EXPEDIENTE 20200102-00002 · 2020. 6. 18. · • Plan de bastionado y configuración de seguridad de la solución. • Análisis de seguridad y cumplimiento normativo. Informe de

Cuadro de características servicios auditoría de infraestructuras críticas 1

EXPEDIENTE 20200102-00002

CUADRO DE CARACTERISTICAS PARA LOS SERVICIOS DE AUDITORÍA Y MEJORA DE INFRAESTRUCTURAS CRÍTICAS


1 OBJETO DEL CONTRATO ............................................................................................ 4

2 NECESIDADES A SATISFACER ................................................................................... 4

3 ALCANCE ....................................................................................................................... 4

3.1 Detalle del alcance ..................................................................................................... 5

3.1.1 Tareas a desarrollar ............................................................................................ 5

3.1.2 Entregables ......................................................................................................... 8

3.2 Elaboración de informes .......................................................................................... 10

4 PLAZO Y LUGAR DE EJECUCIÓN DE LOS TRABAJOS .......................................... 11

4.1 LUGAR DE EJECUCIÓN DEL CONTRATO ............................................................ 12

4.2 PLAZO DEL CONTRATO ........................................................................................ 12

5 PRESUPUESTO MÁXIMO DE LICITACIÓN ................................................................ 13

5.1 Presupuesto MÁXIMO de licitación. ........................................................................ 13

5.2 Desglose del presupuesto ....................................................................................... 13

6 VALOR ESTIMADO ...................................................................................................... 14

6.1 Importe del valor estimado del contrato ................................................................... 14

7 DIVISIÓN EN LOTES .................................................................................................... 15

8 DOCUMENTOS QUE REVISTEN CARÁCTER CONTRACTUAL ............................... 15

9 CAPACIDAD Y SOLVENCIA........................................................................................ 16

9.1 Requisitos de solvencia ........................................................................................... 16

9.1.1 Solvencia económica y financiera: ........................................................................ 16

9.1.2 Solvencia técnica o profesional: ............................................................................ 16

9.1.3 Medios materiales ............................................................................................. 23

9.2 Documentación y clasificación ................................................................................. 25

9.3 Integración de la solvencia ...................................................................................... 25

9.4 Habilitación empresarial exigible para realizar la prestación ................................... 26

10 GARANTÍAS Y PLAZOS .............................................................................................. 26

10.1 Garantía Provisional ................................................................................................ 26

10.2 Garantía Definitiva ................................................................................................... 26

11 CRITERIOS DE ADJUDICACIÓN ................................................................................ 26

11.1 Preponderancia de criterios ..................................................................................... 26

11.2 PUNTUACION DE LOS CRITERIOS CUALITATIVOS QUE DEPENDEN DE UN JUICIO


DE VALOR ............................................................................................................................. 27

11.3 PUNTUACIÓN DE LOS CRITERIOS EVALUABLES MEDIANTE FÓRMULAS ..... 28

12 REVISIÓN DE PRECIOS .............................................................................................. 29

13 SEGUROS .................................................................................................................... 29

14 CONFIDENCIALIDAD ................................................................................................... 30

15 PENALIDADES ............................................................................................................. 31

15.1 Por incumplimiento de los trabajos objeto del contrato ........................................... 31

15.2 Por ejecución defectuosa ......................................................................................... 31

15.3 Por inclumplir criterios de adjudicación .................................................................... 31

15.4 Mora en la entrega de los trabajos .......................................................................... 31

15.5 Por inclumplir la normativa en materia de protección de datos de carácter personal32

15.6 Otras penalidades .................................................................................................... 32

16 MODIFICACIÓN DEL CONTRATO .............................................................................. 33

17 SUBCONTRATACIÓN .................................................................................................. 33

18 OBLIGACIONES LABORALES SOBRE SUBROGACIÓN EN CONTRATOS DE

TRABAJO .............................................................................................................................. 33

19 EJECUCION DE LOS TRABAJOS EN LAS DEPENDENCIAS DE INECO ............... 33


El presente documento contiene el Cuadro de Características Técnicas de los servicios de auditoría

de seguridad, análisis y bastionado de sistemas de información para la mejora de las infraestructuras

críticas a contratar.

De conformidad con las Instrucciones que regulan el procedimiento de contratación de Ineco:

- Procedimiento abierto

- Varios criterios de adjudicación

CUADRO DE CARACTERÍSTICAS

1 OBJETO DEL CONTRATO

El objeto del presente documento es establecer las condiciones para la selección de un proveedor

para la prestación de servicios de apoyo, en la modalidad de Servicio de Asistencia Técnica, a los

trabajos de realización de un proceso de servicio de auditoría de seguridad, análisis y bastionado

de sistemas de información para la mejora de las infraestructuras críticas con el objetivo de adecuar

las mismas a las necesidades de seguridad, operativa y funcionalidad que demanda la evolución

paralela de la sociedad de la información.

2 NECESIDADES A SATISFACER

El propósito principal es la realización de un proceso de auditoría y mejora de las infraestructuras

críticas con el objetivo de adecuar las mismas a las necesidades de seguridad, operativa y

funcionalidad que demanda la evolución paralela de la sociedad de la información.

Nº expediente 20200102-00002

3 ALCANCE

Actualmente la infraestructura sobre la que se realizarán los trabajos contiene multitud de servidores,

virtuales o físicos, en su mayoría instalados en plataformas con sistema operativo (Windows y LINUX),

en diferentes versiones, soluciones de Middleware e infraestructuras de bases de datos (basada en

Oracle). Estos servidores proporcionan los servicios de información que conforman el núcleo de la

infraestructura.

Por medio del servicio que se quiere contratar se pretende llevar a cabo un análisis integral de

seguridad de estos sistemas y puestos de trabajo (auditoría por el método de caja blanca), así como

aquellos otros servicios vinculados a plataformas con tecnología Microsoft y Linux.

