LOTE 1: Centro de Operaciones de Seguridad · 2019-04-04 · CRITERIOS, procede realizar la valoración del LOTE1: CENTRO DE OPERACIONES DE SEGURIDAD, correspondiente a los criterios

Número de Expediente: ECON/000079/2018

DISEÑO, IMPLEMENTACIÓN Y SUPERVISIÓN DE

SERVICIOS DE CIBERSEGURIDAD DE LA COMUNIDAD DE

MADRID (2 LOTES)

LOTE 1:

Centro de Operaciones de Seguridad

Informe técnico de valoración de criterios cualitativos cuya

cuantificación depende de un juicio de valor

SUBDIRECCIÓN GENERAL DE INFRAESTRUCTURAS Y

OPERACIONES

Número Expediente: ECON/000079/2018 1

Contenido

1 Introducción ................................................................................................................................ 5

2 Criterios cualitativos cuya cuantificación depende de un juicio de valor .............................. 6

3 Valoración de la propuesta técnica: Hasta 45 puntos ............................................................ 10

3.1 CRITERIO NÚMERO 4 – SOLUCIÓN TÉCNICA PROPUESTA PARA LOS SERVICIOS REQUERIDOS. Hasta 35

puntos. ................................................................................................................................................................. 10

3.1.1 CRITERIO 4.1 - Servicio automatizado de análisis de vulnerabilidades. Hasta 2 puntos. ............... 10

3.1.1.1 ATOS SPAIN S.A. ....................................................................................................................................... 10

3.1.1.2 BT ESPAÑA, COMPAÑÍA DE SERVICIOS GLOBALES DE TELECOMUNICACIONES, S.A.U. ................. 11

3.1.1.3 DELOITTE ADVISORY S.L. ........................................................................................................................ 11

3.1.1.4 GRUPO S21 SEC GESTIÓN S.A. ............................................................................................................... 12

3.1.1.5 ICA INFORMÁTICA Y COMUNICACIONES AVANZADAS ......................................................................... 13

3.1.1.6 INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN S.L.U. ...................................................... 13

3.1.1.7 OESÍA NETWORKS S.L. ............................................................................................................................ 14

3.1.1.8 SISTEMAS INFORMÁTICOS ABIERTOS S.A. ........................................................................................... 14

3.1.1.9 TELEFÓNICA SOLUCIONES DE INFORMÁTICA Y COMUNICACIONES DE ESPAÑA ............................ 15

3.1.1.10 T-SYSTEMS ITC IBERICA S.A.U. .............................................................................................................. 16

3.1.2 CRITERIO 4.2 - Servicio manual de análisis de vulnerabilidades. Hasta 2 puntos. ......................... 16

3.1.2.1 ATOS SPAIN S.A. ....................................................................................................................................... 16






3.1.2.7 OESÍA NETWORKS S.L. ............................................................................................................................ 21

3.1.2.8 SISTEMAS INFORMÁTICOS ABIERTOS, S.A. .......................................................................................... 22



3.1.3 CRITERIO 4.3 - Servicio de monitorización de eventos de seguridad. Hasta 10 puntos. ................ 23

3.1.3.1 ATOS SPAIN S.A. ....................................................................................................................................... 23






3.1.3.7 OESIA NETWORKS S.L. ............................................................................................................................ 29





3.1.4 CRITERIO 4.4 - Servicio de identificación de amenazas y vigilancia digital. Hasta 2 puntos. ........ 33

3.1.4.1 ATOS SPAIN S.A. ....................................................................................................................................... 33










3.1.5 CRITERIO 4.5 - Servicio de detección de incidentes, nivel 1 y nivel 2. Hasta 7 puntos. .................. 39

3.1.5.1 ATOS SPAIN S.A. ....................................................................................................................................... 39










3.1.6 CRITERIO 4.6 - Servicio especializado de respuesta a incidentes. Hasta 2 puntos. ........................ 46

3.1.6.1 ATOS SPAIN S.A. ....................................................................................................................................... 46










3.1.7 CRITERIO 4.7 - Servicio de soporte a la gestión de incidentes. Hasta 2 puntos. ............................. 53

3.1.7.1 ATOS SPAIN S.A. ....................................................................................................................................... 53











3.1.8 CRITERIO 4.8 - Servicio de diseño y operación de procesos y tecnologías del SOC. Hasta 4 puntos.

58

3.1.8.1 ATOS SPAIN S.A. ....................................................................................................................................... 58










3.1.9 CRITERIO 4.9 – Servicio de capacitación y formación en ciberseguridad. Hasta 2 puntos. ........... 64

3.1.9.1 ATOS SPAIN S.A. ....................................................................................................................................... 64










3.1.10 CRITERIO 4.10 - Servicio de soporte a la gestión y operación del SOC. Hasta 2 puntos. ............... 69

3.1.10.1 ATOS SPAIN S.A. ....................................................................................................................................... 69









3.1.10.10 T-SYSTEMS ITC IBERICA S.A.U. .......................................................................................................... 74

3.2 CRITERIO NÚMERO 5 – PLANES OPERATIVOS. Hasta 10 puntos. ................................................................. 74

3.2.1 CRITERIO 5.1 – Plan de implantación de los servicios. Hasta 5 puntos ........................................... 74

3.2.1.1 ATOS SPAIN S.A. ....................................................................................................................................... 74











3.2.2 CRITERIO 5.2 – Plan de operación y devolución de los servicios. Hasta 3 puntos ......................... 79

3.2.2.1 ATOS SPAIN S.A. ....................................................................................................................................... 79










3.2.3 CRITERIO 5.3 – Plan de calidad. Hasta 2 puntos ................................................................................ 85

3.2.3.1 ATOS SPAIN S.A. ....................................................................................................................................... 85










4 Resumen de la valoración de los criterios cualitativos. Hasta 45 puntos. ........................... 91


1 Introducción

Efectuada el lunes 11 de marzo de 2019 la apertura de proposiciones técnicas de los ofertantes

admitidos a licitación del expediente número ECON/000079/2018 “DISEÑO, IMPLEMENTACIÓN Y

SUPERVISIÓN DE SERVICIOS DE CIBERSEGURIDAD DE LA COMUNIDAD DE MADRID (2

LOTES)”, A ADJUDICAR POR PROCEDIMIENTO ABIERTO MEDIANTE PLURALIDAD DE

CRITERIOS, procede realizar la valoración del LOTE1: CENTRO DE OPERACIONES DE

SEGURIDAD, correspondiente a los criterios cualitativos cuya cuantificación depende de un juicio de

valor, según lo establecido en el Pliego de Cláusulas Administrativas Particulares, cláusula 1, punto 8.

Criterios objetivos de adjudicación del contrato.

Las empresas que se han presentado a licitación son:

Nº EMPRESA CIF

1 ATOS SPAIN S.A. A28240752

2 BT ESPAÑA, COMPAÑÍA DE SERVICIOS GLOBALES DE

TELECOMUNICACIONES, S.A.U. A80448194

3 DELOITTE ADVISORY S.L. B86466448

4 GRUPO S21 SEC GESTIÓN S.A. A20686150

5 ICA INFORMÁTICA Y COMUNICACIONES AVANZADAS, S.L. B28893139

6 INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN S.L.U. B88018098

7 OESÍA NETWORKS S.L. B95087482

8 SISTEMAS INFORMÁTICOS ABIERTOS S.A. A82733262

9 TELEFÓNICA SOLUCIONES DE INFORMÁTICA Y

COMUNICACIONES DE ESPAÑA A78053147

10 T-SYSTEMS ITC IBERICA S.A.U. A81608077

A continuación, se desarrolla la valoración de las propuestas técnicas presentadas.


2 Criterios cualitativos cuya cuantificación depende de un juicio de valor

Tal y como se indica en el punto 8, de la cláusula 1 del Pliego de Cláusulas Administrativas Particulares

para la valoración de los criterios cualitativos cuya cuantificación depende de un juicio de valor, criterios

número 4 y 5 recogidos, se tendrá en cuenta lo siguiente:

CRITERIO NÚMERO

DESCRIPCIÓN DEL CRITERIO PONDERACIÓN

4 SOLUCIÓN TÉCNICA PROPUESTA PARA LOS SERVICIOS REQUERIDOS

Hasta 35

puntos

4.1

Servicio automatizado de análisis de vulnerabilidades.

Se valorará la calidad, completitud e idoneidad de la solución propuesta para el servicio en base a las capacidades de análisis de la solución técnica propuesta, la idoneidad y completitud de las herramientas puestas a disposición y la propuesta de despliegue e integración de éstas en las infraestructuras de Madrid Digital, los procedimientos de ejecución del servicio y la metodología propuesta para el seguimiento del ciclo de vida de cada vulnerabilidad.

Hasta 2 puntos

4.2

Servicio manual de análisis de vulnerabilidades

Se valorará la completitud e idoneidad de la solución propuesta para el servicio en base a la metodología de evaluación de seguridad propuesta para la ejecución de las actividades de pentesting, la relación de vulnerabilidades por áreas de seguridad a revisar, los criterios de clasificación y priorización por nivel de severidad, y la calidad de la propuesta de procesos y actividades que se desarrollarán en cada análisis.

Hasta 2 puntos

4.3

Servicio de monitorización de eventos de seguridad

Se valorará la completitud e idoneidad de la plataforma propuesta para la monitorización de eventos de seguridad, la arquitectura de la misma, las medidas de disponibilidad y continuidad planteadas, las capacidades de integración y adaptación con los sistemas de Madrid Digital, sus posibilidades de escalado, la disponibilidad de librerías de casos de uso de monitorización ya desarrollados, y la calidad de la propuesta de operación y mantenimiento de la plataforma, administración remota y monitorización de los diferentes componentes.

Hasta 10 puntos

4.4

Servicio de identificación de amenazas y vigilancia digital

Se valorará la calidad, completitud e idoneidad del servicio en base a la relación y tipología de fuentes externas de inteligencia y notificación de amenazas propuestas para el servicio, su alcance global, tipos de indicadores obtenidos (direcciones IP, URL’s, reglas de detección, etc.) y frecuencia de actualización, las capacidades de vigilancia digital ofrecidas (seguimiento de marca, dominios, direccionamiento IP, identidades digitales, activos, etc.) y la propuesta de procesos y metodología de gestión completa del servicio.

Hasta 2 puntos


CRITERIO NÚMERO


4.5

Servicio de detección de incidentes, nivel 1 y nivel 2

Se valorará la calidad, completitud e idoneidad del servicio propuesto en base a la organización de los recursos, los procedimientos propuestos para la monitorización remota de los eventos de seguridad, y los procedimientos de identificación, tratamiento y escalado de incidentes y amenazas de seguridad reportadas por cada uno de los servicios.

Adicionalmente, se valorará que la propuesta incluya tecnologías de aprendizaje automático (“machine learning”), análisis de comportamiento y procesamiento de datos que permitan automatizar las tareas de nivel 1 y mejorar el análisis de nivel 2

Hasta 7 puntos

4.6

Servicio especializado de respuesta a incidentes

Se valorará la completitud, calidad e idoneidad de la metodología y procedimientos propuestos para la prestación del servicio de respuesta a incidentes, la organización de los recursos del proveedor en base a niveles de criticidad y capacidades técnicas requeridas de los equipos, y procedimientos de escalado, definición de medidas de contención, y seguimiento de los incidentes.

Hasta 2 puntos

4.7

Servicio de soporte a la gestión de incidentes

Se valorará la completitud, calidad e idoneidad de la metodología, procedimientos, capacidades y herramientas propuestas para la gestión global de los incidentes, el despliegue de medidas de contención, la aplicación de planes de recuperación, o el apoyo a los equipos de respuesta a incidentes de seguridad.

Hasta 2 puntos

4.8

Servicio de diseño y operación de procesos y tecnologías del SOC

Se valorará la completitud, calidad e idoneidad del servicio propuesto en base a la organización de los recursos, los procedimientos propuestos para la monitorización remota de los eventos de seguridad, y los procedimientos de identificación, tratamiento y escalado de incidentes y amenazas de seguridad reportadas por cada uno de los servicios.

Hasta 4 puntos

4.9

Servicio de capacitación y formación en ciberseguridad

Se valorará la completitud y adecuación de las acciones formativas ofertadas por cada licitador para el personal técnico de Madrid Digital en base a medios humanos y técnicos, calidad de los contenidos propuestos, horas formativas, número de asistentes, periodicidad, contenidos ya desarrollados puestos a disposición del contrato, y propuestas de campañas específicas de evaluación del nivel de concienciación en seguridad del personal de Madrid Digital.

Hasta 2 puntos

4.10

Servicio de soporte a la gestión y operación del SOC

Se valorará la calidad de la propuesta de análisis funcional y desarrollo del Portal de Seguridad, las vistas y accesos propuestas a las distintas herramientas, la propuesta de cuadros de mando globales de seguimiento y control del servicio, y las condiciones de personalización y/o adaptación durante la ejecución del contrato.

Hasta 2 puntos


CRITERIO NÚMERO


5 PLANES OPERATIVOS Hasta 10

puntos

5.1

Plan de implantación de los servicios

Se valorará la calidad y completitud de la propuesta de modelo de gobierno de los servicios, las tecnologías y herramientas, la metodología de control y seguimiento de todo el proyecto, la planificación, actividades y plazos previstos, la idoneidad de los procedimientos y documentación de seguimiento asociada a cada tarea, el calendario de puesta en marcha de cada servicio y medios humanos y materiales dedicados a la fase de implantación, valorándose la adecuación de la propuesta a los requerimientos solicitados en el Pliego de Prescripciones Técnicas

Hasta 5 puntos

5.2

Plan de operación y devolución de los servicios

Se valorará el modelo organizativo propuesto, los procedimientos y metodologías de relación entre equipos, las responsabilidades por funciones, los recursos técnicos, las medidas internas de aseguramiento del talento y capacitación técnica continua del equipo, y la propuesta de documentación a entregar para devolución del servicio, valorándose la adecuación de la propuesta a los requerimientos solicitados en el Pliego de Prescripciones Técnicas.

Hasta 3 puntos

5.3

Plan de calidad

Se valorará la idoneidad y completitud de los indicadores clave de seguimiento de los niveles de calidad exigibles, la metodología de medición y control, y el plan de seguimiento y calidad propuesto, valorándose la adecuación de la propuesta a los requerimientos solicitados en el Pliego de Prescripciones Técnicas

Hasta 2 puntos

A la hora de valorar cada criterio se ha tenido en cuenta el valor que aporta cada oferta respecto a lo

exigido en pliego, conforme a la siguiente escala de valoración:

Si la propuesta se limita a cumplir los requisitos del pliego, se considerará que NO APORTA

VALOR, por lo que se puntuará con 0 puntos.

En el caso en que la propuesta aporte poco valor, se considerará ADECUADA. Se puntuará

con el 20% del máximo de los puntos asociados al criterio.

Si aporta detalles que permitan identificar un valor claro respecto a lo requerido, se considerará

que la propuesta es BUENA. Se puntuará con el 50% del máximo de los puntos asociados al

criterio.

Será considerada NOTABLE en el caso en que aporte beneficios para el servicio, de forma

clara y significativamente por encima de lo requerido. Se puntuará con el 80% del máximo de

los puntos asociados al criterio.

Cuando la propuesta sea excepcional, será calificada como SOBRESALIENTE. Se puntuará

con el máximo de los puntos asociados al criterio.


El resultado asignado a cada criterio se redondeará al medio punto más cercano. Ejemplo: 1,1 y 1,2

se redondearán a 1; 1,3 y 1,4 se redondearán a 1,5; 1,6 y 1,7 se redondearán a 1,5; 1,8 y 1,9 se

redondearán a 2.


3 Valoración de la propuesta técnica: Hasta 45 puntos

Para el LOTE 1, y para cada criterio, se aporta la valoración de las propuestas técnicas presentadas y

las puntuaciones obtenidas.

3.1 CRITERIO NÚMERO 4 – SOLUCIÓN TÉCNICA PROPUESTA PARA LOS

SERVICIOS REQUERIDOS. Hasta 35 puntos.

3.1.1 CRITERIO 4.1 - Servicio automatizado de análisis de vulnerabilidades. Hasta 2 puntos.

3.1.1.1 ATOS SPAIN S.A.

La propuesta de ATOS a este criterio se considera BUENA debido a la completitud de la herramienta

de análisis automático y la utilización de un sistema de ticketing para el seguimiento de los resultados;

sin embargo, no concreta la metodología de seguimiento del ciclo de vida de las vulnerabilidades

detectadas, ni la relación de fuentes de amenazas.

Los aspectos más positivos y destacables de la propuesta son los siguientes:

Para el descubrimiento de activos, propone la utilización de la herramienta Nessus

Professional, que permitirá la elaboración del inventario de activos mediante el escaneo de

direcciones IP de la red interna, y la identificación de las vulnerabilidades existentes en base a

la configuración real del equipo.

Propone actividades de revisiones periódicas de los resultados obtenidos para la detección de

nuevas vulnerabilidades, análisis de las mismas para identificación del riesgo, y actividades de

seguimiento para la remediación mediante el sistema de ticketing del servicio.

Las herramientas se ofrecen licenciadas disponiendo así de actualización permanente de la

biblioteca de vulnerabilidades y revisiones de configuración.

Recoge de forma adecuada el hardware mínimo necesario para la instalación de la herramienta,

licenciada en modalidad de subscripción, en las instalaciones de Madrid Digital.

