oficina de gobierno de la seguridad de madrid digital · 2019-08-02 · 6 econ 000141-2018 informe...

29
Número de Expediente: ECON/000141-2018 OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL INFORME TECNICO DE VALORACION DE LOS CRITERIOS CUALITATIVOS CUYA CUANTIFICACIÓN DEPENDA DE UN JUICIO DE VALOR

Upload: others

Post on 22-Apr-2020

2 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

Número de Expediente: ECON/000141-2018

OFICINA DE GOBIERNO DE LA SEGURIDAD

DE MADRID DIGITAL

INFORME TECNICO DE VALORACION DE LOS CRITERIOS CUALITATIVOS CUYA CUANTIFICACIÓN DEPENDA DE UN JUICIO DE VALOR

Page 2: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las
Page 3: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 1

Tabla de contenido

1 Introducción ....................................................................................................................................................................................................... 3

2 Descripción de los criterios cualitativos cuya cuantificación depende de un juicio de valor ........................................................... 3

3 Valoración de los criterios cualitativos cuya cuantificación dependa de un juicio de valor (Hasta 40 puntos) ............................ 7

3.1.1 SUBCRITERIO 3.1. Servicio continuo. ......................................................................................................... 7

3.1.2 SUBCRITERIO 3.2. Servicio proyecto. ....................................................................................................... 13

3.1.3 SUBCRITERIO 3.3. OGS. ............................................................................................................................ 15

3.1.4 SUBCRITERIO 3.4. Entregables. ................................................................................................................ 16

3.1.5 SUBCRITERIO 4.1. Equipo de proyecto. .................................................................................................... 17

3.1.6 SUBCRITERIO 4.2. Disponibilidad. ............................................................................................................ 18

3.1.7 SUBCRITERIO 4.3. Estabilidad del equipo de proyecto. ........................................................................... 19

3.1.8 SUBCRITERIO 5.1. Modelo de seguimiento del servicio. .......................................................................... 20

3.1.9 SUBCRITERIO 5.2. Modelo de gestión del conocimiento.......................................................................... 22

3.1.10 SUBCRITERIO 6.1. Plan de capacitación y formación. ............................................................................. 23

4 Conclusiones. .................................................................................................................................................................................................. 25

Page 4: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las
Page 5: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 3

1 Introducción

Celebrada el día 15 de julio de 2019, a las 11:00 horas, la Mesa de subsanación y apertura proposiciones

técnicas del expediente ECON/000141/2018 OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID

DIGITAL, la valoración técnica contenida en este informe corresponde a los criterios cualitativos cuya

cuantificación depende de un juicio de valor conforme a lo previsto por el pliego de cláusulas

administrativas particulares, página 12 y siguientes, respecto de:

CRITERIO 3.- Planificación, alcance y descripción del proyecto: Hasta 16 puntos.

CRITERIO 4.- Organización del equipo de proyecto: Hasta 14 puntos.

CRITERIO 5.- Gestión del conocimiento, seguimiento y control del servicio: Hasta 6 puntos.

CRITERIO 6.- Plan de capacitación y formación: Hasta 4 puntos.

Las empresas que han presentado proposiciones técnicas y que han sido admitidas por la Mesa, y por

tanto, objeto de valoración en el presente informe son:

Nº Denominación Social NIF

1

INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.

B88018098

2 ERNST AND YOUNG S.L. B78970506

A continuación, se expone la valoración técnica de las propuestas presentadas.

2 Descripción de los criterios cualitativos cuya cuantificación depende de

un juicio de valor

Los criterios previstos en el pliego de cláusulas administrativas particulares en su página 11 y siguientes,

son:

Nª Criterio Descripción Puntos

3 Planificación, alcance y descripción del proyecto Hasta 16

Page 6: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

4 ECON 000141-2018 Informe Técnico OGS.v.1.0

3.1

Servicio continuo

Descripción detallada del contenido aportado para cada una de las capacidades definidas, esto

es, las funciones y servicios que corresponden a cada una de las anteriores. Descripción

detallada del enfoque de todas las actividades a realizar para la implantación y operación de

las funciones y servicios de cada una de las capacidades. Se prestará especial atención al

entendimiento y planteamiento realizado en las propuestas realizadas en cuanto al detalle de

enfoque propuesto en el Plan de implantación de servicios y en el Plan de operación y

devolución de los servicios. Ambos Planes deben concretar claramente cómo desarrollar las

capacidades en el ámbito de competencias de la Agencia y aportar el máximo nivel de detalle

posible de las actividades necesarias para implantar las funciones y servicios requeridos en

cada una de las capacidades.

Hasta 5

3.2

Servicio proyecto

Descripción detallada de la propuesta del conjunto de proyectos a realizar para impulsar las

líneas de actividad asociadas al servicio proyecto, especificado en el apartado 4.5.2. del Pliego

de prescripciones técnicas. Se valorará especialmente el mayor grado de adecuación a los

objetivos del servicio, posible en el aporte de la descripción, planteamiento, planificación,

estimación de esfuerzos y actividades a realizar de cada uno de los proyectos, que deberán

estar incluidos en el Plan de implantación de servicios y en el Plan de operación y devolución

de los servicios.

Hasta 5

3.3

OGS

Metodología de trabajo y planificación detallada del proyecto, con especificación de fases y

actividades asociadas. Se valorará especialmente el mayor grado de adecuación a los objetivos

del servicio posible, en el planteamiento y desarrollo del proyecto, el grado de completitud de

la planificación propuesta así como aquél planteamiento que aporte eficacia y eficiencia en la

prestación del servicio y ahorro en tiempo en la ejecución de las actividades y en la puesta en

marcha de las capacidades de seguridad planteadas.

Hasta 4

3.4

Entregables

Descripción de la documentación y de los entregables comprometidos para cada servicio

definido. Se valorará especialmente la propuesta de documentación y entregables

comprometidos que aporte mayor detalle en su contenido y este sea adecuado a los objetivos

del servicio.

Hasta 2

4 Organización del equipo de proyecto Hasta 14

4.1

Equipo de proyecto

Se valorará la propuesta y la descripción de la estructura del equipo de proyecto. Deberá quedar

claro el tipo de perfiles y categorías profesionales dedicadas al proyecto y el rol a desempeñar

de cada perfil en la ejecución de los trabajos. Debiendo concretarse la organización de todos

los recursos del equipo de proyecto de tal forma que, por cada línea de actividad, se aportará

el detalle de los perfiles y número de personas asignado a cada uno de ellos, así como la

dedicación propuesta en número de horas. Se valorará especialmente la aportación del máximo

nivel de adecuación a los objetivos del servicio, posible en la información antes mencionada

respecto de la propuesta y estructura del equipo de proyecto.

Hasta 6

Page 7: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 5

4.2

Disponibilidad

Se valorará especialmente la disponibilidad de perfiles, número de personas y medios para dar

respuesta ante situaciones que requieran una intervención inmediata o extraordinaria de

cualquier índole por parte de la OGS (respuesta ante incidentes graves, soporte 24 x 7, etc.).

Hasta 4

4.3

Estabilidad del equipo

Se valorará especialmente el aseguramiento de la estabilidad del equipo y comprometer la

implicación del equipo de trabajo en situaciones de crisis, en las que prima la continuidad del

servicio objeto de contratación. Se valorará especialmente la propuesta de gestión de este tipo

de situaciones y el grado de compromiso, en horas o días, para aportar recursos adicionales

y/o recursos alternativos por situaciones que escapen a la responsabilidad de la empresa.

Hasta 4

5 Gestión del conocimiento, seguimiento y control del servicio Hasta 6

5.1

Modelo de seguimiento del servicio

Propuesta detallada de cada uno de los Informes a elaborar para el seguimiento de los periodos

definidos. Métricas e indicadores del servicio, así como cualquier otro aspecto de valor que el

licitador comprometa para realizar el seguimiento y control del servicio y la verificación del

cumplimiento de los ANS definidos.

Hasta 4

5.2

Modelo de gestión del conocimiento

Metodología, solución y propuesta para realizar el archivo y mantenimiento de la

documentación del proyecto, así como para asegurar la calidad y grado de actualización de la

documentación. Despersonalización del conocimiento de las aplicaciones y sistemas objeto del

contrato y gestión de la devolución del conocimiento a Madrid Digital y traspaso de los

documentados generados y archivados a lo largo del servicio.

Hasta 2

6 Plan de capacitación y formación Hasta 4

6.1

Propuesta y descripción de los programas de formación con especificación de las acciones

propuestas para la implantación y prestación de las funciones y de los servicios definidos en

cada una de las capacidades de seguridad. Los cursos, seminarios, charlas o cualquier otra

acción formativa irán destinadas tanto al personal de Madrid Digital como a los propios usuarios

que reciban los servicios de seguridad previstos. Deberá aportarse información detallada

acerca de cada una de las acciones previstas, entre otras, cuantificación y tipología de

acciones, planificación, duración, periodicidad, contenidos y herramientas de soporte. Se

valorará especialmente el máximo nivel de adecuación a los objetivos del servicio aportado

acerca de la información anterior.

Hasta 4

puntos

Page 8: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

6 ECON 000141-2018 Informe Técnico OGS.v.1.0

Para la valoración de cada criterio se ha tenido en cuenta las proposiciones aportas en cada oferta

respecto a lo exigido en pliego, conforme a los siguientes criterios:

En el caso en que la propuesta se limite a cumplir los requisitos previstos en pliego, se considera que

cumple, aunque no aporte valor adicional a lo requerido. Se puntuará con el 0% del máximo de los

puntos asociados al criterio.

En el caso en que la propuesta aporte escaso valor añadido, de forma generalista y extensa, se

considerará ADECUADA. Se puntuará con el 30% del máximo de los puntos asociados al criterio.

En el caso en que la propuesta aporte valor añadido claro respecto a lo requerido, de forma concreta

y concisa, se considerará que la propuesta es BUENA. Se puntuará con el 60% del máximo de los

puntos asociados al criterio.

En el caso en que la propuesta aporte valor añadido diferencial respecto a lo requerido, de forma

significativa, se considerará que la propuesta es NOTABLE. Se puntuará con el 100% del máximo de

los puntos asociados al criterio.

La puntuación de este criterio se redondeará al segundo decimal.

Page 9: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 7

3 Valoración de los criterios cualitativos cuya cuantificación dependa de

un juicio de valor (Hasta 40 puntos)

3.1.1 SUBCRITERIO 3.1. Servicio continuo.

INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.

La propuesta se considera buena debido su aportación valor añadido claro respecto a lo requerido, de

forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta, como son los

siguientes:

- Respecto de la descripción detallada de la capacidad de Capacidad de Gobierno y Gestión del

Riesgo, propone lo descrito en el pliego técnico, añadiendo la definición de metodologías de

análisis de riesgos y gestión de activos, tomando como referencias las metodologías Magerit,

la ISO 31000, el catálogo de amenazas de INCIBE y la herramienta PILAR del CCN-CERT.

Respecto del plan de implantación, con carácter general para todas las capacidades, se

proponen las actividades ya definidas por el Centro de Operaciones de Seguridad (Minsait) el

cual señala la importancia de realizar un “due diligence” a fin de hace un análisis de la situación

actual. Realizando en paralelo la recogida de información para la implantación de las

tecnologías y herramientas que necesita Minsait para prestar el servicio, así como los hitos

para normalizar y estandarizar la prestación del servicio de la oficina de gobierno de seguridad.

Y respecto del plan de operación, con carácter general para todas las capacidades, se propone

la prestación de servicios de Minsait, cuyo modelo operativo está basado en un modelo de

“servicio industrializado”, que, si bien optimiza la interacción, está más cerca de un enfoque de

operación de la seguridad gestionada que del modelo requerido por Madrid Digital para la

prestación del servicio de Gobierno de la Seguridad.

- Respecto de la descripción detallada de la capacidad de Capacidad de Gestión, reporte y

control, propone lo descrito en el pliego técnico, añadiendo lo establecido en la metodología

Magerit, y complementariamente propone que Minsat (Centro de Operaciones de Seguridad)

dispone del conocimiento y herramientas necesarias para obtener la información referida a la

operación de la seguridad y la efectividad de los controles.

- Respecto de la descripción detallada de la capacidad de Capacidad de Cumplimiento

Normativo, propone lo descrito en el pliego técnico, añadiendo una relación de normativa legal,

así como los requisitos mínimos del ENS en materia de documentos normativos y su

estructura. Proponiendo el uso de la herramienta “Mapa de Conocimientos”.

- Respecto de la descripción detallada de la capacidad de Capacidad de Procedimientos de

Prevención (Asesoramiento y Tratamiento de excepciones), propone lo descrito en el pliego

técnico, añadiendo la propuesta de un servicio de “transformación e2e” con impacto en

negocio, y basado en consultoría de negocio, expertos en tecnología y expertos digitales.

Añadiendo el ciclo de vida del tratamiento de excepciones.

Page 10: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

8 ECON 000141-2018 Informe Técnico OGS.v.1.0

- Respecto de la descripción detallada de la capacidad de Capacidad de Protección de la

Infraestructura, propone lo descrito en el pliego técnico, no añadiendo elementos de valor

complementarios.

- Respecto de la descripción detallada de la capacidad de Capacidad de Protección de los

sistemas de información, propone lo descrito en el pliego técnico, no añadiendo elementos de

valor complementarios.

- Respecto de la descripción detallada de la capacidad de Capacidad de Protección de Gestión

de identidad y accesos, propone lo descrito en el pliego técnico, no añadiendo elementos de

valor complementarios.

- Respecto de la descripción detallada de la capacidad de Capacidad de Formación y

Concienciación, propone lo descrito en el pliego técnico, añadiendo ejemplos de temarios, pero

no añadiendo elementos de valor complementarios.

- Respecto de la descripción detallada de la capacidad de Capacidad de Seguridad de RRHH,

propone un buen enfoque de la seguridad de los recursos humanos referida a la normativa

ISO 27001 y 27002, desarrollando a partir de esta documentación ISO los controles a

implementar antes, durante y a la finalización de la relación laboral del personal. Limitándose

en el ámbito de los riesgos laborales a hacer una relación del marco normativo y las actividades

derivado de este. Finalmente, respecto de la seguridad física propone partir del Catálogo de

Seguridad Corporativa elaborado por el Centro de Operaciones de Seguridad (Minsait).

- Respecto de la descripción detallada de la capacidad de Capacidad de Procedimientos y

Procesos de Detección. (Detección), propone lo descrito en el pliego técnico, añadiendo el

back-office que ofrece el Centro de Operación de Seguridad (Minsait) como la forma más

eficaz de respuesta ante ciberincidentes.

- Respecto de la descripción detallada de la capacidad de Capacidad de Respuesta ante

Incidentes, propone lo descrito en el pliego técnico, añadiendo el procedimiento de invocación

del servicio por parte de Madrid Digital, sin considerar la posibilidad de acordar los requisitos

de invocación. Haciendo una adecuada relación de tipos de dispositivos, de investigaciones y

fases de actuación al respecto.