Se requiere asimismo la realización de una evaluación de los sistemas y realización de un test de cara


a la elaboración de plantillas de seguridad para realizar el bastionado de los sistemas y puestos de

trabajo acorde a lo exigido para alcanzar el nivel alto del Esquema Nacional de Seguridad. La auditoría

y aplicación de medidas de las distintas soluciones incluidas en el alcance, se realizará a nivel de

seguridad y dirigidas a garantizar la continuidad del negocio.

Adicionalmente, se requiere que durante la duración del contrato que albergará la ejecución de dichos

servicios, se incorpore al alcance del proyecto una fase de asesoría tecnológica que permita conocer

la evolución del mercado y así poder establecer proyectos de renovación tecnológica acorde a las

necesidades del negocio.

Ineco establece como objetivo adicional al proyecto, la total alineación de los trabajos y resultados

finales a las diversas normativas en materia de información que aplican al organismo en cuestión.

El proyecto consiste en analizar las infraestructuras críticas que Ineco determine y establecer un plan

de mejora a nivel de seguridad y continuidad de negocio. Teniendo como base estos aspectos se han

considerado las siguientes fases para construir un plan de proyecto global que cubra todas las

actividades requeridas en cuanto a análisis, diseño, implementación y pruebas.

• FASE I: Infraestructura de Comunicaciones

• FASE II: Sistemas Operativos

• FASE III: Solución de Base de Datos Oracle

• FASE IV: Solución Middleware

• FASE V: Solución de Almacenamiento a nivel de Datacenter

• FASE VI: Asesoramiento en Evolución Tecnológica

• FASE VII: Apoyo Implantación Medidas Mejora –

3.1 DETALLE DEL ALCANCE

3.1.1 Tareas a desarrollar

A continuación, se detallan la tarea de las fases del proyecto para determinar el mínimo alcance

concreto de cada una de ella.


Fase Tarea

Fase I: Infraestructura

de comunicaciones

• Realización de los análisis previos necesarios anteriores a la

implementación de la solución.

• Realización de los estudios de impacto necesarios para definir el plan

de implementación.

• Fase de segmentación: Realización del proceso de segmentación de

redes y recableado de la arquitectura actual.

• Fase de ajuste: Realización del proceso de reconfiguración de los

elementos de redes y sistemas.

• Fase de monitorización: Realización del proceso de implementación

de la solución de monitorización

• Realización del proceso de bastionado y adecuación normativa.

Configuración de seguridad de la nueva arquitectura y adecuación al

Esquema Nacional de Seguridad (basada en requisitos STIC).

• Realización de las pruebas y test necesarios para certificar la plena

operatividad de la solución.

Fase II: Sistemas

operativos



• Realización los estudios de impacto necesarios para definir el plan de

implementación.

• Fase de orquestación: Realización del proceso de implementación de

la solución de orquestación.

• Fase de monitorización: Realización del proceso de implementación

de la solución de monitorización.







Fase III: Solución de

base de datos Oracle




implementación.

• Fase de convivencia: Realización del proceso de implementación de la

nueva arquitectura.






Fase IV: Solución

middleware




implementación.

• Fase de convivencia: Realización del proceso de implementación de la

nueva arquitectura.

• Fase de transformación: Realización del proceso de migración de la

anterior arquitectura.






FASE V: Solución de

Almacenamiento a

nivel de Datacenter




implementación.

• Revisión de la implementación y puesta en marcha de la solución

convenida.





operatividad de la solución, calidad y rendimiento.


FASE VI:

Asesoramiento en

Evolución

Tecnológica

• Asesoramiento tecnológico orientado a utilizar soluciones disruptivas

que permitan adelantarse tecnológicamente a la evolución de la

tecnología.

• Evaluación continua de las nuevas tecnologías disruptivas del

mercado para garantizar la correcta integración de las mismas en las

necesidades del servicio.

Fase VII: Apoyo

Implantación Medidas

Mejora

• Asesorar y guiar en la aplicación de las medidas de mejoras que se

recomiendan aplicar en cada una de las fases del proceso.

• Facilitar la interpretación de los cambios y ayudar a minimizar el

impacto de los cambios sobre la producción.

3.1.2 Entregables

Fase Entregables


de comunicaciones

• Informe de análisis de la situación actual.

• Informe de impacto de la solución propuesta.

• Plan de implementación de la solución.

• Plan de bastionado y configuración de seguridad de la solución.

• Análisis de seguridad y cumplimiento normativo. Informe de

bastionado conforme al cumplimiento ENS nivel alto para el grupo de

control.

• Manuales e información adicional.

Plantillas de máquinas virtuales.

Scripts de bastionado.

Diagramas lógicos.


Fase II: Sistemas

operativos



• Plan de implementación de la solución:




control.




Diagramas lógicos.

Manual de operación de la solución de orquestación.









control.




Diagramas lógicos.

Fase IV: Solución

middleware







control.




Diagramas lógicos.



Almacenamiento a

nivel de Datacenter




Diseño de la arquitectura.

Plan de despliegue.

Relación de elementos de funcionalidad y operatividad adicionales

requeridos.


Relación de elementos de seguridad adicionales requeridos.

• Análisis de seguridad y cumplimiento normativo.


Diagramas lógicos.

FASE VI:

Asesoramiento en

Evolución

Tecnológica

• No aplica la elaboración de entregables

Fase VII: Apoyo


Mejora

• No aplica la elaboración de entregables

3.2 ELABORACIÓN DE INFORMES

Además de los anteriores entregables, se deberá incluir:

• Informe de seguimiento, gestión y planificación de los trabajos. Este informe tendrá una

periodicidad mensual durante la prestación del servicio.

A la finalización del servicio, en el plazo de una semana, el licitador elaborará un informe final de

cierre de proyecto con al menos los apartados indicados a continuación.