La propuesta no incluye suficiente información que permita identificar la aportación de valor, de acuerdo

con lo indicado para este criterio, en los siguientes puntos:

No desarrolla una metodología de seguimiento y control del ciclo de vida de cada vulnerabilidad

en base al riesgo identificado y el activo afectado.

No concreta la relación de fuentes de información de amenazas que utilizará, limitándose a

indicar fuentes del tipo CVE, NIST, fabricantes, etc.

Según la valoración realizada, la puntuación de la oferta es de:

CRITERIO NÚMERO 4.1 – SERVICIO AUTOMATIZADO DE ANÁLISIS DE VULNERABILIDADES: Hasta 2 puntos 1


3.1.1.2 BT ESPAÑA, COMPAÑÍA DE SERVICIOS GLOBALES DE TELECOMUNICACIONES, S.A.U.

La propuesta de BT a este criterio se considera NOTABLE debido a la completitud de la herramienta

de análisis automático y la ejecución de un procedimiento en base al tipo de activo analizado; sin

embargo, no concreta la metodología de seguimiento del ciclo de vida de las vulnerabilidades

detectadas.


Para el descubrimiento de activos, propone la utilización de la herramienta Nessus

Professional, que permitirá la elaboración del inventario de activos, y la identificación de las

vulnerabilidades.

En el apartado de evaluación de riesgos y establecimiento de prioridades para remediación de

vulnerabilidades, propone el uso de la herramienta SecurityCenter de Nessus, como consola

de gestión de activos críticos, integrable con sistemas específicos de gestión de parches, de

gestión de dispositivos móviles o de sistemas SIEM, entre otros.

Identifica correctamente el hardware mínimo necesario para la instalación de las herramientas

propuestas.

Las herramientas se ofrecen licenciadas disponiendo así de actualización permanente de la

biblioteca de vulnerabilidades y revisiones de configuración.

Propone un procedimiento para la ejecución del servicio, en base a análisis por agrupación de

activos, elaboración de guías de remediación a facilitar a los responsables de los activos de

Madrid Digital, y seguimiento de su aplicación.

Detalla las actividades a desarrollar por el servicio de análisis de vulnerabilidades para la

validación del resultado de cada análisis, la elaboración de cuadros de mando e informes de

seguimiento, y el establecimiento de alertas en base a la criticidad de cada vulnerabilidad y

activo implicado.


con lo indicado para este criterio, en relación a las actividades de seguimiento y control del ciclo de

vida de las vulnerabilidades.


CRITERIO NÚMERO 4.1 – SERVICIO AUTOMATIZADO DE ANÁLISIS DE VULNERABILIDADES: Hasta 2 puntos 1,5

3.1.1.3 DELOITTE ADVISORY S.L.

La propuesta de DELOITTE a este criterio se considera ADECUADA debido al planteamiento general

del proceso de análisis; sin embargo, no concreta la metodología de seguimiento del ciclo de vida de

las vulnerabilidades detectadas, ni tampoco especifica las fuentes de información a utilizar.



Desarrolla un planteamiento general del proceso de análisis de vulnerabilidades que contempla

desde la elaboración del inventario de activos, la notificación de resultados a responsables, el

seguimiento de las vulnerabilidades identificadas, hasta la generación de informes del servicio.

Propone como herramienta de análisis de vulnerabilidades la utilización de Qualys VM, en

modalidad servicio en la nube.



No concreta la metodología de revisión de las vulnerabilidades encontradas, ni las actividades

de seguimiento y control del ciclo de vida de cada vulnerabilidad.

No identifica las fuentes de información a utilizar para la identificación de vulnerabilidades.

En el apartado de herramientas, se menciona el despliegue de dos sondas en las instalaciones

de Madrid Digital en software virtualizado, sin concretar la infraestructura soporte a aportar por

Madrid Digital, o por el licitador.



3.1.1.4 GRUPO S21 SEC GESTIÓN S.A.

La propuesta de S21SEC a este criterio se considera ADECUADA debido a la integración de la

solución con el SIEM propuesto; sin embargo, no especifica de forma adecuada las fuentes de

información a utilizar y limita el número de activos a analizar.


Como herramienta soporte del servicio de análisis de vulnerabilidades, propone la utilización

del módulo Vulnerability Manager integrado en la plataforma IBM QRadar, plataforma propuesta

como SIEM, por lo que no requiere equipamiento adicional.

Propone una metodología de análisis en base a perfiles de exploración de vulnerabilidades, y

un flujo operativo para la gestión de las vulnerabilidades.



No concreta las fuentes de amenazas que utilizará, indicando que puede incorporar resultados

de escáneres de terceros, de productos de gestión de riesgos y bases de datos externas,

incluyendo IBM X-Force Threat Intelligence, CVE y NIST.

El módulo de análisis de vulnerabilidades ofrecido tiene limitaciones en cuanto al número de

activos a inventariar, mientras que otros licitadores no han establecido límites.




3.1.1.5 ICA INFORMÁTICA Y COMUNICACIONES AVANZADAS

La propuesta de ICA a este criterio se considera que NO APORTA VALOR dado que no desarrolla las

funcionalidades y capacidades básicas de la solución; propone una herramienta de desarrollo propio

sin referencias en el mercado. Tampoco detalla procedimientos específicos de ejecución del servicio,

metodología de seguimiento ni hardware necesario para el despliegue.



3.1.1.6 INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN S.L.U.

La propuesta de INDRA a este criterio se considera SOBRESALIENTE ya que propone una

herramienta integrada en el SIEM ofertado, acotando y definiendo perfectamente los objetivos del

servicio, mediante la propuesta de una arquitectura, procedimientos y metodologías completas e

idóneas.


Propone como herramienta de escaneo de vulnerabilidades IBM QRadar Vulnerability Manager,

que forma parte de la arquitectura de plataforma SIEM propuesta, por lo que su integración es

muy sencilla.

Define y concreta los objetivos del servicio, proponiendo una metodología propia de

seguimiento continuo de gestión de vulnerabilidades basada en tres componentes: gestión de

activos, alerta temprana y análisis de vulnerabilidades:

o En el apartado de gestión de activos, identifica claramente todos los activos a

inventariar: equipos, software, versiones, configuraciones de seguridad, responsables

de los sistemas y valoración de cada activo.

o En el apartado de alerta temprana identifica las principales fuentes de información y

clasificación de vulnerabilidades, tanto de repositorios públicos como de su equipo de

ciberseguridad.

o En el apartado de análisis de vulnerabilidades, propone el despliegue de sondas para

los análisis internos y externos a realizar en las infraestructuras TIC, y define los tipos

de escaneo a realizar.

Propone un procedimiento detallado y completo de control del servicio, con identificación de

objetivos, actividades y tareas asociadas, y reporting del servicio.


Adicionalmente, propone la ejecución de auditorías semestrales de cumplimiento de las

políticas de seguridad en los dispositivos perimetrales de Madrid Digital.



3.1.1.7 OESÍA NETWORKS S.L.

La propuesta de OESÍA a este criterio se considera BUENA debido a la idoneidad de la herramienta

de análisis automático propuesta, que permite integrar análisis de herramientas de libre distribución de

terceros y la metodología detallada de ejecución del servicio propuesta; sin embargo, no concreta la

metodología de seguimiento del ciclo de vida de las vulnerabilidades detectadas, y limita los activos a

analizar.


Ofrece las siguientes aplicaciones integradas en el entorno QRadar: VM Engine for OpenVAS

NVT, para ejecución de test de vulnerabilidades de red, y Vulnerability Insights, para

visualización de los datos por entorno.

Para la ejecución del servicio propone una metodología basada en cinco fases: descubrimiento

de activos, priorización, evaluación, notificación y verificación, detallando las actividades e

intervinientes en cada fase.



No propone una metodología de seguimiento del ciclo de vida de cada vulnerabilidad, desde su

detección hasta su remediación.

En la limitación del número de activos a analizar, ya que otros licitadores no lo limitan, usando

la herramienta de escaneo de vulnerabilidades QRadar VM, integrada con la plataforma SIEM

propuesta.



3.1.1.8 SISTEMAS INFORMÁTICOS ABIERTOS S.A.

La propuesta de SIA a este criterio se considera NOTABLE ya que describe con detalle el

procedimiento de gestión de vulnerabilidades, así como el seguimiento del ciclo de vida y su integración

con los servicios de vigilancia digital y de amenazas externas; sin embargo, no detalla las capacidades

hardware necesarias para el despliegue del servicio.



Realiza una propuesta consistente de gestión del ciclo de vida de las vulnerabilidades

identificadas, integrada con los servicios de análisis manual de vulnerabilidades y vigilancia

digital para enriquecer el proceso de remediación.

Establecen el flujo de trabajo para este servicio basado en la herramienta de ticketing OTRS.

