumarán los plazos de ejecución de los contratos. Nota: Para el contrato o contratos que contemplen estos dos objetos en forma simultánea, solo será tenido en cuenta su tiempo de ejecución una única vez. EXPERIENCIA ADICIONAL La propuesta que acredite el mayor número de meses de experiencia adicional en el criterio señalado, se le otorgará cien (100) puntos. A las demás propuestas se les asignará puntaje de manera proporcional por regla de tres simple directa. PUNTOS 100 OBSERVACION No. 7 Dado que los pliegos incluyen un ítem de análisis de arquitectura de red segura, se recomienda dar puntaje adicional al perfil Consultor Senior en Seguridad de la información, si posee títulos de postgrados en las áreas de comunicaciones o teleinformática y si posee certificaciones en la plataforma de seguridad que actualmente posee Migración Colombia. Una vez revisada su observación, el comité estructurador informa que no acepta la misma, toda vez que para la Entidad los requisitos habilitantes y los criterios para otorgar puntaje definidos en los pliegos de condiciones, son suficientes para que Migración Colombia
cuente con oferentes con la calidad y competencia requerida para la ejecución del objeto contractual por quien resulte adjudicatario del proceso. OBSERVACION No. 8 Solicitamos que en la experiencia adicional se puedan incluir contratos en ejecución con avance superior al 75% del plazo y precio pactado, o, finalizados pero no inscritos en el RUP aún. Una vez revisada su observación, el comité estructurador informa que acepta la misma, con el fin de garantizar la pluralidad de oferentes, para lo cual se hará la correspondiente adenda como se muestra más adelante. De otra parte, se aclara que los contratos certificados para acreditar Experiencia Específica Mínima del Proponente y Experiencia del Proponente Adicional a la Mínima Exigida, no es necesario que estén inscritos en el RUP. VI. EVALUACIÓN DE LA OFERTA Y ADJUDICACIÓN i. EXPERIENCIA DEL PROPONENTE ADICIONAL A LA MÍNIMA EXIGIDA CRITERIO EXPERIENCIA ADICIONAL A LOS 18 MESES HABILITANTES PUNTOS Experiencia en servicios de consultoría en seguridad de la información y/o seguridad informática. Para lo cual se sumarán los plazos de ejecución de los contratos. Nota: El valor ejecutado de los contratos certificado en este ítem, debe contar con una ejecución de avance igual o superior al 75% de su plazo y del precio pactado. Y se debe especificar el tiempo de ejecución. La propuesta que acredite el mayor número de meses de experiencia adicional en el criterio señalado, por encima del mínimo exigido, que es de dieciocho (18) meses, se le otorgará cien (100) puntos. A las demás propuestas se les asignará puntaje de manera proporcional por regla de tres simple directa. 100 CRITERIO EXPERIENCIA ADICIONAL PUNTOS Experiencia en implementación de sistemas de gestión de seguridad de la información. La propuesta que acredite el mayor número de meses de experiencia adicional en el criterio señalado, se le otorgará cien (100) puntos. A las demás propuestas se les asignará puntaje de manera proporcional por regla de tres simple directa. 100 y/o Experiencia en implementación de planes de continuidad del negocio. Para lo cual se sumarán los plazos de ejecución de los contratos. Nota: Para el contrato o contratos que contemplen estos dos objetos en forma simultánea, solo será tenido en cuenta su tiempo de ejecución una única vez.
Nota: El valor ejecutado de los contratos certificado en este ítem, debe contar con una ejecución de avance igual o superior al 75% de su plazo y del precio pactado. Y se debe especificar el tiempo de ejecución. CRITERIO EXPERIENCIA ADICIONAL PUNTOS Experiencia en servicios de Ethical Hacking. Para lo cual se sumarán los contratos ejecutados en el 100% que contenga dicho servicio. La propuesta que acredite el mayor número de contratos ejecutados en el 100%, en el criterio señalado, se le otorgará cien (100) puntos. A las demás propuestas se les asignará puntaje de manera proporcional por regla de tres simple directa. 100 OBSERVACION No. 9 Solicitamos que los contratos que se presenten para experiencia habilitante como adicional del proponente se hayan realizado durante los últimos 4 años, esto debido a que las normas ISO 27001 de seguridad e ISO 22301 de continuidad han sido objeto de actualización. Una vez revisada su observación, el comité estructurador informa que no acepta la misma, toda vez que dentro de la experiencia y formación académica adicional a los mínimos exigidos para el Equipo de Trabajo, se otorga puntaje a quienes demuestren que su personal está certificado o actualizado en ISO 27001:2013. Adicionalmente su requerimiento restringiría la pluralidad de oferentes. COMITÉ ESTRUCTURADOR. Parte Técnica: AREA: Oficina de Tecnología de la Información FUNCIONARIO: Juan Carlos Rangel Gil CARGO: Coordinador Seguridad de la Información y Calidad FIRMA: Parte Financiera: ÁREA RESPONSABLE: Subdirección Administrativa y Financiera. FUNCIONARIO RESPONSABLE: Doris Alieth Martínez Aguilar CARGO: Coordinador Grupo Soporte a la Gestión Regional FIRMA: Parte Jurídica: ÁREA RESPONSABLE: Oficina Asesora Jurídica. FUNCIONARIO RESPONSABLE: Jorge Armando Rodriguez Alarcon CARGO: Profesional Especializado FIRMA: