condiciones particulares para los servicios de un … csirt exp 6… · condiciones particulares...
TRANSCRIPT
EXPEDIENTE 20180914-00646
CONDICIONES PARTICULARES PARA LOS SERVICIOS DE
UN CENTRO DE RESPUESTA A INCIDENTES DE
SEGURIDAD (CSIRT)
Paseo de la Habana, 138
28036 Madrid. España
Tel.: +34 91 452 12 00
Fax: +34 91 452 13 00
www.Ineco.es
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 2
1 OBJETO .................................................................................................................................................. 3
2 ALCANCE ................................................................................................................................................ 3 2.1 INTRODUCCIÓN .................................................................................................................................. 3 2.2 SITUACIÓN ACTUAL ............................................................................................................................ 3 2.3 DESCRIPCIÓN DEL SERVICIO ................................................................................................................ 4 2.4 CIBERINTELIGENCIA ............................................................................................................................ 5 2.5 BASTIONADO DE SISTEMAS OPERATIVOS Y SOFTWARE BASE .............................................................. 6 2.6 GESTIÓN DE VULNERABILIDADES ........................................................................................................ 6 2.7 EVOLUCIÓN DE LAS CAPACIDADES DE DETECCIÓN DE INCIDENTES ...................................................... 8 2.8 RESPUESTA RÁPIDA ANTE INCIDENTES DE CIBERSEGURIDAD .............................................................. 9 2.9 GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN .............................................................. 10
3 MEDIOS REQUERIDOS .......................................................................................................................... 11 3.1 medios humanos .............................................................................................................................. 11 3.2 medios técnicos ............................................................................................................................... 13
4 TÉRMINOS Y CONDICIONES COMERCIALES ........................................................................................... 14 4.1 CONSIDERACIONES PARA LA FACTURACIÓN ..................................................................................... 14 4.2 ACLARACIÓN DE DUDAS ................................................................................................................... 15 4.3 PENALIZACIONES .............................................................................................................................. 16 4.3.1 Incumplimiento de los trabajos objeto de contrato ......................................................................... 16 4.3.2 Ejecución defectuosa de los trabajos ................................................................................................ 16 4.3.3 Mora en la entrega de los trabajos ................................................................................................... 17 4.3.4 Ejecución de Penalidades .................................................................................................................. 17 4.3.5 Comunicación Penalidades ............................................................................................................... 17 4.4 CONDICIONES ESPECÍFICAS PARA LA GESTIÓN DEL SERVICIO ............................................................ 17
5 DURACIÓN ........................................................................................................................................... 20
6 IMPORTE MÁXIMO .............................................................................................................................. 21
7 SOLVENCIA TÉCNICA ............................................................................................................................ 21 7.1 REFERENCIAS ................................................................................................................................... 21 7.2 CERTFICACIONES DE SEGURIDAD Y CONTINUIDAD ............................................................................ 21
8 SOLVENCIA ECONÓMICA Y FINANCIERA ............................................................................................... 22
9 CRITERIOS DE VALORACIÓN ................................................................................................................. 23 9.1 CRITERIOS EXCLUYENTES .................................................................................................................. 23 9.2 VALORACIÓN DE CALIDAD (55 PUNTOS) ........................................................................................... 23 9.2.1 Criterios técnicos (45 puntos) ........................................................................................................... 23 9.2.2 Criterios sociales y medioambientales (10 puntos) .......................................................................... 24 9.3 VALORACIÓN ECONÓMICA (45 PUNTOS) .......................................................................................... 24
10 CONTENIDO DE OFERTAS .................................................................................................................. 25 10.1 OFERTA TÉCNICA Y ADMINISTRATIVA ............................................................................................... 25 10.1.1 Documentación Técnica .................................................................................................................... 25 10.1.2 Documentación Administrativa ......................................................................................................... 25 10.2 OFERTA ECONÓMICA ....................................................................................................................... 27
11 PRESENTACIÓN DE OFERTAS ............................................................................................................. 27
ANEXO I – ACUERDOS DE NIVEL DE SERVICIO (SLA) ...................................................................................... 28
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 3
1 OBJETO
El objeto del presente documento es establecer las condiciones para la selección de un proveedor para la un
centro de respuesta a incidentes de seguridad.
2 ALCANCE
2.1 INTRODUCCIÓN
INECO tiene planeadas un conjunto de iniciativas a desarrollar para mejorar el nivel de protección de sus sistemas
de información.
Se han planteado una serie de proyectos para minimizar el grado de exposición a vulnerabilidades y maximizar
la capacidad de prevención, detección, investigación y respuesta a incidentes de Ciberseguridad. El presente
pliego pretende cubrir dicho alcance mediante la contratación de un servicio CSIRT que actuará sobre 3 pilares:
Vigilancia externa: Monitorización y alerta temprana de riesgos de seguridad detectados fuera del
ámbito de la propia compañía.
Prevención interna:
o Bastionado de Sistemas y Software base.
o Gestión del ciclo de vida de vulnerabilidades en los sistemas de Ineco para reducir el riesgo de
explotación minimizando el tiempo de exposición.
o Revisiones periódicas de seguridad de los sistemas de Ineco para detectar vulnerabilidades que
pudieran ser explotadas por un atacante.
o Explotación del SIEM existente para anticipar la detección de incidentes de seguridad y
automatizar en la medida de lo posible la respuesta, facilitar su investigación y/o realizar
análisis forenses sobre los mismos.
Resiliencia: Respuesta a incidentes de seguridad.
2.2 SITUACIÓN ACTUAL
INECO cuenta actualmente con aproximadamente tres mil ochocientos (3.800) usuarios repartidos en sedes y
oficinas de la propia empresa y en cliente.
Los equipos de usuario son, en su mayoría, portátiles con versiones soportadas de sistema operativo Windows.
Cuentan con una solución de cifrado de discos y un antivirus avanzado con funcionalidad de HIPS.
El servicio de correo tiene una arquitectura híbrida, cloud y on‐premise, con la mayor parte de los buzones en
cloud.
Por su parte, INECO ya dispone de varias herramientas para garantizar la seguridad de la información, algunas
de las cuales son:
Firewalls de capa 7.
Sistema AntiSpam con diversos módulos de protección.
Herramienta centralizada de distribución de software.
Sistema prevención de fugas de información: DLP e IRM.
NAC.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 4
Sistema de alerta temprana de incidentes de seguridad procedentes de Internet.
AntiAPT.
SIEM.
Adicionalmente, INECO dispone de un equipo de Operaciones de Seguridad (en adelante SOC) cuyas
responsabilidades principales son:
Administrar y operar las soluciones de seguridad en producción y cualesquiera otras que se puedan
implantar.
Integrar los sistemas de seguridad con otras herramientas de operación de sistemas ya desplegadas en
Ineco.
Supervisar la seguridad de los sistemas, aplicaciones y usuarios de la organización.
Prevenir, detectar y responder a incidencias de seguridad, bajo la supervisión del CISO.
El CSIRT velará por la seguridad de la compañía controlando la correcta operación de los sistemas de protección,
así como la adecuada configuración de toda la infraestructura IT para minimizar riesgos.
Los servicios de CSIRT objeto de la presente licitación deberán ser proporcionados por un proveedor diferente
del que presta el servicio de SOC para evitar posibles conflictos de intereses entre ambas funciones. CSIRT y SOC
interactuarán de forma coordinada para garantizar un correcto desempeño en el mantenimiento de la seguridad
IT de INECO.
2.3 DESCRIPCIÓN DEL SERVICIO
Las ofertas deberán describir a alto nivel el servicio propuesto en esta especificación técnica, así como una
planificación detallada para la correcta ejecución del servicio.
El CSIRT (Cybersecurity Incident Response Team) a través del servicio gestionado solicitado en esta licitación,
proporcionará a INECO apoyo operativo en modalidad 12x5.
El CSIRT se encargará de implantar, gestionar y garantizar la adecuación de los controles de seguridad que
protegen la red, los sistemas y las aplicaciones de INECO. Asimismo, será responsable la respuesta a incidentes
de seguridad externos o internos con afectación en INECO, de forma que pueda continuarse el desarrollo del
negocio manteniendo la excelencia en la protección de la información de INECO, de sus clientes y de entidades
y organizaciones relacionadas.
Las funciones que deberá cubrir el servicio de CISRT serán:
Ciberinteligencia.
Bastionado de Sistemas y Software Base.
Gestión de Vulnerabilidades.
Evolución de las Capacidades de Detección de Incidentes.
Respuesta rápida ante Incidentes de Seguridad.
Gestión de Riesgos de Seguridad de la Información.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 5
2.4 CIBERINTELIGENCIA
El objetivo de la ciberinteligencia es ayudar a los equipos internos de INECO (incluyendo el SOC) y al resto de
equipo del CSIRT a anticipar la detección de posibles amenazas contra la organización con el fin de poder tomar
acciones preventivas sobre los sistemas de información de INECO que los protejan frente a dichas amenazas.
Para ello, el proveedor deberá ejecutar las siguientes tareas:
Monitorización y detección temprana de alertas de seguridad de la información fuera de INECO (fugas
de información, ataques DDoS, activismo y hacktivismo, vulneración de mecanismos de seguridad,
conductas peligrosas, suplantaciones de identidad, robo de credenciales, espionaje, monitorización de
amenazas en la Darknet, pastebin, social media, chat rooms, otros fórums) desde distintas fuentes de
confianza: Organismos de respuesta a Incidentes CSIRTs o CERTs, servicios especializados en avisos de
seguridad (públicos y privados), fabricantes o proveedores de seguridad, redes sociales, etc.
Monitorización, detección y alerta temprana de riesgos de marca: evolución, uso no autorizado de
marca, usurpación de dominios, contenidos fraudulentos y control continuo de detección de
defacement en las webs externas de Ineco.