Desarrolla profundamente el procedimiento de gestión de vulnerabilidades, en función de su

clasificación en crítica, alta, media o baja, integrando el servicio de gestión de amenazas

externas como una vulnerabilidad más, eliminando así duplicidades y centralizando su

tratamiento.

Como herramienta de gestión de vulnerabilidades, propone lnsightVM de Rapid7, herramienta

comercial que permite acceso web integrado a la información de vulnerabilidades y su

seguimiento, con descubrimiento ilimitado de activos.


con lo indicado para este criterio, en relación a que no se detalla suficientemente la infraestructura

necesaria para el despliegue de la herramienta en las dependencias de Madrid Digital.



3.1.1.9 TELEFÓNICA SOLUCIONES DE INFORMÁTICA Y COMUNICACIONES DE ESPAÑA

La propuesta de TELEFÓNICA a este criterio se considera ADECUADA debido a que plantea una

solución en modo servicio usando metodologías de análisis reconocidas en el mercado y sin instalación

en sede; sin embargo, no especifica de forma adecuada las fuentes de información a utilizar, las

herramientas específicas y limita el alcance de los análisis de activos; además, solo considera un tipo

de activo de todos los posibles a contemplar.


Identifica, como metodología empleada, los procedimientos de buenas prácticas de OSSTM

(Open Source Security Testing Methodology – ISECOM) y OWASP (Open Web Application

Security Project).

Presenta una propuesta en modalidad de servicio, basada en tres actividades principales:

planificación de pruebas, ejecución de auditoría y análisis de resultados.



Limita el análisis a 450 dominios públicos y 3.000 IP’s internas y externas, otros licitadores no

lo limitan.


No se detalla cómo se realizará el inventario de activos de Madrid Digital.

No se detallan propuestas para la gestión del ciclo de vida de las vulnerabilidades.

En cuanto a las capacidades de análisis de la solución ofertada, únicamente se mencionan

auditorías de seguridad de aplicaciones web, y no de la totalidad de infraestructura tecnológica.



3.1.1.10 T-SYSTEMS ITC IBERICA S.A.U.

La propuesta de T-SYSTEMS a este criterio se considera ADECUADA ya que la solución se integra

de forma nativa con la propuesta de SIEM ofertada; sin embargo, no detalla la infraestructura

necesaria, procedimientos y metodología a utilizar.


Propone una gestión integral de las vulnerabilidades a través de la plataforma SIEM de

AlienVault y su herramienta de descubrimiento de activos, complementada con la herramienta

Vumes, de desarrollo propio, para la gestión de las vulnerabilidades descubiertas.

Ofrece el servicio de alerta temprana de avisos de vulnerabilidades, en modalidad subscripción,

de CERT Infor Service de T-Systems y CERT de Telekom.



No detalla la infraestructura necesaria a facilitar por Madrid Digital para la ejecución del servicio.

No se facilita información de cómo se elaborará el inventario de activos de Madrid Digital, ni

detalle de las capacidades de análisis de la solución propuesta.

No se facilita una metodología de gestión del ciclo de vida de las vulnerabilidades, más allá de

la entrega de informe en cada análisis.



3.1.2 CRITERIO 4.2 - Servicio manual de análisis de vulnerabilidades. Hasta 2 puntos.


La propuesta de ATOS a este criterio se considera BUENA ya que indica las metodologías a seguir,

especifica los tipos de auditorías a realizar, así como las herramientas de pentesting; sin embargo, no


detalla las actividades concretas para llevar a cabo el servicio, ni desarrolla los criterios de clasificación

y priorización por niveles de severidad.


En el apartado de metodologías de evaluación, se identifica la metodología de auditoría

OSSTMM 3.0 (Open-Source Security Testing Methodology Manual), la utilización del marco

CVSS para la métrica de vulnerabilidades, y la observación de marcos normativos de

referencia, las recomendaciones del Centro Criptológico Nacional junto con sus guías de

referencia, las recomendaciones del NIST (National Institute of Standards and Technology), y

la metodología OWASP (Open Web Application Security Project).

Se propone la ejecución de dos tipos de auditorías, de análisis de infraestructura (Vulnerability

Assesment – VA) y de páginas y servicios web (Dinamic Application Security Testing - DAST),

detallando los métodos de ejecución de cada tipo de análisis y las áreas de seguridad a revisar.

En el apartado de auditorías DAST de caja negra, se facilita una relación detallada y completa

de las áreas de seguridad y vulnerabilidades a analizar por área.

Como herramientas de pentesting, se propone la utilización de Nmap, Nessus y Openvas,

además de distribuciones específicas de seguridad como Kali.



La descripción de procesos y actividades a desarrollar en el servicio, ya que es muy genérica.

Se mencionan los criterios de clasificación y priorización por nivel de severidad únicamente

dentro de las metodologías referenciadas, sin concretar cual se va a utilizar.


CRITERIO NÚMERO 4.2 – SERVICIO MANUAL DE ANÁLISIS DE VULNERABILIDADES: Hasta 2 puntos 1


La propuesta de BT a este criterio se considera ADECUADA ya que indica las metodologías a seguir,

propone auditorías específicas sobre sistemas de VOZ, así como las herramientas de pentesting a

utilizar; sin embargo, no detalla las actividades concretas para llevar a cabo el servicio, no propone

criterios de clasificación, ni un ciclo de seguimiento de las vulnerabilidades encontradas.


Propone como metodología de referencia OSSTMM (Open-Source Security Testing

Methodology Manual), ISSAF (Information System Security Assesment Framework) y OWASP

para auditoría de aplicaciones.

En el apartado de análisis de vulnerabilidades de sistemas, propone la ejecución de test de

intrusión sobre sistemas ToIP y redes inalámbricas, la utilización de técnicas de ingeniería


social, y el análisis de estaciones de trabajo y sondas IDS, además de los análisis de

aplicaciones.

Describe las herramientas de pentesting manejadas por el equipo técnico para el servicio, muy

completas para los test de intrusión, presentándose agrupadas en función de las fases de la

auditoría.



Detalle y desarrollo de las vulnerabilidades por área de seguridad a analizar en las auditorías

de aplicaciones (caja negra).

La descripción de actividades a desarrollar es muy genérica, y no se concretan los

procedimientos de ejecución, tratamiento y seguimiento.

No se detallan los criterios de clasificación y priorización de las vulnerabilidades encontradas

en los análisis, de cara a su tratamiento posterior.


CRITERIO NÚMERO 4.2 – SERVICIO MANUAL DE ANÁLISIS DE VULNERABILIDADES: Hasta 2 puntos 0,5


La propuesta de DELOITTE a este criterio se considera ADECUADA ya que indica las metodologías

a seguir y especifica las tres fases del proceso de análisis; sin embargo, no detalla las actividades

concretas para llevar a cabo el servicio, no propone criterios de clasificación, ni las vulnerabilidades

específicas de aplicación.


Propone como metodologías de referencia OSSTMM, OWASP y OWISAM (Open Wireless

Security Assessment Methodology), además de requisitos normativos y regulatorios como ENS

(Esquema Nacional de Seguridad) o GDPR (General Data Protection Regulation) y normativas

internas de Madrid Digital.

Define claramente el proceso de análisis en tres fases, planificación - ejecución - presentación

de resultados, detallando las actividades a desarrollar en cada fase.



Detalle en la relación de vulnerabilidades por área de seguridad a analizar en las auditorías de

aplicaciones.

La descripción de actividades a desarrollar es muy genérica y no se concretan los

procedimientos de ejecución, tratamiento y seguimiento.


No se detallan los criterios de clasificación y priorización de las vulnerabilidades encontradas

en los análisis, de cara a su tratamiento posterior.




La propuesta de S21SEC a este criterio se considera NOTABLE ya que indica las metodologías a

seguir, detalla el proceso de análisis y sus fases, e identifica cada una de las herramientas a utilizar en

función de la fase y tipo de activo a analizar, así como el exploit específico que se puede llegar a

necesitar; sin embargo, no se indica ningún criterio de clasificación en función de la criticidad.


Recoge las metodologías de análisis utilizadas para los dos tipos de auditorías manuales

propuestas, OSSTMM e ISSAF para la ejecución de test de intrusión en sistemas, y OWASP

para auditorías de aplicación web.

Describe claramente el proceso de análisis y sus fases para cada tipo de análisis: test de

intrusión y aplicación web, con detalle de las actividades a realizar en cada fase y pruebas

asociadas. Como propuesta de valor y diferenciada, ofrece la consolidación de toda la

información de las vulnerabilidades encontradas por ambos servicios de análisis de

vulnerabilidades: manual y automático, facilitando de esta forma el seguimiento unificado de

las vulnerabilidades existentes.

