condiciones particulares para los servicios de un … csirt exp 6… · condiciones particulares...

EXPEDIENTE 20180914-00646

CONDICIONES PARTICULARES PARA LOS SERVICIOS DE

UN CENTRO DE RESPUESTA A INCIDENTES DE

SEGURIDAD (CSIRT)

Paseo de la Habana, 138

28036 Madrid. España

Tel.: +34 91 452 12 00

Fax: +34 91 452 13 00

www.Ineco.es

Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 2

1 OBJETO .................................................................................................................................................. 3

2 ALCANCE ................................................................................................................................................ 3 2.1 INTRODUCCIÓN .................................................................................................................................. 3 2.2 SITUACIÓN ACTUAL ............................................................................................................................ 3 2.3 DESCRIPCIÓN DEL SERVICIO ................................................................................................................ 4 2.4 CIBERINTELIGENCIA ............................................................................................................................ 5 2.5 BASTIONADO DE SISTEMAS OPERATIVOS Y SOFTWARE BASE .............................................................. 6 2.6 GESTIÓN DE VULNERABILIDADES ........................................................................................................ 6 2.7 EVOLUCIÓN DE LAS CAPACIDADES DE DETECCIÓN DE INCIDENTES ...................................................... 8 2.8 RESPUESTA RÁPIDA ANTE INCIDENTES DE CIBERSEGURIDAD .............................................................. 9 2.9 GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN .............................................................. 10

3 MEDIOS REQUERIDOS .......................................................................................................................... 11 3.1 medios humanos .............................................................................................................................. 11 3.2 medios técnicos ............................................................................................................................... 13

4 TÉRMINOS Y CONDICIONES COMERCIALES ........................................................................................... 14 4.1 CONSIDERACIONES PARA LA FACTURACIÓN ..................................................................................... 14 4.2 ACLARACIÓN DE DUDAS ................................................................................................................... 15 4.3 PENALIZACIONES .............................................................................................................................. 16 4.3.1 Incumplimiento de los trabajos objeto de contrato ......................................................................... 16 4.3.2 Ejecución defectuosa de los trabajos ................................................................................................ 16 4.3.3 Mora en la entrega de los trabajos ................................................................................................... 17 4.3.4 Ejecución de Penalidades .................................................................................................................. 17 4.3.5 Comunicación Penalidades ............................................................................................................... 17 4.4 CONDICIONES ESPECÍFICAS PARA LA GESTIÓN DEL SERVICIO ............................................................ 17

5 DURACIÓN ........................................................................................................................................... 20

6 IMPORTE MÁXIMO .............................................................................................................................. 21

7 SOLVENCIA TÉCNICA ............................................................................................................................ 21 7.1 REFERENCIAS ................................................................................................................................... 21 7.2 CERTFICACIONES DE SEGURIDAD Y CONTINUIDAD ............................................................................ 21

8 SOLVENCIA ECONÓMICA Y FINANCIERA ............................................................................................... 22

9 CRITERIOS DE VALORACIÓN ................................................................................................................. 23 9.1 CRITERIOS EXCLUYENTES .................................................................................................................. 23 9.2 VALORACIÓN DE CALIDAD (55 PUNTOS) ........................................................................................... 23 9.2.1 Criterios técnicos (45 puntos) ........................................................................................................... 23 9.2.2 Criterios sociales y medioambientales (10 puntos) .......................................................................... 24 9.3 VALORACIÓN ECONÓMICA (45 PUNTOS) .......................................................................................... 24

10 CONTENIDO DE OFERTAS .................................................................................................................. 25 10.1 OFERTA TÉCNICA Y ADMINISTRATIVA ............................................................................................... 25 10.1.1 Documentación Técnica .................................................................................................................... 25 10.1.2 Documentación Administrativa ......................................................................................................... 25 10.2 OFERTA ECONÓMICA ....................................................................................................................... 27

11 PRESENTACIÓN DE OFERTAS ............................................................................................................. 27

ANEXO I – ACUERDOS DE NIVEL DE SERVICIO (SLA) ...................................................................................... 28


1 OBJETO

El objeto del presente documento es establecer las condiciones para la selección de un proveedor para la un

centro de respuesta a incidentes de seguridad.

2 ALCANCE

2.1 INTRODUCCIÓN

INECO tiene planeadas un conjunto de iniciativas a desarrollar para mejorar el nivel de protección de sus sistemas

de información.

Se han planteado una serie de proyectos para minimizar el grado de exposición a vulnerabilidades y maximizar

la capacidad de prevención, detección, investigación y respuesta a incidentes de Ciberseguridad. El presente

pliego pretende cubrir dicho alcance mediante la contratación de un servicio CSIRT que actuará sobre 3 pilares:

Vigilancia externa: Monitorización y alerta temprana de riesgos de seguridad detectados fuera del

ámbito de la propia compañía.

Prevención interna:

o Bastionado de Sistemas y Software base.

o Gestión del ciclo de vida de vulnerabilidades en los sistemas de Ineco para reducir el riesgo de

explotación minimizando el tiempo de exposición.

o Revisiones periódicas de seguridad de los sistemas de Ineco para detectar vulnerabilidades que

pudieran ser explotadas por un atacante.

o Explotación del SIEM existente para anticipar la detección de incidentes de seguridad y

automatizar en la medida de lo posible la respuesta, facilitar su investigación y/o realizar

análisis forenses sobre los mismos.

Resiliencia: Respuesta a incidentes de seguridad.

2.2 SITUACIÓN ACTUAL

INECO cuenta actualmente con aproximadamente tres mil ochocientos (3.800) usuarios repartidos en sedes y

oficinas de la propia empresa y en cliente.

Los equipos de usuario son, en su mayoría, portátiles con versiones soportadas de sistema operativo Windows.

Cuentan con una solución de cifrado de discos y un antivirus avanzado con funcionalidad de HIPS.

El servicio de correo tiene una arquitectura híbrida, cloud y on‐premise, con la mayor parte de los buzones en

cloud.

Por su parte, INECO ya dispone de varias herramientas para garantizar la seguridad de la información, algunas

de las cuales son:

Firewalls de capa 7.

Sistema AntiSpam con diversos módulos de protección.

Herramienta centralizada de distribución de software.

Sistema prevención de fugas de información: DLP e IRM.

NAC.


Sistema de alerta temprana de incidentes de seguridad procedentes de Internet.

AntiAPT.

SIEM.

Adicionalmente, INECO dispone de un equipo de Operaciones de Seguridad (en adelante SOC) cuyas

responsabilidades principales son:

Administrar y operar las soluciones de seguridad en producción y cualesquiera otras que se puedan

implantar.

Integrar los sistemas de seguridad con otras herramientas de operación de sistemas ya desplegadas en

Ineco.

Supervisar la seguridad de los sistemas, aplicaciones y usuarios de la organización.

Prevenir, detectar y responder a incidencias de seguridad, bajo la supervisión del CISO.

El CSIRT velará por la seguridad de la compañía controlando la correcta operación de los sistemas de protección,

así como la adecuada configuración de toda la infraestructura IT para minimizar riesgos.

Los servicios de CSIRT objeto de la presente licitación deberán ser proporcionados por un proveedor diferente

del que presta el servicio de SOC para evitar posibles conflictos de intereses entre ambas funciones. CSIRT y SOC

interactuarán de forma coordinada para garantizar un correcto desempeño en el mantenimiento de la seguridad

IT de INECO.

2.3 DESCRIPCIÓN DEL SERVICIO

Las ofertas deberán describir a alto nivel el servicio propuesto en esta especificación técnica, así como una

planificación detallada para la correcta ejecución del servicio.

El CSIRT (Cybersecurity Incident Response Team) a través del servicio gestionado solicitado en esta licitación,

proporcionará a INECO apoyo operativo en modalidad 12x5.

El CSIRT se encargará de implantar, gestionar y garantizar la adecuación de los controles de seguridad que

protegen la red, los sistemas y las aplicaciones de INECO. Asimismo, será responsable la respuesta a incidentes

de seguridad externos o internos con afectación en INECO, de forma que pueda continuarse el desarrollo del

negocio manteniendo la excelencia en la protección de la información de INECO, de sus clientes y de entidades

y organizaciones relacionadas.

Las funciones que deberá cubrir el servicio de CISRT serán:

Ciberinteligencia.

Bastionado de Sistemas y Software Base.

Gestión de Vulnerabilidades.

Evolución de las Capacidades de Detección de Incidentes.

Respuesta rápida ante Incidentes de Seguridad.

Gestión de Riesgos de Seguridad de la Información.


2.4 CIBERINTELIGENCIA

El objetivo de la ciberinteligencia es ayudar a los equipos internos de INECO (incluyendo el SOC) y al resto de

equipo del CSIRT a anticipar la detección de posibles amenazas contra la organización con el fin de poder tomar

acciones preventivas sobre los sistemas de información de INECO que los protejan frente a dichas amenazas.

Para ello, el proveedor deberá ejecutar las siguientes tareas:

Monitorización y detección temprana de alertas de seguridad de la información fuera de INECO (fugas

de información, ataques DDoS, activismo y hacktivismo, vulneración de mecanismos de seguridad,

conductas peligrosas, suplantaciones de identidad, robo de credenciales, espionaje, monitorización de

amenazas en la Darknet, pastebin, social media, chat rooms, otros fórums) desde distintas fuentes de

confianza: Organismos de respuesta a Incidentes CSIRTs o CERTs, servicios especializados en avisos de

seguridad (públicos y privados), fabricantes o proveedores de seguridad, redes sociales, etc.

Monitorización, detección y alerta temprana de riesgos de marca: evolución, uso no autorizado de

marca, usurpación de dominios, contenidos fraudulentos y control continuo de detección de

defacement en las webs externas de Ineco.

Alerta temprana de riesgos de infraestructura mediante aviso de vulnerabilidades conocidas para el

software y hardware identificado en el conjunto de activos y sistemas de Ineco.

Alimentación automática de IoCs e IoAs para su integración en las plataformas de seguridad

administradas por el SOC de INECO (firewalls, proxies, SIEM, etc.).

Notificación de amenazas a los diferentes grupos de interés dentro de INECO de acuerdo a los

procedimientos de notificación que se establezcan durante la fase de puesta en marcha del servicio con

propuestas específicas de acciones a realizar para proteger a INECO frente a dichas amenazas.

Dar soporte a los equipos internos de INECO a la hora de evaluar el impacto de dichas acciones y

proponer posibles medidas alternativas.

Generación de informes mensuales de ciberinteligencia.

Como parte de la prestación del servicio, el proveedor deberá incluir, sin coste adicional, las licencias de uso de

las herramientas necesarias para la ejecución de las tareas anteriormente descritas. Como mínimo, se considera

necesario:

Que el proveedor disponga de suscripciones a un mínimo de 100 fuentes de inteligencia. Se valorará la

inclusión de fuentes privadas/licenciadas.

Disponer de una plataforma de inteligencia de amenazas (TIP por sus siglas en inglés) en la que se

vuelque toda la información recopilada por el equipo de ciberinteligencia del proveedor para INECO,

que deberá ser consumible de las siguientes formas:

o Mediante acceso a un portal web.

o Mediante notificaciones vía correo electrónico.

o Mediante notificaciones vía mensajería instantánea (Whatsapp, Telegram, etc.).

o Mediante interfaces de integración (APIs).


o Mediante la entrega automática de IoCs e IoAs a través protocolos estándares de intercambio

de información de amenazas como TAXII y sobre formatos estándares como STIX.

Disponer de un nodo MISP a través del cual el proveedor suministrará feeds de inteligencia a INECO.

2.5 BASTIONADO DE SISTEMAS OPERATIVOS Y SOFTWARE BASE

Como parte esencial en la prevención de incidentes de seguridad se plantea el bastionado de los sistemas a

proteger para minimizar la superficie de riesgo de INECO.

Para ello, se plantean las siguientes tareas:

La definición de un procedimiento de Bastionado para los sistemas de Ineco que establezca alcance del

bastionado y roles del CISO, Sistemas, CSIRT y SOC en el proceso.

La definición de unas guías de configuración segura (bastionado) adaptadas a INECO, alineadas con

buenas prácticas, estándares de referencia (p.e. las Guías STIC del CCN‐CERT) tanto de sistemas

operativos como de software base existentes en Ineco.

La aplicación de dichas guías sobre el parque de sistemas productivos de Ineco, incluyendo:

o La creación de los scripts y GPOs necesarios para un despliegue rápido, confiable y uniforme

del bastionado de los sistemas operativos.

o El testing previo, contando con la colaboración de los equipos de Operación de la

infraestructura de INECO.

o La gestión de excepciones en función de la criticidad de los activos y el posible impacto en éstos

de la aplicación de las guías.

o La gestión de cambios en los sistemas, alineada con los procedimientos de gestión de cambios

definidos por Ineco.

o El control de implantación de las guías sobre la infraestructura de INECO.

El seguimiento continuo del grado de cumplimiento de los sistemas de Ineco respecto a las Guías de

Configuración segura aprobadas.

El mantenimiento y, en su caso, aplicación de cambios necesarios en el procedimiento, los sistemas y/o

en las guías de configuración segura. Entre los motivos por los que dichos cambios pueden producirse

cabe destacar:

o La reordenación de roles en las tareas de gestión IT de la organización.

o La aparición de nuevas amenazas que requieran reforzar las configuraciones de seguridad ya

desplegadas.

o La publicación de actualizaciones de los estándares y guías de referencia utilizados.

o El despliegue de posibles nuevas tecnologías dentro de los sistemas de información de Ineco

que requieran de la definición y aplicación de nuevas guías de configuración segura.

2.6 GESTIÓN DE VULNERABILIDADES

El objetivo de la gestión de vulnerabilidades es ayudar a los equipos internos de INECO (incluyendo el SOC) a

anticipar la identificación de vulnerabilidades presentes en sus sistemas de información llevando a cabo el


seguimiento y soporte de las mismas hasta su resolución. Para ello, el proveedor deberá ejecutar las siguientes

tareas:

Revisión de la política y el procedimiento de actualizaciones de seguridad existentes.

Planificación, gestión y ejecución de escaneos de vulnerabilidades y pruebas de seguridad necesarias

para identificar posibles vulnerabilidades existentes en los sistemas de información de INECO. Al menos,

se contemplan los siguientes ciclos de ejecución de escaneos y pruebas de seguridad:

o Escaneos trimestrales de la red interna (4.000 IPs privadas aprox.).

o Escaneos mensuales del rango de direcciones IPs públicas (60 aprox.).

o Un test de penetración perimetral anual sin autenticar y autenticado.

o Un test de penetración de la red interna anual sin autenticación y con un usuario genérico.

Adicionalmente, INECO podrá requerir escaneos de vulnerabilidades ad hoc, en 24x7, hasta un máximo

de 2 al año, que podrán ser solicitados con una antelación mínima de 24 horas.

El seguimiento de las vulnerabilidades y soporte durante la resolución a los equipos de INECO

responsables de la corrección de las mismas (SOC y/u operación de Sistemas).

El Servicio velará por que no se aporten falsos positivos con verificaciones manuales.

El Servicio controlará que no haya tickets repetidos. En todos los casos deberá ejecutarse un

procedimiento para garantizar que las vulnerabilidades que se presentarán a los responsables estarán

filtradas y libres de falsos positivos y repeticiones.

Recertificación de vulnerabilidades para el aseguramiento de su resolución.

Reporting mensual a la Dirección de INECO sobre el nivel de exposición de los sistemas de información

de INECO frente a ataques.

El proveedor deberá incluir, sin coste adicional, las licencias de uso de las herramientas necesarias para la

ejecución de las tareas anteriormente descritas.

Como mínimo, se considera necesaria la provisión de las siguientes:

Herramienta de escaneo de vulnerabilidades que cumpla con todos los requisitos establecidos en la

última versión aprobada de la circular NISTIR7511. INECO proporcionará la infraestructura necesaria

(hardware, procesamiento y sistema operativo) para desplegar dicha licencia.

Herramienta de gestión de vulnerabilidades, con una interfaz web accesible para Ineco, que ofrezca:

o Diferentes perfiles de acceso a la misma.

o Un repositorio de activos que:

Identifique los activos de Ineco

Asigne un nivel de criticidad para cada activo.

Identifique las propiedades de cada activo, entre ellas, hardware, software y

versionado de ambos.

Agrupe los activos por unidades organizativas.

Asigne un responsable a cada activo.

Realice búsquedas dentro del inventario de activos por diferentes criterios.


Incorpore de manera automática nuevos activos que se den de alta en la Organización.

Permita exportar la base de datos de activos en csv.

o Un repositorio único de vulnerabilidades con afectación en Ineco, tanto las detectadas como

resultados de los diferentes tests de seguridad que se realicen sobre los activos como las

publicadas que afecten a activos existentes. Este repositorio deberá permitir:

Categorizar las vulnerabilidades en función de criterios de valoración estándar CVSS2

y CVSS3.

Importar de manera automática y mediante una interfaz API los resultados de

diferentes herramientas de escaneos de vulnerabilidades.

Realizar búsquedas de activos afectados por una vulnerabilidad concreta.

o La exportación en formato .csv de la base de datos de activos (incluyendo versionado) y sus

vulnerabilidades para que los equipos de Ineco puedan tratar dicha información de manera

más ágil o distribuida.

o Cuadros de mando de seguimiento de las vulnerabilidades, de la planificación de los trabajos y

resumen del nivel de exposición de la Organización frente a ataques, que permita:

Una gestión del riesgo que posibilite establecer diferentes plazos de resolución en

función de la criticidad de los activos y de las vulnerabilidades asociadas.

Modificar manualmente el nivel de riesgo de un activo.

Elaborar gráficos configurables y tablero de instrumentos.

Mostrar una evolución de la seguridad a lo largo del tiempo.

Proporcionar una visión general de seguridad rápida y general actualizada.

El CSIRT deberá ofrecer al SOC formación básica y acceso en modo lectura/ejecución a ambas herramientas.

2.7 EVOLUCIÓN DE LAS CAPACIDADES DE DETECCIÓN DE INCIDENTES

El objetivo de la evolución de las capacidades de detección de incidentes es actualizar tanto la configuración de

la plataforma SIEM como los procedimientos de operación aplicados por el SOC ante las alertas generadas por el

SIEM. Para ello, el proveedor deberá ejecutar las siguientes tareas:

Proponer una metodología de evaluación continua del grado de madurez de la plataforma SIEM y

definición de una hoja de ruta de evolución continua de la misma, que incluirá:

o La identificación de nuevas amenazas y riesgos sobre los activos de información de INECO para

la propuesta de mejoras en los sistemas de control.

o La definición de reglas, alertas y casos de uso a incorporar en la plataforma.

o La propuesta de nuevas fuentes de eventos a integrar en la plataforma que den soporte a los

anteriores.

o La depuración de reglas, alertas y casos de uso para reducir el número de falsos positivos.

o El testeo de las reglas, alertas y casos de uso implementados por el SOC sobre la plataforma

para asegurar su correcta implantación.


Monitorizar y Mantener las alertas del SIEM procedentes de las distintas fuentes para alertar de forma

temprana sobre posibles incidentes y trabajar en la automatización de su detección y respuesta

traduciéndola en altas, modificaciones o bajas (en caso de estar obsoletos) de reglas, alertas y casos de

uso.

Supervisar y formar al SOC de Ineco en los nuevos procedimientos operativos y directrices de actuación

relacionados con las nuevas reglas que permitan la gestión eficaz de nuevas amenazas en todas las fases:

monitorización, clasificación, contención y respuesta.

Analizar tendencias y evolución de incidentes de seguridad a fin de extraer lecciones aprendidas y

mejoras de los sistemas de monitorización y controles de seguridad.

Para la prestación del servicio, el proveedor deberá implementar al inicio del servicio de una librería de alertas y

casos de uso propios, con un número mínimo de 100, que servirá como punto de partida para la hoja de ruta de

evolución de las capacidades de detección de Ineco. Las ofertas deberán contener el listado de casos de uso

disponibles y al menos un ejemplo de la documentación que será puesta a disposición de Ineco por parte del

adjudicatario para cada uno de ellos.

Dado que el SIEM de INECO forma parte de su infraestructura, el SOC deberá disponer en todo momento de

acceso al mismo.

2.8 RESPUESTA RÁPIDA ANTE INCIDENTES DE CIBERSEGURIDAD

El objetivo de la respuesta rápida ante incidentes de ciberseguridad es ayudar a los equipos internos de INECO

(incluyendo el SOC) a analizar, contener y corregir cualquier incidente de seguridad. Para ello, el proveedor

deberá ejecutar las siguientes tareas:

Formalizar (redacción, aprobación, publicación y comunicación) el procedimiento general de respuesta

ante incidentes de seguridad en el que, al menos, se contemple:

o La definición de una taxonomía de incidentes que los clasifique, les asigne un nivel de criticidad

y les asocie los flujos de trabajo para su análisis y resolución en función de su tipología.

o La integración con los sistemas de clasificación y gestión de incidentes de la herramienta LUCIA

de CCN‐CERT y con la herramienta interna de ticketing JIRA de Ineco.

o La recopilación de información de contacto de áreas internas y organismos o fuerzas de

seguridad externos relevantes.

o La definición de los canales de comunicación, tanto internos como externos, asociados al

proceso de gestión de un incidente.

o Redacción de los manuales de uso de las herramientas involucradas.

o La ejecución de sesiones de formación con el personal involucrado en los diferentes

procedimientos de respuesta.

Ejecutar el servicio de respuesta ante incidentes donde las principales responsabilidades del proveedor

son:

o Disponer de un servicio de atención inmediata en 12x5 en el que se reciban las peticiones de

activación del servicio por parte del personal autorizado por INECO (incluyendo el SOC).


o Asignar, en menos de una hora, a un Responsable de Gestión del Incidente, que de manera

remota dará soporte técnico a INECO durante todo el proceso de gestión del incidente y

coordinará a los diferentes equipos de respuesta, tanto de INECO como del CSIRT.

o Desplegar, en menos de 24 horas, un equipo presencial de respuesta ante incidentes para

ejecutar las labores de recolección, análisis, contención y corrección del incidente. Este

requisito deberá ser garantizado al menos en las sedes principales de INECO de Madrid. Se

estiman 100 horas anuales de respuesta rápida a incidentes de seguridad requeridas por Ineco.

o Elaborar informes de análisis forense y peritajes sin validez legal sobre incidentes de seguridad,

conectándose en remoto a los sistemas que fuese necesario para ello.

o Dar soporte en la elaboración de análisis forense y peritajes con validez legal.

o A la finalización de cada incidente, elaborar un informe del mismo, con lecciones aprendidas y

propuesta de planes de acción para prevenir la reproducción futura de incidentes similares o

para mejorar los mecanismos de respuesta y gestión de incidentes.

Mantener actualizados y probados los procedimientos de respuesta ante incidentes mediante las

siguientes tareas:

o Revisión periódica de los procedimientos, manuales y herramientas definidos para la gestión

de incidentes de seguridad.

o La preparación y ejecución de un ciberejercicio anual en la Organización.

o El soporte durante la participación de ciberejercicios, públicos o privados, en los que INECO

decida participar.

2.9 GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN

Esta función tiene como objetivo principal dar soporte a la Dirección de INECO en el mantenimiento y

actualización de todo su modelo de ciberseguridad con el fin último de obtener, durante el periodo de prestación

del servicio, la certificación de seguridad ISO 27001 y cualesquiera otras que puedan surgir durante el periodo

de prestación del servicio.

El proveedor deberá ejecutar las siguientes tareas:

Mantener y evolucionar (mejora continua) el sistema de gestión de seguridad de la información de

INECO.

Colaborar en la ejecución de los planes de concienciación, divulgación y formación relacionados con el

sistema de gestión de seguridad de la información.

Realizar, actualizar y evolucionar estudios de escenarios de riesgos de seguridad de la información.

Colaborar en la definición e implantación de los planes de tratamiento del riesgo (implantación o

ampliación de controles), derivados de los escenarios analizados. Supervisar y actualizar dichos planes

de tratamiento del riesgo.

Definir los indicadores clave del sistema de gestión de seguridad de INECO e implantar los mecanismos

de reporting a la Dirección de INECO respecto al riesgos de seguridad de la información.

Mantener los registros de trazabilidad asociados al sistema de gestión de seguridad de la información.


Elaborar y mantener el cuerpo normativo de seguridad de la información de INECO.

Dar soporte en materia de cumplimiento normativo en materia de seguridad que sean de aplicación en

INECO (ENS, ISO27001, NIS, GDPR, etc.).

Ejecutar auditorías de seguridad sobre proveedores de servicio clave de INECO.

Actuar como interlocutor y coordinar la respuesta ante posibles requisitos de información relacionados

con el modelo de seguridad de INECO por parte de terceros (clientes, socios, reguladores, etc.).

Acompañar durante todo el ciclo de vida de los proyectos tecnológicos para asesoramiento sobre

implementación de soluciones seguras. Fijación de requisitos de seguridad en los nuevos desarrollos y

seguimiento y control del cumplimiento de dichos requisitos.

La Dirección de INECO se plantea como objetivo de negocio la obtención de la certificación de seguridad

ISO27001 para un proceso de negocio con un alcance estimado de 200 empleados de Ineco.

El adjudicatario deberá responsabilizarse de la preparación, soporte y auditoría necesarias para la consecución

de dicha certificación.

Durante la prestación del servicio podrán surgir nuevas necesidades en cuanto a certificación de los procesos de

seguridad de Ineco.

En el caso de que Ineco decida obtener algún otro certificado en materia de seguridad de la información, el

licitador se encargará de dar soporte durante todo el proceso de adecuación y certificación, pero no se hará

cargo de los costes asociados a la entidad de certificación.

3 MEDIOS REQUERIDOS

El adjudicatario deberá aportar los medios humanos, técnicos y materiales necesarios para la correcta ejecución

del servicio.

3.1 MEDIOS HUMANOS

Que el proveedor despliegue un equipo permanente en las instalaciones de INECO en Madrid con los siguientes

perfiles profesionales:

Rol Responsable del Servicio

Dedicación 20%

Experiencia mínima en

Seguridad de la Información 5 años

Titulación mínima Ingeniero Superior o Máster

Informática o de Telecomunicaciones

Certificaciones profesionales CISSP

ISO27001 Lead Auditor o Implementer.

Conocimientos técnicos Elaboración de Planes Directores de Seguridad

Oficinas Técnicas de Seguridad


Implantación de Sistemas de Gestión de Seguridad de la

Información

Evaluación, diseño e implantación de arquitecturas de

seguridad

Elaboración de Marcos Normativos de Seguridad

Ejecución de Auditorías de Seguridad

Rol Gestor del Servicio

Dedicación 100%

Experiencia mínima en

Seguridad de la Información 5 años

Titulación mínima Ingeniero Superior o Máster

Informática o de Telecomunicaciones

Certificaciones profesionales CISSP o CISA

ISO27001 Lead Auditor o ISO27001 Implementer

Conocimientos técnicos

Elaboración de Planes Directores de Seguridad

Oficinas Técnicas de Seguridad

Implantación de Sistemas de Gestión de Seguridad de la

Información

Evaluación, diseño e implantación de arquitecturas de

seguridad

Elaboración de Marcos Normativos de Seguridad

Ejecución de Auditorías de Seguridad

Para garantizar un desempeño adecuado de las tareas a realizar se deben cumplir los siguientes requisitos:

1. Que el gestor del servicio trabaje de manera presencial en las instalaciones de INECO de forma

continuada durante todo el periodo de duración del mismo salvo sustitución por causa justificada.

2. Que el gestor sea la misma persona en periodos continuados de al menos 4 meses.

3. En caso de sustitución de personas ligadas al servicio por fuerza mayor, será responsabilidad del

proveedor traspasar el conocimiento necesario al sustituto con la suficiente antelación para que la

calidad del servicio no se vea mermada. Para ello, será imprescindible que toda información relevante

para el servicio esté documentada en todo momento. Dicha documentación deberá presentarse en las

reuniones mensuales previstas.

4. Para asegurar los niveles de servicio durante todo el periodo de prestación del contrato, los licitadores

deberán acreditar que disponen de un número mínimo de profesionales certificados en materia de

seguridad de la información y con un mínimo de años de experiencia, según se describe a continuación:


Certificado Años de experiencia en

Seguridad de la Información

Número de

profesionales

CISSP o CISA 5 3

ISO 27001 Lead Implementer o

ISO 27001 Lead Auditor

5 3

OSCP o CEH o OSCE o GPEN 3 5

En dicha relación se incluyen los perfiles anteriormente descritos a disposición del presente servicio.

3.2 MEDIOS TÉCNICOS

Los medios específicos a proporcionar en cada trabajo se detallarán en las ofertas correspondientes, y en general

serán coherentes con lo establecido en el apartado 2.

Los requisitos mínimos que deberá cumplir el proveedor del servicio son los siguientes:

Para las funciones de Ciberinteligencia, Gestión de Vulnerabilidades, Bastionado, Evolución de las

Capacidades de Detección y Respuesta Rápida ante Incidentes de Ciberseguridad el proveedor deberá

disponer de un Centro de Operaciones de Ciberseguridad, disponible 12x5, ubicado en España, con las

siguientes características:

o Disponer de alguna de las siguientes acreditaciones relacionadas con la capacidad de respuesta a

incidentes de seguridad: CERT, FIRST.

o Disponer de un Sistema de Gestión de Continuidad de Negocio, certificado bajo la versión vigente

de la norma ISO22301.

o Disponer de un Sistema de Gestión de Seguridad de la Información, certificado bajo la versión

vigente de la norma ISO27001.

o Para Bastionado y Gestión de Vulnerabilidades, el proveedor deberá ofrecer un equipo de

especialistas en bastionado de sistemas y en ejecución de pruebas de seguridad (pentesting) con al

menos 3 profesionales en posesión de alguna de las siguientes certificaciones: CEH, OSCP, OSCE o

GPEN y una experiencia mínima de 3 años en seguridad de la información.

Para la prestación del servicio de Ciberinteligencia, el proveedor deberá disponer y ofrecer los siguientes

medios técnicos:

o Suscripciones a fuentes de inteligencia públicas y privadas, con un mínimo de 100 fuentes.

o Una plataforma de inteligencia de amenazas (TIP por sus siglas en inglés) en la que se vuelque toda

la información de ciberinteligencia recopilada por el equipo de ciberinteligencia del proveedor para

INECO, que deberá ser consumible de todas las siguientes diferentes formas:

• Mediante acceso a un portal web.

• Mediante notificaciones vía correo electrónico.

• Mediante notificaciones vía mensajería instantánea (Whatsapp, Telegram, etc.).

• Mediante interfaces de integración (APIs).


• Mediante la entrega automática de IoCs e IoAs a través protocolos estándares de

intercambio de información de amenazas como TAXII y sobre formatos estándares

como STIX.

4 TÉRMINOS Y CONDICIONES COMERCIALES

Serán de aplicación las condiciones generales de contratación publicadas en el perfil del contratante de Ineco

(www.ineco.com) y en la plataforma de contratación del estado (www.contrataciondelestado.es).

La empresa adjudicataria deberá estar capacitada según la legislación vigente para el desarrollo de los trabajos

requeridos en el presente documento.

La presentación de oferta supone la aceptación de las Condiciones Generales de Contratación de Ineco y de las

presentes Condiciones Particulares, con el orden de prelación de documentación contractual establecido en el

Artículo 20 de las Condiciones Generales de Contratación de Ineco.

En caso de precisarse subcontratación de alguna de las tareas deberá especificarse en la oferta y siempre deberá

ser aprobada por Ineco.

4.1 CONSIDERACIONES PARA LA FACTURACIÓN

La facturación se realizará en función del trabajo realmente ejecutado, valorado a los precios ofertados. En

ningún caso Ineco tendrá la obligación de agotar en su totalidad el presupuesto ni el plazo, quedando limitado a

las necesidades reales de la empresa.

Los días de pago son los días 5, 15 y 25 de cada mes, lo que deberá tenerse en cuenta para los plazos de pago.

El pago se realizará a SESENTA (60) días tras la validación de la factura

Los pagos se realizarán en euros, mediante transferencia bancaria, desde una cuenta corriente de Ineco

domiciliada en Madrid (España), por lo que todas las facturas deberán indicar:

Titular de la cuenta

Nombre del banco

IBAN o codificación unívoca equivalente.

SWIFT o BIC (Cuando aplique)

Los gastos adicionales ocasionados por pagos mediante diferentes medios a los indicados correrán por cuenta

del proveedor.

Los gastos adicionales ocasionados por pagos mediante diferentes medios a los indicados correrán por cuenta

del proveedor.

Todas las facturas que se emitan deberán contener los siguientes datos obligatoriamente:

‐ Facturas Nacionales:

Nº de Adjudicación.

Código de proyecto.

Nº de factura o serie.

Fecha de expedición.


Nombre y apellidos, razón o denominación social completa tanto del obligado a expedir factura como

del destinatario de las operaciones.

Número de Identificación Fiscal atribuido por la Administración tributaría española.

Domicilio fiscal tanto del obligado a expedir la factura como del destinatario de las operaciones.

Descripción de la/s operación/es.

Tipo impositivo o exención del mismo si procede.

La cuota tributaria que, en su caso se repercuta, que deberá consignarse por separado.

‐ Facturas Unión Europea



Nº de factura, serie, u otra designación según país.




Número de Identificación Fiscal o equivalente, atribuido por la de otro miembro de la Unión Europea

con el que ha realizado la operación el obligado a expedir la factura.



Tipo impositivo o exención del mismo si procede de acuerdo a los países locales de la Unión Europea.

La cuota tributaria que, en su caso, se repercuta, que deberá consignarse por separado.

‐ Facturas Internacionales:



Nº de factura, serie, u otra designación según país.




Número de Identificación Fiscal o equivalente, atribuido por el Organismo competente en el país, que

proceda.



Tipo impositivo o exención del mismo si procede.

La cuota tributaria que, en su caso, se repercuta, que deberá consignarse por separado.

4.2 ACLARACIÓN DE DUDAS

Las empresas licitantes podrán solicitar aclaraciones o información adicional por escrito en una (1) lista cerrada

de puntos que deberá incluir:


Número de pregunta.

Concepto debidamente especificado.

Justificación de la pregunta y/o impacto en la oferta a presentar.

La solicitud de aclaración de dudas, así como una descripción mínima de la empresa ofertante (máximo una

página) deberán ser enviadas al correo electrónico [email protected]. La respuesta será realizada por Ineco por

el mismo medio.

La recepción de solicitudes de aclaración de dudas finalizará dos (2) días antes de la fecha límite de presentación

de ofertas.

4.3 PENALIZACIONES

En caso de incumplimiento de obligaciones contractuales, Ineco aplicará las siguientes penalidades:

4.3.1 Incumplimiento de los trabajos objeto de contrato

Se entiende por incumplimiento de una tarea no completarla.

Se aplicará una penalidad de un cinco (5%) por ciento sobre el importe mensual del servicio por el incumplimiento

de cualquiera de las actividades descritas en el apartado segundo. Así mismo, se aplicarán las penalidades

especificadas en la tabla de Acuerdos de Nivel de Servicio del Anexo I, en caso de incumplimiento de los mismos.

Ineco informará de esta situación al coordinador nombrado por la empresa adjudicataria para que, en el plazo

máximo de dos (2) días, alegue lo que considere oportuno. Una vez recibidas las alegaciones por parte de Ineco,

en caso de desestimarlas, en el plazo máximo de cuatro (4) días, informará sobre la aplicación de dicha penalidad

o sobre la rescisión anticipada del contrato, sin derecho a indemnización alguna a favor de la empresa

adjudicataria. Las comunicaciones entre Ineco y la empresa adjudicataria se realizarán siempre por escrito.

Así mismo, el incumplimiento recurrente durante 3 meses de alguna de las tareas habilitará a Ineco para proceder

a la rescisión anticipada del contrato.

Las penalidades por incumplimiento de los trabajos, en caso de superar el veinte (20%) por ciento del importe

total del contrato, habilitarán a Ineco para proceder a la rescisión anticipada del contrato.

4.3.2 Ejecución defectuosa de los trabajos

Se entiende como ejecución defectuosa la realización deficiente o insuficiente de las actividades descritas en el

apartado segundo por no cubrir el alcance detallado para cada una de ellas.