- Respecto de la descripción detallada de la capacidad de Capacidad de Aseguramiento de la

Continuidad, propone, partiendo de lo descrito en el pliego técnico, el aseguramiento de la

continuidad basado en la norma ISO 22301:2012, haciendo una exposición detallada de las

distintas fases y contenidos de los planes a implantar para el desarrollo de la capacidad.

Estableciendo objetivos y actividades a realizar en los simulacros de los planes.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

La exposición realizada respecto de las capacidades, su entendimiento y desarrollo, en la mayoría

de las ocasiones propone lo ya descrito en el pliego técnico, lo que no permite identificar el grado

de entendimiento y aportación de valor al servicio requerido.

El modelo de servicio propuesto está basado en un “servicio industrializado” prestado por el

Minsat (Centro de Operaciones de Seguridad), que, si bien optimiza la interacción, está más cerca

de un enfoque de operación de la seguridad gestionada que del modelo de Gobierno de la

Seguridad requerido por Madrid Digital para la oficina de gobierno de la seguridad.

Page 11: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 9

ERNST AND YOUNG S.L.

La propuesta se considera notable debido su aportación de valor añadido diferencial respecto a lo

requerido, de forma significativa, según revelan los aspectos más positivos y destacables de la propuesta,

como son los siguientes:

- Respecto de la descripción detallada de la capacidad de Capacidad de Gobierno y Gestión del

Riesgo, propone una descripción analítica estructurada en objetivos, actividades, entregables

y valora añadido. Añadiendo la definición de metodologías de análisis de riesgos y gestión de

activos, tomando como referencia el marco regulatorio normativo (LO 3/2018, RGPD, RD

3/2010, RD 92/2018, EJIS) las metodologías Magerit, la ISO 31000, ISO 27001. Proponiendo

el catálogo de amenazas del CNPIC. Y estableciendo el objetivo de considerar el análisis y

gestión de riesgos como el núcleo central de toda actuación organizada y sistemática en

materia de gestión integral de la seguridad. Como valor añadido propone establecer un análisis

comparativo por Consejerías y entornos funcionales.

E&Y define que el servicio se prestará asignando las capacidades a fin de sustentar el modelo

de gobierno en la gestión del riesgo de la Agencia (gestión de activos, el catálogo de amenazas

y el análisis de riesgos), lo que demuestra un enfoque y entendimiento del proyecto alineado

con los objetivos de seguridad de la Agencia.

Respecto del plan de implantación y de operación, con carácter general para todas las

capacidades, se propone una planificación detallada de actividades por cada fase y su

duración:

- Fase l. Establecimiento de la OGS. - Fase ll. Identificación de las unidades operativas. - Fase III. Definición y establecimiento de Comités. - Fase IV. Despliegue inicial de capacidades, funciones y servicios de la OGS - Fase V. Despliegue de capacidades y servicios. - Fase VI. Entrega de los servicios al nuevo adjudicatario

Para esta capacidad en concreto, respecto del plan de implantación y de operación, se

propone una relación detallada de objetivos, tareas y resultados, destacando por su aportación

de valor las propuestas metodológicas, los inventarios y clasificación de activos, amenazas o

riesgos, la orientación al cliente de las diferentes Consejerías, la identificación de herramientas

específicas para cada necesidad o ámbito de gestión, y la gestión del riesgo que terceros o

proveedores supone para la seguridad de la información.

- Respecto de la descripción detallada de la capacidad de Capacidad de Gestión, reporte y

control, propone un objetivo claro basado en la práctica de comunicación oficial y fehaciente a

interesados a través de un canal autorizado. Concretando la definición del modelo y canales

de comunicación a comités u organismos reguladores, apoyado en un cuadro de mando

integral e indicadores para el reporte de las herramientas de control y seguimiento de los

planes de implementación y despliegue de políticas, estrategias y procesos. Definiendo niveles

de reporte y su periodicidad en el tiempo. Así como las herramientas y metodologías de reporte

junto a un plan de difusión y divulgación de los Comités a interesados y plantilla de la Agencia.

Page 12: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

10 ECON 000141-2018 Informe Técnico OGS.v.1.0

Para esta capacidad respecto del plan de implantación y de operación, se propone una relación

detallada de objetivos, tareas y resultados, destacando por su aportación de valor el modelo

de comunicación y canales propuestos, los niveles de reporte, herramientas y procedimientos

en órganos colegiados, Comités y plantilla de trabajadores. Así como la construcción de un

cuadro de mando integral de seguridad junto a la definición de los indicadores de reporte.

- Respecto de la descripción detallada de la capacidad de Capacidad de Cumplimiento

Normativo, propone lo descrito en el pliego técnico, añadiendo una relación de normativa legal,

así como los requisitos mínimos del ENS y NIST en materia de documentos normativos y su

estructura. Proponiendo el servicio del “observatorio de regulaciones” a fin de identificar nueva

normativa o regulación que impacte en la Agencia. Así como un mapeo de controles entre la

normativa y los estándares con el objetivo de identificar la madurez y el grado de cumplimiento

de cada uno de ellos. Circunstancia que está alineada plenamente con la actual metodología

de análisis y gestión del riesgo de la Agencia (MAR), así como con el catálogo de normativas

que le son de aplicación.

Para esta capacidad en concreto, respecto del plan de implantación y de operación, se

propone una relación detallada de objetivos, tareas y resultados, destacando por su aportación

de valor el marco regulatorio propuesto (ENS-ISO-EJIS-RGPD), junto al observatorio de

regulaciones y normativas de seguridad con impacto en Madrid Digital, y la metodología de

elaboración, revisión y monitorización de cumplimiento y concienciación respecto de la Política

y su normativa de desarrollo, todo ello alineado con la actual Política de Seguridad de la

Información de la Agencia.

- Respecto de la descripción detallada de la Capacidad de Procedimientos de Prevención

(Asesoramiento y Tratamiento de excepciones), propone dos elementos relevantes para el

adecuado desarrollo de la capacidad, y son la independencia de fabricantes y su conocimiento

de diferentes soluciones de seguridad. Destacando la necesidad de definir la metodología,

proceso, intervinientes e inventario para el tratamiento de excepciones. Incluyendo como

aportaciones de valor añadido tanto el conocimiento derivado de la encuesta mundial que

anualmente realiza E&Y en materia de seguridad como el desarrollo de workshops temáticos

de ciberseguridad y cumplimiento normativo.

Para esta capacidad en concreto, respecto del plan de implantación y de operación, se

propone una relación detallada de objetivos, tareas y resultados, destacando por su aportación

de valor en el asesoramiento tanto legal como técnico desde la independencia tanto de

fabricantes como de implantadores de producto.

- Respecto de la descripción detallada de la Capacidad de Protección de la Infraestructura,

propone lo descrito en el pliego técnico, añadiendo elementos de valor complementarios

basados en el participación y conformación por E&Y de foros y asociaciones de seguridad y

en su independencia respecto de fabricantes, en la protección, asesoramiento y consultoría de

seguridad legal y TIC.

Para esta capacidad respecto del plan de implantación y de operación, se propone una relación

detallada de objetivos, tareas y resultados, destacando por su aportación de valor en la

adaptación de los controles de seguridad al entorno y casuística de la Agencia, junto al

asesoramiento en el diseño de soluciones de seguridad mediante el análisis de mercado, la

propuesta de arquitecturas de las mismas. Junto a la posibilidad de acceso a sus bases de

Page 13: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 11

datos de conocimiento y la “Encuesta Global de Seguridad” de E&Y elaborada anualmente y

con referencias comparativas a empresas de tamaño similar de la Agencia.

- Respecto de la descripción detallada de la capacidad de Capacidad de Protección de los

sistemas de información, propone lo descrito en el pliego técnico, añadiendo elementos de

valor complementarios referidos al ciclo de vida de los sistemas de información y proceso de

la seguridad por defecto y desde el diseño.

Para esta capacidad en concreto, respecto del plan de implantación y de operación, se

propone una relación detallada de objetivos, tareas y resultados, destacando por su aportación

de valor la consecución de objetivos basada en las fases de iniciativa, análisis, diseño,

preproducción y puesta en servicio.

- Respecto de la descripción detallada de la Capacidad de Protección de Gestión de identidad

y accesos, propone lo descrito en el pliego técnico, añadiendo elementos de valor

complementarios en la exposición de los objetivos y actividades que compondrían el desarrollo

de esta capacidad.

Para esta capacidad en concreto, respecto del plan de implantación y de operación, se

propone una relación detallada de objetivos, tareas y resultados, destacando por su aportación

de valor los ámbitos de Gestión de identidades (gestión de la identidad digital, generación

única de ID, gestión de atributos desde fuentes autorizadas), Gestión de accesos (gestión de

datos de fuentes autoritativas, gestión de privilegios de acceso, gestión de credenciales,

gestión de roles, administración de políticas de acceso), Control de acceso (servicios de

autenticación compartida, Single sign-on, federación de identidades y aplicación de políticas

de acceso definidas), Registro y monitorización (consolidación y análisis de registros, gestión

de Información de Seguridad y Eventos, informes y control de acceso privilegiado), Auditoría

(certificación de roles y definiciones, monitorización del cumplimiento de políticas, certificación

de acceso y revisión).

- Respecto de la descripción detallada de la capacidad de Capacidad de Formación y

Concienciación, propone lo descrito en el pliego técnico, añadiendo los elementos de valor

complementarios que a continuación se detallan.

Para esta capacidad respecto del plan de implantación y de operación, se propone una relación

detallada de objetivos, tareas y resultados, destacando por su aportación de valor el desarrollo

de las actividades de definición del Plan de Formación y Concienciación para los colectivos

involucrados, la selección de mensajes e ideas clave y el desarrollo de materiales y

preparación. Y campañas específicas o integrales de concienciación a medida del público

objetivo.

- Respecto de la descripción detallada de la capacidad de Capacidad de Seguridad de RRHH,

propone los objetivos de control que deberán orientar el desarrollo de la capacidad, añadiendo

como elemento de valor la definición de un código de conducta interno para personal que

permita a la Agencia realizar una labor de compliance organizativo. En el ámbito de riesgos

laborales propone la elaboración de una guía para la implantación de los procedimientos de

un futuro sistema de gestión de la prevención de riesgos laborales. Añadiendo las

orientaciones para la implantación e implementación de los procedimientos del Sistema

Integral de Gestión de la Prevención de Riesgos Laborales.

Page 14: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

12 ECON 000141-2018 Informe Técnico OGS.v.1.0

Para esta capacidad respecto del plan de implantación y de operación, se propone una relación

detallada de objetivos, tareas y resultados, destacando por su aportación de valor en

planteamiento relativo a la elaboración del clausulado de contratación de personal, los

controles para la retirada de derechos de acceso a la información y a las instalaciones del

procesamiento de información a la finalización del empleo, contrato o acuerdo, o revisión en

caso de cambio, junto a la verificación periódica del cumplimiento de los controles de derecho

de acceso o del sistema de prevención.

- Respecto de la descripción detallada de la capacidad de Capacidad de Procedimientos y

Procesos de Detección, partiendo de lo descrito en el pliego técnico, demuestra un adecuado

entendimiento y enfoque de desarrollo de la capacidad al realizar la descripción de los

elementos que componen la capacidad, identificando agentes externos, modelo de relación, y

proceso de notificación a organismos reguladores, entre otros.

Para esta capacidad respecto del plan de implantación y de operación, se propone una relación

detallada de objetivos, tareas y resultados, destacando por su aportación de valor la relación

de actividad tales como, tras identificar los agentes externos de relación la Agencia establecer

el modelo de compartición de información para prevenir ciberataques y ataques físicos,

identificar los canales de comunicación además de la preceptiva notificación de los

ciberincidentes al CCN-CERT, en ocasiones los Organismos públicos necesitarán

comunicarse con terceros (Fuerzas y Cuerpos de Seguridad y medios de comunicación social,

específicamente).

- Respecto de la descripción detallada de la capacidad de Capacidad de Respuesta ante

Incidentes, propone una clara y precisa descripción del objetivo a alcanzar con esta capacidad,

basado en las actuaciones de identificar y reconstruir los hechos tras un incidente en un

dispositivo informático buscando la reconstrucción de las acciones realizadas y los

responsables de las mismas. Para ello propone las actividades forenses recogidas en la

normativa ISO 27037, 27040 y 27042. Describiendo los modelos analíticos utilizados, en vivo

y estático, así como la metodología de trabajo.

Para esta capacidad respecto del plan de implantación y de operación, se propone una relación

detallada de objetivos, tareas y resultados, destacando por su aportación de valor el pleno

respeto de las actividades relacionadas con seguridad forense y pericial conforme a lo

establecido en las normativas ISO 27037, 27040 y 27042. Estas normativas proporcionan

directrices en cuanto a recopilación, almacenamiento e interpretación de la información

obtenida.

- Respecto de la descripción detallada de la capacidad de Capacidad de Aseguramiento de la

Continuidad, propone que esta capacidad se apoye en una fase de definición previa de los

planes, junto a la definición de los mecanismos de respuesta para la gestión adecuada de la

toma de decisiones en caso de crisis, así como de los simulacros a fin de probar la eficacia de

los planes (DRP-BCP). Para ello propone la utilización las metodologías desarrolladas por la

normativa ISO 22301:2012 y BS 25999. Respecto de la gestión de crisis propone un modelo

alienado con el de Madrid Digital, orientado al gobierno de la gestión, apoyándose en fuentes

de información de incidentes como CSIRT o SOC internos o externos. Como elemento de valor

añadido propone alinear el proceso de gestión de crisis con la “Guía Nacional de Notificación

y Gestión de ciberincidentes” del Consejo Nacional de Ciberseguridad. Finalmente, respecto

de los simulacros y su aprendizaje expone los objetivos, actividades y resultados de modo

Page 15: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 13

preciso y conciso, detallando las etapas de las pruebas y el proceso de aprendizaje basado en

el análisis de vulnerabilidades, proyectos de mitigación de vulnerabilidades y finalmente

identificación de proyectos quick-win.

Para esta capacidad respecto del plan de implantación y de operación, se propone una relación

detallada de objetivos, tareas y resultados, destacando por su aportación de valor las

derivadas de la aplicación de las metodologías internacionales de continuidad de negocio

(BS25999 e ISO 22301), y la identificación de fuentes de información de incidentes (CSIRT,

SOC, etc…) para la oficina de gobierno de la seguridad, lo cual se adapta al modelo de gestión

esperado por Madrid Digital, modelo de relación CERT (gobierno) –SOC (operación).

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

No aplica respecto del grado de detalle y exposición de la propuesta.

El resultado de la valoración de este subcriterio es:

3.1.2 SUBCRITERIO 3.2. Servicio proyecto.

INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.

La propuesta se considera adecuada debido a la aportación de valor añadido, de forma generalista y

extensa, respecto de lo requerido. Los aspectos más positivos y destacables de la propuesta son los

siguientes:

Minsait (Centro de Operaciones de Seguridad) plantea respecto del plan de implantación, un

modelo de servicio industrializado, para lo que propone las siguientes fases, con sus objetivos y

actividades que se adecuan a los objetivos del servicio:

- F1.1 Due Diligence

- F1.2 arranque del proyecto

- F1.3 recopilación de información de infraestructura de Madrid Digital

- F1.4 actividades pre implantación en Minsait

- F1.5 instalación y configuración inicial de las tecnologías y herramientas del servicio

- F1.6 configuración de los sistemas y equipos desplegados

- F1.7 integración de herramientas

- F1.8 inteligencia y personalización de las herramientas

- F1.9 elaboración y ejecución del plan de pruebas

- F1.10 definición del modelo de servicio

- F1.11 adecuación de las infraestructuras

- F1.12 configuración del equipo humano

- F1.13 configuración de las herramientas de gestión

- F1.14 definición de procesos

- F1.15 definición de métricas de control y seguimiento

- F1.16 establecimiento de metodologías

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

6,90 ERNST AND YOUNG S.L. 10,10

3.1 Servicio continuo. (Hasta 5 puntos) BUENA 3,00 NOTABLE 5,00

CRITERIO 3.- Planificación, alcance y descripción del proyecto: Hasta 16 puntos

Page 16: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

14 ECON 000141-2018 Informe Técnico OGS.v.1.0

- F1.17 aseguramiento de la calidad

- F1.18 identificación de oportunidades y riesgos

- F1.19 implantación del plan de gestión del cambio

- F2.14 cierre de la fase de lanzamiento del servicio

Minsait plantea, respecto del plan de operación y entrega de servicio, tres fases:

- Fase de estabilización

- Fase de operación

- Fase devolución del servicio

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

En el plan de implantación no se propone con el nivel de detalle esperado la planificación ni los

esfuerzos necesarios para alcanzar los objetivos fijados para las actividades de implantación del

servicio.

En el plan de operación no se propone con el nivel de detalle esperado la planificación ni los

esfuerzos necesarios para alcanzar los objetivos fijados para las actividades de implantación del

servicio.

ERNST AND YOUNG S.L.

La propuesta se considera adecuada debido a la aportación de valor añadido, de forma generalista e

extensa, respecto de lo requerido. Los aspectos más positivos y destacables de la propuesta son los

siguientes:

Se plantea, respecto del plan de implantación, las siguientes fases, con detalle de la planificación,

actividades y duración que se adecuan a los objetivos del servicio:

- Fase l. Establecimiento de la OGS

- Fase ll. Identificación de las unidades operativas

- Fase III. Definición y establecimiento de Comités

- Fase IV. Despliegue inicial de capacidades, funciones y servicios de la OGS

- Fase V. Despliegue de capacidades y servicios

- Fase VI. Entrega de los servicios al nuevo adjudicatario

Se plantea, respecto del plan de operación y entrega de servicio, detallando por cada capacidad,

los objetivos, actividades y resultados.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

En el plan de implantación no se propone con el nivel de detalle esperado la planificación ni los

esfuerzos necesarios para alcanzar los objetivos fijados para las actividades de implantación del

servicio.

En el plan de operación no se propone con el nivel de detalle esperado la planificación ni los

esfuerzos necesarios para alcanzar los objetivos fijados para las actividades de implantación del

servicio.

Page 17: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 15

El resultado de la valoración de este subcriterio es:

3.1.3 SUBCRITERIO 3.3. OGS.

INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.

La propuesta se considera cumple con los requisitos previstos en pliego, aunque se considerara que no

aporta valor respecto a lo requerido. Los aspectos destacables de la propuesta son los siguientes:

- El servicio se prestará con dos equipos de trabajo diferenciados: Equipo Base y Equipo Proyecto.

La modalidad de trabajo de cada equipo será distinta (equipo base in-situ frente a equipo proyecto

remoto/a demanda), pero el servicio que pretende prestar Minsait considera un único equipo de

trabajo.

- Minsait es propuesta como el socio estratégico ideal para acompañar a Madrid Digital en su

estrategia en la adopción de medidas para el gobierno de la seguridad. El Centro de Operaciones

de Ciberseguridad de Minsait se constituye como un centro de referencia en Ciberseguridad a

nivel nacional e internacional, con capacidad para proporcionar servicios avanzados de

ciberseguridad gestionada.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- El modelo de servicios avanzados de ciberseguridad gestionada, de carácter “industrializado”,

tiene mejor aplicación en los procesos de un centro de operaciones de seguridad gestionada que

en los de una oficina de gobierno de la seguridad.

- El servicio que se pretende prestar Minsait considera un único equipo de trabajo en el que cada

capacidad o ámbito descrito en el alcance del pliego técnico será repartida entre los equipos por

el responsable del servicio, en coordinación con el responsable del proyecto de Madrid Digital, lo

cual no está adecuadamente alineado con los requerido por la Agencia para la metodología de

trabajo de la oficina de gobierno de la seguridad.

ERNST AND YOUNG S.L.

La propuesta se considera buena debido su aportación valor añadido claro respecto a lo requerido, de

forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:

- El equipo base y de proyecto compuesto por más de 10 recursos los cuales tendrán la participación

necesaria para el cumplimiento de los objetivos y entregables que tengan asignado dentro de su

ámbito de trabajo. E&Y reforzará el equipo de trabajo de las fases de calidad y transformación de

los servicios con un Responsable de Calidad y un Senior Manager para garantizar la transición

con la máxima calidad y eficacia y la mejora continua de los servicios prestados. Realizando las

labores de dirección del proyecto global un Socio de E&Y.

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

6,90 ERNST AND YOUNG S.L. 10,10

3.2 Servicio proyecto. (Hasta 5 puntos) ADECUADA 1,50 ADECUADA 1,50

CRITERIO 3.- Planificación, alcance y descripción del proyecto: Hasta 16 puntos

Page 18: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

16 ECON 000141-2018 Informe Técnico OGS.v.1.0

- Las acciones propuestas están basadas en el Framework NIST, que pretenden mejorar la

seguridad global de la Organización, promoviendo una gestión de la Seguridad de la Información

centralizada y transparente para el usuario.

- Adicionalmente y como complemento al estándar NIST, E&Y dispone de un framework propio en

función de su experiencia basada en las buenas prácticas y el estándar definido por la ISO/IEC

27002:2013.

- Para afrontar la ejecución del contrato se propone por parte de E&Y la estructura del equipo de

trabajo encabezada por un socio-director, apoyado este por un panel de expertos en seguridad.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- Aunque se especifica la metodología de trabajo, no se presenta la planificación del proyecto con

el nivel de detalle esperado, con especificación de fases y actividades asociadas.

El resultado de la valoración de este subcriterio es:

3.1.4 SUBCRITERIO 3.4. Entregables.

INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.

La propuesta se considera buena debido a la aportación de valor añadido claro respecto a lo requerido,

de forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:

- Se propone una relación documental de títulos de entregables por cada capacidad o servicio.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- No se desarrolla con el nivel de detalle esperado el contenido de la documentación propuesta.

ERNST AND YOUNG S.L.

La propuesta se considera buena debido a la aportación de valor añadido claro respecto a lo requerido,

de forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:

- Se propone una relación documental de títulos de entregables por cada capacidad o servicio.

- Se detalla los elementos de valor añadido en relación con los entregables y las actividades de

cada capacidad.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

5,70 ERNST AND YOUNG S.L. 10,10

3.3. OGS. (Hasta 4 puntos) CUMPLE 0,00 BUENA 2,40

CRITERIO 3.- Planificación, alcance y descripción del proyecto: Hasta 16 puntos

Page 19: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 17

- El contenido detallado es claro y conciso, si bien no se desarrolla con el nivel de detalle esperado

el contenido de la documentación propuesta.

El resultado de la valoración de este subcriterio es:

3.1.5 SUBCRITERIO 4.1. Equipo de proyecto.

INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.

La propuesta se considera que adecuado debido a la aportación de valor añadido, de forma generalista

e extensa, respecto de lo requerido. Los aspectos destacables de la propuesta son los siguientes:

- El servicio de la OGS, contará con la capacidad de un equipo de trabajo formado por un Equipo

Base y los Equipos de Proyecto que sean necesarios, garantizando el nivel de especialización

requerido para el servicio y con capacidad de back-office más allá de los equipos propuestos

desde el inicio del servicio.

- Se realiza una propuesta de recursos adicionales que Minsait (Centro de Operaciones de

Seguridad) podrá ir proporcionando, gracias a la disponibilidad y flexibilidad de los recursos de los

que disponemos.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- No se concreta el número de las horas propuestas de los recursos asignados al equipo base o de

proyecto. Tampoco se concreta respecto de los recursos adicionales propuestos.

- La modalidad de trabajo de cada equipo será distinta (equipo base in-situ frente a equipo proyecto

remoto/a demanda), pero el servicio que pretende prestar Minsait considera un único equipo de

trabajo en el que cada capacidad o ámbito descrito en el alcance del pliego técnico será repartida

entre los equipos por el responsable del servicio.

ERNST AND YOUNG S.L.

La propuesta se considera buena debido a la aportación de valor añadido claro respecto a lo requerido,

de forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:

- Se realiza una propuesta y descripción del equipo de trabajo que incluye las funciones y perfiles

aportados por cada línea de actividad de la oficina de gobierno de seguridad, así como la cantidad

de recursos y horas, especificando la misión de cada uno y las habilidades requeridas:

comunicación "efectiva", clara orientación a los resultados, gestión eficaz del tiempo y de los

recursos que tengan asignados y diplomacia en su relación con terceros.

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

6,90 ERNST AND YOUNG S.L. 10,10

3.4 Entregables. (Hasta 2 puntos) BUENA 1,20 BUENA 1,20

CRITERIO 3.- Planificación, alcance y descripción del proyecto: Hasta 16 puntos

Page 20: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

18 ECON 000141-2018 Informe Técnico OGS.v.1.0

- Adicionalmente, propone la asignación al proyecto de un perfil de Socio encargado de la dirección

del proyecto, de un senior manager encargado de la calidad y mejora continua y finalmente un

panel de expertos que presenta E&Y como un valor añadido, al añadir al equipo asignado a la

OGS el conocimiento y la experiencia de un Panel de Expertos reconocidos en las diferentes

materias que van a desarrollarse en el despliegue del Plan Estratégico. Asimismo, pone a

disposición la red internacional de E&Y para cualquier consulta relacionada con el desarrollo de

cualquiera de las iniciativas.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- No aplica. Se concretan los diferentes elementos requeridos.

El resultado de la valoración de este subcriterio es:

3.1.6 SUBCRITERIO 4.2. Disponibilidad.

INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.

La propuesta se considera buena debido a la aportación de valor añadido claro respecto a lo requerido,

de forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:

- En Minsait, oferta el back-office de la unidad de Ciberseguridad cuenta con más de 400 expertos.

Minsait es miembro de FIRST, la principal organización y líder mundial reconocido en la respuesta

a incidentes.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- El Servicio de Proyecto se prestará con personal asignado al servicio en una modalidad remota

gracias a los equipos expertos del Cyber Defense Center (el SOC-Centro de Operaciones de

Ciberseguridad- de Minsait), como puede ser el apoyo experto puntual o la colaboración del CSIRT

(Computer Security Incident Response Team).

ERNST AND YOUNG S.L.

La propuesta se considera notable debido a la aportación de valor añadido diferencial respecto a lo

requerido, de forma clara y significativa. Los aspectos más positivos y destacables de la propuesta son

los siguientes:

- Respecto de los casos en los que sea necesario ejecutar tareas derivadas de la confirmación de

la existencia de un incidente grave de seguridad o de cualquier otro que, por su naturaleza y a

criterio del Jefe de Proyecto o de la Dirección de la Agencia el equipo de E&Y al completo se

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

4,20 ERNST AND YOUNG S.L. 11,60

4.1 Equipo de poryecto (Hasta 6 puntos) ADECUADA 1,80 BUENA 3,60

CRITERIO 4.- Organización del equipo de proyecto. Hasta 14 puntos

Page 21: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 19

comprometa estar a disposición de la Agencia de manera inmediata del personal de la OGS o el

personal de back-office de E&Y, fuera del horario habitual, en sábados o festivos, o en régimen

de nocturnidad.

- Esta situación no supondrá ningún sobre coste adicional por estas circunstancias

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- No aplica. Se concretan los diferentes elementos requeridos.

El resultado de la valoración de este subcriterio es:

3.1.7 SUBCRITERIO 4.3. Estabilidad del equipo de proyecto.

INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.

La propuesta se considera cumple con los requisitos previstos en pliego, aunque se considerar que no

aporta valor adicional a lo requerido. Los aspectos destacables de la propuesta son los siguientes:

- Para conseguir estabilidad sobre el personal asignado a proyectos, en Minsait disponen de una

política de retención para nuestros empleados, el llamado “salario emocional”, compuesta por una

serie de iniciativas, tales como, planes de carrera o formación continua, aunque no se especifica

respecto de la continuidad del servicio.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- Se orienta la estabilidad del equipo dentro de la organización Indra o Minsait, pero no

específicamente respecto de la continuidad del servicio del proyecto.

- No se especifica la disponibilidad de perfiles y número que permitan dar respuesta ante situaciones

de intervención inmediata o extraordinaria.

ERNST AND YOUNG S.L.

La propuesta se considera notable debido a la aportación de valor añadido diferencial respecto a lo

requerido, de forma clara y significativa. Los aspectos más positivos y destacables de la propuesta son

los siguientes:

- E&Y propone respecto de la estabilidad del equipo y garantía de los recursos para la continuidad

del servicio, un plan de contingencia para la prestación, en caso de no disponibilidad de los

recursos y ligado a las instalaciones principales en la Agencia:

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

2,40 ERNST AND YOUNG S.L. 11,60

4.2 Disponibildad (Hasta 4 puntos) BUENA 2,40 NOTABLE 4,00

CRITERIO 4.- Organización del equipo de proyecto. Hasta 14 puntos

Page 22: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

20 ECON 000141-2018 Informe Técnico OGS.v.1.0

Las instalaciones de E&Y Madrid, ubicadas en Raimundo Fernández Villaverde, 65. La

instalación dispone de los adecuados sistemas de seguridad física.

Conexiones cifradas entre las instalaciones de E&Y y los sistemas y herramientas de la

Agencia. Equipos maquetados con políticas de seguridad.

- Respecto de los recursos adicionales, E&Y propone la asignación al proyecto de un perfil de Socio

encargado de la dirección del proyecto, de un senior manager encargado de la calidad y mejora

continua, y finalmente un panel de expertos que presenta E&Y como un valor añadido, al añadir

al equipo asignado a la OGS el conocimiento y la experiencia de un Panel de Expertos reconocidos

en las diferentes materias que van a desarrollarse en el despliegue del Plan Estratégico. Asimismo,

pone a disposición la red internacional de E&Y para cualquier consulta relacionada con el

desarrollo de cualquiera de las iniciativas.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- No aplica. Se concretan los diferentes elementos requeridos.

El resultado de la valoración de este subcriterio es:

3.1.8 SUBCRITERIO 5.1. Modelo de seguimiento del servicio.

INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.

La propuesta se considera cumple con los requisitos previstos en pliego, aunque se considerar que no

aporta valor adicional a lo requerido. Los aspectos destacables de la propuesta son los siguientes:

- Se propone la elaboración detallada del mismo tras la adjudicación del contrato, con la

colaboración de Madrid Digital. No obstante, señala algunos elementos generales que, a su juicio,

deberán formar parte de dicho plan.