• Objetivo del proyecto

• Lecciones aprendidas

• Riesgos y problemas potenciales

• Documentación del proyecto

• Acta de recepción y cierre del proyecto


4 PLAZO Y LUGAR DE EJECUCIÓN DE LOS TRABAJOS


4.1 LUGAR DE EJECUCIÓN DEL CONTRATO

El lugar de ejecución de los servicios será en Madrid, en un lugar designado por Ineco.

4.2 PLAZO DEL CONTRATO

El plazo de duración del contrato será de VEINTICUATRO (24) MESES.

Los trabajos deben iniciarse en el plazo máximo de DOS (2) semanas tras la firma del contrato.

Los plazos de ejecución del servicio propiamente dichos serán los siguientes:

La planificación de los trabajos se confirmará al inicio del proyecto para concretar fechas de inicio

y fin de cada fase. El proveedor será el responsable de actualizar la planificación y de reportarla

periódicamente.

A continuación, se especifican la duración de ejecución y una dedicación mínima para cada fase.

Fase Planificación y dedicación mínima


de comunicaciones

• El desarrollo de esta Fase se establece en un máximo de 6 meses de

ejecución, con una dedicación efectiva, por parte del equipo técnico

propuesto por el adjudicatario de, al menos, trescientas veinte (320)

jornadas de trabajo.

Fase II: Sistemas

operativos



propuesto por el adjudicatario de, al menos, trescientas ochenta y

cuatro (384) jornadas de trabajo.





propuesto por el adjudicatario de, al menos, ciento noventa y dos

(192) jornadas de trabajo.

Fase IV: Solución

middleware



propuesto por el adjudicatario de, al menos, doscientas cincuenta y

seis (256) jornadas de trabajo.


Almacenamiento a

nivel de Datacenter



propuesto por el adjudicatario de, al menos, doscientas venticinco y

seis (225) jornadas de trabajo.


FASE VI:

Asesoramiento en

Evolución

Tecnológica



propuesto por el adjudicatario de, al menos, cien (100) jornadas de

trabajo.

Fase VII: Apoyo


Mejora



propuesto por el adjudicatario de, al menos, doscientas veinticuatro

(224) jornadas de trabajo.

El día de inicio y fin de dicho plazo se establecerá en el contrato. Supondrá también la finalización

del contrato la finalización del presupuesto.

Prórrogas:

☒ No se prevé.

☐ Sí se prevé, por un plazo de

5 PRESUPUESTO MÁXIMO DE LICITACIÓN

5.1 PRESUPUESTO MÁXIMO DE LICITACIÓN.

Importe (€)

Importe de los trabajos, sin IVA: 528.001,53 €

IVA (21 %): 110.880,32 €

Presupuesto base de licitación: 638.881,85 €

5.2 DESGLOSE DEL PRESUPUESTO

1. Costes directos e indirectos

☐ No procede: (justificación)

☒ Si procede: Según el desglose establecido en el modelo de oferta económica y

siguiendo las siguientes normas:

- 81% de costes directos

- 13% gastos generales


- 6% beneficio industrial

2. Costes de los salarios

☒ No procede el desglose, puesto que el coste de los salarios no forma parte del

precio total del contrato. Se aplicará esta regla cuando el importe de los costes salariales

sea inferior al 50 % del presupuesto base de licitación o cuando no se aplique el mismo

convenio colectivo sectorial a más del 50 % del personal necesario para ejecutar el contrato.

☐ Procede este desglose

Costes salariales (IVA incluido): XXXX € (XX % del PBL)

a) Por género

☐ No consta que exista diferencia por razón de género, según el convenio

colectivo aplicable.

☐ Existe diferencia de costes salariales por razón de género, conforme al

siguiente detalle.

b) Por categoría profesional. Conforme al convenio colectivo aplicable los

costes salariales se desglosan de este modo: Conforme a la tabla de

remuneración mínima bruta anual prevista en el convenio colectivo

de…(Convenio del sector de empresas de ingeniería y oficinas de

estudios técnicos, limpieza, seguridad, etc…..)

3. Otros costes directos

☒ No procede: no se producen otros costes directos a los establecidos anteriormente.

☐ Si procede: (desglose)

4. IVA /CÁNON

☒ IVA

☐ CANON

6 VALOR ESTIMADO

6.1 IMPORTE DEL VALOR ESTIMADO DEL CONTRATO


Importe de los trabajos, sin IVA (€): 528.000,00 €

Importe máximo por modificaciones previstas, sin

IVA (€): 0,00 €

Importe máximo de las eventuales prórrogas, sin

IVA (€): 0,00 €

TOTAL VALOR ESTIMADO DEL

CONTRATO, sin IVA (€): 528.000,00 €

6.2 MÉTODO DE CÁLCULO DEL VALOR ESTIMADO

Para calcular el valor estimado se ha tenido en cuenta lo establecido en el apartado 7.1.3 de las

Instrucciones que regulan el procedimiento de contratación de Ineco.

7 DIVISIÓN EN LOTES

☒ No es posible; Justificación:

☐ La naturaleza o el objeto del contrato no lo permiten.

☐ Otra causa:

☐ Sí es posible.

☐ El contrato se ha dividido en XX lotes. Cada licitador podrá presentarse a un solo

lote o a varios lotes a la vez. (Especificar: si un mismo licitador puede presentarse

a uno o varios lotes; cuantos adjudicatarios por lote, etc…)

☐ Si es posible, pero no se divide. Justificación:……..

Si la división en lotes conlleva el riesgo de restringir injustificadamente la competencia. En

tal caso, el órgano de contratación solicitará informe previo a la autoridad de defensa de la

competencia para que se pronuncie sobre la apreciación de dicha circunstancia.

8 DOCUMENTOS QUE REVISTEN CARÁCTER CONTRACTUAL

Revisten carácter contractual, en orden de prelación, los siguientes documentos:

➢ El presente cuadro y el clausulado, en adelante, los pliegos.

➢ La oferta de servicios presentada por el contratista, en todo lo que no se oponga a lo

anterior.