Alerta temprana de riesgos de infraestructura mediante aviso de vulnerabilidades conocidas para el
software y hardware identificado en el conjunto de activos y sistemas de Ineco.
Alimentación automática de IoCs e IoAs para su integración en las plataformas de seguridad
administradas por el SOC de INECO (firewalls, proxies, SIEM, etc.).
Notificación de amenazas a los diferentes grupos de interés dentro de INECO de acuerdo a los
procedimientos de notificación que se establezcan durante la fase de puesta en marcha del servicio con
propuestas específicas de acciones a realizar para proteger a INECO frente a dichas amenazas.
Dar soporte a los equipos internos de INECO a la hora de evaluar el impacto de dichas acciones y
proponer posibles medidas alternativas.
Generación de informes mensuales de ciberinteligencia.
Como parte de la prestación del servicio, el proveedor deberá incluir, sin coste adicional, las licencias de uso de
las herramientas necesarias para la ejecución de las tareas anteriormente descritas. Como mínimo, se considera
necesario:
Que el proveedor disponga de suscripciones a un mínimo de 100 fuentes de inteligencia. Se valorará la
inclusión de fuentes privadas/licenciadas.
Disponer de una plataforma de inteligencia de amenazas (TIP por sus siglas en inglés) en la que se
vuelque toda la información recopilada por el equipo de ciberinteligencia del proveedor para INECO,
que deberá ser consumible de las siguientes formas:
o Mediante acceso a un portal web.
o Mediante notificaciones vía correo electrónico.
o Mediante notificaciones vía mensajería instantánea (Whatsapp, Telegram, etc.).
o Mediante interfaces de integración (APIs).
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 6
o Mediante la entrega automática de IoCs e IoAs a través protocolos estándares de intercambio
de información de amenazas como TAXII y sobre formatos estándares como STIX.
Disponer de un nodo MISP a través del cual el proveedor suministrará feeds de inteligencia a INECO.
2.5 BASTIONADO DE SISTEMAS OPERATIVOS Y SOFTWARE BASE
Como parte esencial en la prevención de incidentes de seguridad se plantea el bastionado de los sistemas a
proteger para minimizar la superficie de riesgo de INECO.
Para ello, se plantean las siguientes tareas:
La definición de un procedimiento de Bastionado para los sistemas de Ineco que establezca alcance del
bastionado y roles del CISO, Sistemas, CSIRT y SOC en el proceso.
La definición de unas guías de configuración segura (bastionado) adaptadas a INECO, alineadas con
buenas prácticas, estándares de referencia (p.e. las Guías STIC del CCN‐CERT) tanto de sistemas
operativos como de software base existentes en Ineco.
La aplicación de dichas guías sobre el parque de sistemas productivos de Ineco, incluyendo:
o La creación de los scripts y GPOs necesarios para un despliegue rápido, confiable y uniforme
del bastionado de los sistemas operativos.
o El testing previo, contando con la colaboración de los equipos de Operación de la
infraestructura de INECO.
o La gestión de excepciones en función de la criticidad de los activos y el posible impacto en éstos
de la aplicación de las guías.
o La gestión de cambios en los sistemas, alineada con los procedimientos de gestión de cambios
definidos por Ineco.
o El control de implantación de las guías sobre la infraestructura de INECO.
El seguimiento continuo del grado de cumplimiento de los sistemas de Ineco respecto a las Guías de
Configuración segura aprobadas.
El mantenimiento y, en su caso, aplicación de cambios necesarios en el procedimiento, los sistemas y/o
en las guías de configuración segura. Entre los motivos por los que dichos cambios pueden producirse
cabe destacar:
o La reordenación de roles en las tareas de gestión IT de la organización.
o La aparición de nuevas amenazas que requieran reforzar las configuraciones de seguridad ya
desplegadas.
o La publicación de actualizaciones de los estándares y guías de referencia utilizados.
o El despliegue de posibles nuevas tecnologías dentro de los sistemas de información de Ineco
que requieran de la definición y aplicación de nuevas guías de configuración segura.
2.6 GESTIÓN DE VULNERABILIDADES
El objetivo de la gestión de vulnerabilidades es ayudar a los equipos internos de INECO (incluyendo el SOC) a
anticipar la identificación de vulnerabilidades presentes en sus sistemas de información llevando a cabo el
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 7
seguimiento y soporte de las mismas hasta su resolución. Para ello, el proveedor deberá ejecutar las siguientes
tareas:
Revisión de la política y el procedimiento de actualizaciones de seguridad existentes.
Planificación, gestión y ejecución de escaneos de vulnerabilidades y pruebas de seguridad necesarias
para identificar posibles vulnerabilidades existentes en los sistemas de información de INECO. Al menos,
se contemplan los siguientes ciclos de ejecución de escaneos y pruebas de seguridad:
o Escaneos trimestrales de la red interna (4.000 IPs privadas aprox.).
o Escaneos mensuales del rango de direcciones IPs públicas (60 aprox.).
o Un test de penetración perimetral anual sin autenticar y autenticado.
o Un test de penetración de la red interna anual sin autenticación y con un usuario genérico.
Adicionalmente, INECO podrá requerir escaneos de vulnerabilidades ad hoc, en 24x7, hasta un máximo
de 2 al año, que podrán ser solicitados con una antelación mínima de 24 horas.
El seguimiento de las vulnerabilidades y soporte durante la resolución a los equipos de INECO
responsables de la corrección de las mismas (SOC y/u operación de Sistemas).
El Servicio velará por que no se aporten falsos positivos con verificaciones manuales.
El Servicio controlará que no haya tickets repetidos. En todos los casos deberá ejecutarse un
procedimiento para garantizar que las vulnerabilidades que se presentarán a los responsables estarán
filtradas y libres de falsos positivos y repeticiones.
Recertificación de vulnerabilidades para el aseguramiento de su resolución.
Reporting mensual a la Dirección de INECO sobre el nivel de exposición de los sistemas de información
de INECO frente a ataques.
El proveedor deberá incluir, sin coste adicional, las licencias de uso de las herramientas necesarias para la
ejecución de las tareas anteriormente descritas.
Como mínimo, se considera necesaria la provisión de las siguientes:
Herramienta de escaneo de vulnerabilidades que cumpla con todos los requisitos establecidos en la
última versión aprobada de la circular NISTIR7511. INECO proporcionará la infraestructura necesaria
(hardware, procesamiento y sistema operativo) para desplegar dicha licencia.
Herramienta de gestión de vulnerabilidades, con una interfaz web accesible para Ineco, que ofrezca:
o Diferentes perfiles de acceso a la misma.
o Un repositorio de activos que:
Identifique los activos de Ineco
Asigne un nivel de criticidad para cada activo.
Identifique las propiedades de cada activo, entre ellas, hardware, software y
versionado de ambos.
Agrupe los activos por unidades organizativas.
Asigne un responsable a cada activo.
Realice búsquedas dentro del inventario de activos por diferentes criterios.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 8
Incorpore de manera automática nuevos activos que se den de alta en la Organización.
Permita exportar la base de datos de activos en csv.
o Un repositorio único de vulnerabilidades con afectación en Ineco, tanto las detectadas como
resultados de los diferentes tests de seguridad que se realicen sobre los activos como las
publicadas que afecten a activos existentes. Este repositorio deberá permitir:
Categorizar las vulnerabilidades en función de criterios de valoración estándar CVSS2
y CVSS3.
Importar de manera automática y mediante una interfaz API los resultados de
diferentes herramientas de escaneos de vulnerabilidades.
Realizar búsquedas de activos afectados por una vulnerabilidad concreta.
o La exportación en formato .csv de la base de datos de activos (incluyendo versionado) y sus
vulnerabilidades para que los equipos de Ineco puedan tratar dicha información de manera
más ágil o distribuida.
o Cuadros de mando de seguimiento de las vulnerabilidades, de la planificación de los trabajos y
resumen del nivel de exposición de la Organización frente a ataques, que permita:
Una gestión del riesgo que posibilite establecer diferentes plazos de resolución en
función de la criticidad de los activos y de las vulnerabilidades asociadas.
Modificar manualmente el nivel de riesgo de un activo.
Elaborar gráficos configurables y tablero de instrumentos.
Mostrar una evolución de la seguridad a lo largo del tiempo.
Proporcionar una visión general de seguridad rápida y general actualizada.
El CSIRT deberá ofrecer al SOC formación básica y acceso en modo lectura/ejecución a ambas herramientas.
2.7 EVOLUCIÓN DE LAS CAPACIDADES DE DETECCIÓN DE INCIDENTES
El objetivo de la evolución de las capacidades de detección de incidentes es actualizar tanto la configuración de
la plataforma SIEM como los procedimientos de operación aplicados por el SOC ante las alertas generadas por el
SIEM. Para ello, el proveedor deberá ejecutar las siguientes tareas:
Proponer una metodología de evaluación continua del grado de madurez de la plataforma SIEM y
definición de una hoja de ruta de evolución continua de la misma, que incluirá:
o La identificación de nuevas amenazas y riesgos sobre los activos de información de INECO para
la propuesta de mejoras en los sistemas de control.
o La definición de reglas, alertas y casos de uso a incorporar en la plataforma.
o La propuesta de nuevas fuentes de eventos a integrar en la plataforma que den soporte a los
anteriores.
o La depuración de reglas, alertas y casos de uso para reducir el número de falsos positivos.
o El testeo de las reglas, alertas y casos de uso implementados por el SOC sobre la plataforma
para asegurar su correcta implantación.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 9
Monitorizar y Mantener las alertas del SIEM procedentes de las distintas fuentes para alertar de forma
temprana sobre posibles incidentes y trabajar en la automatización de su detección y respuesta
traduciéndola en altas, modificaciones o bajas (en caso de estar obsoletos) de reglas, alertas y casos de
uso.
Supervisar y formar al SOC de Ineco en los nuevos procedimientos operativos y directrices de actuación
relacionados con las nuevas reglas que permitan la gestión eficaz de nuevas amenazas en todas las fases:
monitorización, clasificación, contención y respuesta.
Analizar tendencias y evolución de incidentes de seguridad a fin de extraer lecciones aprendidas y
mejoras de los sistemas de monitorización y controles de seguridad.
Para la prestación del servicio, el proveedor deberá implementar al inicio del servicio de una librería de alertas y
casos de uso propios, con un número mínimo de 100, que servirá como punto de partida para la hoja de ruta de
evolución de las capacidades de detección de Ineco. Las ofertas deberán contener el listado de casos de uso
disponibles y al menos un ejemplo de la documentación que será puesta a disposición de Ineco por parte del
adjudicatario para cada uno de ellos.
Dado que el SIEM de INECO forma parte de su infraestructura, el SOC deberá disponer en todo momento de
acceso al mismo.
2.8 RESPUESTA RÁPIDA ANTE INCIDENTES DE CIBERSEGURIDAD
El objetivo de la respuesta rápida ante incidentes de ciberseguridad es ayudar a los equipos internos de INECO
(incluyendo el SOC) a analizar, contener y corregir cualquier incidente de seguridad. Para ello, el proveedor
deberá ejecutar las siguientes tareas:
Formalizar (redacción, aprobación, publicación y comunicación) el procedimiento general de respuesta
ante incidentes de seguridad en el que, al menos, se contemple:
o La definición de una taxonomía de incidentes que los clasifique, les asigne un nivel de criticidad
y les asocie los flujos de trabajo para su análisis y resolución en función de su tipología.
o La integración con los sistemas de clasificación y gestión de incidentes de la herramienta LUCIA
de CCN‐CERT y con la herramienta interna de ticketing JIRA de Ineco.
o La recopilación de información de contacto de áreas internas y organismos o fuerzas de
seguridad externos relevantes.
o La definición de los canales de comunicación, tanto internos como externos, asociados al
proceso de gestión de un incidente.
o Redacción de los manuales de uso de las herramientas involucradas.
o La ejecución de sesiones de formación con el personal involucrado en los diferentes
procedimientos de respuesta.
Ejecutar el servicio de respuesta ante incidentes donde las principales responsabilidades del proveedor
son:
o Disponer de un servicio de atención inmediata en 12x5 en el que se reciban las peticiones de
activación del servicio por parte del personal autorizado por INECO (incluyendo el SOC).
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 10
o Asignar, en menos de una hora, a un Responsable de Gestión del Incidente, que de manera
remota dará soporte técnico a INECO durante todo el proceso de gestión del incidente y
coordinará a los diferentes equipos de respuesta, tanto de INECO como del CSIRT.
o Desplegar, en menos de 24 horas, un equipo presencial de respuesta ante incidentes para
ejecutar las labores de recolección, análisis, contención y corrección del incidente. Este
requisito deberá ser garantizado al menos en las sedes principales de INECO de Madrid. Se
estiman 100 horas anuales de respuesta rápida a incidentes de seguridad requeridas por Ineco.
o Elaborar informes de análisis forense y peritajes sin validez legal sobre incidentes de seguridad,
conectándose en remoto a los sistemas que fuese necesario para ello.
o Dar soporte en la elaboración de análisis forense y peritajes con validez legal.
o A la finalización de cada incidente, elaborar un informe del mismo, con lecciones aprendidas y
propuesta de planes de acción para prevenir la reproducción futura de incidentes similares o
para mejorar los mecanismos de respuesta y gestión de incidentes.
Mantener actualizados y probados los procedimientos de respuesta ante incidentes mediante las
siguientes tareas:
o Revisión periódica de los procedimientos, manuales y herramientas definidos para la gestión
de incidentes de seguridad.
o La preparación y ejecución de un ciberejercicio anual en la Organización.
o El soporte durante la participación de ciberejercicios, públicos o privados, en los que INECO
decida participar.
2.9 GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
Esta función tiene como objetivo principal dar soporte a la Dirección de INECO en el mantenimiento y
actualización de todo su modelo de ciberseguridad con el fin último de obtener, durante el periodo de prestación
del servicio, la certificación de seguridad ISO 27001 y cualesquiera otras que puedan surgir durante el periodo
de prestación del servicio.
El proveedor deberá ejecutar las siguientes tareas:
Mantener y evolucionar (mejora continua) el sistema de gestión de seguridad de la información de
INECO.
Colaborar en la ejecución de los planes de concienciación, divulgación y formación relacionados con el
sistema de gestión de seguridad de la información.
Realizar, actualizar y evolucionar estudios de escenarios de riesgos de seguridad de la información.
Colaborar en la definición e implantación de los planes de tratamiento del riesgo (implantación o
ampliación de controles), derivados de los escenarios analizados. Supervisar y actualizar dichos planes
de tratamiento del riesgo.
Definir los indicadores clave del sistema de gestión de seguridad de INECO e implantar los mecanismos
de reporting a la Dirección de INECO respecto al riesgos de seguridad de la información.
Mantener los registros de trazabilidad asociados al sistema de gestión de seguridad de la información.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 11
Elaborar y mantener el cuerpo normativo de seguridad de la información de INECO.
Dar soporte en materia de cumplimiento normativo en materia de seguridad que sean de aplicación en
INECO (ENS, ISO27001, NIS, GDPR, etc.).
Ejecutar auditorías de seguridad sobre proveedores de servicio clave de INECO.
Actuar como interlocutor y coordinar la respuesta ante posibles requisitos de información relacionados
con el modelo de seguridad de INECO por parte de terceros (clientes, socios, reguladores, etc.).
Acompañar durante todo el ciclo de vida de los proyectos tecnológicos para asesoramiento sobre
implementación de soluciones seguras. Fijación de requisitos de seguridad en los nuevos desarrollos y
seguimiento y control del cumplimiento de dichos requisitos.
La Dirección de INECO se plantea como objetivo de negocio la obtención de la certificación de seguridad
ISO27001 para un proceso de negocio con un alcance estimado de 200 empleados de Ineco.
El adjudicatario deberá responsabilizarse de la preparación, soporte y auditoría necesarias para la consecución
de dicha certificación.
Durante la prestación del servicio podrán surgir nuevas necesidades en cuanto a certificación de los procesos de
seguridad de Ineco.
En el caso de que Ineco decida obtener algún otro certificado en materia de seguridad de la información, el
licitador se encargará de dar soporte durante todo el proceso de adecuación y certificación, pero no se hará
cargo de los costes asociados a la entidad de certificación.
3 MEDIOS REQUERIDOS
El adjudicatario deberá aportar los medios humanos, técnicos y materiales necesarios para la correcta ejecución
del servicio.
3.1 MEDIOS HUMANOS
Que el proveedor despliegue un equipo permanente en las instalaciones de INECO en Madrid con los siguientes
perfiles profesionales:
Rol Responsable del Servicio
Dedicación 20%
Experiencia mínima en
Seguridad de la Información 5 años
Titulación mínima Ingeniero Superior o Máster
Informática o de Telecomunicaciones
Certificaciones profesionales CISSP
ISO27001 Lead Auditor o Implementer.
Conocimientos técnicos Elaboración de Planes Directores de Seguridad
Oficinas Técnicas de Seguridad
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 12
Implantación de Sistemas de Gestión de Seguridad de la
Información
Evaluación, diseño e implantación de arquitecturas de
seguridad
Elaboración de Marcos Normativos de Seguridad
Ejecución de Auditorías de Seguridad
Rol Gestor del Servicio
Dedicación 100%
Experiencia mínima en
Seguridad de la Información 5 años
Titulación mínima Ingeniero Superior o Máster
Informática o de Telecomunicaciones
Certificaciones profesionales CISSP o CISA
ISO27001 Lead Auditor o ISO27001 Implementer
Conocimientos técnicos
Elaboración de Planes Directores de Seguridad
Oficinas Técnicas de Seguridad
Implantación de Sistemas de Gestión de Seguridad de la
Información
Evaluación, diseño e implantación de arquitecturas de
seguridad
Elaboración de Marcos Normativos de Seguridad
Ejecución de Auditorías de Seguridad
Para garantizar un desempeño adecuado de las tareas a realizar se deben cumplir los siguientes requisitos:
1. Que el gestor del servicio trabaje de manera presencial en las instalaciones de INECO de forma
continuada durante todo el periodo de duración del mismo salvo sustitución por causa justificada.
2. Que el gestor sea la misma persona en periodos continuados de al menos 4 meses.
3. En caso de sustitución de personas ligadas al servicio por fuerza mayor, será responsabilidad del
proveedor traspasar el conocimiento necesario al sustituto con la suficiente antelación para que la
calidad del servicio no se vea mermada. Para ello, será imprescindible que toda información relevante
para el servicio esté documentada en todo momento. Dicha documentación deberá presentarse en las
reuniones mensuales previstas.
4. Para asegurar los niveles de servicio durante todo el periodo de prestación del contrato, los licitadores
deberán acreditar que disponen de un número mínimo de profesionales certificados en materia de
seguridad de la información y con un mínimo de años de experiencia, según se describe a continuación:
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 13
Certificado Años de experiencia en
Seguridad de la Información
Número de
profesionales
CISSP o CISA 5 3
ISO 27001 Lead Implementer o
ISO 27001 Lead Auditor
5 3
OSCP o CEH o OSCE o GPEN 3 5
En dicha relación se incluyen los perfiles anteriormente descritos a disposición del presente servicio.
3.2 MEDIOS TÉCNICOS
Los medios específicos a proporcionar en cada trabajo se detallarán en las ofertas correspondientes, y en general
serán coherentes con lo establecido en el apartado 2.