Se aplicará una penalidad sobre el importe mensual del servicio correspondiente al cinco (5%) por ciento por la

ejecución defectuosa de cualquiera de las actividades descritas en el apartado segundo. Así mismo, se aplicarán

las penalidades especificadas en la tabla de Acuerdos de Nivel de Servicio del Anexo I en caso de incumplimiento

de los mismos.



en caso de desestimarlas, en el plazo máximo de cuatro (4) días, informará sobre la aplicación de dicha penalidad

o sobre la rescisión anticipada del contrato, sin derecho a indemnización alguna a favor de la empresa



Las penalidades por ejecución defectuosa de los trabajos en caso de superar el diez (10%) por ciento del importe

del contrato, habilitará a Ineco para proceder a la rescisión anticipada del contrato.

4.3.3 Mora en la entrega de los trabajos

Se entiende por mora el retraso imputable a la empresa adjudicataria en la realización de cualquiera de las

actividades descritas en el apartado segundo, siendo éste hasta un 30% superior al periodo establecido para las

mismas.

Se aplicará una penalidad sobre el importe mensual del servicio correspondiente al tres (3%) por ciento por la

mora de cualquiera de las actividades descritas en el apartado segundo. Así mismo, se aplicarán las penalidades

especificadas en la tabla de Acuerdos de Nivel de Servicio del Anexo I en caso de incumplimiento de los mismos.



en caso de desestimarlas, en el plazo máximo de cuatro (4) días, Ineco informará sobre la aplicación de dicha

penalidad o sobre la rescisión anticipada del contrato, sin derecho a indemnización alguna a favor de la empresa


4.3.4 Ejecución de Penalidades

Las penalidades mencionadas se harán efectivas mediante la correspondiente deducción en la siguiente factura

emitida por la empresa adjudicataria. Ineco informará de la aplicación de dicha penalidad al coordinador

nombrado por la empresa adjudicataria, para que se contemple dicha deducción por este concepto en la

correspondiente factura, de no ser así, Ineco se reserva el derecho a realizar una retención del doble de la

penalidad impuesta que se practicará en la última factura emitida por la empresa adjudicataria.

En caso de producirse una penalización, deberá ir ya reflejada en la siguiente factura del proveedor. Dicha factura

no será validada por INECO hasta que no se contemple el descuento correspondiente por incumplimiento

establecido en los Acuerdos de Nivel de Servicio del Anexo I.

4.3.5 Comunicación Penalidades

Las comunicaciones por escrito se realizarán al correo electrónico facilitado por el contratista, siendo

responsabilidad del mismo el mantenimiento de dicha cuenta, así como la consulta y lectura de los correos

emitidos. En el caso de cambiar la dirección de correo electrónico, el contratista deberá de notificarlo por escrito

a Ineco ([email protected]), en caso de no hacerlo las comunicaciones emitidas al correo facilitado tendrán

la consideración de comunicación escrita a los efectos de oportunos.

En caso de incumplimiento por parte del contratista y de sus subcontratas, de sus obligaciones con la Seguridad

Social, abono de salarios a sus trabajadores y obligaciones en materia de PRL, se podrá rescindir anticipadamente

el contrato, así como realizar retenciones en concepto de penalización en las facturas emitidas.

4.4 CONDICIONES ESPECÍFICAS PARA LA GESTIÓN DEL SERVICIO

Para la correcta prestación de este tipo de servicios, la empresa adjudicataria tendrá que realizar en todos ellos

las siguientes actividades:


Coordinación de la prestación de servicio

La Empresa adjudicataria deberá nombrar un Coordinador Responsable del Servicio que pertenecerá a

la plantilla de la empresa y tendrá entre sus obligaciones las siguientes:

o Actuar como interlocutor de la empresa contratista frente a Ineco, canalizando la

comunicación entre la empresa contratista y el personal integrante del equipo de trabajo

adscrito al contrato, de un lado, e Ineco de otro lado, en todo lo relativo a las cuestiones

derivadas de lo ejecución del contrato

o Distribuir el trabajo entre el personal encargado de la ejecución del contrato, e impartir a

dichos trabajadores los órdenes e instrucciones de trabajo que sean necesarias en relación con

la prestación del servicio contratado.

o Supervisar el correcto desempeño por parte del personal integrante del equipo de trabajo de

las funciones que tienen encomendadas, así como controlar la asistencia de dicho personal al

puesto de trabajo.

o Organizar el régimen de vacaciones del personal adscrita a la ejecución del contrato, debiendo

a tal efecto coordinarse adecuadamente la empresa contratista con INECO, a efectos de no

alterar el buen funcionamiento del servicio.

El adjudicatario podrá designar a uno o varios coordinadores técnicos, aceptados por Ineco, encargados

de supervisar la realización de los trabajos siguiendo las instrucciones del Jefe de Proyecto de Ineco, y

de gestionar los recursos humanos que intervengan, sin perjuicio de la responsabilidad del Coordinador

Responsable del Servicio en la correcta ejecución del contrato.

La figura del Coordinador Responsable del Servicio por parte del adjudicatario deberá estar dotada de

capacidad gerencial suficiente para ostentar la representación del adjudicatario cuando sea necesaria

su actuación o presencia, así como resolver las obligaciones contractuales, siempre en orden a la

ejecución y buen fin del objeto del contrato, y su titular no podrá ser sustituido sin la conformidad previa

de Ineco.

El Jefe de proyecto designado por Ineco, establecerá los criterios y líneas generales para la actuación en

relación con el servicio contratado para el cumplimiento de los fines del mismo. Será el encargado de la

comprobación, coordinación y vigilancia de la ejecución, sin que esta designación exima al adjudicatario

de su responsabilidad en la correcta ejecución del contrato.

Prestación del servicio

La empresa adjudicataria deberá plasmar en un documento de proyecto con MS Project todas las

actividades a realizar incluidas en el alcance del servicio conforme a las directrices establecidas por el

Jefe de Proyecto de Ineco. Este Project deberá describir tareas, fechas, hitos y recursos, con el desglose

necesario para poder llevar seguimiento del desarrollo del mismo.

Semanalmente, se entregará una versión actualizada del Project y un resumen ejecutivo que muestre

el estado de desarrollo del servicio, identificando tareas/recursos problemáticos del camino crítico,

responsables y siguientes pasos.


INECO se reserva el derecho de establecer herramientas y procedimientos adicionales para el

seguimiento de las tareas, así como la descripción del contenido y formato de los informes que el

adjudicatario deberá realizar durante su desarrollo y entrega.

En aquellos casos en los que los trabajos deban realizarse en instalaciones de Ineco, sólo se

proporcionará acceso a los servicios o aplicaciones informáticas imprescindibles para la realización de

su actividad.

En caso de que, por eficacia y seguridad del trabajo, los equipos informáticos deban ser de Ineco, se

especificarán los equipos asignados e igualmente solo contarán con los accesos imprescindibles.

La empresa adjudicataria deberá garantizar la prestación del servicio en las condiciones acordadas,

proporcionando personal de respaldo, en caso de necesitarse cubrir periodos vacacionales o bajas

laborales.

Control de prestación del servicio

Se efectuará por medio de la presentación, por parte de la empresa adjudicataria, de un informe

resumen mensual, o con la frecuencia que se presenten facturas, con las actividades y tareas realizadas

y los trabajos realizados a petición expresa. Este informe será la base de la certificación y aceptación del

servicio realizado por parte del Jefe de Proyecto de Ineco, recopilando información sobre el avance del

mismo:

o En cuanto a los trabajos realizados:

Se indicará los recursos destinados a la ejecución de los trabajos.

Constatará las reuniones de seguimiento mantenidas entre el coordinador y el equipo.

Incluirá al menos un acta de una reunión de seguimiento firmada por los miembros

del equipo en la que se traten los aspectos del informe de seguimiento.

Modificaciones en los medios humanos y materiales específicos puestos a disposición

del proyecto. El coordinador comunicará anticipadamente sustituciones de personas

indicando su antigüedad en la empresa, y si cumplen los requisitos mínimos

establecidos. Asimismo, informará de otras incidencias de personal como vacaciones,

ausencias, cambios en el horario de prestación del servicio. Para la adecuada gestión

de estas modificaciones se deberá entregar copia del documento de afiliación a la

seguridad social de los empleados asignados y los cv de sus perfiles.

Informará de las actividades de formación en que hayan participado los empleados

del contratista.

Informará del asesoramiento técnico, u otras tareas de apoyo, que hayan prestado

personas de la contratista no adscritas al proyecto.

Informará de las incidencias que hubieran tenido lugar en la ejecución de los trabajos.

Realizará una valoración del avance de los trabajos, nivel de calidad, etc.

o En cuanto a los trabajos pendientes:


En su caso, justificación de desviaciones del plan de trabajo original y propuesta de

modificación del plan de trabajo futuro.

Previsión de los recursos materiales y humanos que se dedicarán al proyecto en el

futuro. En su caso, previsión de vacaciones del personal asignado al proyecto, y en su

caso, previsión de las sustituciones del personal de la contratista durante las

vacaciones. Ineco podrá solicitar la modificación de los medios a aplicar si no los

considera adecuados para la realización de las actividades previstas.

Identificación de los trabajos pendientes y su programación temporal.

o En cuanto a los requisitos administrativos:

TA2 de alta de los empleados en seguridad social en el momento del inicio de la

prestación (de cada pedido).