➢ El documento de formalización (Contrato).


9 CAPACIDAD Y SOLVENCIA

9.1 REQUISITOS DE SOLVENCIA

El adjudicatario podrá optar entre acreditar su solvencia económica y financiera en los términos

establecidos en los apartados siguientes de este pliego, o mediante el correspondiente certificado de

clasificación. A tal efecto, los grupos de clasificación que se correspondan con el objeto del contrato

son los siguientes:

☐ Grupos de clasificación……….

☒ No hay grupos de clasificación disponibles para el objeto del contrato……….

9.1.1 Solvencia económica y financiera:

☐ El volumen anual de negocios……….

☐ El patrimonio neto de la empresa o bien ratio entre activos y pasivos, al cierre del último

ejercicio económico para el que esté vencida la obligación de aprobación de cuentas anuales…

☒ Informe de instituciones financieras donde se hayan mantenidos posiciones de activo o de

pasivo significativas en los tres últimos ejercicios que indique al menos los siguientes extremos:

cumplimiento de compromisos de reembolso de operaciones de crédito; evaluación global de la

entidad. Establecer umbral mínimo.

☒ Seguro de Responsabilidad Civil que cubra los posibles siniestros asociados a las actividades

a desarrollar, de importe igual o superior al precio estimado del contrato. Establecer umbral

mínimo.

☐ Acreditación de que el periodo medio de pago a proveedores no supera el límite que a estos

efectos se establezca por Orden del Ministerio de Hacienda y Función Pública.

9.1.2 Solvencia técnica o profesional:

☒ Relación de servicios realizados de igual o similar naturaleza que los que constituyen el objeto

del contrato en el curso de los últimos tres años, por un valor igual o superior al 75 % del

presupuesto de contratación de la presente licitación. De la anterior relación deberá presentar, al

menos, tres (3) certificados de buena ejecución firmados por el cliente que haya recibido las

prestaciones objeto del contrato, donde se especificará:

➢ El servicio que se prestó

➢ Donde se ejecutó el servicio

➢ Cuando se empezó y acabó

➢ Que importe, sin impuestos, tuvo el contrato.

➢ Y si todo se hizo bien, con normalidad.


Al menos uno de los tres certificados anteriores deberá ser de una referencia de trabajos para

Administraciones Públicas que acrediten la correcta implantación de guías STIC de la serie 800

en redes superiores a 5.000 puestos en las especialidades de Windows Server, Windows Cliente

y Sistemas Linux.

➢

☒ La siguiente habilitación: ISO 9001:2015 para las actividades de consultoría de sistemas de la

información, ciberseguridad e inspecciones técnicas, normativa, desarrollo y licenciamiento de

aplicaciones, pre-acreditación de sistemas clasificados y centro de operaciones y oficinas

técnicas de seguridad.

El licitador deberá aportar el documento acreditativo de que cuenta con dicha habilitación.

☐ Medidas de Gestión medioambiental que se podrán aplicar al ejecutar el contrato, como

mínimo la certificación frente a la norma UNE-EN ISO 14001.

☒ Declaración responsable del representante de la empresa indicando el personal técnico u

organismo técnico, estén o no integrados en la empresa, de los que esta disponga para la

ejecución del contrato acompañado de los documentos acreditativos correspondientes, de

acuerdo a lo detallado en el apartado 2.4.1 Medios humanos.

☒ Curricula Vitarum de los responsables de los trabajos, así como de los técnicos

encargados directamente de su ejecución con los requerimientos mínimos detallados a

continuación.

☐ El órgano de contratación o, la persona en quién éste delegue, podrá realizar controles sobre la

capacidad técnica del empresario y, si fuese necesario, sobre los medios de los que dispone el

licitador para realizar los trabajos.

☒ Declaración indicando equipo técnico mínimo del que dispondrá para la ejecución del contrato

de acuerdo a lo detallado a continuación.

9.1.2.1 Medios Humanos

El adjudicatario deberá aportar los medios humanos, técnicos y materiales necesarios para la

correcta ejecución del servicio.

Los medios específicos a proporcionar en cada trabajo se detallarán en las ofertas

correspondientes, y en general serán coherentes con lo establecido en el apartado 2 Alcance.

Las prestaciones de los servicios objeto del presente pliego se llevarán a cabo por personal con la

capacidad necesaria para ello. A tales efectos se requieren, para la ejecución de este contrato,

como mínimo, lo siguientes perfiles:


• Perfil 1, Un (1) Coordinador Responsable del Servicio:

o Tareas a realizar:

▪ Interlocutor técnico de todos los aspectos relacionados con el desarrollo del

proyecto con el personal designado por Ineco o quien Ineco determine.

▪ Planificación de las tareas de trabajo.

▪ Coordinará y supervisará las actividades del equipo del adjudicatario

asignado a la actuación.

▪ Documentación del proyecto, control y entregables.

▪ Presentación de resultados.

▪ Coordinar junto al equipo designado por Ineco del despliegue de los

mecanismos de protección.

▪ Gestión de Incidencias y gestión de riesgos.

o Formación Académica: Titulación Universitaria de Ingeniero Técnico, Superior o

Grado en Informática, Telecomunicaciones, u otra equivalente relacionada con el

sector TIC o experiencia demostrable al menos 10 años en el sector de seguridad de

las TIC.

o Experiencia profesional:

▪ Experiencia mínima de al menos 10 años en materias relacionadas con

seguridad de la información.

▪ Experiencia profesional demostrable al menos de 10 años coordinando

equipos de trabajo.

o Habilitación Personal de Seguridad (HPS) para el manejo de información clasificada

en grado Confidencial (ante el posible acceso a servicios que manejen información

clasificada). El HPS debe estar asociado a la empresa adjudicataria.

o Certificaciones valorables:

▪ Certificaciones, galardones o titulaciones en el ámbito de las tecnologías

incluidas en el alcance del proyecto relativas a sistemas, seguridad y

servicios.