En el apartado de herramientas utilizadas por el equipo técnico para los análisis, destacar el

amplio catálogo de herramientas identificadas, entre las que se encuentran herramientas

propietarias para análisis de topología de redes y exploits de problemas conocidos ya

desarrollados.


con lo indicado para este criterio, en relación a que no se detallan los criterios de clasificación y

priorización de las vulnerabilidades encontradas en los análisis, de cara a su tratamiento posterior.




La propuesta de ICA a este criterio se considera ADECUADA, ya que indica las metodologías a seguir

y especifica las fases del proceso de análisis; sin embargo, no indica ningún descubrimiento de activos,

su procedimiento está muy orientado a aplicaciones web, y solo contempla el análisis manual de

servicios accesibles desde Internet.



Propone como metodologías de análisis OSSTMM, las recomendaciones del NIST, y de forma

más global, guías y procedimientos de auditoría de ISACA, recomendaciones de SANS

Institute, ITIL, Cobit e ISO/IEC 27002.

Aporta una propuesta detallada de fases y actividades a desarrollar en cada una de ellas, muy

orientada al análisis de aplicaciones.



La metodología de análisis de aplicaciones web propuesta es específica para el proyecto.

No desarrolla ninguna actividad relacionada con el descubrimiento de activos, búsquedas de

información pública o similar, orientadas a la identificación de vulnerabilidades en los sistemas

soporte de las aplicaciones.

No detalla las herramientas de análisis automático y manual utilizadas por el equipo técnico

para el descubrimiento y explotación de las vulnerabilidades de seguridad.

La propuesta de servicio sólo recoge la realización de análisis manuales de seguridad desde

las instalaciones de ICA y, por tanto, para entornos accesibles desde Internet. No detalla si el

servicio incluye también entornos de Intranet.




La propuesta de INDRA a este criterio se considera NOTABLE ya que la propuesta es muy ordenada

y completa, indicando todos los componentes incluidos en el servicio, las metodologías a seguir en

cada componente y fase, además propone análisis específicos para los servicios de voz; sin embargo,

no detalla las vulnerabilidades a estudiar de forma manual por área de seguridad.


Identifica de manera clara y ordenada todas las modalidades de servicio propuestas: test de

intrusión externo para activos expuestos a Internet, e interno, y, para cada tipo, test de

superficie, de caja negra, de caja blanca y de caja gris.

Como metodología de pruebas, aplica OWASP para los test de intrusión externa, y OSSTMM

para los test de intrusión internos.

Para la clasificación y priorización de vulnerabilidades, propone la utilización de la métrica

CVSS 3.0 (Common Vulnerability Scoring System).


En cuanto al proceso de análisis y actividades asociadas, desarrolla con suficiente detalle cada

una de las fases previstas y actividades de cada fase, priorizando la ejecución de aquellas

pruebas encaminadas a detectar vulnerabilidades de OWASP Top 10 y WASC 25.

Facilita en apartado específico, la relación completa de herramientas de pentesting a utilizar

por el equipo técnico, agrupadas por objetivo: exploración y mapeo de red, análisis de redes

wireless y VoIP, obtención de información, identificación y explotación de vulnerabilidades.


con lo indicado para este criterio, en la identificación de vulnerabilidades por áreas de seguridad a

revisar en el análisis.



3.1.2.7 OESÍA NETWORKS S.L.

La propuesta de OESÍA a este criterio se considera NOTABLE ya que indica las metodologías a seguir,

detalla el proceso de análisis y sus fases, e identifica cada una de las herramientas a utilizar en función

de la fase y tipo de activo a analizar, así como la disponibilidad del servicio fuera del horario de oficina;

sin embargo, no detalla las vulnerabilidades a estudiar de forma manual por área de seguridad.


Como metodología de análisis se basa en OWASP y OSSTMM, idóneas para el servicio.

Describe adecuadamente el proceso completo de análisis y cada una de sus fases

(planificación, descubrimiento, explotación, reporte y verificación), y actividades a ejecutar en

cada fase.

Para la ejecución de los análisis en periodos fuera del horario presencial en Madrid Digital del

personal, propone un apoyo del equipo de análisis en el personal del CERT de Oesía.

En cuanto a las herramientas de análisis utilizadas por el equipo de pentesting realiza una

identificación detallada de las mismas para cada una de las fases de análisis.


con lo indicado para este criterio, en relación a la descripción de las actividades orientadas a

identificación de las vulnerabilidades del sistema soporte de la aplicación.




3.1.2.8 SISTEMAS INFORMÁTICOS ABIERTOS, S.A.

La propuesta de SIA a este criterio se considera SOBRESALIENTE ya que la propuesta es muy

ordenada y completa, detalla todos los tipos de análisis, sus fases, metodología asociada, áreas de

seguridad y vulnerabilidades. Además, indica claramente los componentes de la solución, así como

sus necesidades hardware, resaltando una plataforma de concienciación de usuarios en la cual se

pueden simular diversos ataques de ingeniería social.


Propone una relación muy completa de servicios de análisis ofrecidos, resumidos en: test de

intrusión externo, test de intrusión interno, auditoría de aplicaciones web, auditoría de

aplicaciones móviles, auditoría de código fuente, auditoría de redes Wifi, auditorías técnicas de

infraestructuras, auditorías de sistemas de información, auditorías de seguridad de servicios en

cloud, auditorías de soluciones de seguridad, test de ingeniería social, y test de intrusión Kiosco.

Para cada tipo de análisis, define de manera completa y ordenada la metodología aplicada, las

fases y actividades desarrolladas, las áreas de seguridad y vulnerabilidades a revisar.

En cuanto a la descripción de los medios materiales puestos a disposición para la ejecución de

los trabajos, se oferta una propuesta completa de herramientas a utilizar para cada uno de los

análisis propuestos, destacando como aspecto diferenciador la puesta a disposición de una

plataforma de phishing orientada a la formación y concienciación en seguridad.




La propuesta de TELEFÓNICA a este criterio se considera ADECUADA ya que indica los tipos de

análisis manuales a realizar; sin embargo, no indica metodologías a seguir, no tipifica ninguna clase

de vulnerabilidades, y la descripción de las tareas y los recursos a utilizar es bastante escasa.

El aspecto más positivos y destacable de la propuesta es que desarrolla cinco tipos de análisis

manuales de seguridad, resumidos en: auditorías de seguridad de red, auditorías de seguridad de

infraestructura Wifi, auditorías de seguridad de infraestructura VoIP, auditorías de seguridad de

seguridad de aplicaciones web, y auditorías de seguridad de servidores.


con lo indicado para este criterio, en los siguientes aspectos:

No detalla la metodología de análisis aplicada.

No detalla las vulnerabilidades por áreas de seguridad a revisar en cada análisis.

La descripción de las actividades a desarrollar en los análisis es escasa, al igual que los medios

materiales que utilizará el equipo técnico que realice los análisis.





La propuesta de T-SYSTEMS a este criterio se considera que NO APORTA VALOR ya que si bien

indica de forma general las metodologías a utilizar y lista el Top 10 OSWAP de riesgos a analizar, no

las desarrolla. No detalla las actividades para el análisis, ni las fases de las mismas. Tampoco detalla

medios materiales, ni especifica herramientas a utilizar en el análisis manual.



3.1.3 CRITERIO 4.3 - Servicio de monitorización de eventos de seguridad. Hasta 10 puntos.


La propuesta de ATOS a este criterio se considera BUENA describiendo de forma idónea y clara la

solución diseñada para la plataforma de monitorización de eventos de seguridad, las medidas de

disponibilidad de todos los componentes, su escalabilidad y las fuentes de información e inteligencia

propuesta; sin embargo no se desarrollan las actividades de operación, mantenimiento y

monitorización de la plataforma, ni se indican las características de las pantallas.


Planteamiento preciso, claro y acorde a los requerimientos del pliego de la propuesta de

arquitectura de la plataforma de monitorización de eventos de seguridad, sobre la solución de

McAfee Enterprise Security Manager (ESM) para el SIEM, una de las plataformas SIEM

líderes en el cuadrante mágico de Gartner, y McAfee Network Security Platform (NSP) para

la detección y prevención de intrusiones en la red, incluyendo todos los elementos requeridos:

analizadores de red, recolectores y correladores de eventos de seguridad, sistema de

almacenamiento para retención on-line y off-line, y fuentes de inteligencia.

Solución propuesta con información replicada en su totalidad en ambos CPD’s y disponibilidad

nativa de todos sus componentes, resultando una arquitectura tolerante a fallos entre CPD’s, y

con capacidades de escalado.

Oferta un amplio catálogo de casos de uso de monitorización (parsers) ya desarrollados por el

fabricante, incluyendo capacidades de análisis de comportamiento de usuarios UBA (User

Behavior Analitics).




Desarrollo de las actividades relacionadas con la operación y mantenimiento de la plataforma,

como son actualizaciones del sistema o tareas de backup.