Los requisitos mínimos que deberá cumplir el proveedor del servicio son los siguientes:
Para las funciones de Ciberinteligencia, Gestión de Vulnerabilidades, Bastionado, Evolución de las
Capacidades de Detección y Respuesta Rápida ante Incidentes de Ciberseguridad el proveedor deberá
disponer de un Centro de Operaciones de Ciberseguridad, disponible 12x5, ubicado en España, con las
siguientes características:
o Disponer de alguna de las siguientes acreditaciones relacionadas con la capacidad de respuesta a
incidentes de seguridad: CERT, FIRST.
o Disponer de un Sistema de Gestión de Continuidad de Negocio, certificado bajo la versión vigente
de la norma ISO22301.
o Disponer de un Sistema de Gestión de Seguridad de la Información, certificado bajo la versión
vigente de la norma ISO27001.
o Para Bastionado y Gestión de Vulnerabilidades, el proveedor deberá ofrecer un equipo de
especialistas en bastionado de sistemas y en ejecución de pruebas de seguridad (pentesting) con al
menos 3 profesionales en posesión de alguna de las siguientes certificaciones: CEH, OSCP, OSCE o
GPEN y una experiencia mínima de 3 años en seguridad de la información.
Para la prestación del servicio de Ciberinteligencia, el proveedor deberá disponer y ofrecer los siguientes
medios técnicos:
o Suscripciones a fuentes de inteligencia públicas y privadas, con un mínimo de 100 fuentes.
o Una plataforma de inteligencia de amenazas (TIP por sus siglas en inglés) en la que se vuelque toda
la información de ciberinteligencia recopilada por el equipo de ciberinteligencia del proveedor para
INECO, que deberá ser consumible de todas las siguientes diferentes formas:
• Mediante acceso a un portal web.
• Mediante notificaciones vía correo electrónico.
• Mediante notificaciones vía mensajería instantánea (Whatsapp, Telegram, etc.).
• Mediante interfaces de integración (APIs).
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 14
• Mediante la entrega automática de IoCs e IoAs a través protocolos estándares de
intercambio de información de amenazas como TAXII y sobre formatos estándares
como STIX.
4 TÉRMINOS Y CONDICIONES COMERCIALES
Serán de aplicación las condiciones generales de contratación publicadas en el perfil del contratante de Ineco
(www.ineco.com) y en la plataforma de contratación del estado (www.contrataciondelestado.es).
La empresa adjudicataria deberá estar capacitada según la legislación vigente para el desarrollo de los trabajos
requeridos en el presente documento.
La presentación de oferta supone la aceptación de las Condiciones Generales de Contratación de Ineco y de las
presentes Condiciones Particulares, con el orden de prelación de documentación contractual establecido en el
Artículo 20 de las Condiciones Generales de Contratación de Ineco.
En caso de precisarse subcontratación de alguna de las tareas deberá especificarse en la oferta y siempre deberá
ser aprobada por Ineco.
4.1 CONSIDERACIONES PARA LA FACTURACIÓN
La facturación se realizará en función del trabajo realmente ejecutado, valorado a los precios ofertados. En
ningún caso Ineco tendrá la obligación de agotar en su totalidad el presupuesto ni el plazo, quedando limitado a
las necesidades reales de la empresa.
Los días de pago son los días 5, 15 y 25 de cada mes, lo que deberá tenerse en cuenta para los plazos de pago.
El pago se realizará a SESENTA (60) días tras la validación de la factura
Los pagos se realizarán en euros, mediante transferencia bancaria, desde una cuenta corriente de Ineco
domiciliada en Madrid (España), por lo que todas las facturas deberán indicar:
Titular de la cuenta
Nombre del banco
IBAN o codificación unívoca equivalente.
SWIFT o BIC (Cuando aplique)
Los gastos adicionales ocasionados por pagos mediante diferentes medios a los indicados correrán por cuenta
del proveedor.
Los gastos adicionales ocasionados por pagos mediante diferentes medios a los indicados correrán por cuenta
del proveedor.
Todas las facturas que se emitan deberán contener los siguientes datos obligatoriamente:
‐ Facturas Nacionales:
Nº de Adjudicación.
Código de proyecto.
Nº de factura o serie.
Fecha de expedición.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 15
Nombre y apellidos, razón o denominación social completa tanto del obligado a expedir factura como
del destinatario de las operaciones.
Número de Identificación Fiscal atribuido por la Administración tributaría española.
Domicilio fiscal tanto del obligado a expedir la factura como del destinatario de las operaciones.
Descripción de la/s operación/es.
Tipo impositivo o exención del mismo si procede.
La cuota tributaria que, en su caso se repercuta, que deberá consignarse por separado.
‐ Facturas Unión Europea
Nº de Adjudicación.
Código de proyecto.
Nº de factura, serie, u otra designación según país.
Fecha de expedición.
Nombre y apellidos, razón o denominación social completa tanto del obligado a expedir factura como
del destinatario de las operaciones.
Número de Identificación Fiscal o equivalente, atribuido por la de otro miembro de la Unión Europea
con el que ha realizado la operación el obligado a expedir la factura.
Domicilio fiscal tanto del obligado a expedir la factura como del destinatario de las operaciones.
Descripción de la/s operación/es.
Tipo impositivo o exención del mismo si procede de acuerdo a los países locales de la Unión Europea.
La cuota tributaria que, en su caso, se repercuta, que deberá consignarse por separado.
‐ Facturas Internacionales:
Nº de Adjudicación.
Código de proyecto.
Nº de factura, serie, u otra designación según país.
Fecha de expedición.
Nombre y apellidos, razón o denominación social completa tanto del obligado a expedir factura como
del destinatario de las operaciones.
Número de Identificación Fiscal o equivalente, atribuido por el Organismo competente en el país, que
proceda.
Domicilio fiscal tanto del obligado a expedir la factura como del destinatario de las operaciones.
Descripción de la/s operación/es.
Tipo impositivo o exención del mismo si procede.
La cuota tributaria que, en su caso, se repercuta, que deberá consignarse por separado.
4.2 ACLARACIÓN DE DUDAS
Las empresas licitantes podrán solicitar aclaraciones o información adicional por escrito en una (1) lista cerrada
de puntos que deberá incluir:
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 16
Número de pregunta.
Concepto debidamente especificado.
Justificación de la pregunta y/o impacto en la oferta a presentar.
La solicitud de aclaración de dudas, así como una descripción mínima de la empresa ofertante (máximo una
página) deberán ser enviadas al correo electrónico [email protected]. La respuesta será realizada por Ineco por
el mismo medio.
La recepción de solicitudes de aclaración de dudas finalizará dos (2) días antes de la fecha límite de presentación
de ofertas.
4.3 PENALIZACIONES
En caso de incumplimiento de obligaciones contractuales, Ineco aplicará las siguientes penalidades:
4.3.1 Incumplimiento de los trabajos objeto de contrato
Se entiende por incumplimiento de una tarea no completarla.
Se aplicará una penalidad de un cinco (5%) por ciento sobre el importe mensual del servicio por el incumplimiento
de cualquiera de las actividades descritas en el apartado segundo. Así mismo, se aplicarán las penalidades
especificadas en la tabla de Acuerdos de Nivel de Servicio del Anexo I, en caso de incumplimiento de los mismos.
Ineco informará de esta situación al coordinador nombrado por la empresa adjudicataria para que, en el plazo
máximo de dos (2) días, alegue lo que considere oportuno. Una vez recibidas las alegaciones por parte de Ineco,
en caso de desestimarlas, en el plazo máximo de cuatro (4) días, informará sobre la aplicación de dicha penalidad
o sobre la rescisión anticipada del contrato, sin derecho a indemnización alguna a favor de la empresa
adjudicataria. Las comunicaciones entre Ineco y la empresa adjudicataria se realizarán siempre por escrito.
Así mismo, el incumplimiento recurrente durante 3 meses de alguna de las tareas habilitará a Ineco para proceder
a la rescisión anticipada del contrato.
Las penalidades por incumplimiento de los trabajos, en caso de superar el veinte (20%) por ciento del importe
total del contrato, habilitarán a Ineco para proceder a la rescisión anticipada del contrato.
4.3.2 Ejecución defectuosa de los trabajos
Se entiende como ejecución defectuosa la realización deficiente o insuficiente de las actividades descritas en el
apartado segundo por no cubrir el alcance detallado para cada una de ellas.
Se aplicará una penalidad sobre el importe mensual del servicio correspondiente al cinco (5%) por ciento por la
ejecución defectuosa de cualquiera de las actividades descritas en el apartado segundo. Así mismo, se aplicarán
las penalidades especificadas en la tabla de Acuerdos de Nivel de Servicio del Anexo I en caso de incumplimiento
de los mismos.
Ineco informará de esta situación al coordinador nombrado por la empresa adjudicataria para que, en el plazo
máximo de dos (2) días, alegue lo que considere oportuno. Una vez recibidas las alegaciones por parte de Ineco,
en caso de desestimarlas, en el plazo máximo de cuatro (4) días, informará sobre la aplicación de dicha penalidad
o sobre la rescisión anticipada del contrato, sin derecho a indemnización alguna a favor de la empresa
adjudicataria. Las comunicaciones entre Ineco y la empresa adjudicataria se realizarán siempre por escrito.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 17
Las penalidades por ejecución defectuosa de los trabajos en caso de superar el diez (10%) por ciento del importe
del contrato, habilitará a Ineco para proceder a la rescisión anticipada del contrato.
4.3.3 Mora en la entrega de los trabajos
Se entiende por mora el retraso imputable a la empresa adjudicataria en la realización de cualquiera de las
actividades descritas en el apartado segundo, siendo éste hasta un 30% superior al periodo establecido para las
mismas.
Se aplicará una penalidad sobre el importe mensual del servicio correspondiente al tres (3%) por ciento por la
mora de cualquiera de las actividades descritas en el apartado segundo. Así mismo, se aplicarán las penalidades
especificadas en la tabla de Acuerdos de Nivel de Servicio del Anexo I en caso de incumplimiento de los mismos.
