El pasado 26/06/2018 se publicaba la convocatoria de una nueva edición de la licitación del concurso de servicios denominado "Oficina
de seguridad y centro de soporte especializado en el Área de Seguridad
de Sistemas y Tecnologías de la Información del Servicio Madrileño de
Salud (OSSI-CERT)” especificándose que el contrato tendrá una duración de 2 años (prorrogables a otros 2), de inicio previsto el de 16 Octubre de 2018, y un apreciable presupuesto base de 2 millones 762mil euros para el plazo de 2 años inicial [1], por tanto, con un notable incremento con respecto a la anterior edición del concurso, que había sido adjudicado
con cambio de proveedor en 2014 a Oesia y se encuentra en fase de su último prórroga El criterio de adjudicación
ya no es únicamente el precio (que pesa sólo el 60%), valorándose
acreditaciones y recursos humanos adicionales a las exigidas. Se permite
la subcontratación hasta el nivel del 25%
Según los pliegos de prescripciones técnicas el objeto del contrato es el servicio de soporte especializado de Oficina de Seguridad de sistemas de información(OSS|), en temas relacionados con la seguridad y la protección de datos personales al Área de Seguridad de la DGSIS . En los pliegos se explica que la OSSI es "el instrumento de prevención, detección, respuesta a amenazas y riesgos de seguridad, así como órgano responsable de la coordinación e implantación de políticas y medidas de seguridad de la organización, prestando a la Consejería de Sanidad una serie de servicios tanto reactivos, como preventivos, con el objeto de impulsar y dar soporte a la implantación de las medidas de seguridad en sus distintos Centros."
Según los pliegos de prescripciones técnicas el objeto del contrato es el servicio de soporte especializado de Oficina de Seguridad de sistemas de información(OSS|), en temas relacionados con la seguridad y la protección de datos personales al Área de Seguridad de la DGSIS . En los pliegos se explica que la OSSI es "el instrumento de prevención, detección, respuesta a amenazas y riesgos de seguridad, así como órgano responsable de la coordinación e implantación de políticas y medidas de seguridad de la organización, prestando a la Consejería de Sanidad una serie de servicios tanto reactivos, como preventivos, con el objeto de impulsar y dar soporte a la implantación de las medidas de seguridad en sus distintos Centros."
En concreto, el adjudicatario deberá prestar los servicios de
- consultoría para cumplimiento de la normativa vigente en seguridad y protección de datos
- asesoría y auditoría de controles de seguridad de TI
- análisis de la seguridad del SW, HW e infraestructura de la Consejería
- comunicación y formación en seguridad
- monitorización y correlación de eventos de seguridad en horario de 24h que se presta mediante el Centro de Operaciones de Seguridad del contratista (SOC)
- DIAN@, "Aplicación informática que permite gestionar de forma centralizada el cumplimiento de
la Ley Orgánica de Protección de Datos personales (LOPD)" para los responsables de seguridad de cada centro - SGOSSI, Sistema de gestión de la propia Oficina , cuadros de mano de seguridad y de las auditorías bienales
- HORUSTRACK, Herramienta de gestión de auditorías de acceso a información de paciente
- SIEM (Sistema de gestión de Eventos de seguridad), plataforma de monitorización de dispositivos,y servidores de la Consejerái con funcionalidades de IDS (Detección de Intrusos) , escáner de vulnerabilidades, correlación de eventos en la forma actual de 51 sondas del producto "Alien Vault" ya instaladas en diversos centros del SERMAS, incluyéndose en este contrato una partida para el despliegue de otros 21 sondas más
- software de anaĺisis de vunerabilidades web Accunetix y de código estático Bugscout o similar para la búsqueda de fallos de las páginas web de la Consejería en Internet
Los trabajos se llevarán a cabo de forma habitual en las propias oficinas de los contratistas (como el SOC) o en las dependencias de la DGSIS, según conveniencia de la DGSIS, exigiéndose a la empresa adjudicataria un número mínimo de 12 personas más el jefe de proyecto aparte del personal que pueda tener ya la empresa de 24x7 para el SOC. Para la parte variable de los servicios específicos de cuota variable que se encargue se han valorado una tarifas aplicables en concepto de horas-hombre de 48,34 euros + IVA euros/hora para un Consultor. La DGSIS aportará un Director de Proyecto y "otros miembros opcionales" para gobernar el contrato. La transición prevista con los contratistas actualeses de 1 mes. Se permite a los adjudicatarios un 30% de nivel de subcontratación, y se exige certificación de capacidad de mantenimiento de los productos utilizados Alient Vault, Accunetix y Bugscout
Este concurso supone por tanto una continuación del anterior concursos de igual nombre, con lo que continuará el modelo de externalización total de la Oficina y amplia del Área de seguridad que la engloba, donde también existe personal de la Agencia de Informática de la Comunidad de Madrid (ICM) dadas las compentencias que tiene desde el 1/1/2008 en la Consejería de Sanidad en materia de de seguridad de las comunicaciones de datos (entre otras), así como extraoficialmente y sin capacidad de mando, algún personal informático del SERMAS de la antigua Atención Primaria, desafortunadamente , sin figurar como se debería en una plaza reglada de las categorías estatutarias de informática , dado que el SERMAS sigue sin llevar a cabo la creación de estructura de puestos de esas categorías en sus propios Servicios Centrales de informática.
Esta asociación defiende que dado que el ámbito de este área de seguridad es el específico sanitario , que la organización SERMAS cuente también en esta oficina con personal propio del SERMAS bien aprovechado y actualizado en su formación y competencias y, en caso de ser necesario, reubicado en funciones y ámbito de actuación, contribuiria a una mayor calidad y control del servicio y retención de conocimiento.
[1] repartidos en
- 2.2 millones a los servicios profesionales en sí de la OSSI en general más 104 mil euros de los del Centro de Operaciones de Seguridad (SOC) y otro 82 mil euros en consultorías de especialistas
- 190 mil euros al mantenimiento del SW
- 150 mil euros para ampliación de nuevo servidor y 21 sondas más
Entradas relacionadas:
- [21/10/2008] Adjudicado a Indra el contrato de servicios de seguridad informática de la Consejería de Sanidad (entrada nuestra)
- [08/07/2010] Concurso para un nuevo Centro de Soporte de Seguridad informática externalizado del SERMAS: el CESEAS-CERT (entrada nuestra)
- [14/09/2014] Adjudicado a Telefónica el concurso del nuevo Centro de Soporte de Seguridad informática externalizado del SERMAS: el CESEAS-CERT
- [17/07/2014] Concurso de la Oficina de seguridad en Tecnologías de la Informacion del Servicio Madrileño de Salud [la OSSI-CERT]
- [19/09/2014] Adjudicado con cambio de proveedor el concurso de la Oficina de seguridad en Tecnologías de la Informacion del Servicio Madrileño de Salud [la OSSI-CERT]
- [0710/2016] Prorrogada por 1 año más a Oesia la adjudicación de la Oficina de seguridad en TI del SERMAS [la OSSI-CERT]
- [18/08/2017] Prorrogada por 1 año más a Oesia la adjudicación de la Oficina de seguridad en TI del SERMAS [la OSSI-CERT]
No hay comentarios:
Publicar un comentario