Desarrollo de su propuesta de actividades orientadas a la monitorización de la plataforma.

Marca, modelo y características técnicas de las pantallas de monitorización solicitadas en el

pliego técnico.


CRITERIO NÚMERO 4.3 – SERVICIO DE MONITORIZACIÓN DE EVENTOS DE SEGURIDAD: Hasta 10 puntos 5


La propuesta de BT a este criterio se considera NOTABLE ya que describe de forma idónea y concreta

la solución diseñada para la plataforma de monitorización de eventos de seguridad, identificando de

forma unívoca cada uno de los componentes de la solución, las medidas de disponibilidad

consideradas y aplicadas, y las fuentes de información e inteligencia propuestas. Sin embargo, no se

detalla de forma adecuada las actividades orientadas a la administración y operación de la plataforma,

ni se indican las características de las pantallas.




McAfee Enterprise Security Manager (ESM), una de las plataformas SIEM líderes en el

cuadrante mágico de Gartner, y McAfee Network Security Platform (NSP) para la detección

y prevención de intrusiones en la red, incluyendo todos los elementos requeridos: analizadores

de red, recolectores y correladores de eventos de seguridad, sistema de almacenamiento para

retención on-line y off-line y fuentes de inteligencia.

Integración en el sistema NSP de la información detectada por la herramienta desplegada para

el servicio de análisis de vulnerabilidades automatizado, permitiendo modular e implementar

políticas de severidad de alertas en base al estado de remediación de las vulnerabilidades en

cada activo.

Configuración en alta disponibilidad en todos los componentes de la solución.


fabricante, incluyendo capacidades de análisis de comportamiento de usuarios UBA.

Monitorización de la plataforma a través de la instalación de Nagios y propuesta de política de

backups incrementales y completos de la plataforma SIEM.



Desarrollo de las actividades relacionadas con la operación y mantenimiento de la plataforma,

como son actualizaciones del sistema o administración remota.


Marca, modelo y características técnicas de las pantallas de monitorización solicitadas en el

pliego técnico.




La propuesta de DELOITTE a este criterio se considera NOTABLE ya que recoge de forma completa

la plataforma propuesta para la monitorización de eventos de seguridad, la arquitectura de la misma,

las medidas de disponibilidad y continuidad planteadas, las capacidades de integración y adaptación

con los sistemas de Madrid Digital y sus posibilidades de escalado, y todas las actividades de operación

y mantenimiento de la plataforma, incluyendo sus capacidades de administración remota y de

monitorización de los diferentes componentes que la integran; no obstante, la librería de casos de uso

presentada no está desarrollada.


Arquitectura de la plataforma de monitorización de eventos de seguridad: se plantea de forma

idónea y completa la arquitectura, basada en plataforma QRadar de IBM, una de las

plataformas SIEM líderes en el cuadrante mágico de Gartner, cumpliendo todos los requisitos

mínimos del Anexo I del pliego de prescripciones técnicas, incluyendo: recolectores y

correladores de eventos de seguridad y de flujos de red, base de datos para el almacenamiento

de toda la información recogida y necesaria para hacer los análisis del servicio, analizadores

de tráfico de red, almacenamiento local y a largo plazo, módulo de escaneo de vulnerabilidades

integrado y pantallas de monitorización solicitadas.

Es de destacar la propuesta de arquitectura: clara, muy completa, con gráficos y esquemas que

permiten su comprensión. Todos los elementos hw y sw de la arquitectura están descritos en

detalle, identificando su rol y sus características.

Medidas de disponibilidad y continuidad de la plataforma: se describe en detalle la configuración

de alta disponibilidad de todo el equipamiento de la arquitectura, que es capaz de operar desde

un único CPD ante pérdidas de servicio del otro CPD. Además, está descrito en detalle cómo

se consigue esta disponibilidad sin elementos ajenos a la arquitectura planteada.

Capacidades de integración y adaptación con los sistemas de Madrid Digital: se ofrecen

multitud de protocolos, librerías, módulos, etc. capaces de integrarse con todas las fuentes de

datos descritas en el Anexo I, y también con otros sistemas (servicios de directorio, servicios

de monitorización, etc.) necesarios para la gestión de la plataforma.

Posibilidades de escalado: la plataforma es capaz de escalar para soportar mayor número de

eventos por segundo a analizar y mayor número de flujos por minuto de los solicitados. Esta

capacidad de escalado está descrita y detallada en referencia al equipamiento suministrado,

incluyendo recolectores, correladores, bases de datos, almacenamiento con sus licencias


correspondientes, indicando que, si se superan esos máximos, la solución es capaz de escalar

añadiendo más componentes.

Operación y mantenimiento de la plataforma, administración remota y monitorización de los

diferentes componentes: se presenta de forma completa, considerando: monitorización de

disponibilidad y rendimiento de la plataforma, actualizaciones del sistema, integración de

nuevas fuentes de eventos, procedimientos de backup. Se indica que estas actividades

contarán con el soporte del fabricante IBM.


con lo indicado para este criterio, en cuanto al desarrollo de las librerías de casos de uso de

monitorización ya desarrollados que incorpora el propio SIEM.




La propuesta de S21SEC a este criterio se considera SOBRESALIENTE ya que recoge de forma

completa e idónea la plataforma propuesta para la monitorización de eventos de seguridad, la

arquitectura de la misma, las medidas de disponibilidad y continuidad planteadas, las capacidades de

integración y adaptación con los sistemas de Madrid Digital y sus posibilidades de escalado. También

es de destacar la completitud y adecuación al servicio de la librería de casos de uso de monitorización

ya desarrollados, y la calidad y desarrollo de la propuesta de operación y mantenimiento de la

plataforma, incluyendo sus capacidades de administración remota y de monitorización de los diferentes

componentes que la integran.






correladores de eventos de seguridad y de flujos, base de datos para el almacenamiento de

toda la información recogida y necesaria para hacer los análisis del servicio, analizadores de

tráfico de red, almacenamiento local y a largo plazo, módulo de escaneo de vulnerabilidades

integrado y pantallas de monitorización.





la alta disponibilidad de todo el equipamiento de la arquitectura, que es capaz de operar desde

un único CPD ante pérdidas de servicio del otro CPD. Además, esta descrito en detalle cómo













Disponibilidad de librerías de casos de uso de monitorización ya desarrollados: el SIEM

propuesto contempla un conjunto muy extenso de casos de uso predefinidos y documentados

que son mantenidos, revisados y extendidos de forma periódica por el fabricante y su

comunidad. Incluso se ofrecen extensiones de casos de uso de cumplimiento, intrusión,

amenaza, comportamiento de usuarios UEBA, etc.


diferentes componentes: se presenta de forma completa, considerando monitorización de


nuevas fuentes de eventos, procedimientos de backup; todo ello descrito en detalle con

informes del servicio. Se indica que estas actividades se podrán hacer en modalidad mixta,

aportando valor con el equipo de Threat Intelligence de S21SEC y contando con el soporte del

fabricante IBM.




La propuesta de ICA a este criterio se considera que NO APORTA VALOR, ya que no recoge de forma



integración y adaptación con los sistemas de Madrid Digital, sus posibilidades de escalado, la

disponibilidad de librerías de casos de uso de monitorización ya desarrollados, y la calidad de la

propuesta de operación y mantenimiento de la plataforma, administración remota y monitorización de

los diferentes componentes. La propuesta se limita a recoger lo indicado en el pliego técnico, sin

desarrollar lo valorable en este criterio.





La propuesta de INDRA a este criterio se considera SOBRESALIENTE ya que recoge de forma



integración y adaptación con los sistemas de Madrid Digital y sus posibilidades de escalado. También

es de destacar la completitud y adecuación al servicio de la librería de casos de uso de monitorización

ya desarrollados, la calidad y desarrollo de la propuesta de operación y mantenimiento de la plataforma,

incluyendo sus capacidades de administración remota y de monitorización de los diferentes













detalle, identificando su rol y sus características. Se completa la plataforma con el sistema

Onesait Cyber con capacidades de monitorización UEBA.


de alta disponibilidad de todo el equipamiento de la arquitectura, que es capaz de operar desde

un único CPD ante pérdidas de servicio del otro CPD. Además, está descrito en detalle cómo
















comunidad. Se aporta propuesta de categorización de casos muy extensa, basada en técnicas

de inteligencia y modelado de amenazas, incluyendo casos de uso de comportamiento de

usuarios UEBA.


diferentes componentes: se presenta de forma completa, considerando monitorización de


nuevas fuentes de eventos, procedimientos de backup. Se indica que estas actividades

contarán con el soporte del fabricante IBM.