Ineco informará de esta situación al coordinador nombrado por la empresa adjudicataria para que, en el plazo
máximo de dos (2) días, alegue lo que considere oportuno. Una vez recibidas las alegaciones por parte de Ineco,
en caso de desestimarlas, en el plazo máximo de cuatro (4) días, Ineco informará sobre la aplicación de dicha
penalidad o sobre la rescisión anticipada del contrato, sin derecho a indemnización alguna a favor de la empresa
adjudicataria. Las comunicaciones entre Ineco y la empresa adjudicataria se realizarán siempre por escrito.
4.3.4 Ejecución de Penalidades
Las penalidades mencionadas se harán efectivas mediante la correspondiente deducción en la siguiente factura
emitida por la empresa adjudicataria. Ineco informará de la aplicación de dicha penalidad al coordinador
nombrado por la empresa adjudicataria, para que se contemple dicha deducción por este concepto en la
correspondiente factura, de no ser así, Ineco se reserva el derecho a realizar una retención del doble de la
penalidad impuesta que se practicará en la última factura emitida por la empresa adjudicataria.
En caso de producirse una penalización, deberá ir ya reflejada en la siguiente factura del proveedor. Dicha factura
no será validada por INECO hasta que no se contemple el descuento correspondiente por incumplimiento
establecido en los Acuerdos de Nivel de Servicio del Anexo I.
4.3.5 Comunicación Penalidades
Las comunicaciones por escrito se realizarán al correo electrónico facilitado por el contratista, siendo
responsabilidad del mismo el mantenimiento de dicha cuenta, así como la consulta y lectura de los correos
emitidos. En el caso de cambiar la dirección de correo electrónico, el contratista deberá de notificarlo por escrito
a Ineco ([email protected]), en caso de no hacerlo las comunicaciones emitidas al correo facilitado tendrán
la consideración de comunicación escrita a los efectos de oportunos.
En caso de incumplimiento por parte del contratista y de sus subcontratas, de sus obligaciones con la Seguridad
Social, abono de salarios a sus trabajadores y obligaciones en materia de PRL, se podrá rescindir anticipadamente
el contrato, así como realizar retenciones en concepto de penalización en las facturas emitidas.
4.4 CONDICIONES ESPECÍFICAS PARA LA GESTIÓN DEL SERVICIO
Para la correcta prestación de este tipo de servicios, la empresa adjudicataria tendrá que realizar en todos ellos
las siguientes actividades:
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 18
Coordinación de la prestación de servicio
La Empresa adjudicataria deberá nombrar un Coordinador Responsable del Servicio que pertenecerá a
la plantilla de la empresa y tendrá entre sus obligaciones las siguientes:
o Actuar como interlocutor de la empresa contratista frente a Ineco, canalizando la
comunicación entre la empresa contratista y el personal integrante del equipo de trabajo
adscrito al contrato, de un lado, e Ineco de otro lado, en todo lo relativo a las cuestiones
derivadas de lo ejecución del contrato
o Distribuir el trabajo entre el personal encargado de la ejecución del contrato, e impartir a
dichos trabajadores los órdenes e instrucciones de trabajo que sean necesarias en relación con
la prestación del servicio contratado.
o Supervisar el correcto desempeño por parte del personal integrante del equipo de trabajo de
las funciones que tienen encomendadas, así como controlar la asistencia de dicho personal al
puesto de trabajo.
o Organizar el régimen de vacaciones del personal adscrita a la ejecución del contrato, debiendo
a tal efecto coordinarse adecuadamente la empresa contratista con INECO, a efectos de no
alterar el buen funcionamiento del servicio.
El adjudicatario podrá designar a uno o varios coordinadores técnicos, aceptados por Ineco, encargados
de supervisar la realización de los trabajos siguiendo las instrucciones del Jefe de Proyecto de Ineco, y
de gestionar los recursos humanos que intervengan, sin perjuicio de la responsabilidad del Coordinador
Responsable del Servicio en la correcta ejecución del contrato.
La figura del Coordinador Responsable del Servicio por parte del adjudicatario deberá estar dotada de
capacidad gerencial suficiente para ostentar la representación del adjudicatario cuando sea necesaria
su actuación o presencia, así como resolver las obligaciones contractuales, siempre en orden a la
ejecución y buen fin del objeto del contrato, y su titular no podrá ser sustituido sin la conformidad previa
de Ineco.
El Jefe de proyecto designado por Ineco, establecerá los criterios y líneas generales para la actuación en
relación con el servicio contratado para el cumplimiento de los fines del mismo. Será el encargado de la
comprobación, coordinación y vigilancia de la ejecución, sin que esta designación exima al adjudicatario
de su responsabilidad en la correcta ejecución del contrato.
Prestación del servicio
La empresa adjudicataria deberá plasmar en un documento de proyecto con MS Project todas las
actividades a realizar incluidas en el alcance del servicio conforme a las directrices establecidas por el
Jefe de Proyecto de Ineco. Este Project deberá describir tareas, fechas, hitos y recursos, con el desglose
necesario para poder llevar seguimiento del desarrollo del mismo.
Semanalmente, se entregará una versión actualizada del Project y un resumen ejecutivo que muestre
el estado de desarrollo del servicio, identificando tareas/recursos problemáticos del camino crítico,
responsables y siguientes pasos.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 19
INECO se reserva el derecho de establecer herramientas y procedimientos adicionales para el
seguimiento de las tareas, así como la descripción del contenido y formato de los informes que el
adjudicatario deberá realizar durante su desarrollo y entrega.
En aquellos casos en los que los trabajos deban realizarse en instalaciones de Ineco, sólo se
proporcionará acceso a los servicios o aplicaciones informáticas imprescindibles para la realización de
su actividad.
En caso de que, por eficacia y seguridad del trabajo, los equipos informáticos deban ser de Ineco, se
especificarán los equipos asignados e igualmente solo contarán con los accesos imprescindibles.
La empresa adjudicataria deberá garantizar la prestación del servicio en las condiciones acordadas,
proporcionando personal de respaldo, en caso de necesitarse cubrir periodos vacacionales o bajas
laborales.
Control de prestación del servicio
Se efectuará por medio de la presentación, por parte de la empresa adjudicataria, de un informe
resumen mensual, o con la frecuencia que se presenten facturas, con las actividades y tareas realizadas
y los trabajos realizados a petición expresa. Este informe será la base de la certificación y aceptación del
servicio realizado por parte del Jefe de Proyecto de Ineco, recopilando información sobre el avance del
mismo:
o En cuanto a los trabajos realizados:
Se indicará los recursos destinados a la ejecución de los trabajos.
Constatará las reuniones de seguimiento mantenidas entre el coordinador y el equipo.
Incluirá al menos un acta de una reunión de seguimiento firmada por los miembros
del equipo en la que se traten los aspectos del informe de seguimiento.
Modificaciones en los medios humanos y materiales específicos puestos a disposición
del proyecto. El coordinador comunicará anticipadamente sustituciones de personas
indicando su antigüedad en la empresa, y si cumplen los requisitos mínimos
establecidos. Asimismo, informará de otras incidencias de personal como vacaciones,
ausencias, cambios en el horario de prestación del servicio. Para la adecuada gestión
de estas modificaciones se deberá entregar copia del documento de afiliación a la
seguridad social de los empleados asignados y los cv de sus perfiles.
Informará de las actividades de formación en que hayan participado los empleados
del contratista.
Informará del asesoramiento técnico, u otras tareas de apoyo, que hayan prestado
personas de la contratista no adscritas al proyecto.
Informará de las incidencias que hubieran tenido lugar en la ejecución de los trabajos.
Realizará una valoración del avance de los trabajos, nivel de calidad, etc.
o En cuanto a los trabajos pendientes:
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 20
En su caso, justificación de desviaciones del plan de trabajo original y propuesta de
modificación del plan de trabajo futuro.
Previsión de los recursos materiales y humanos que se dedicarán al proyecto en el
futuro. En su caso, previsión de vacaciones del personal asignado al proyecto, y en su
caso, previsión de las sustituciones del personal de la contratista durante las
vacaciones. Ineco podrá solicitar la modificación de los medios a aplicar si no los
considera adecuados para la realización de las actividades previstas.
Identificación de los trabajos pendientes y su programación temporal.
o En cuanto a los requisitos administrativos:
TA2 de alta de los empleados en seguridad social en el momento del inicio de la
prestación (de cada pedido).
Boletines de cotización a la Seguridad Social, Relación nominal de trabajadores (RNT)
y de los trabajadores adscritos a los trabajos y Recibo de Liquidación de Cotizaciones
(RLC), con la presentación de cada una de las facturas
Declaración de los empleados de haberles sido abonado el salario, con la presentación
de cada factura.
Certificado de estar al corriente de pago en las obligaciones con la seguridad social y
con Hacienda, con la presentación de cada factura.
Devolución del servicio
La Empresa adjudicataria deberá comprometerse a asegurar la transición del servicio a posibles nuevos
proveedores o al propio personal de Ineco una vez finalice la prestación del mismo, lo cual implica una
adecuada documentación y transferencia del conocimiento necesario para prestar dicho servicio.
La Empresa adjudicataria deberá comprometerse a ejecutar una fase formal de devolución del servicio,
sin coste adicional para Ineco, que se llevará a cabo en paralelo a la propia prestación del servicio y que
deberá haberse completado a la finalización del mismo.
Se estima que el proceso de Devolución del servicio tendrá una duración de al menos 1 mes.
Los licitadores deberán detallar en su oferta la metodología propuesta para asegurar dicha transferencia
del conocimiento al personal de Ineco o, en su defecto, al personal del proveedor designado por Ineco.
El abono de la última factura del servicio quedará supeditado a la adecuada ejecución de la transferencia
del conocimiento.
5 DURACIÓN
El plazo de duración de este contrato será de doce (12) meses.