Boletines de cotización a la Seguridad Social, Relación nominal de trabajadores (RNT)

y de los trabajadores adscritos a los trabajos y Recibo de Liquidación de Cotizaciones

(RLC), con la presentación de cada una de las facturas

Declaración de los empleados de haberles sido abonado el salario, con la presentación

de cada factura.

Certificado de estar al corriente de pago en las obligaciones con la seguridad social y

con Hacienda, con la presentación de cada factura.

Devolución del servicio

La Empresa adjudicataria deberá comprometerse a asegurar la transición del servicio a posibles nuevos

proveedores o al propio personal de Ineco una vez finalice la prestación del mismo, lo cual implica una

adecuada documentación y transferencia del conocimiento necesario para prestar dicho servicio.

La Empresa adjudicataria deberá comprometerse a ejecutar una fase formal de devolución del servicio,

sin coste adicional para Ineco, que se llevará a cabo en paralelo a la propia prestación del servicio y que

deberá haberse completado a la finalización del mismo.

Se estima que el proceso de Devolución del servicio tendrá una duración de al menos 1 mes.

Los licitadores deberán detallar en su oferta la metodología propuesta para asegurar dicha transferencia

del conocimiento al personal de Ineco o, en su defecto, al personal del proveedor designado por Ineco.

El abono de la última factura del servicio quedará supeditado a la adecuada ejecución de la transferencia

del conocimiento.

5 DURACIÓN

El plazo de duración de este contrato será de doce (12) meses.

Ineco se reserva el derecho a prorrogar el contrato, en iguales o mejores condiciones, hasta un máximo de dos

prórrogas de doce (12) meses cada una.


6 IMPORTE MÁXIMO

El importe máximo que Ineco abonará al adjudicatario por la ejecución de las prestaciones requeridas será de

trescientos noventa mil euros (390.000,00 €), IVA no incluido.

En ningún caso Ineco tendrá la obligación de agotar en su totalidad el presupuesto, quedando limitado a las

necesidades reales de la empresa.

El abono de los trabajos se realizará conforme a las unidades reflejadas en la oferta económica que se adjunta

en el documento O.E. 20180914‐00646 NOMBRE DEL PROVEEDOR.

7 SOLVENCIA TÉCNICA

Los criterios mínimos que han de cumplir las ofertas son:

7.1 REFERENCIAS

Los licitadores deberán presentar una relación suscrita por un representante legal de la empresa en la que se

recojan los principales servicios CSIRT/CERT/SOC que incluya una descripción del proyecto, importe, fechas y

beneficiarios públicos o privados de la misma, en la cual deberá acreditarse que el ofertante ha venido prestando

dichos servicios de forma continuada al menos durante los últimos cinco (5) años.

De la anterior relación deberán presentarse al menos:

Tres (3) referencias de trabajos similares, que deberán sumar entre las tres un presupuesto superior al

umbral descrito en la siguiente tabla, para cada uno de los servicios que se describen en el presente pliego

de contratación:

Servicio contratado Número de referencias Importe acumulado

Ciberinteligencia 3 60.000

Explotación SIEM 3 80.000

Bastionado de Sistemas y software 3 40.000

Gestión de vulnerabilidades 3 100.000

Respuesta rápida a incidentes 3 15.000

Gestión de Riesgos de Seguridad de la Información 3 50.000

Tres (3) referencias de servicios CERT/CSIRT/SOC a clientes en el IBEX35 y/o con un mínimo de 3.800

usuarios.

7.2 CERTFICACIONES DE SEGURIDAD Y CONTINUIDAD

Los licitadores deberán disponer de sendos sistemas de gestión de seguridad de la información y continuidad de

negocio, con un alcance adecuado para la prestación de los servicios contratados por Ineco, certificados bajo los

siguientes estándares:

FIRST o CERT

ISO/IEC 27001

ISO/IEC 22301


Dichos certificados se deberán mantener vigentes durante todo el periodo de prestación del servicio.

8 SOLVENCIA ECONÓMICA Y FINANCIERA

En el momento de presentar la oferta, para acreditar la solvencia económica y financiera deberá aportar y

renovar cada seis meses.

Informe de Instituciones financieras con los que el participante en la negociación haya mantenido

posiciones de activo o de pasivo significativas en los tres últimos ejercicios que indique al menos los

siguientes extremos:

o Cumplimiento de los compromisos de reembolso de operaciones de crédito

o Evaluación global de la entidad.

Certificado oficial de hallarse al corriente de cumplimiento de las obligaciones tributarias

Certificado oficial de hallarse al corriente de cumplimiento de sus obligaciones de la seguridad social.

Seguro de Responsabilidad Civil que cubra los posibles siniestros asociados a las actividades a

desarrollar, conforme lo siguiente:

o Tener suscrita y en vigor durante todo el periodo de duración contractual una póliza de

Responsabilidad Civil General / Explotación en cobertura de los daños corporales, materiales y

consecutivos causados en el curso de su actividad ordinaria que fueren imputables a la

empresa, sus directivos, empleados (incluidos todos aquellos puestos a servicio de Ineco),

agentes y subcontratistas.

La cuantía suficiente se establece en un límite indemnizatorio mínimo por siniestro de

1.000.000 EUR, sin Sublímite por víctima inferior a dicha cuantía.

La licitadora incluirá a Ineco como asegurada adicional, sin perder condición de

tercero.

o Adherida a la misma póliza, o como póliza independiente, deberá igualmente mantener en

vigor cobertura de Responsabilidad Civil Patronal (sin Sublímite por víctima, y en caso de que

lo hubiera, no inferior a 600.000 EUR) en idénticas cuantías indemnizatorias a las previamente

citadas.

o Asimismo, la licitadora deberá mantener póliza de Responsabilidad Civil Profesional en

cobertura de los daños corporales, materiales, consecutivos y perjuicios patrimoniales puros

derivados de actos u omisiones imputables a los empleados contratados por la licitadora y

puestos a servicio de Ineco para todas las categorías de actividad técnica que, contando con la

aptitud legalmente necesaria, desempeñen en el marco de los contratos de consultoría,

ingeniería y servicios de Ineco con sus correspondientes clientes.

La cuantía suficiente se establece en un límite indemnizatorio mínimo por siniestro de

1.000.000 EUR. No obstante, podrán requerirse importes mayores en función de los

trabajos y servicios a desarrollar por la licitadora.

La licitadora incluirá a Ineco como asegurada adicional, y la póliza tendrá para Ineco

consideración, en el supuesto de hecho previamente descrito, de póliza primaria.


Durante y a finalización del contrato entre Ineco y la adjudicataria, la póliza deberá

cubrir los periodos de responsabilidad posteriores a la ejecución de trabajos del

personal contratado, según los periodos de prescripción de responsabilidad

profesional señalados por las leyes que fueren de aplicación.

o La licitadora deberá presentar prueba de cumplimiento de las condiciones anteriores con

carácter previo a la inicialización de la prestación de servicios. Y en concreto, respecto al seguro

de Responsabilidad Civil Profesional deberá proveer certificados de cobertura en caso de que

Ineco los requiera.

o El cumplimiento de la presente condición no limitará las responsabilidades de la licitadora,

directivos, empleados, agentes y subcontratistas, debiendo responder totalmente de los daños

y perjuicios causados a Ineco o a terceros.

9 CRITERIOS DE VALORACIÓN

Las ofertas recibidas se clasificarán de acuerdo a su valoración de calidad y económica. Según el número de

ofertantes y la adecuación de los mismos al servicio demandado, Ineco adjudicará a una (1) empresa según el

orden de valoración, considerando la misma a partir de la suma de los dos conceptos indicados. La puntuación

que se aplicará será de 45 puntos para la parte económica y 55 puntos para la parte de calidad.

Una vez valoradas las ofertas en la primera fase, Ineco podrá requerir información adicional o mejoras de las

ofertas a las empresas mejor valoradas, procediéndose a una nueva valoración en una segunda fase.

La puntuación que se aplicará en esta segunda fase será 100 % económica.

Ineco establece un plazo máximo para la adjudicación de un (1) mes desde la fecha límite de presentación de

ofertas.

9.1 CRITERIOS EXCLUYENTES

Será motivo de exclusión las siguientes causas:

No estar dado de alta en el registro de proveedores de Ineco, o en su defecto no adjuntar un

compromiso de hacerlo en el plazo de quince (15) días naturales a partir de que Ineco se lo requiera.

No presentar los certificados acreditativos de solvencia exigidos en el apartado 7 y 8.

No aportar los medios requeridos en el punto 3

No cumplir con los requisitos para contratar con Ineco establecidos en el apartado 4 del documento

Normas Internas de Contratación publicado en el perfil del contratante de la web de Ineco.

9.2 VALORACIÓN DE CALIDAD (55 PUNTOS)

9.2.1 Criterios técnicos (45 puntos)

Los criterios de valoración técnica corresponderán a un máximo de cuarenta y cinco (45) puntos distribuidos de

la siguiente forma:

Diez (10) puntos por estar certificada en Esquema Nacional de Seguridad (ENS).

Cuatro (4) puntos por cada suscripción a una fuente de inteligencia privada/licenciada, hasta un máximo

de 20 puntos.