3.1.3.7 OESIA NETWORKS S.L.

La propuesta de OESÍA a este criterio se considera NOTABLE ya que recoge de forma completa e

idónea la plataforma propuesta para la monitorización de eventos de seguridad, la arquitectura de la

misma, las medidas de disponibilidad y continuidad planteadas, las capacidades de integración y

adaptación con los sistemas de Madrid Digital y sus posibilidades de escalado. También es de destacar

la completitud y adecuación al servicio solicitado de la librería de casos de uso de monitorización ya

desarrollados; no obstante, faltan los modelos principales de los equipos recolectores, correladores y

no se desarrolla la propuesta de administración remota y de monitorización de los diferentes





























comunidad. Incluso se ofrecen extensiones de casos de uso de cumplimiento, intrusión,

amenaza, comportamiento de usuarios UEBA, etc.

Operación y mantenimiento de la plataforma: se describen las actividades principales de

actualización de componentes, configuraciones, backups, etc., indicando que se contará con el

soporte del fabricante IBM.


con lo indicado para este criterio, en cuanto a la descripción de los componentes hardware de la

arquitectura; se indica marca, pero no se concretan modelos de los módulos principales recolectores,

correladores, y en el desarrollo de las actividades de administración remota y monitorización de los

diferentes componentes.




La propuesta de SIA a este criterio se considera SOBRESALIENTE ya que recoge de forma completa

e idónea la plataforma propuesta para la monitorización de eventos de seguridad, la arquitectura de la

misma, las medidas de disponibilidad y continuidad planteadas, las capacidades de integración y

adaptación con los sistemas de Madrid Digital y sus posibilidades de escalado. También es de destacar

la completitud y adecuación al servicio solicitado de la librería de casos de uso de monitorización ya

desarrollados, y la calidad y desarrollo de la propuesta de operación y mantenimiento de la plataforma,

incluyendo sus capacidades de administración remota y de monitorización de los diferentes




idónea y completa la arquitectura, basada en plataforma EXABEAM, una de las plataformas

SIEM líderes en el cuadrante mágico de Gartner, cumpliendo todos los requisitos mínimos del

Anexo I del pliego de prescripciones técnicas, incluyendo: recolectores y correladores de

eventos de seguridad y de flujos de red, base de datos para el almacenamiento de toda la

información recogida y necesaria para hacer los análisis del servicio, analizadores de tráfico de


red, almacenamiento local y a largo plazo, módulo de escaneo de vulnerabilidades integrado y

las pantallas de monitorización solicitadas.

Es de destacar la propuesta de arquitectura clara, muy completa, con gráficos y esquemas que










de monitorización, bases de datos, etc.) necesarios para la gestión de la plataforma.






de forma horizontal añadiendo más componentes.




comunidad. Como aporte de valor, se indican multitud de casos de uso que pueden utilizar las

capacidades UEBA de la plataforma.


diferentes componentes: se presenta de forma completa, considerando control de salud y

control de cobertura (monitorización de disponibilidad y rendimiento de la plataforma), gestión

de licencias, actualizaciones del sistema, cambios de configuración, inclusión/supresión de

nuevas fuentes de eventos, procedimientos de backup, todo ello provisto de informes de

servicio y cuadros de mando. Todas estas actividades contarán con el soporte del fabricante

Exabeam.




La propuesta de TELEFÓNICA a este criterio se considera NOTABLE ya que describe de forma idónea

y clara la solución diseñada para la plataforma de monitorización de eventos de seguridad, con especial

foco en las medidas de disponibilidad de todos los componentes, y las capacidades de personalización


y creación sencilla de casos de uso de monitorización; no obstante, falta el desarrollo de las actividades

de operación y mantenimiento.




McAfee Enterprise Security Manager (ESM), una de las plataformas SIEM líderes en el

cuadrante mágico de Gartner, y McAfee Network Security Platform (NSP) para la detección

y prevención de intrusiones en la red, incluyendo todos los elementos requeridos: analizadores

de red, recolectores y correladores de eventos de seguridad, sistema de almacenamiento para

retención on-line y off-line, fuentes de inteligencia y pantallas de monitorización.

Solución propuesta con información replicada en su totalidad en ambos CPD’s y disponibilidad

nativa de todos sus componentes, resultando una arquitectura tolerante a fallos entre CPD’s.

Propuesta de escalabilidad de la plataforma, presentada de forma detallada, basada en la

agregación de más componentes.


fabricante, incluyendo capacidades de análisis de comportamiento de usuarios UBA (User

Behavior Analitics), y propios, como monitorización de usuarios privilegiados, detección de

malware o activos críticos, todos de implantación directa. La solución ofrece funcionalidades

específicas para creación de nuevos parsers con incorporación automática de alarmas,

reportes y cuadros de mando asociados.

Solución de monitorización de la plataforma muy robusta, a través de la instalación de Nagios

complementada con un servicio remoto propio de monitorización de salud.


con lo indicado para este criterio, en cuanto al desarrollo de las actividades relacionadas con la

operación y mantenimiento de la plataforma, como son actualizaciones del sistema o tareas de backup.




La propuesta de T-SYSTEMS a este criterio se considera ADECUADA ya que describe de forma

correcta todos los componentes de la plataforma propuesta para la monitorización de eventos de

seguridad, basada en la plataforma SIEM, USM (Unified Security Management) de AlienVault, las

medidas de alta disponibilidad planteadas, las capacidades de integración y adaptación con los

sistemas de Madrid Digital y la disponibilidad de librerías de casos de uso de monitorización ya

desarrollados; no obstante, la propuesta adolece de completitud en la arquitectura, escalado de

componentes y desarrollo de las actividades de operación y mantenimiento.




Descripción de la arquitectura de la plataforma, que permita identificar de forma inequívoca la

relación propuesta entre hardware, software y rol o elemento conceptual requerido, y

capacidades máximas por cada elemento.

Descripción de las posibilidades de escalado de la plataforma para recolectar y analizar un

mayor número de eventos por segundo.

Desarrollo de una propuesta de operación y mantenimiento de plataforma, recogiendo las

capacidades propuestas para su administración remota y la monitorización de los diferentes

elementos que componen la solución.



3.1.4 CRITERIO 4.4 - Servicio de identificación de amenazas y vigilancia digital. Hasta 2

puntos.


La propuesta de ATOS a este criterio se considera ADECUADA, debido a que solo se describe la

relación y tipología de fuentes externas de inteligencia y la notificación de amenazas propuestas para

el servicio, sin determinar su alcance global ni los tipos de indicadores de ambas, ni su frecuencia de

actualización. Tampoco recoge de forma completa las capacidades de vigilancia digital, más allá de

indicar que se utilizarán herramientas debidamente licenciadas sin indicar sus funcionalidades. Por

último, la propuesta de metodología y procesos es muy genérica.



Metodología y procesos: enunciados, pero no descritos.

Alcance global, tipos de indicadores y frecuencia de actualización de las fuentes de inteligencia

y de los sistemas de notificación de amenazas, no se describe.

Descripción y detalle de las capacidades de vigilancia digital, más allá de enunciar las fuentes.


CRITERIO NÚMERO 4.4 – SERVICIO DE IDENTIFICACIÓN DE AMENAZAS Y VIGILANCIA DIGITAL: Hasta 2 puntos 0,5



La propuesta de BT a este criterio se considera ADECUADA, debido a que solo se describe la relación

y tipología de fuentes externas de inteligencia y la notificación de amenazas propuestas para el

servicio, sin determinar su alcance global ni los tipos de indicadores de ambas, ni su frecuencia de

actualización. Tampoco recogen de forma completa las capacidades de vigilancia digital, solo se indica

que se usará una herramienta de referencia en el mercado. Por último, la propuesta de metodología y

procesos es muy genérica.



Metodología y procesos: enunciados, pero no descritos.

Alcance global y tipos de indicadores y frecuencia de actualización de las fuentes de inteligencia

y de los sistemas de notificación de amenazas, no se describe.

Descripción y detalle de las capacidades de vigilancia digital, más allá de enunciar el uso de la

herramienta InSights.




La propuesta de DELOITTE a este criterio se considera BUENA ya que recoge de forma idónea y

completa, la relación y tipología de fuentes externas de inteligencia y la notificación de amenazas

propuestas para el servicio, su alcance global, los tipos de indicadores de ambas y su frecuencia de

actualización. La propuesta de metodología y procesos es completa; sin embargo, en cuanto a las

capacidades de vigilancia digital restringe su uso a 40 URL’s, lo que se considera de carácter limitado.


Fuentes de amenazas y fuentes de vigilancia digital muy completas y descritas con precisión.

Solución de Ciberinteligencia para la vigilancia digital con una metodología y procesos descritos

con detalle, aunque no se menciona cómo se produce la integración con el servicio de detección

de incidentes.

Se ofrecen procedimientos de "takedown" (máximo 150) de cierre de aplicaciones maliciosas

que cometan abuso de marca.



Restringe las capacidades de vigilancia digital y por tanto su monitorización a 40 URL’s.