• Perfil 2, Un (1) Analista de seguridad especialista en normativa:


▪ Realización de los análisis de seguridad.

▪ Evaluación de la seguridad implementada en los sistemas.

▪ Proponer recomendaciones de mejora en las medidas de seguridad

actualmente implementadas, así como proponer otras que considere.




sector TIC.


▪ Reconocimiento como especialista en tecnologías recogidas en el alcance

durante al menos 5 años.

▪ Experiencia mínima de al menos 3 años en materias relacionadas con

seguridad de la información.


▪ Habilitación Personal de Seguridad (HPS) para el manejo de información

clasificada, asociado a la empresa adjudicataria.

▪ Certificaciones, galardones o titulaciones del ámbito del alcance del proyecto

relativas a sistemas, seguridad y servicios.

• Perfil 3, Dos (2) Auditores de infraestructura de seguridad especialista en Comunicaciones:


▪ Llevar a cabo análisis de seguridad en modalidad de caja blanca sobre la

infraestructura de red.

▪ Identificar riesgos de seguridad

▪ Obtener potenciales IoC de las infraestructuras existentes.

▪ Identificar activos y agruparlo en función a servicios y/o arquitecturas.

▪ Catalogar la criticidad de activos identificados.





sector de las TIC.


▪ Experiencia mínima de 3 años en materias relacionadas con seguridad de la

información.

▪ Reconocimiento como especialista en tecnologías de comunicaciones

durante al menos 5 años.




▪ Certificaciones, galardones o titulaciones del ámbito de las comunicaciones

relativas a sistemas, seguridad y servicios.


• Perfil 4, Un (1) Auditor de infraestructura de seguridad especialista en tecnología Microsoft:


▪ Llevar a cabo análisis de seguridad en modalidad de caja blanca sobre los

sistemas basados en tecnología Microsoft.









sector de las TIC.



información.

▪ Reconocimiento como especialista en tecnologías de Microsoft durante al

menos 5 años.




▪ Certificaciones, galardones o titulaciones del ámbito de Microsoft y relativas

a sistemas, seguridad y servicios.

• Perfil 5, Un (1) Auditor de infraestructura de seguridad especialista en tecnología Linux/Unix:



sistemas basados en tecnología Linux/Unix.









sector de las TIC.




información.

▪ Reconocimiento como especialista en tecnologías de Linux/Unix durante al

menos 5 años.




▪ Certificaciones, galardones o titulaciones del ámbito de Linux/Unix y relativas

a sistemas, seguridad y servicios.

• Perfil 6, Un (1) Auditor de infraestructura de seguridad especialista en tecnologías de Bases

de Datos:



sistemas basados en tecnologías de Bases de Datos.









sector de las TIC.



información.

▪ Reconocimiento como especialista en tecnologías de bases de datos

empresariales durante al menos 5 años.




▪ Certificaciones, galardones o titulaciones del ámbito de las bases de datos

empresariales relativas a sistemas, seguridad y servicios.

• Perfil 7, Un (1) Auditor de infraestructura/Analista especialista en respuesta frente a

incidentes:



▪ Realizará el análisis de seguridad de los puestos de trabajo.

▪ Realizará el análisis de seguridad de servidores y servicios.

▪ Efectuará procesos de identificación de amenazas.

▪ Efectuará análisis de sistemas, con capacidad de búsqueda de potenciales

ataques.

▪ Definirá las recomendaciones para la aplicación de seguridad sobre los

sistemas de la información de carácter reactivo.



sector de las TIC.



información.




▪ Certificaciones, galardones o titulaciones del ámbito de las tecnologías


servicios.

• Perfil 8, Un (1) Auditor técnico en vulnerabilidades:


▪ Realizar el despliegue y mantenimiento de la herramienta de gestión de

vulnerabilidades.

▪ Apoyo al equipo de trabajo en el análisis y gestión de vulnerabilidades.



sector de las TIC.



información.





▪ Certificaciones, galardones o titulaciones del ámbito de las tecnologías


servicios.

Por tanto, el licitador deberá presentar al menos nueve (9) perfiles, presentando una persona distinta

por cada uno de ellos, es decir, una misma persona no podrá ejercer la función de más de un (1)

perfil. Será necesario aportar el currículum vitae y certificaciones disponibles de cada uno de los

perfiles requeridos para la prestación de los servicios descritos en las condiciones particulares en

el momento de presentar oferta.

☐ La plantilla media anual de la empresa durante los tres (3) últimos años no será inferior a ---.

Para acreditar este extremo deberá presentarse una declaración jurada del representante legal

de la empresa.

9.1.3 Medios materiales

☒ Declaración responsable firmada por el representante legal de la empresa de la maquinaria

y material del que dispondrá para ejecutar el contrato cumplirá los mínimos establecidos a

continuación. Se exigirá a los licitadores declaración indicando la maquinaria y material del

que se dispondrá para la ejecución de los trabajos, a la que se adjuntará la documentación

acreditativa de disponer de los mismos al tiempo de la presentación de las ofertas cuando le

sea requerido por los servicios dependientes del órgano de contratación.

El proveedor de este servicio utilizará sus propias herramientas para la realización de todos los

trabajos solicitados en este pliego y los ya disponibles.

Adicionalmente el adjudicatario deberá proporcionar dos herramientas:

Obtención de información: una solución con el fin de obtener información de puestos de trabajo y

servidores, con indicadores de compromiso y estado de seguridad de los sistemas de información

para determinados sistemas.

Gestión de seguridad y vulnerabilidades: Con objeto de hacer un correcto seguimiento al proceso

de análisis, los licitadores incluirán en su propuesta técnica el despliegue de una solución, en forma

de herramienta software, de gestión de seguridad y vulnerabilidades. La solución se personalizará

con objeto de:

• Identificar y agrupar activos por tipología y/o divisiones orgánicas o funcionales.