Ineco se reserva el derecho a prorrogar el contrato, en iguales o mejores condiciones, hasta un máximo de dos
prórrogas de doce (12) meses cada una.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 21
6 IMPORTE MÁXIMO
El importe máximo que Ineco abonará al adjudicatario por la ejecución de las prestaciones requeridas será de
trescientos noventa mil euros (390.000,00 €), IVA no incluido.
En ningún caso Ineco tendrá la obligación de agotar en su totalidad el presupuesto, quedando limitado a las
necesidades reales de la empresa.
El abono de los trabajos se realizará conforme a las unidades reflejadas en la oferta económica que se adjunta
en el documento O.E. 20180914‐00646 NOMBRE DEL PROVEEDOR.
7 SOLVENCIA TÉCNICA
Los criterios mínimos que han de cumplir las ofertas son:
7.1 REFERENCIAS
Los licitadores deberán presentar una relación suscrita por un representante legal de la empresa en la que se
recojan los principales servicios CSIRT/CERT/SOC que incluya una descripción del proyecto, importe, fechas y
beneficiarios públicos o privados de la misma, en la cual deberá acreditarse que el ofertante ha venido prestando
dichos servicios de forma continuada al menos durante los últimos cinco (5) años.
De la anterior relación deberán presentarse al menos:
Tres (3) referencias de trabajos similares, que deberán sumar entre las tres un presupuesto superior al
umbral descrito en la siguiente tabla, para cada uno de los servicios que se describen en el presente pliego
de contratación:
Servicio contratado Número de referencias Importe acumulado
Ciberinteligencia 3 60.000
Explotación SIEM 3 80.000
Bastionado de Sistemas y software 3 40.000
Gestión de vulnerabilidades 3 100.000
Respuesta rápida a incidentes 3 15.000
Gestión de Riesgos de Seguridad de la Información 3 50.000
Tres (3) referencias de servicios CERT/CSIRT/SOC a clientes en el IBEX35 y/o con un mínimo de 3.800
usuarios.
7.2 CERTFICACIONES DE SEGURIDAD Y CONTINUIDAD
Los licitadores deberán disponer de sendos sistemas de gestión de seguridad de la información y continuidad de
negocio, con un alcance adecuado para la prestación de los servicios contratados por Ineco, certificados bajo los
siguientes estándares:
FIRST o CERT
ISO/IEC 27001
ISO/IEC 22301
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 22
Dichos certificados se deberán mantener vigentes durante todo el periodo de prestación del servicio.
8 SOLVENCIA ECONÓMICA Y FINANCIERA
En el momento de presentar la oferta, para acreditar la solvencia económica y financiera deberá aportar y
renovar cada seis meses.
Informe de Instituciones financieras con los que el participante en la negociación haya mantenido
posiciones de activo o de pasivo significativas en los tres últimos ejercicios que indique al menos los
siguientes extremos:
o Cumplimiento de los compromisos de reembolso de operaciones de crédito
o Evaluación global de la entidad.
Certificado oficial de hallarse al corriente de cumplimiento de las obligaciones tributarias
Certificado oficial de hallarse al corriente de cumplimiento de sus obligaciones de la seguridad social.
Seguro de Responsabilidad Civil que cubra los posibles siniestros asociados a las actividades a
desarrollar, conforme lo siguiente:
o Tener suscrita y en vigor durante todo el periodo de duración contractual una póliza de
Responsabilidad Civil General / Explotación en cobertura de los daños corporales, materiales y
consecutivos causados en el curso de su actividad ordinaria que fueren imputables a la
empresa, sus directivos, empleados (incluidos todos aquellos puestos a servicio de Ineco),
agentes y subcontratistas.
La cuantía suficiente se establece en un límite indemnizatorio mínimo por siniestro de
1.000.000 EUR, sin Sublímite por víctima inferior a dicha cuantía.
La licitadora incluirá a Ineco como asegurada adicional, sin perder condición de
tercero.
o Adherida a la misma póliza, o como póliza independiente, deberá igualmente mantener en
vigor cobertura de Responsabilidad Civil Patronal (sin Sublímite por víctima, y en caso de que
lo hubiera, no inferior a 600.000 EUR) en idénticas cuantías indemnizatorias a las previamente
citadas.
o Asimismo, la licitadora deberá mantener póliza de Responsabilidad Civil Profesional en
cobertura de los daños corporales, materiales, consecutivos y perjuicios patrimoniales puros
derivados de actos u omisiones imputables a los empleados contratados por la licitadora y
puestos a servicio de Ineco para todas las categorías de actividad técnica que, contando con la
aptitud legalmente necesaria, desempeñen en el marco de los contratos de consultoría,
ingeniería y servicios de Ineco con sus correspondientes clientes.
La cuantía suficiente se establece en un límite indemnizatorio mínimo por siniestro de
1.000.000 EUR. No obstante, podrán requerirse importes mayores en función de los
trabajos y servicios a desarrollar por la licitadora.
La licitadora incluirá a Ineco como asegurada adicional, y la póliza tendrá para Ineco
consideración, en el supuesto de hecho previamente descrito, de póliza primaria.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 23
Durante y a finalización del contrato entre Ineco y la adjudicataria, la póliza deberá
cubrir los periodos de responsabilidad posteriores a la ejecución de trabajos del
personal contratado, según los periodos de prescripción de responsabilidad
profesional señalados por las leyes que fueren de aplicación.
o La licitadora deberá presentar prueba de cumplimiento de las condiciones anteriores con
carácter previo a la inicialización de la prestación de servicios. Y en concreto, respecto al seguro
de Responsabilidad Civil Profesional deberá proveer certificados de cobertura en caso de que
Ineco los requiera.
o El cumplimiento de la presente condición no limitará las responsabilidades de la licitadora,
directivos, empleados, agentes y subcontratistas, debiendo responder totalmente de los daños
y perjuicios causados a Ineco o a terceros.
9 CRITERIOS DE VALORACIÓN
Las ofertas recibidas se clasificarán de acuerdo a su valoración de calidad y económica. Según el número de
ofertantes y la adecuación de los mismos al servicio demandado, Ineco adjudicará a una (1) empresa según el
orden de valoración, considerando la misma a partir de la suma de los dos conceptos indicados. La puntuación
que se aplicará será de 45 puntos para la parte económica y 55 puntos para la parte de calidad.
Una vez valoradas las ofertas en la primera fase, Ineco podrá requerir información adicional o mejoras de las
ofertas a las empresas mejor valoradas, procediéndose a una nueva valoración en una segunda fase.
La puntuación que se aplicará en esta segunda fase será 100 % económica.
Ineco establece un plazo máximo para la adjudicación de un (1) mes desde la fecha límite de presentación de
ofertas.
9.1 CRITERIOS EXCLUYENTES
Será motivo de exclusión las siguientes causas:
No estar dado de alta en el registro de proveedores de Ineco, o en su defecto no adjuntar un
compromiso de hacerlo en el plazo de quince (15) días naturales a partir de que Ineco se lo requiera.
No presentar los certificados acreditativos de solvencia exigidos en el apartado 7 y 8.
No aportar los medios requeridos en el punto 3
No cumplir con los requisitos para contratar con Ineco establecidos en el apartado 4 del documento
Normas Internas de Contratación publicado en el perfil del contratante de la web de Ineco.
9.2 VALORACIÓN DE CALIDAD (55 PUNTOS)
9.2.1 Criterios técnicos (45 puntos)
Los criterios de valoración técnica corresponderán a un máximo de cuarenta y cinco (45) puntos distribuidos de
la siguiente forma:
Diez (10) puntos por estar certificada en Esquema Nacional de Seguridad (ENS).
Cuatro (4) puntos por cada suscripción a una fuente de inteligencia privada/licenciada, hasta un máximo
de 20 puntos.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 24
Quince (15) puntos por ampliar el servicio de Respuesta a Incidentes a 24x7. Sin que ello suponga un
incremento del presupuesto ofertado.
9.2.2 Criterios sociales y medioambientales (10 puntos)
Se valorará con UN (1) punto por cada uno de los conceptos indicados, hasta un máximo de CINCO (5), a las
empresas que cuenten con:
Compromiso de contratar para el servicio personas con discapacidad reconocida igual o superior al 33%
Compromiso de contratar para el servicio a personas desempleadas con edad superior a los 45 años.
Compromiso de contratar para el servicio a mujeres incluidas en programas de acogimiento por
violencia contra las mujeres.
Compromiso de contratar para el servicio a personas incluidas en el programa de integración laboral
para colectivos inmigrantes o emigrantes de retorno.
Compromiso de subcontratar un porcentaje del presupuesto de adjudicación del contrato con una
empresa de inserción o un Centro Especial de Empleo.
Se valorará la calidad medioambiental de los equipos de procesamiento informáticos utilizados por la empresa
licitadora, por cada uno de los criterios indicados, hasta un máximo de CINCO (5) puntos, según el siguiente
desglose:
Se obtendrán 2,5 puntos por contar con Sistemas de Gestión Ambiental certificados conforme a la ISO
14001 que cubra, al menos, al 50% de la empresa.
Se obtendrán 2,5 puntos si se certifica un consumo de energía renovable equivalente, al menos, al 25%
del consumo eléctrico total de la empresa.
Se obtendrán 2,5 puntos por aportar el certificado de la huella de carbono, cuyo cálculo se base en el
Protocolo de GEI, la Norma ISO 14064 y la recomendación ITU‐T L.1420.
9.3 VALORACIÓN ECONÓMICA (45 PUNTOS)
La valoración económica se realizará en función del presupuesto ofertado por cada licitador, de acuerdo con la
siguiente formulación:
ó ó 70 • á ó
30
Se considerará oferta desproporcionada aquella que sea un 10 % inferior a la media de las ofertas presentadas.
En este caso se podrá solicitar informe de detalle que justifique su oferta económica.
La oferta quedará descartada en el caso de que se considere que se trata de una oferta temeraria, que pondría
en riesgo el buen término de los trabajos.