Quince (15) puntos por ampliar el servicio de Respuesta a Incidentes a 24x7. Sin que ello suponga un

incremento del presupuesto ofertado.

9.2.2 Criterios sociales y medioambientales (10 puntos)

Se valorará con UN (1) punto por cada uno de los conceptos indicados, hasta un máximo de CINCO (5), a las

empresas que cuenten con:

Compromiso de contratar para el servicio personas con discapacidad reconocida igual o superior al 33%

Compromiso de contratar para el servicio a personas desempleadas con edad superior a los 45 años.

Compromiso de contratar para el servicio a mujeres incluidas en programas de acogimiento por

violencia contra las mujeres.

Compromiso de contratar para el servicio a personas incluidas en el programa de integración laboral

para colectivos inmigrantes o emigrantes de retorno.

Compromiso de subcontratar un porcentaje del presupuesto de adjudicación del contrato con una

empresa de inserción o un Centro Especial de Empleo.

Se valorará la calidad medioambiental de los equipos de procesamiento informáticos utilizados por la empresa

licitadora, por cada uno de los criterios indicados, hasta un máximo de CINCO (5) puntos, según el siguiente

desglose:

Se obtendrán 2,5 puntos por contar con Sistemas de Gestión Ambiental certificados conforme a la ISO

14001 que cubra, al menos, al 50% de la empresa.

Se obtendrán 2,5 puntos si se certifica un consumo de energía renovable equivalente, al menos, al 25%

del consumo eléctrico total de la empresa.

Se obtendrán 2,5 puntos por aportar el certificado de la huella de carbono, cuyo cálculo se base en el

Protocolo de GEI, la Norma ISO 14064 y la recomendación ITU‐T L.1420.

9.3 VALORACIÓN ECONÓMICA (45 PUNTOS)

La valoración económica se realizará en función del presupuesto ofertado por cada licitador, de acuerdo con la

siguiente formulación:

ó ó 70 • á ó

30

Se considerará oferta desproporcionada aquella que sea un 10 % inferior a la media de las ofertas presentadas.

En este caso se podrá solicitar informe de detalle que justifique su oferta económica.

La oferta quedará descartada en el caso de que se considere que se trata de una oferta temeraria, que pondría

en riesgo el buen término de los trabajos.

Las ofertas consideradas temerarias no se considerarán para la determinación de la puntuación económica.


10 CONTENIDO DE OFERTAS

La documentación deberá ser suficiente para poder valorar la solvencia y cumplir con todos los requerimientos

presentes, y en particular lo expresado en los siguientes puntos:

10.1 OFERTA TÉCNICA Y ADMINISTRATIVA

10.1.1 Documentación Técnica

Cada licitador presentará una Memoria Técnica de los trabajos a realizar y resultados a alcanzar, en la que, de

forma clara y concisa, se especificará:

Servicios ofertados. Descripción de los medios técnicos y humanos disponibles y currículum tipo del

personal que se puede asignar a estos servicios. Estos documentos podrán ser anónimos, pero deberán

ir firmados por el trabajador e incluir:

o Fecha de nacimiento.

o Fechas de los periodos de experiencia profesional con las fechas de inicio y fin de cada uno de

los trabajos relevantes, identificando con detalle suficiente las funciones técnicas realizadas en

cada uno de los mismos.

o Fechas de los títulos de los cursos referenciados.

Metodología de gestión y ejecución de los servicios.

Metodología de calidad y garantía.

Matriz de cumplimiento: Se deberá incluir una matriz donde especifique el cumplimiento de los

requisitos y criterios de evaluación, que serán analizados en la valoración técnica según los parámetros

establecidos. La matriz deberá cumplir el siguiente formato:

Matriz de cumplimiento

Criterio de evaluación Referencia en la Oferta

Criterio 1 Página P1

.. ..

Criterio N Página Pn

Todo lo anterior, en coherencia con las prescripciones establecidas en las presentes condiciones técnicas.

Los licitadores podrán incluir en su oferta técnica mejoras relacionadas con el objeto de los trabajos descritos en

el presente documento.

10.1.2 Documentación Administrativa

El licitador, en el momento de la presentación de la oferta, deberá presentar la siguiente documentación:


Datos de la empresa: Razón social, NIF, objeto de la empresa (copia de estatutos y/o modificaciones),

domicilio social.

Datos del firmante en nombre de la empresa: Nombre y apellidos, copia o referencia de la escritura de

designación de cargo o apoderamiento para la firma del contrato, NIF (fotocopia).

Adicionalmente, será necesario incluir el resto de documentación que acredite el cumplimiento de todos los

requisitos exigidos en el presente documento, y en particular será necesario presentar:

Declaración del responsable de la empresa adjudicataria de disponer en el momento de la formalización

del contrato de que cuenta en su plantilla con el personal establecido en los perfiles comprometiéndose

a entregar a la firma el TA2, documento de afiliación a la seguridad social y boletines de cotización

Relación Nominal de Trabajadores (RNT) y recibo de liquidación de cotizaciones (RLC), a la seguridad

social.

En caso de presentar a personal que no pertenezca a la empresa en el momento de presentar la oferta

será necesario presentar carta de compromiso de cada uno de los perfiles nominados. Estas cartas de

compromiso deberán ser en exclusividad para la empresa ofertante.

Declaración responsable de no estar incursos en prohibición de contratar

La empresa adjudicataria y también si hay subcontratistas, deben presentar a la firma del contrato,

copia de la póliza de seguros que cubra las indemnizaciones por fallecimiento o incapacidad permanente

determinadas en convenio colectivo de aplicación y copia del justificante de abono de la prima de dicho

seguro.

La empresa adjudicataria y también sus subcontratas, deben cumplimentar y firmar obligatoriamente a

la firma del contrato, el documento de cumplimiento en PRL (prevención de riesgos laborales) “Registro

de Coordinación de Actividades Empresariales” que se encuentra alojado en la web de Ineco. Asimismo,

deberá disponer del “Manual de Prevención de Riesgos Laborales de Ineco” y del de “Riesgos, Medidas

Preventivas y Medidas de Emergencia en Ineco”, alojados en la web de Ineco.

La empresa adjudicataria y sus subcontratistas, si va a tratar sola o conjuntamente con otros, datos

personales por cuenta del responsable del tratamiento –Ineco‐ y tenga que acceder a datos de carácter

personal, almacenados en los sistemas de Ineco, ya sea informático o en papel, deberá formalizar el

contrato de prestador de servicio, de acuerdo a lo estipulado en el artículo 12 de la LOPD y en aquellos

servicios que no impliquen un tratamiento de datos personales responsabilidad de Ineco, pero sí una

posibilidad de acceso físico a los mismos, deben firmar los empleados adscritos al servicio el

“documento de confidencialidad y privacidad”, a la firma del contrato de la empresa con Ineco.

Para las empresas extranjeras, en los casos en que el contrato vaya a ejecutarse en España, debe

presentarse la declaración de someterse a la jurisdicción de los juzgados y tribunales españoles de

cualquier orden, para todas las incidencias que de modo directo o indirecto pudieran surgir del contrato,

con renuncia, en su caso, al fuero jurisdiccional extranjero que pudiera corresponderle.

Todos los documentos que se presenten por los licitadores deberán ser originales o tener la

consideración de auténticos según la legislación vigente.


Cuando los empresarios concurran agrupados en unión temporal aportarán además un documento en

el que se comprometan a constituir una UTE para el caso de resultar adjudicatarios, designen un

representante único y expresen la participación que corresponde a cada uno de ellos. El citado

compromiso podrá formalizarse en documento privado, que deberá estar firmado por los

representantes de cada una de las empresas agrupadas.

10.2 OFERTA ECONÓMICA

La propuesta económica deberá estar firmada por el representante legal de la empresa ofertante.

Las cantidades recogidas en dicha propuesta deberán expresarse con y sin IVA.

El único modelo de oferta económica admisible es el que se corresponde con la plantilla que se adjunta en el

fichero Excel O.E. 20180914‐00646‐NOMBRE DEL PROVEEDOR.

Las propuestas que no se ajusten a dicho formato no serán consideradas.

Deberá entregarse el fichero en soporte electrónico, tanto el Excel (*.xls) cumplimentado como el pdf del

impreso firmado por el delegado del proveedor.

11 PRESENTACIÓN DE OFERTAS

Todas las ofertas deberán enviarse en soporte electrónico a la siguiente dirección: [email protected]

El fichero que contenga la oferta económica se identificará como O.E.‐ 20180914‐00646‐NOMBRE DEL

PROVEEDOR y el fichero con la oferta técnica se identificará como O.T.‐ 20180914‐00646‐NOMBRE DEL

PROVEEDOR.

No serán tomadas en cuenta las ofertas presentadas a través de plataformas on‐line de almacenamiento de

documentos. En ningún caso el fichero excederá de 15MB.

En ambos casos se deberá hacer referencia al número de expediente que figura en la portada de este documento.

La oferta técnica y la oferta económica deberán presentarse en ficheros separados, sin que se haga referencia a

la propuesta económica dentro de la propuesta técnica.

En caso de incumplimiento de los requisitos establecidos en el presente apartado, relativos al envío de las ofertas

a una dirección distinta de la indicada, el ofertante podrá quedar excluido de la presente licitación.