• Presentar las diversas vistas y cuadros de mandos que permitan determinar la agrupación

de los activos y la seguridad de estos, atendiendo a criterios de negocio.

• Preparar y programar los indicadores clave de rendimiento de seguridad vinculados a la

inspección.


• Incluir los indicadores de compromiso de la infraestructura, determinando vectores de riesgo

extrapolable entre sistemas de la información.

• Permitir la conectividad con herramientas de gestión de vulnerabilidades ya instaladas para

el intercambio de información para analizar las características de seguridad técnicas

definidas a través del Real Decreto 3/2010 por el que se regula el Esquema Nacional de

Seguridad en el ámbito de la Administración Electrónica, para análisis de cumplimiento de

la norma.

La herramienta será empleada por el equipo de auditoría para la carga de datos y por las personas

que se determinen por Ineco para el seguimiento del proyecto, la seguridad de los activos y los

vectores de riesgos identificados.

La herramienta de análisis de resultados de auditoría se ejecutará en un servidor proporcionado por

quien determine Ineco, no requiriendo otro despliegue adicional. El coste de cualquier licencia

necesaria para esta instalación, y las herramientas auxiliares que se necesiten correrán a cargo del

adjudicatario, quedando todas al finalizar el proyecto en propiedad de quien Ineco determine. El

mantenimiento de la solución durante todo el proyecto será llevado a cabo por el adjudicatario.

La mencionada herramienta de gestión de seguridad y vulnerabilidades cumplirá los siguientes

requisitos:

• Contará con una interfaz web accesible desde cualquier navegador.

• Se podrán definir diferentes perfiles de acceso a la misma, en base a los cuales se podrá

restringir el acceso a diferentes secciones y tipos de informes.

• Contará con un repositorio de activos que facilitará:

o Identificación de activos de la organización.

o Asigne un nivel de criticidad para cada uno.

o Sea capaz de identificar las propiedades de cada activo, como son hardware,

software y versiones de cada uno de ellos.

o Sea capaz de agrupar los activos por unidades organizativas.

o Asigne un responsable a cada activo.

o Pueda realizar búsquedas dentro del inventario de activos por diferentes criterios.

o Sea capaz de incorporar de modo automático nuevos activos que se den de alta en

la organización

o Tenga la capacidad de exportar la base de datos de activos en formatos de texto tipo

“.csv” o similar.

• Contará con un repositorio único de vulnerabilidades que afecten a la organización, tanto las

detectadas como los resultados de los diferentes test de seguridad que se realicen sobre los


activos como las publicadas que afecten a activos existentes en la organización. Este

repositorio permitirá:

o Categorizar las vulnerabilidades en función de criterios de clasificación estándar,

como son CVSS2 y CVSS3.

o Importar de manera automática y mediante una interfaz API los resultados de

diferentes herramientas de escaneos de vulnerabilidades.

o Realizar búsquedas de activos afectados por una vulnerabilidad concreta.

• Permitirá la exportación en formato “.csv” o similar de la base de datos de activos (incluyendo

versionado) y sus vulnerabilidades para que los equipos de trabajo que se formen puedan

tratar dicha información de manera más ágil o distribuida.

• Permitirá la creación de cuadros de mando de seguimiento de las vulnerabilidades, de la

planificación de los trabajos y ofrecerá un resumen del nivel de exposición de la

Organización frente a ataques, que permita:

o Una gestión del riesgo que posibilite establecer diferentes plazos de resolución en

función de la criticidad de los activos y de las vulnerabilidades asociadas.

o Modificar manualmente el nivel de riesgo de un activo.

o Elaborar gráficos configurables y tablero de instrumentos.

o Mostrar una evolución de la seguridad a lo largo del tiempo.

o Proporcionar una visión general de seguridad rápida y general actualizada.

9.2 DOCUMENTACIÓN Y CLASIFICACIÓN

☒ Se podrá presentar el formulario del DEUC.

☒ Se podrá presentar la clasificación en el ROLECE.

☐ Para la contratación internacional, será necesario presentar la documentación

administrativa, así como la exigida para demostrar la solvencia técnica y económica y

financiera, establecida en el presente documento.

En caso de haber presentado declaración responsable (DEUC) la documentación administrativa, así

como la documentación solicitada para acreditar la solvencia, tanto técnica como económica y

financiera, deberá aportarse, una vez notificada la adjudicación del contrato, en un plazo máximo de

seis (6) días laborables.

9.3 INTEGRACIÓN DE LA SOLVENCIA

Si el licitador se basa en la solvencia y medios de otras entidades para acreditar su solvencia,

se establece la responsabilidad solidaria de todos ellos:


☐ Sí.

☒ No.

9.4 HABILITACIÓN EMPRESARIAL EXIGIBLE PARA REALIZAR LA PRESTACIÓN

☒ Ninguna en especial.

10 GARANTÍAS Y PLAZOS

Se constituirán a disposición de: Ineco con NIF: A-28220168

10.1 GARANTÍA PROVISIONAL

☒ No se exige.

☐ Sí se exige y se deberá presentar junto con la oferta técnica. Importe:

xx%) del presupuesto base de licitación, IVA excluido. Justificación: …

10.2 GARANTÍA DEFINITIVA

☐ No se exige.

☒ Sí se exige. Se deberá presentar a la firma del contrato. Importe 1% del

precio final ofertado, IVA excluido

11 CRITERIOS DE ADJUDICACIÓN

☒ El contrato objeto de la presente licitación es de los comprendidos en el artículo 145.4

de la LCSP, esto es contrato que tienen por objeto prestaciones de carácter intelectual

11.1 PREPONDERANCIA DE CRITERIOS

1. Proporción entre criterios que dependen de un juicio de valor y criterios evaluables mediante

fórmulas:

- Ponderación de los criterios que dependen de un juicio de valor (POT) (< 50 %): 45

%

- Ponderación de los criterios evaluables mediante fórmulas (POF) (> 50 %): 55 %

2. Comprobación de la proporción entre criterios relacionados con la calidad y criterios

relacionados con el precio:

Criterios cualitativos (son todos aquellos criterios distintos de la proposición económica del

punto

11.2 y 11.3): 55 % (≥ 51% en los casos del artículo 145.4 de la LCSP)

Criterios relacionados con el precio (proposición económica del punto 11.3): 45 %


11.2 PUNTUACION DE LOS CRITERIOS CUALITATIVOS QUE DEPENDEN DE UN JUICIO DE

VALOR

☒ Sí.