Las ofertas consideradas temerarias no se considerarán para la determinación de la puntuación económica.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 25
10 CONTENIDO DE OFERTAS
La documentación deberá ser suficiente para poder valorar la solvencia y cumplir con todos los requerimientos
presentes, y en particular lo expresado en los siguientes puntos:
10.1 OFERTA TÉCNICA Y ADMINISTRATIVA
10.1.1 Documentación Técnica
Cada licitador presentará una Memoria Técnica de los trabajos a realizar y resultados a alcanzar, en la que, de
forma clara y concisa, se especificará:
Servicios ofertados. Descripción de los medios técnicos y humanos disponibles y currículum tipo del
personal que se puede asignar a estos servicios. Estos documentos podrán ser anónimos, pero deberán
ir firmados por el trabajador e incluir:
o Fecha de nacimiento.
o Fechas de los periodos de experiencia profesional con las fechas de inicio y fin de cada uno de
los trabajos relevantes, identificando con detalle suficiente las funciones técnicas realizadas en
cada uno de los mismos.
o Fechas de los títulos de los cursos referenciados.
Metodología de gestión y ejecución de los servicios.
Metodología de calidad y garantía.
Matriz de cumplimiento: Se deberá incluir una matriz donde especifique el cumplimiento de los
requisitos y criterios de evaluación, que serán analizados en la valoración técnica según los parámetros
establecidos. La matriz deberá cumplir el siguiente formato:
Matriz de cumplimiento
Criterio de evaluación Referencia en la Oferta
Criterio 1 Página P1
.. ..
Criterio N Página Pn
Todo lo anterior, en coherencia con las prescripciones establecidas en las presentes condiciones técnicas.
Los licitadores podrán incluir en su oferta técnica mejoras relacionadas con el objeto de los trabajos descritos en
el presente documento.
10.1.2 Documentación Administrativa
El licitador, en el momento de la presentación de la oferta, deberá presentar la siguiente documentación:
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 26
Datos de la empresa: Razón social, NIF, objeto de la empresa (copia de estatutos y/o modificaciones),
domicilio social.
Datos del firmante en nombre de la empresa: Nombre y apellidos, copia o referencia de la escritura de
designación de cargo o apoderamiento para la firma del contrato, NIF (fotocopia).
Adicionalmente, será necesario incluir el resto de documentación que acredite el cumplimiento de todos los
requisitos exigidos en el presente documento, y en particular será necesario presentar:
Declaración del responsable de la empresa adjudicataria de disponer en el momento de la formalización
del contrato de que cuenta en su plantilla con el personal establecido en los perfiles comprometiéndose
a entregar a la firma el TA2, documento de afiliación a la seguridad social y boletines de cotización
Relación Nominal de Trabajadores (RNT) y recibo de liquidación de cotizaciones (RLC), a la seguridad
social.
En caso de presentar a personal que no pertenezca a la empresa en el momento de presentar la oferta
será necesario presentar carta de compromiso de cada uno de los perfiles nominados. Estas cartas de
compromiso deberán ser en exclusividad para la empresa ofertante.
Declaración responsable de no estar incursos en prohibición de contratar
La empresa adjudicataria y también si hay subcontratistas, deben presentar a la firma del contrato,
copia de la póliza de seguros que cubra las indemnizaciones por fallecimiento o incapacidad permanente
determinadas en convenio colectivo de aplicación y copia del justificante de abono de la prima de dicho
seguro.
La empresa adjudicataria y también sus subcontratas, deben cumplimentar y firmar obligatoriamente a
la firma del contrato, el documento de cumplimiento en PRL (prevención de riesgos laborales) “Registro
de Coordinación de Actividades Empresariales” que se encuentra alojado en la web de Ineco. Asimismo,
deberá disponer del “Manual de Prevención de Riesgos Laborales de Ineco” y del de “Riesgos, Medidas
Preventivas y Medidas de Emergencia en Ineco”, alojados en la web de Ineco.
La empresa adjudicataria y sus subcontratistas, si va a tratar sola o conjuntamente con otros, datos
personales por cuenta del responsable del tratamiento –Ineco‐ y tenga que acceder a datos de carácter
personal, almacenados en los sistemas de Ineco, ya sea informático o en papel, deberá formalizar el
contrato de prestador de servicio, de acuerdo a lo estipulado en el artículo 12 de la LOPD y en aquellos
servicios que no impliquen un tratamiento de datos personales responsabilidad de Ineco, pero sí una
posibilidad de acceso físico a los mismos, deben firmar los empleados adscritos al servicio el
“documento de confidencialidad y privacidad”, a la firma del contrato de la empresa con Ineco.
Para las empresas extranjeras, en los casos en que el contrato vaya a ejecutarse en España, debe
presentarse la declaración de someterse a la jurisdicción de los juzgados y tribunales españoles de
cualquier orden, para todas las incidencias que de modo directo o indirecto pudieran surgir del contrato,
con renuncia, en su caso, al fuero jurisdiccional extranjero que pudiera corresponderle.
Todos los documentos que se presenten por los licitadores deberán ser originales o tener la
consideración de auténticos según la legislación vigente.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 27
Cuando los empresarios concurran agrupados en unión temporal aportarán además un documento en
el que se comprometan a constituir una UTE para el caso de resultar adjudicatarios, designen un
representante único y expresen la participación que corresponde a cada uno de ellos. El citado
compromiso podrá formalizarse en documento privado, que deberá estar firmado por los
representantes de cada una de las empresas agrupadas.
10.2 OFERTA ECONÓMICA
La propuesta económica deberá estar firmada por el representante legal de la empresa ofertante.
Las cantidades recogidas en dicha propuesta deberán expresarse con y sin IVA.
El único modelo de oferta económica admisible es el que se corresponde con la plantilla que se adjunta en el
fichero Excel O.E. 20180914‐00646‐NOMBRE DEL PROVEEDOR.
Las propuestas que no se ajusten a dicho formato no serán consideradas.
Deberá entregarse el fichero en soporte electrónico, tanto el Excel (*.xls) cumplimentado como el pdf del
impreso firmado por el delegado del proveedor.
11 PRESENTACIÓN DE OFERTAS
Todas las ofertas deberán enviarse en soporte electrónico a la siguiente dirección: [email protected]
El fichero que contenga la oferta económica se identificará como O.E.‐ 20180914‐00646‐NOMBRE DEL
PROVEEDOR y el fichero con la oferta técnica se identificará como O.T.‐ 20180914‐00646‐NOMBRE DEL
PROVEEDOR.
No serán tomadas en cuenta las ofertas presentadas a través de plataformas on‐line de almacenamiento de
documentos. En ningún caso el fichero excederá de 15MB.
En ambos casos se deberá hacer referencia al número de expediente que figura en la portada de este documento.
La oferta técnica y la oferta económica deberán presentarse en ficheros separados, sin que se haga referencia a
la propuesta económica dentro de la propuesta técnica.
En caso de incumplimiento de los requisitos establecidos en el presente apartado, relativos al envío de las ofertas
a una dirección distinta de la indicada, el ofertante podrá quedar excluido de la presente licitación.
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 28
ANEXO I – ACUERDOS DE NIVEL DE SERVICIO (SLA)
ACUERDOS DE NIVEL DE SERVICIO (SLAs)
Código Descripción Tipología de
penalización aplicable
Valor
Objetivo Penalización
CI‐01
Disponibilidad mensual de la
Plataforma TIP (Threat
Intelligence Platform)
Incumplimiento >99% 1% de la facturación
mensual (FM)
CI‐02
Tiempo máximo de
notificación de alertas o avisos
recibidos a través de
organismos de seguridad, tras
su recepción/publicación
Incumplimiento 8 horas en el
90% de casos
1% de la facturación
mensual (FM)
CI‐03
Tiempo máximo de
notificación de nuevas
vulnerabilidades publicadas
que afecten a los activos de
Ineco
Incumplimiento 1 día en el
90% de casos
1% de la facturación
mensual (FM)
CI‐04 Generación y presentación de
informes de ciberinteligencia
Incumplimiento
Ejecución defectuosa
Mora
Mensual
3% de la facturación
mensual (FM) en caso
de incumplimiento
1% de la facturación
mensual (FM) en caso
de ejecución
defectuosa o mora
CI‐05 Disponibilidad mensual del
nodo MISP Incumplimiento >99%
5% de la facturación
mensual (FM)
VUL‐01 Ejecución escaneos de red
interna (aprox. 3.000 IPs)
Incumplimiento
Ejecución defectuosa
Mora
Trimestral
2% de la facturación
mensual (FM) en caso
de incumplimiento
1% de la facturación
mensual (FM) en caso
de ejecución
defectuosa o mora
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 29
ACUERDOS DE NIVEL DE SERVICIO (SLAs)
Código Descripción Tipología de
penalización aplicable
Valor
Objetivo Penalización
VUL‐02 Ejecución de escaneos de red
pública (aprox. 60 IPs)
Incumplimiento
Ejecución defectuosa
Mora
Mensual
2% de la facturación
mensual (FM) en caso
de incumplimiento
1% de la facturación
en caso de ejecución
defectuosa o mora
VUL‐03 Ejecución de test de intrusión
perimetral
Incumplimiento
Ejecución defectuosa
Mora
Anual
3% de la facturación
anual (FA) en caso de
incumplimiento
1% de la facturación
anual (FA) en caso de
ejecución defectuosa
o mora
VUL‐04 Ejecución de test de intrusión
en red interna
Incumplimiento
Ejecución defectuosa
Mora
Anual
3% de la facturación
anual (FA) en caso de
incumplimiento
1% de la facturación
anual (FA) en caso de
ejecución defectuosa
o mora
VUL‐05
Tiempo máximo de ejecución
de escaneos ad‐hoc, limitado a
2 al año
Incumplimiento
Ejecución defectuosa
Mora
24 horas
2% de la facturación
mensual (FA) en caso
de incumplimiento
1% de la facturación
anual (FA) en caso de
ejecución defectuosa
y mora
VUL‐06
Número máximo de falsos
positivos presentados tras
cada escaneo
Incumplimiento <10% 1% de la facturación
mensual (FM)
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 30
ACUERDOS DE NIVEL DE SERVICIO (SLAs)
Código Descripción Tipología de
penalización aplicable
Valor
Objetivo Penalización
VUL‐07
Número máximo de
vulnerabilidades repetidas
presentadas tras cada escaneo
Incumplimiento <10% 1% de la facturación
mensual (FM)
VUL‐08
Reporting a la Dirección de
INECO sobre el nivel de
exposición de los sistemas de
información de INECO frente
a ataques
Incumplimiento
Ejecución defectuosa
Mora
Mensual
2% de la facturación
mensual (FM) en caso
de incumplimiento
1% de la facturación
mensual (FM) en caso
de ejecución
defectuosa y mora
VUL‐09
Tiempo máximo de
presentación de resultados tras
escaneos de vulnerabilidades
Mora 1 mes 1% de la facturación
mensual (FM)
VUL‐10
Tiempo máximo de
presentación de resultados
tras ejecución de test de
intrusión
Mora 1 mes 1% de la facturación
mensual (FM)
VUL‐11
Disponibilidad de los servicios
tras la ejecución de escaneos
de vulnerabilidades o test de
intrusión
Incumplimiento 100%
1% de la facturación
mensual (FM) por
cada servicio
afectado
VUL‐12 Parametrización de la
plataforma de Gestión de
Vulnerabilidades
Ejecución Defectuosa
Mora
Descrito en
aptdo. 2.4
3% de la facturación
Mensual en caso de
Ejecución Defectuosa
(FA).