- Se propone la herramienta de reporte TILENA y se compromete a adaptarse a las necesidades

de MD en cuanto a contenido y periodicidad de los mismos.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- No se hace una propuesta concreta de Plan de Calidad, aplazando su elaboración tras la

adjudicación del contrato.

- No presenta una propuesta detallada de cada uno de los informes a elaborar para el seguimiento

de los periodos definidos.

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

2,40 ERNST AND YOUNG S.L. 11,60

4.3 Estabilidad del equipo (Hasta 4 puntos) CUMPLE 0,00 NOTABLE 4,00

CRITERIO 4.- Organización del equipo de proyecto. Hasta 14 puntos

Page 23: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 21

- Recoge en su oferta técnica el mismo cuadro de Acuerdos de Nivel de Servicio (ANS) y

Penalizaciones que figura en el Pliego de Prescripciones Técnicas.

ERNST AND YOUNG S.L.

La propuesta se considera buena debido a la aportación de valor añadido claro, de forma concreta y

concisa, respecto de lo requerido. Los aspectos más positivos y destacables de la propuesta son los

siguientes:

- Propone un Plan de Calidad con una escueta definición y complementado con macro-procesos:

Aseguramiento de la Calidad (cinco procesos internos) y Control de la Calidad (cuatro procesos

internos).

- Dentro del Plan de Calidad, E&Y detalla los mecanismos de seguimiento que, a su juicio deberán

ser Auditoría, Control de Calidad, Medición de desempeño, Monitorización y Evaluación.

- Se hace referencia genérica a una herramienta de reporte para la “automatización de informes de

seguimiento”.

- E&Y propone generar en términos generales, para el seguimiento del servicio, los siguientes tipos

de documentación:

▪ Documentación de seguimiento de la planificación de actividades.

▪ Informes específicos para cada proyecto.

▪ Informes de seguimiento: De la capacidad del servicio, Del nivel de cumplimiento de los

ANS, Informes para los Comités de seguimiento y actas de dichos comités.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- No se concreta una propuesta con el nivel de detalle esperado de cada uno de los informes de

servicio a elaborar para el seguimiento de los periodos definidos.

- Recoge en la propuesta el cuadro de Acuerdos de Nivel de Servicio (ANS) y Penalizaciones que

figura en el Pliego de Prescripciones Técnicas.

El resultado de la valoración de este subcriterio es:

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

0,60 ERNST AND YOUNG S.L. 3,60

5.1 Modelo de seguimiento del servicio (Hasta 4 puntos) CUMPLE 0,00 BUENA 2,40

CRITERIO 5.- Gestión del conocimiento, seguimiento y control del servicio. Hasta 6 puntos

Page 24: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

22 ECON 000141-2018 Informe Técnico OGS.v.1.0

3.1.9 SUBCRITERIO 5.2. Modelo de gestión del conocimiento.

INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.

La propuesta se considera adecuada debido a la aportación de valor añadido, de forma generalista y

extensa, respecto de lo requerido. Los aspectos más positivos y destacables de la propuesta son los

siguientes:

- Se propone incluir en el Plan de Calidad de la OGS un capítulo dedicado a los procedimientos de

gestión y control documental. Para ello propone usar la metodología ISO 9001 y desarrollar

conforme a ella, para la OGS, un Plan de Gestión de la Documentación.

- Se propone la elaboración de un Plan de Finalización de los servicios, consensuado con MD y con

el nuevo adjudicatario. Asegura que dispondrá de tres partes o planes: Plan de formación y

entrevistas de aseguramiento de traspaso de conocimientos, Plan de configuración y transferencia

de conocimientos entre equipos de trabajo y el Plan de entrega de documentación sobre

procedimientos y manuales técnicos.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- No se se detalla la metodología de gestión documental que se propone para el proyecto.

- No se concreta si la elaboración de los procedimientos de gestión y control documental son a

cargo de las horas de proyecto de la oficina o son una propuesta ya elaborada que se aporta.

ERNST AND YOUNG S.L.

La propuesta se considera buena debido a la aportación de valor añadido claro respecto a lo requerido,

de forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:

- Se detalla la metodología de gestión documental que se propone para el proyecto. Las fases, o

aspectos, de la gestión documental que propone E&Y para el proyecto son: Creación de un índice

documental, Definición de espacio en infraestructuras de MD, Creación de permisos de acceso a

los repositorios documentales, Indexación de la documentación, Seguimiento del ciclo de vida de

la documentación y relación con la gestión del conocimiento, Creación de hojas de control de

cambios, Definición de los circuitos de revisión y aprobación, Definición de los criterios de

protección, Seguimiento de la distribución de la documentación y su publicación en repositorios

corporativos, Retirada y archivo de la documentación obsoleta.

- Propone la elaboración de un Plan de Finalización de los servicios, consensuado con MD y con el

nuevo adjudicatario. Esta fase consistiría en la preparación del conjunto de entregables necesarios

para la transferencia del servicio de mantenimiento al nuevo proveedor y a la Agencia. Articulado

en dos planes fundamentales: el Plan de Formación y transferencia de conocimiento y

documentación del servicio al personal de la Agencia y al equipo del nuevo adjudicatario, y el Plan

de Comunicación.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

Page 25: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 23

- Propone la definición del espacio en la infraestructura de la Agencia donde alojar la información

con la creación de las estructuras de índice correspondiente para la gestión documental.

El resultado de la valoración de este subcriterio es:

3.1.10 SUBCRITERIO 6.1. Plan de capacitación y formación.

INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.

La propuesta se considera que cumple con los requisitos previstos en pliego, aunque se considerará que

no aporta valor añadido respecto de lo requerido. Los aspectos destacables de la propuesta son los

siguientes:

- Se propone definir y llevará a cabo tras la adjudicación, en colaboración con MD, un Plan de

Formación y Capacitación con los contenidos y la duración que se consideren necesarios.

- Propone la posibilidad de diseñar un Plan que comprenderá, aspectos como: Sesiones y charlas

formativas, píldoras formativas, videos, celebración de eventos, ejercicios prácticos y elementos

de concienciación estáticos.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- No se concreta un Plan de Formación y Capacitación con los contenidos y la duración que se

considera requerido.

- Presenta, como ejemplo, el temario general de un curso general sobre seguridad.

- El ejemplo está orientado exclusivamente a formación TIC en ciberseguridad, no estando

orientado a todas las capacidades y necesidades de la oficina de gobierno de la seguridad.

ERNST AND YOUNG S.L.

La propuesta se considera buena debido a la aportación de valor añadido claro respecto a lo requerido,

de forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:

- Se propone un plan de formación adaptado a perfiles los contenidos propuestos, incluyendo la

duración estimada. Así como la modalidad presencial, on-line o autoformación.

- Se proponen objetivos de la formación y concienciación, así como los diferentes ámbitos (General

en seguridad, especifica en seguridad de cada una de las capacidades definidas, a usuarios de

seguridad)

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

0,60 ERNST AND YOUNG S.L. 3,60

5.2 Modelo de gestión del conocimiento (Hasta 2 puntos) ADECUADA 0,60 BUENA 1,20

CRITERIO 5.- Gestión del conocimiento, seguimiento y control del servicio. Hasta 6 puntos

Page 26: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

24 ECON 000141-2018 Informe Técnico OGS.v.1.0

- La propuesta de contenidos ha tomado en consideración las necesidades y capacidades de la

futura oficina de gobierno de la seguridad, adaptando estos a las necesidades específicas de sus

destinatarios.

Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,

adicionales a las ya expuestas, son los siguientes:

- Se presentan los contenidos definidos en la propuesta de modo resumido, aunque sin el nivel de

detalle deseado.