☐ No.

En caso afirmativo: Puntuación máxima obtenible: 45 puntos.

Escala de puntuación aplicable:

Criterios que dependen de un juicio de

valor

(Puntuación máxima: CT)

Puntuación

1. Plan de ejecución 25

2. Plan de calidad 5

3. Plan de contingencia 5

4. Plan de seguridad 5

5. Plan de comunicación 5

Se presentará una Memoria Técnica de los trabajos a realizar, en la que, de forma clara y

concisa, se describirá la metodología a seguir en el desarrollo de los trabajos junto con los

planes y prescripciones establecidas en los criterios de valoración técnica:

• Plan de ejecución aportado en el que se especifique la planificación de las distintas tareas

de acuerdo con el procedimiento que considere más adecuado.

En relación a este punto se valorarán los siguientes aspectos:

o Detalle de los trabajos a realizar

o Planificación de los trabajos

o Mejoras al alcance de los trabajos solicitados

o Mejora en los tiempos de ejecución y su justificación técnica

• Plan de calidad, seguimiento y control aportado.

Se valorará el plan de calidad presentado, así como el detalle de las tareas a realizar y de

los mecanismos aportados para poder verificar la calidad de los trabajos realizados.

• Plan de contingencia.

Se valorarán los tiempos de respuesta de las medidas alternativas aportadas por el

licitador y el detalle de las acciones a realizar ante las contingencias que pudieran surgir

en la realización de los trabajos.


• Plan de seguridad completado con los procedimientos a seguir en caso de manejo de

información sensible en cualquiera de los sistemas incluidos en el alcance, de los equipos

y sus datos.

Se valorarán las medidas de seguridad, control y seguimiento de los activos ante el

traslado del equipamiento entre las diferentes localidades.

• Plan de comunicación.

Se valorará el detalle de los informes y comunicados que deberá presentar el licitador tras

la realización de cada uno de los trabajos.

La propuesta de criterios cualitativos se presentará de manera que no podrá mostrarse en ningún

apartado ningún logotipo ni imagen que permita la identificación de la empresa ofertante.

Por tanto, todas las entregas de los siguientes documentos y/o elementos que contengan

cualquier imagen/logotipo que permita identificar a la empresa ofertante no obtendrán la

puntuación establecida en este apartado.

La entrega de la documentación anónima vendrá contenida en el sobre 2, tal y como se estable

en el apartado correspondiente del Clausulado.

11.3 PUNTUACIÓN DE LOS CRITERIOS EVALUABLES MEDIANTE FÓRMULAS

Puntuación máxima obtenible: 55 puntos.

Criterios evaluables mediante fórmulas:

Puntuación máxima

1. Proposición económica: precio (PEmax) 45

2. Criterios sociales 5

2.1. Asignación de perfiles para el servicio personas con

discapacidad reconocida igual o superior al 33%.

2,5

2.2. Más del 50% del equipo con una discapacidad

reconocida igual o superior al 33%.

2,5

3. Criterios medioambientales 5

3.1 Certificado de un consumo de energía renovable

equivalente, al menos, al 25% del consumo eléctrico

total de la empresa.

5


12 REVISIÓN DE PRECIOS

☒ No procede revisión de precios.

☐ Sí procede revisión de precios, en las contrataciones relacionadas con proyectos

internacionales. Se atenderá a la legislación del país en que haya de ejecutarse el contrato

y a sus circunstancias socioeconómicas.

13 SEGUROS

1. Seguro de Responsabilidad Civil General /Explotación

Se exige:

☒ Sí

☐ No

En caso afirmativo:

- Suma asegurada: ☒ 700.000,00€ por siniestro y anualidad de seguro, con un sublímite

por víctima no inferior a 300.000,00€.

- Descripción del seguro: la licitadora deberá tener suscrita y en vigor, durante todo

el periodo de duración contractual, una póliza de Responsabilidad Civil General /

Explotación en cobertura de los daños personales, materiales y perjuicios

consecutivos causados involuntariamente a terceros con motivo de la explotación en

el desarrollo de su actividad.

La licitadora deberá incluir a Ineco como asegurado adicional, sin perder la condición

de tercero.

La póliza tendrá para Ineco consideración de póliza primaria.

2. Seguro de Responsabilidad Civil Patronal

Se exige:

☒ Sí

☐ No

En caso afirmativo:

- Suma asegurada: ☒300.000,00€ por siniestro y anualidad de seguro, con un sublímite


Descripción del seguro: la licitadora deberá tener suscrita y en vigor, durante todo el periodo

de duración contractual, una póliza de Responsabilidad Civil Patronal en donde se dé

cobertura a las consecuencias pecuniarias de la Responsabilidad Civil que pudiera derivarse


para el asegurado, de acuerdo con la legislación vigente, por daños personales sufridos por

sus asalariados como consecuencia de accidentes de trabajo en el desarrollo de su actividad

ordinaria.

3. Seguro de Responsabilidad Civil Profesional

Se exige:

☒ Sí

☐ No

En caso afirmativo:

- Suma asegurada: ☒ 700.000,00€ por siniestro y anualidad de seguro, con un sublímite


- Descripción del seguro: la licitadora deberá tener suscrita y en vigor una póliza de

Responsabilidad Civil Profesional en cobertura de los daños personales, materiales, perjuicios

consecutivos, así como perjuicios patrimoniales puros derivados de errores profesionales en

que pueda incurrir la licitadora en el ejercicio de su actividad profesional.

