Adjudicada nuevamenta a Oesia la Oficina de seguridad y centro de soporte especializado en el Área de seguridad de sistemas y tecnología de la información del Servicio Madrileño de Salud (OSSI-CERT)

Acaba de publicarse la adjudicación a Oesia Networks  por un importe de 2 millones de euros en 2 años del  concurso de servicios denominado "Oficina de seguridad y centro de soporte especializado en el Área de Seguridad de Sistemas y Tecnologías de la Información del Servicio Madrileño de Salud (OSSI-CERT)” cuyo presupuesto  base era de  2 millones 762mil euros para el plazo de 2 años inicial. Por tanto, ha vuelto a adjudicarse a la misma empresa , siendo la anterior adjudicación de 1,3 millones de euros (ante un concurso de presupuesto notablmente menor). La adjudicación ha sufrido un retraso ante un proceso de baja temeraria que la empresa tuvo que justificar.

Recordemos que según los  pliegos de prescripciones técnicas el objeto del contrato es el servicio de soporte especializado de Oficina de Seguridad de sistemas de información(OSS|), en temas relacionados con la seguridad y la protección de datos personales al Área de Seguridad de la DGSIS . En los pliegos se explica que la OSSI es "el instrumento de prevención, detección, respuesta a amenazas y riesgos de seguridad, así como órgano responsable de la coordinación e implantación de políticas y medidas de seguridad de la organización, prestando a la Consejería de Sanidad una serie de servicios tanto reactivos, como preventivos, con el objeto de impulsar y dar soporte a la implantación de las medidas de seguridad en sus distintos Centros."

En concreto, el adjudicatario deberá prestar los servicios de

• consultoría para cumplimiento de la normativa vigente en seguridad y protección de datos
• asesoría y auditoría de controles de seguridad de TI
• análisis de la seguridad del SW,  HW  e infraestructura de la Consejería
• comunicación y formación en seguridad
• monitorización y correlación de eventos de seguridad en horario de 24h que se presta  mediante el Centro de Operaciones de Seguridad del contratista (SOC)

El contrato también incluye el mantenimiento de las plataformas  y apliativos existentes:

• DIAN@,  "Aplicación informática que permite gestionar de forma centralizada el cumplimiento de
  la Ley Orgánica de Protección de Datos personales (LOPD)" para los responsables de seguridad de cada centro
• SGOSSI, Sistema de gestión de la propia Oficina , cuadros de mano de seguridad y de las auditorías bienales
• HORUSTRACK, Herramienta de gestión de auditorías de acceso a información de paciente
• SIEM (Sistema de gestión de Eventos de seguridad), plataforma de monitorización de dispositivos,y servidores  de la Consejerái con funcionalidades de IDS (Detección de Intrusos) , escáner de vulnerabilidades,  correlación de eventos en la forma actual de 51 sondas del producto "Alien Vault" ya instaladas en diversos centros del SERMAS
• software de anaĺisis de vunerabilidades web Accunetix  y de código estático Bugscout o similar para la búsqueda de fallos de las páginas web de la Consejería en Internet

Los trabajos se llevarán a cabo de forma habitual en las propias oficinas de los contratistas (como el SOC) o en las dependencias de la DGSIS, según conveniencia de la DGSIS, exigiendo  un número mínimo de 12 personas  más el jefe de proyecto aparte del personal que pueda tener ya la empresa de 24x7 para el SOC. Para la parte variable de los servicios específicos de cuota variable que se encargue se han valorado una tarifas aplicables en concepto de horas-hombre de 48,34 euros + IVA  euros/hora para un Consultor. La DGSIS aportará un Director de Proyecto y "otros miembros opcionales" para gobernar el contgrato. La transición prevista con los contratistas actualeses de 1 mes. Se permite a los adjudicatarios un 30% de nivel de subcontratación, y se exige certificación de capacidad de mantenimiento de los productos utilizados Alient Vault,Accunetix  y Bugscout

Este concurso supone por tanto una continuación del anterior concursos de igual nombre, con lo que continuará el  modelo de externalización total de la Oficina y amplia del Área de seguridad que la engloba, donde también existe personal de  la Agencia de Informática de la Comunidad de Madrid (ICM) dadas las compentencias que  tiene desde el 1/1/2008  en la Consejería de Sanidad en materia de de seguridad de las comunicaciones de datos (entre otras).
Esta asociación defiende que  dado que el ámbito de este área de seguridad  es el específico sanitario , que la organización SERMAS cuente también en esta oficina con personal propio del SERMAS bien aprovechado y actualizado en su formación y competencias y, en caso de ser necesario, reubicado en funciones y ámbito de actuación, contribuiria a  una mayor calidad y control del servicio y retención de conocimiento.
Entradas relacionadas:

• [21/10/2008] Adjudicado a Indra el contrato de servicios de seguridad informática de la Consejería de Sanidad (entrada nuestra)
• [08/07/2010] Concurso para un nuevo Centro de Soporte de Seguridad informática externalizado del SERMAS: el CESEAS-CERT (entrada nuestra)
• [14/09/2014] Adjudicado a Telefónica el concurso del nuevo Centro de Soporte de Seguridad informática externalizado del SERMAS: el CESEAS-CERT
• [0710/2016] Prorrogada por 1 año más a Oesia la adjudicación de la Oficina de seguridad en TI del SERMAS [la OSSI-CERT]
• [18/08/2017] Prorrogada por 1 año más a Oesia la adjudicación de la Oficina de seguridad en TI del SERMAS [la OSSI-CERT]
• [02/07/2018]  Nuevo concurso para la Oficina de seguridad y centro de soporte especializado en el Área de seguridad de sistemas y tecnología de la información del Servicio Madrileño de Salud (OSSI-CERT)