lunes, 2 de julio de 2018

Nuevo concurso para la Oficina de seguridad y centro de soporte especializado en el Área de seguridad de sistemas y tecnología de la información del Servicio Madrileño de Salud (OSSI-CERT)

El pasado 26/06/2018 se publicaba la convocatoria de una nueva edición de la licitación del  concurso de servicios denominado "Oficina de seguridad y centro de soporte especializado en el Área de Seguridad de Sistemas y Tecnologías de la Información del Servicio Madrileño de Salud (OSSI-CERT)especificándose que el contrato tendrá una duración de 2 años (prorrogables a otros 2), de inicio previsto el  de 16 Octubre de 2018,  y un apreciable presupuesto base de 2 millones 762mil euros para el plazo de 2 años inicial [1], por tanto, con un notable incremento con respecto a la anterior edición del concurso, que había sido adjudicado con cambio de proveedor en 2014 a Oesia  y se encuentra en fase de su último prórroga El criterio de adjudicación ya no es únicamente el precio (que pesa sólo el 60%), valorándose acreditaciones y recursos humanos adicionales a las exigidas. Se permite la subcontratación hasta el nivel del 25%

Según los  pliegos de prescripciones técnicas el objeto del contrato es el servicio de soporte especializado de Oficina de Seguridad de sistemas de información(OSS|), en temas relacionados con la seguridad y la protección de datos personales al Área de Seguridad de la DGSIS . En los pliegos se explica que la OSSI es "el instrumento de prevención, detección, respuesta a amenazas y riesgos de seguridad, así como órgano responsable de la coordinación e implantación de políticas y medidas de seguridad de la organización, prestando a la Consejería de Sanidad una serie de servicios tanto reactivos, como preventivos, con el objeto de impulsar y dar soporte a la implantación de las medidas de seguridad en sus distintos Centros."


En concreto, el adjudicatario deberá prestar los servicios de
  • consultoría para cumplimiento de la normativa vigente en seguridad y protección de datos
  • asesoría y auditoría de controles de seguridad de TI
  • análisis de la seguridad del SW,  HW  e infraestructura de la Consejería
  • comunicación y formación en seguridad
  • monitorización y correlación de eventos de seguridad en horario de 24h que se presta  mediante el Centro de Operaciones de Seguridad del contratista (SOC) 
El contrato también incluye el mantenimiento de las plataformas  y aplicativos existentes:
  • DIAN@,  "Aplicación informática que permite gestionar de forma centralizada el cumplimiento de
    la Ley Orgánica de Protección de Datos personales (LOPD)" para los responsables de seguridad de cada centro
  • SGOSSI, Sistema de gestión de la propia Oficina , cuadros de mano de seguridad y de las auditorías bienales
  • HORUSTRACK, Herramienta de gestión de auditorías de acceso a información de paciente
  • SIEM (Sistema de gestión de Eventos de seguridad), plataforma de monitorización de dispositivos,y servidores  de la Consejerái con funcionalidades de IDS (Detección de Intrusos) , escáner de vulnerabilidades,  correlación de eventos en la forma actual de 51 sondas del producto "Alien Vault" ya instaladas en diversos centros del SERMAS, incluyéndose en este contrato una partida para el despliegue de otros 21 sondas más
  • software de anaĺisis de vunerabilidades web Accunetix  y de código estático Bugscout o similar para la búsqueda de fallos de las páginas web de la Consejería en Internet
 
Los trabajos se llevarán a cabo de forma habitual en las propias oficinas de los contratistas (como el SOC) o en las dependencias de la DGSIS, según conveniencia de la DGSIS, exigiéndose a la empresa adjudicataria un número mínimo de 12 personas más el jefe de proyecto aparte del personal que pueda tener ya la empresa de 24x7 para el SOC. Para la parte variable de los servicios específicos de cuota variable que se encargue se han valorado una tarifas aplicables en concepto de horas-hombre de 48,34 euros + IVA  euros/hora para un Consultor. La DGSIS aportará un Director de Proyecto y "otros miembros opcionales" para gobernar el contrato. La transición prevista con los contratistas actualeses de 1 mes. Se permite a los adjudicatarios un 30% de nivel de subcontratación, y se exige certificación de capacidad de mantenimiento de los productos utilizados Alient Vault, Accunetix  y Bugscout

Este concurso supone por tanto una continuación del anterior concursos de igual nombre, con lo que continuará el  modelo de externalización total de la Oficina y amplia del Área de seguridad que la engloba, donde también existe personal de  la Agencia de Informática de la Comunidad de Madrid (ICM) dadas las compentencias que  tiene desde el 1/1/2008  en la Consejería de Sanidad en materia de de seguridad de las comunicaciones de datos (entre otras), así como extraoficialmente y sin capacidad de mando, algún personal informático del SERMAS de la antigua Atención Primaria, desafortunadamente , sin figurar como se debería en una plaza reglada de las categorías estatutarias de informática , dado que el SERMAS sigue sin llevar a cabo la creación de estructura de puestos de esas categorías en sus propios Servicios Centrales de informática.

Esta asociación defiende que  dado que el ámbito de este área de seguridad  es el específico sanitario , que la organización SERMAS cuente también en esta oficina con personal propio del SERMAS bien aprovechado y actualizado en su formación y competencias y, en caso de ser necesario, reubicado en funciones y ámbito de actuación, contribuiria a  una mayor calidad y control del servicio y retención de conocimiento.


[1] repartidos en
  • 2.2 millones  a los servicios profesionales en sí de la OSSI en general más 104 mil euros  de los del Centro de Operaciones de Seguridad (SOC) y otro 82 mil euros en consultorías de especialistas
  • 190 mil euros al mantenimiento del SW
  • 150 mil euros para ampliación de nuevo servidor y  21 sondas más


Entradas relacionadas:
Etiquetas: , , , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)