ANEXO I – ACUERDOS DE NIVEL DE SERVICIO (SLA)

ACUERDOS DE NIVEL DE SERVICIO (SLAs)

Código Descripción Tipología de

penalización aplicable

Valor

Objetivo Penalización

CI‐01

Disponibilidad mensual de la

Plataforma TIP (Threat

Intelligence Platform)

Incumplimiento >99% 1% de la facturación

mensual (FM)

CI‐02

Tiempo máximo de

notificación de alertas o avisos

recibidos a través de

organismos de seguridad, tras

su recepción/publicación

Incumplimiento 8 horas en el

90% de casos

1% de la facturación

mensual (FM)

CI‐03

Tiempo máximo de

notificación de nuevas

vulnerabilidades publicadas

que afecten a los activos de

Ineco

Incumplimiento 1 día en el

90% de casos


mensual (FM)

CI‐04 Generación y presentación de

informes de ciberinteligencia

Incumplimiento

Ejecución defectuosa

Mora

Mensual


mensual (FM) en caso

de incumplimiento



de ejecución

defectuosa o mora

CI‐05 Disponibilidad mensual del

nodo MISP Incumplimiento >99%


mensual (FM)

VUL‐01 Ejecución escaneos de red

interna (aprox. 3.000 IPs)

Incumplimiento


Mora

Trimestral



de incumplimiento



de ejecución

defectuosa o mora





Valor


VUL‐02 Ejecución de escaneos de red

pública (aprox. 60 IPs)

Incumplimiento


Mora

Mensual



de incumplimiento


en caso de ejecución

defectuosa o mora

VUL‐03 Ejecución de test de intrusión

perimetral

Incumplimiento


Mora

Anual


anual (FA) en caso de

incumplimiento



ejecución defectuosa

o mora

VUL‐04 Ejecución de test de intrusión

en red interna

Incumplimiento


Mora

Anual



incumplimiento




o mora

VUL‐05

Tiempo máximo de ejecución

de escaneos ad‐hoc, limitado a

2 al año

Incumplimiento


Mora

24 horas


mensual (FA) en caso

de incumplimiento




y mora

VUL‐06

Número máximo de falsos

positivos presentados tras

cada escaneo

Incumplimiento <10% 1% de la facturación

mensual (FM)





Valor


VUL‐07

Número máximo de

vulnerabilidades repetidas

presentadas tras cada escaneo

Incumplimiento <10% 1% de la facturación

mensual (FM)

VUL‐08

Reporting a la Dirección de

INECO sobre el nivel de

exposición de los sistemas de

información de INECO frente

a ataques

Incumplimiento


Mora

Mensual



de incumplimiento



de ejecución

defectuosa y mora

VUL‐09

Tiempo máximo de

presentación de resultados tras

escaneos de vulnerabilidades

Mora 1 mes 1% de la facturación

mensual (FM)

VUL‐10

Tiempo máximo de

presentación de resultados

tras ejecución de test de

intrusión

Mora 1 mes 1% de la facturación

mensual (FM)

VUL‐11

Disponibilidad de los servicios

tras la ejecución de escaneos

de vulnerabilidades o test de

intrusión

Incumplimiento 100%


mensual (FM) por

cada servicio

afectado

VUL‐12 Parametrización de la

plataforma de Gestión de

Vulnerabilidades

Ejecución Defectuosa

Mora

Descrito en

aptdo. 2.4


Mensual en caso de

Ejecución Defectuosa

(FA).


Mensual (FM) en caso

de Mora.

VUL‐13

Disponibilidad mensual de la

plataforma de gestión de

vulnerabilidades


mensual (FM)





Valor


VUL‐14

Tiempo máximo para

definición del cuadro de

mandos de gestión de

vulnerabilidades desde la

aprobación del procedimiento

de gestión de vulnerabilidades

Incumplimiento


Mora

1 mes



incumplimiento



de ejecución

defectuosa o mora

VUL‐15

Tiempo máximo de resolución

de vulnerabilidades críticas,

salvo causa justificada y no

imputable al proveedor

Incumplimiento 1 mes 1% de la facturación

mensual (FM)

VUL‐16


de vulnerabilidades altas,

salvo causa justificada y no

imputable al proveedor

Incumplimiento 2 meses 1% de la facturación

mensual (FM)

VUL‐16


de vulnerabilidades medias o

bajas, salvo causa justificada y

no imputable al proveedor


mensual (FM)

VUL‐17

Porcentaje mínimo de

vulnerabilidades abiertas

revisadas de forma mensual


mensual (FM)

VUL‐18

Tiempo máximo de

incorporación de

vulnerabilidades en la

plataforma de gestión de

vulnerabilidades tras su

detección

Incumplimiento <48 horas 1% de la facturación

mensual (FM)

ECD‐01

Número mínimo mensual de

implantación de nuevos casos

de uso en los sistemas de

detección

Incumplimiento 2 1% de la facturación

mensual (FM)





Valor


ECD‐02

Número mínimo mensual de

propuestas de mejora en los

sistemas de monitorización y

controles de seguridad de

INECO


mensual (FM)

ECD‐03

Número mínimo de propuesta

de informes sobre las

herramientas de detección


mensual (FM)

ECD‐04

Periodicidad mínima de

ejecución de pruebas para

medir la efectividad de las

reglas, alertas y casos de uso

implementados

Incumplimiento Trimestral 2% de la facturación

mensual (FM)

RI‐01

Tiempo máximo de asignación

de responsable de gestión de

un incidente de seguridad

Incumplimiento 1 hora 3% de la facturación

mensual (FM)

RI‐02

Tiempo máximo de

categorización de un incidente

de seguridad

Incumplimiento 1 hora 3% de la facturación

mensual (FM)

RI‐03

Tiempo máximo de registro de

incidente de seguridad en la

herramienta de gestión JIRA y

LUCIA

Incumplimiento

1 hora


mensual (FM)

RI‐04

Tiempo máximo de respuesta

ante incidentes de seguridad

de forma presencial

Incumplimiento 24 horas 2% de la facturación

mensual (FM)

RI‐05

Tiempo máximo de

presentación de informe de

incidentes de seguridad

críticos tras su resolución

Incumplimiento


Mora

1 día



de incumplimiento



de ejecución

defectuosa o mora





Valor


RI‐06

Número mínimo de

ciberejercicios durante el

ejercicio anual

Incumplimiento

Ejecución defectuosa 1



incumplimiento




RI‐07

Tiempo máximo de

diagnóstico inicial de

incidentes de seguridad

catalogados como críticos


mensual (FM)

RI‐08


de incidentes de seguridad

catalogados como NO críticos


mensual (FM)

RI‐09


de incidentes de seguridad

catalogados como críticos

Incumplimiento 1 día 2% de la facturación

mensual (FM)

RI‐10


a consultas NO urgentes de los

buzones del servicio

Incumplimiento 2 días

laborables


mensual (FM)

RI‐11


a consultas urgentes de los

buzones del servicio

Incumplimiento < 6 horas 2% de la facturación

mensual (FM)

RI‐12

Periodicidad de revisión de

procedimientos, manuales o

herramientas definidas en la

gestión de incidentes de

seguridad

Incumplimiento Semestral



de incumplimiento



de mora





Valor


RI‐13

Tiempo máximo de ejecución

de análisis forense sin validez

legal

Incumplimiento


1 semana



de incumplimiento



de ejecución

defectuosa

GRS‐01 Obtención del Certificado

ISO27001 Incumplimiento Certificación


anual (FA)

GRS‐02 Mantenimiento del

Certificado ISO27001 Incumplimiento

Mantener

Certificación

un vez

obtenida


anual (FA)

GRS‐03

Desviación máxima de plazos

acordados (días) en la entrega

de la documentación asociada

a planificaciones

Incumplimiento 3 días 3% de la facturación

anual (FA)

GRS‐04

Número mínimo de

indicadores definidos para el

sistema de gestión de

seguridad de INECO

Incumplimiento

Ejecución defectuosa 30



incumplimiento

1% de facturación



GRS‐05

Periodo máximo de

implantación de los

mecanismos de reporting a la

Dirección de INECO respecto a

los riesgos de seguridad de la

información desde el kick‐off

del servicio


anual (FA)





Valor


GRS‐06

Periodicidad de ejecución de

auditorías de seguridad sobre

proveedores de servicio clave

de INECO

Incumplimiento

Ejecución defectuosa Semestral



incumplimiento




GRS‐07

Disponibilidad de personal de

sustitución temporal en caso

de ausencia del perfil provisto

por periodo vacacional o baja

laboral

Incumplimiento 100% 5% de la facturación

Mensual (FM)

GRS‐8

Número de días máximo sin

asignación de personal de

sustitución en caso de

ausencia del perfil provisto por

periodo vacacional o baja

laboral

Mora 2 2% de la facturación

mensual (FM)

GRS‐9

Permanencia mínima del

personal provisto por el

proveedor para la prestación

del servicio

Incumplimiento >=4 meses 1% de la facturación

anual (FA)

GRS‐10

Tiempo mínimo de aviso de

sustitución de personal

provisto por el proveedor para

la prestación del servicio

Incumplimiento 15 días 1% de la facturación

anual (FA)

condiciones particulares para los servicios de un … csirt exp 6… · condiciones particulares...

Documents