2% de la facturación
Mensual (FM) en caso
de Mora.
VUL‐13
Disponibilidad mensual de la
plataforma de gestión de
vulnerabilidades
Incumplimiento >99% 1% de la facturación
mensual (FM)
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 31
ACUERDOS DE NIVEL DE SERVICIO (SLAs)
Código Descripción Tipología de
penalización aplicable
Valor
Objetivo Penalización
VUL‐14
Tiempo máximo para
definición del cuadro de
mandos de gestión de
vulnerabilidades desde la
aprobación del procedimiento
de gestión de vulnerabilidades
Incumplimiento
Ejecución defectuosa
Mora
1 mes
3% de la facturación
anual (FA) en caso de
incumplimiento
1% de la facturación
mensual (FM) en caso
de ejecución
defectuosa o mora
VUL‐15
Tiempo máximo de resolución
de vulnerabilidades críticas,
salvo causa justificada y no
imputable al proveedor
Incumplimiento 1 mes 1% de la facturación
mensual (FM)
VUL‐16
Tiempo máximo de resolución
de vulnerabilidades altas,
salvo causa justificada y no
imputable al proveedor
Incumplimiento 2 meses 1% de la facturación
mensual (FM)
VUL‐16
Tiempo máximo de resolución
de vulnerabilidades medias o
bajas, salvo causa justificada y
no imputable al proveedor
Incumplimiento 4 meses 1% de la facturación
mensual (FM)
VUL‐17
Porcentaje mínimo de
vulnerabilidades abiertas
revisadas de forma mensual
Incumplimiento >50% 3% de la facturación
mensual (FM)
VUL‐18
Tiempo máximo de
incorporación de
vulnerabilidades en la
plataforma de gestión de
vulnerabilidades tras su
detección
Incumplimiento <48 horas 1% de la facturación
mensual (FM)
ECD‐01
Número mínimo mensual de
implantación de nuevos casos
de uso en los sistemas de
detección
Incumplimiento 2 1% de la facturación
mensual (FM)
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 32
ACUERDOS DE NIVEL DE SERVICIO (SLAs)
Código Descripción Tipología de
penalización aplicable
Valor
Objetivo Penalización
ECD‐02
Número mínimo mensual de
propuestas de mejora en los
sistemas de monitorización y
controles de seguridad de
INECO
Incumplimiento 3 1% de la facturación
mensual (FM)
ECD‐03
Número mínimo de propuesta
de informes sobre las
herramientas de detección
Incumplimiento 5 1% de la facturación
mensual (FM)
ECD‐04
Periodicidad mínima de
ejecución de pruebas para
medir la efectividad de las
reglas, alertas y casos de uso
implementados
Incumplimiento Trimestral 2% de la facturación
mensual (FM)
RI‐01
Tiempo máximo de asignación
de responsable de gestión de
un incidente de seguridad
Incumplimiento 1 hora 3% de la facturación
mensual (FM)
RI‐02
Tiempo máximo de
categorización de un incidente
de seguridad
Incumplimiento 1 hora 3% de la facturación
mensual (FM)
RI‐03
Tiempo máximo de registro de
incidente de seguridad en la
herramienta de gestión JIRA y
LUCIA
Incumplimiento
1 hora
1% de la facturación
mensual (FM)
RI‐04
Tiempo máximo de respuesta
ante incidentes de seguridad
de forma presencial
Incumplimiento 24 horas 2% de la facturación
mensual (FM)
RI‐05
Tiempo máximo de
presentación de informe de
incidentes de seguridad
críticos tras su resolución
Incumplimiento
Ejecución defectuosa
Mora
1 día
3% de la facturación
mensual (FM) en caso
de incumplimiento
1% de la facturación
mensual (FM) en caso
de ejecución
defectuosa o mora
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 33
ACUERDOS DE NIVEL DE SERVICIO (SLAs)
Código Descripción Tipología de
penalización aplicable
Valor
Objetivo Penalización
RI‐06
Número mínimo de
ciberejercicios durante el
ejercicio anual
Incumplimiento
Ejecución defectuosa 1
4% de la facturación
anual (FA) en caso de
incumplimiento
1% de la facturación
anual (FA) en caso de
ejecución defectuosa
RI‐07
Tiempo máximo de
diagnóstico inicial de
incidentes de seguridad
catalogados como críticos
Incumplimiento 2 horas 2% de la facturación
mensual (FM)
RI‐08
Tiempo máximo de resolución
de incidentes de seguridad
catalogados como NO críticos
Incumplimiento 3 horas 1% de la facturación
mensual (FM)
RI‐09
Tiempo máximo de resolución
de incidentes de seguridad
catalogados como críticos
Incumplimiento 1 día 2% de la facturación
mensual (FM)
RI‐10
Tiempo máximo de respuesta
a consultas NO urgentes de los
buzones del servicio
Incumplimiento 2 días
laborables
1% de la facturación
mensual (FM)
RI‐11
Tiempo máximo de respuesta
a consultas urgentes de los
buzones del servicio
Incumplimiento < 6 horas 2% de la facturación
mensual (FM)
RI‐12
Periodicidad de revisión de
procedimientos, manuales o
herramientas definidas en la
gestión de incidentes de
seguridad
Incumplimiento Semestral
3% de la facturación
mensual (FM) en caso
de incumplimiento
1% de la facturación
mensual (FM) en caso
de mora
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 34
ACUERDOS DE NIVEL DE SERVICIO (SLAs)
Código Descripción Tipología de
penalización aplicable
Valor
Objetivo Penalización
RI‐13
Tiempo máximo de ejecución
de análisis forense sin validez
legal
Incumplimiento
Ejecución defectuosa
1 semana
3% de la facturación
mensual (FM) en caso
de incumplimiento
1% de la facturación
mensual (FM) en caso
de ejecución
defectuosa
GRS‐01 Obtención del Certificado
ISO27001 Incumplimiento Certificación
5% de la facturación
anual (FA)
GRS‐02 Mantenimiento del
Certificado ISO27001 Incumplimiento
Mantener
Certificación
un vez
obtenida
2% de la facturación
anual (FA)
GRS‐03
Desviación máxima de plazos
acordados (días) en la entrega
de la documentación asociada
a planificaciones
Incumplimiento 3 días 3% de la facturación
anual (FA)
GRS‐04
Número mínimo de
indicadores definidos para el
sistema de gestión de
seguridad de INECO
Incumplimiento
Ejecución defectuosa 30
2% de la facturación
anual (FA) en caso de
incumplimiento
1% de facturación
anual (FA) en caso de
ejecución defectuosa
GRS‐05
Periodo máximo de
implantación de los
mecanismos de reporting a la
Dirección de INECO respecto a
los riesgos de seguridad de la
información desde el kick‐off
del servicio
Incumplimiento 3 meses 3% de la facturación
anual (FA)
Condiciones particulares para los servicios de un centro de respuesta a incidentes de seguridad (CSIRT) 35
ACUERDOS DE NIVEL DE SERVICIO (SLAs)
Código Descripción Tipología de
penalización aplicable
Valor
Objetivo Penalización
GRS‐06
Periodicidad de ejecución de
auditorías de seguridad sobre
proveedores de servicio clave
de INECO
Incumplimiento
Ejecución defectuosa Semestral
2% de la facturación
anual (FA) en caso de
incumplimiento
1% de la facturación
anual (FA) en caso de
ejecución defectuosa
GRS‐07
Disponibilidad de personal de
sustitución temporal en caso
de ausencia del perfil provisto
por periodo vacacional o baja
laboral
Incumplimiento 100% 5% de la facturación
Mensual (FM)
GRS‐8
Número de días máximo sin
asignación de personal de
sustitución en caso de
ausencia del perfil provisto por
periodo vacacional o baja
laboral
Mora 2 2% de la facturación
mensual (FM)
GRS‐9
Permanencia mínima del
personal provisto por el
proveedor para la prestación
del servicio
Incumplimiento >=4 meses 1% de la facturación
anual (FA)
GRS‐10
Tiempo mínimo de aviso de
sustitución de personal
provisto por el proveedor para
la prestación del servicio
Incumplimiento 15 días 1% de la facturación
anual (FA)