▪ La licitadora incluirá a Ineco como asegurado adicional sin perder la condición de

tercero, la póliza tendrá para Ineco consideración de póliza primaria.

▪ Una vez finalizado el contrato, la póliza deberá cubrir los períodos de responsabilidad

posteriores a la ejecución de los trabajos, según los períodos de prescripción de

responsabilidad profesional señalados por las leyes que fueren de aplicación.

Respecto a los seguros requeridos en los epígrafes anteriores, en caso de que la licitadora presente

límites indemnizatorios, alcances o coberturas inferiores a los exigidos en este pliego, para dar

prueba de cumplimiento, es necesario presentar compromiso de contratación por parte de la

empresa licitadora y/o certificado de la compañía de seguros o corredor de seguros en el que se

indique que se emitiría en los términos requeridos en caso de resultar adjudicatarios y siempre con

carácter previo al inicio de los trabajos adjudicados.

El cumplimiento de los seguros requeridos anteriormente no limitará las responsabilidades de la

licitadora, directivos, empleados, agentes y subcontratistas, debiendo responder totalmente de los

daños y perjuicios causados a Ineco o a terceros.

Ineco podrá requerir, después de la adjudicación y antes del inicio de los servicios, un certificado de

seguro para comprobar su validez.

14 CONFIDENCIALIDAD

Se exige:


☒ Si. Clausula 19 PCAP

☐ Específica. Acuerdo de confidencialidad

Plazo: ☐ x años / ☐ otro plazo: años.

15 PENALIDADES

Según lo establecido en la Cláusula 24 PCAP

15.1 POR INCUMPLIMIENTO DE LOS TRABAJOS OBJETO DEL CONTRATO

☒ Sí.

☐ No

Se aplicará una penalidad correspondiente al 10 % del importe total del servicio.

Las penalidades por incumplimiento de los trabajos, en caso de superar el diez (10 %) por ciento

del importe del contrato, habilitarán a Ineco para proceder a la resolución anticipada del contrato.

15.2 POR EJECUCIÓN DEFECTUOSA

☒ Sí.

☐ No

Se aplicará una penalidad del 5% del importe total de trabajos. Las penalidades por incumplimiento

de los trabajos, en caso de superar el cinco (10 %) por ciento del importe del contrato, habilitará a

Ineco para proceder a la resolución anticipada del contrato

15.3 POR INCLUMPLIR CRITERIOS DE ADJUDICACIÓN

☒ Sí.

☐ No

En caso afirmativo.

☒ Cualquiera de los criterios de adjudicación.

Se aplicará una penalidad del 5% del importe total de los trabajos.

Las penalidades por incumplir, en caso de superar el diez (10%) por ciento del importe del contrato,

habilitará a Ineco para proceder a la resolución anticipada del contrato.

15.4 MORA EN LA ENTREGA DE LOS TRABAJOS

☒ Sí. En caso afirmativo 10 %


☐ No

En caso afirmativo.

☒ Por incumplimiento de plazo.

Se aplicará una penalidad del 10% del importe total del servicio cuando se produzca, por causas

imputables a la empresa adjudicataria, un retraso en la entrega del servicio, desde el primer día de

incumplimiento.

Las penalidades por incumplimiento de los trabajos, en caso de superar el diez (10%) por ciento

del importe del contrato, habilitará a Ineco para proceder a la resolución anticipada del contrato

15.5 POR INCLUMPLIR LA NORMATIVA EN MATERIA DE PROTECCIÓN DE DATOS DE

CARÁCTER PERSONAL

☐ No

☒ Sí. Se aplicará lo establecido en la Cláusula 24 del Clausulado

15.6 OTRAS PENALIDADES

No se contemplan otras penalidades para este procedimiento.

- Por incumplir las condiciones para la subcontratación:

☐ Sí. En caso afirmativo …..%

☒ No

- Por incumplir la obligación de proporcionar al órgano de contratación la información sobre

las condiciones de subrogación en los contratos:

☐ Sí (solo cuando exista ese deber de subrogación, de acuerdo con el apartado 30 del

cuadro de características)

☒ No

- Por incumplir las obligaciones de información y publicidad establecidas en el anexo XII,

sección 2.2 del Reglamento (UE) 1303/2013 del Parlamento europeo y del Consejo de 17

de diciembre de 2013; cuando el contrato se financie con fondos europeos:

☐ Sí. En caso afirmativo …..%

☒ No


16 MODIFICACIÓN DEL CONTRATO

17 SUBCONTRATACIÓN

☐ Sí. Se deberá aportar nombre del subcontratista y el porcentaje de subcontratación, así

como la parte del contrato que se subcontrata. La empresa subcontratista deberá acreditar la

misma capacidad del licitador, si no se presenta con éste para integrar solvencia. Para acreditar

estos extremos deberá presentarse una declaración jurada del representante legal de la

empresa.

☒ No

18 OBLIGACIONES LABORALES SOBRE SUBROGACIÓN EN CONTRATOS DE TRABAJO

☒ No procede, al no estar impuesta en una norma legal, un convenio colectivo o un acuerdo de

negociación colectiva de eficacia general.

☐ Sí procede. Identificación de la norma legal, convenio colectivo o acuerdo de negociación

colectiva de eficacia general.

19 EJECUCION DE LOS TRABAJOS EN LAS DEPENDENCIAS DE INECO

☒ No procede.

☐ Sí procede.:

Se prevén:

☐ Sí.

En caso afirmativo: Supuestos en que podrá modificarse el contrato (la suma de las

modificaciones por los apartados siguientes, aislada o conjuntamente, por una o por varias de

las causas previstas, en ningún caso podrán superar el 20% del precio inicial del contrato):

☒ No

Documents

EXPEDIENTE 20200102-00002 · 2020. 6. 18. · • Plan de bastionado y configuración de seguridad de la solución. • Análisis de seguridad y cumplimiento normativo. Informe de