El resultado de la valoración de este apartado es:

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

0,00 ERNST AND YOUNG S.L. 2,40

6.1 Plan de capacitacion y formacion (Hasta 4 puntos) CUMPLE 0,00 BUENA 2,40

CRITERIO 6.- Plan de capacitación y formación. Hasta 4 puntos

Page 27: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 25

4 Conclusiones.

A la vista de lo expuesto técnicamente, las ofertas analizadas cumplen con los requisitos mínimos exigidos

por los Pliegos de Condiciones Jurídicas y Técnicas, pero destaca la oferta presentada por ERNST AND

YOUNG S.L. sobre las demás por los siguientes elementos diferenciadores:

Respecto de la planificación, alcance y descripción del proyecto.

Propone una descripción analítica estructurada en objetivos, actividades, entregables y valor añadido.

Añadiendo la definición de metodologías de análisis de riesgos y gestión de activos, tomando como

referencia el marco regulatorio normativo (LO 3/2018, RGPD, RD 3/2010, RD 92/2018, EJIS) las

metodologías Magerit, la ISO 31000, ISO 27001. Proponiendo el catálogo de amenazas, entre otros, del

CNPIC. Y estableciendo el objetivo de considerar el análisis y gestión de riesgos como el núcleo central

de toda actuación organizada y sistemática en materia de gestión integral de la seguridad. Como valor

añadido propone establecer un análisis comparativo por Consejerías y entornos funcionales. E&Y define

que el servicio se prestará asignando las capacidades que sustentarán el modelo de gobierno y gestión

del riesgo de la Agencia.

Respecto del plan de implantación y de operación, se propone una relación detallada de objetivos, tareas

y resultados, destacando por su aportación de valor las propuestas metodológicas, los inventarios y

criterios de clasificación, la orientación al cliente de la Agencia ubicado en las diferentes Consejerías, la

identificación de herramientas específicas para cada necesidad o ámbito de gestión, y la gestión del riesgo

que terceros o proveedores supone para la seguridad de la información.

Las acciones propuestas están basadas en el Framework NIST, y adicionalmente y como complemento

al estándar NIST, E&Y dispone de un framework propio en función de su experiencia basada en las

buenas prácticas y el estándar definido por la ISO/IEC 27002:2013. Para afrontar la ejecución del contrato

se propone por parte de E&Y la estructura del equipo de trabajo encabezada por un socio-director,

apoyado este por un panel de expertos en seguridad.

Proponiendo una relación documental de títulos de entregables por cada capacidad o servicio. Y

detallando los elementos de valor añadido en relación con los entregables y las actividades de cada

capacidad.

Respecto de Organización del equipo de proyecto.

Se realiza una propuesta y descripción del equipo de trabajo que incluye las funciones y perfiles aportados

por cada línea de actividad de la oficina de gobierno de seguridad, así como la cantidad de recursos y

horas (más de 10 recursos), especificando la misión de cada uno y las habilidades requeridas. Y

adicionalmente, se propone la asignación al proyecto de un perfil de Socio encargado de la dirección del

proyecto, de un senior manager encargado de la calidad y mejora continua y un Panel de Expertos

reconocidos en las diferentes materias que van a desarrollarse en el despliegue.

Respecto de los casos en los que sea necesario ejecutar tareas derivadas de la confirmación de la

existencia de un incidente grave de seguridad o de cualquier otro que, por su naturaleza y a criterio del

Jefe de Proyecto o de la Dirección de la Agencia, el equipo de E&Y al completo se compromete estar a

Page 28: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

26 ECON 000141-2018 Informe Técnico OGS.v.1.0

disposición de la Agencia de manera inmediata del personal de la OGS o el personal de back-office de

E&Y, fuera del horario habitual, en sábados o festivos, o en régimen de nocturnidad.

E&Y propone respecto de la estabilidad del equipo y garantía de continuidad de los recursos del servicio

un plan de contingencia para la prestación de los servicios, en caso de no disponibilidad de las

instalaciones principales en la Agencia.

Respecto de la gestión del conocimiento, seguimiento y control del servicio.

Propone un Plan de Calidad complementado con macro-procesos: Aseguramiento de la Calidad (cinco

procesos internos) y Control de la Calidad (cuatro procesos internos). Dentro del Plan de Calidad, E&Y

detalla los mecanismos de seguimiento.

Se detalla la metodología de gestión documental que se propone para el proyecto. Y propone la

elaboración de un Plan de Finalización de los servicios, consensuado con MD y con el nuevo adjudicatario.

Respecto del plan de capacitación y formación:

Propone un plan de formación adaptado a perfiles los contenidos propuestos, incluyendo la duración

estimada. Así como la modalidad presencial, on-line o autoformación. Así como los objetivos de la

formación y concienciación, y los diferentes ámbitos y público objetivo destinatario. La propuesta de

contenidos ha tomado en consideración las necesidades y capacidades de la futura oficina de gobierno

de la seguridad, adaptándose a las necesidades específicas de los ámbitos y público objetivo.

Page 29: OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL · 2019-08-02 · 6 ECON 000141-2018 Informe Técnico OGS.v.1.0 Para la valoración de cada criterio se ha tenido en cuenta las

ECON 000141-2018 Informe Técnico OGS.v.1.0 27

Por todo ello, el resultado de la valoración técnica de las ofertas presentadas al concurso titulado

““OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL” a adjudicar mediante

procedimiento abierto con pluralidad de criterios, de la Agencia para la Administración Digital de la

Comunidad de Madrid, es el que se recoge en la tabla siguiente:

El Director de Seguridad Corporativa

Fdo.: Fernando Ledrado Gómez

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

5,70 ERNST AND YOUNG S.L. 10,10

3.1 Servicio continuo. (Hasta 5 puntos) BUENA 3,00 NOTABLE 5,00

3.2 Servicio proyecto. (Hasta 5 puntos) ADECUADA 1,50 ADECUADA 1,50

3.3. OGS. (Hasta 4 puntos) CUMPLE 0,00 BUENA 2,40

3.4 Entregables. (Hasta 2 puntos) BUENA 1,20 BUENA 1,20

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

4,20 ERNST AND YOUNG S.L. 11,60

4.1 Equipo de poryecto (Hasta 6 puntos) ADECUADA 1,80 BUENA 3,60

4.2 Disponibildad (Hasta 4 puntos) BUENA 2,40 NOTABLE 4,00

4.3 Estabilidad del equipo (Hasta 4 puntos) CUMPLE 0,00 NOTABLE 4,00

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

0,60 ERNST AND YOUNG S.L. 3,60

5.1 Modelo de seguimiento del servicio (Hasta 4 puntos) CUMPLE 0,00 BUENA 2,40

5.2 Modelo de gestión del conocimiento (Hasta 2 puntos) ADECUADA 0,60 BUENA 1,20

INDRA SOLUCIONES

TECNOLOGÍAS DE LA

INFORMACIÓN, S.L.U.

0,00 ERNST AND YOUNG S.L. 2,40

6.1 Plan de capacitacion y formacion (Hasta 4 puntos) CUMPLE 0,00 BUENA 2,40

TOTAL 10,50 27,70

CRITERIO 3.- Planificación, alcance y descripción del proyecto: Hasta 16 puntos

CRITERIO 4.- Organización del equipo de proyecto. Hasta 14 puntos

CRITERIO 5.- Gestión del conocimiento, seguimiento y control del servicio. Hasta 6 puntos

CRITERIO 6.- Plan de capacitación y formación. Hasta 4 puntos

CRITERIOS CUALITATIVOS - JUICIO DE VALOR (Hasta 45 puntos)