No especifica las herramientas que va a utilizar para identificar las amenazas y realizar la

vigilancia digital, más allá de indicar que se cuenta con herramientas propias y que se utilizarán

plataformas MISP.


CRITERIO NÚMERO 4.4 – SERVICIO DE IDENTIFICACIÓN DE AMENAZAS Y VIGILANCIA DIGITAL: Hasta 2 puntos 1


La propuesta de S21SEC a este criterio se considera SOBRESALIENTE ya que recoge de forma

idónea y completa, la relación y tipología de fuentes externas de inteligencia y la notificación de

amenazas propuestas para el servicio, su alcance global, los tipos de indicadores de ambas y su

frecuencia de actualización. También se recogen de forma completa las capacidades de vigilancia

digital y la propuesta de metodología y procesos.


Propuesta muy completa que en primer lugar resume el alcance del servicio, su modelo de

prestación, el personal involucrado, horario, herramientas y entregables.

Metodología y procesos muy bien descritos, tanto sus funcionalidades como la relación inter-

procesos.

Relación y tipología de fuentes de amenazas y fuentes de vigilancia digital muy completos.

Entregables: definidos en alcance y en periodicidad.

Capacidades de vigilancia digital: Se menciona la puesta a disposición de Madrid Digital de

más de 10 herramientas en modo servicio, destacando el uso de Recorded Future (reconocido

como líder según Forrester en Protección de Riesgo Digital).




La propuesta de ICA a este criterio se considera ADECUADA, debido a que solo se describe la relación

y tipología de fuentes externas de inteligencia y la notificación de amenazas propuestas para el

servicio, sin determinar su alcance global ni los tipos de indicadores de ambas, ni su frecuencia de

actualización. Tampoco recogen de forma completa las capacidades de vigilancia digital, solo se indica

que se usará una herramienta de referencia, líder en el mercado, asegurando su integración con el

SIEM. Por último, la propuesta de metodología y procesos es muy genérica.




Metodología y procesos: enunciados, pero no descritos. Se indica que se generarán

entregables, pero no se especifica con qué contenido y periodicidad.


y de los sistemas de notificación de amenazas, no descrito.

Descripción y detalle de las capacidades de vigilancia digital, más allá de enunciar el uso de la

herramienta Recorded Future.




La propuesta de INDRA a este criterio se considera NOTABLE ya que recoge de forma idónea y


propuestas para el servicio, su alcance global, tipos de indicadores de ambas y su frecuencia de

actualización. Las capacidades de vigilancia digital se resuelven con una solución de Ciberinteligencia

que se describe con precisión. No obstante, se recoge de forma genérica la propuesta de metodología

y procesos, faltando detalle en su planteamiento.


Fuentes de amenazas y vigilancia digital muy completas, incluidos indicadores.

Solución de Ciberinteligencia para vigilancia digital presentada con una metodología y procesos

descritos en detalle.

Entregables definidos por servicio con periodicidad de entrega.

Herramientas: su herramienta principal es MISP, plataforma de inteligencia de amenazas de

código abierto. Se complementa el servicio con otras herramientas de código abierto.

Se ofrece a Madrid Digital sin coste, la implementación de un observatorio digital de amenazas

en la red, como punto centralizado de recolección y seguimiento, con tecnología de código

abierto ELK (ElasticSearch, Logstack, Kibana), comprometiéndose a integrarlos con el resto de

servicios del SOC.


con lo indicado para este criterio, en cuanto al desarrollo de la metodología y procesos del servicio

solicitado.





La propuesta de OESIA a este criterio se considera BUENA ya que recoge de forma detallada la

relación y tipología de fuentes externas de inteligencia y la notificación de amenazas propuestas para

el servicio, su alcance global, tipos de indicadores de ambas y su frecuencia de actualización. Sin

embargo, no se recogen de forma completa las capacidades de vigilancia digital y la propuesta de

metodología y procesos es muy genérica.


Fuentes de amenazas y vigilancia digital son muy completas.

Solución de Ciberinteligencia para la vigilancia digital con una metodología y procesos descritos

con detalle que utiliza una herramienta de elaboración propia.



Propuesta de metodología y procesos poco desarrollada y aunque se enuncian los entregables

del servicio no se especifica su periodicidad.

No se indica cómo va a actuar el servicio ante urgencias.

No se detallan las capacidades del servicio de vigilancia digital, más allá de nombrar el uso de

solución de Ciberinteligencia.




La propuesta de SIA a este criterio se considera NOTABLE, ya que recoge de forma idónea y


propuestas para el servicio, su alcance global, tipos de indicadores de ambas y su frecuencia de

actualización. Las capacidades de vigilancia digital se resuelven con una solución de Ciberinteligencia

que se describe con precisión. No obstante, se recoge de forma genérica la propuesta de metodología

y procesos, faltando concreción en su planteamiento.


Fuentes de amenazas y vigilancia digital muy completas, incluyendo indicadores.

Solución de Ciberinteligencia para vigilancia digital presentada con una metodología y procesos

descritos con precisión. Ofrece cierre de recursos fraudulentos y notificación a fabricantes de

navegadores de sitios web maliciosos.

Entregables definidos por servicio, considerando la urgencia y criticidad de cada amenaza, con

periodicidad de entrega.


Las capacidades de vigilancia digital se resuelven con herramientas propias y con ITC,

desarrollo propio. En la propuesta se establece un compromiso de integrar este proceso con el

resto de procesos y herramientas del SOC.


con lo indicado para este criterio, en cuanto al desarrollo de la metodología y procesos del servicio

solicitado.




La propuesta de TELEFÓNICA a este criterio se considera BUENA ya que recoge de forma idónea y


propuestas para el servicio. No obstante, las capacidades de vigilancia digital y la propuesta de

metodología y procesos se presentan de forma genérica sin concretar.


Fuentes de amenazas y vigilancia digital, muy amplias y completas.

Los entregables del servicio son muy variados, detallados, y se indica su periodicidad.

Ofrece como valor diferencial su capacidad de actuación en tiempo real como operador de

comunicaciones de red de bloqueo de sitios fraudulentos a nivel de red. También tiene acuerdo

con fabricantes de navegadores para bloqueos de sitios webs (alianza con Microsoft).



La Metodología y procesos del servicio se resumen en: atención y respuesta ante amenazas,

ambos procesos con su modelo de atención y escalado. Está por tanto poco desarrollada.

No se indica cómo va a actuar el servicio ante urgencias.

No se describen las capacidades del servicio de vigilancia digital, más allá de indicar su valor

diferencial como operador de red.





La propuesta de T-SYSTEMS a este criterio se considera ADECUADA, debido a que solo se describe

de forma completa la relación y tipología de fuentes externas de inteligencia y la notificación de

amenazas propuestas para el servicio, sin determinar su alcance global ni los tipos de indicadores de

ambas, ni su frecuencia de actualización. Tampoco recogen de forma completa las capacidades de

vigilancia digital, solo se indica que se usará una herramienta de protección de identidades de

personas. Por último, la propuesta de metodología y procesos es muy genérica, aunque se enuncien

los entregables del servicio.



Metodología y procesos: enunciados, pero no descritos en detalle.


y de los sistemas de notificación de amenazas, no detallado.

La herramienta que se describe (4iQ) va muy enfocada a personas, no se detalla cómo se

protegen los dominios, marcas, cuentas de la Comunidad de Madrid, etc.



3.1.5 CRITERIO 4.5 - Servicio de detección de incidentes, nivel 1 y nivel 2. Hasta 7 puntos.


La propuesta de ATOS a este criterio se considera BUENA; describe la organización de los recursos,

los procedimientos propuestos para la monitorización remota de los eventos de seguridad, y los

procedimientos de identificación, tratamiento y escalado de incidentes y amenazas de seguridad. No

aporta ninguna propuesta de valor de tecnologías de aprendizaje automático, análisis de

comportamiento y procesamiento automático de datos que permita automatizar las tareas del nivel N1

y mejorar el análisis del N2.


Organización de los recursos: propone un modelo de organización mixta como indica el pliego,

estableciendo un flujo de escalado definido.

Procedimientos de identificación, tratamiento y escalado de incidentes y amenazas de

seguridad. Se propone utilizar las guías del CCN para la identificación, clasificación,

comunicación y gestión de incidentes, estableciendo un modelo de priorización de incidentes

basado en el impacto en el cliente.




Respecto a los procedimientos para la monitorización remota de eventos, falta definición. Solo

se indica que la conexión se realizará vía VPN, proporcionando el servicio acorde a lo indicado

en el pliego.

No se indican tecnologías de procesamiento automático y análisis de comportamiento que

permitan automatizar el nivel 1 y mejorar el análisis del nivel 2.


CRITERIO NÚMERO 4.5 – SERVICIO DE DETECCIÓN DE INCIDENTES, NIVEL 1 Y NIVEL 2: Hasta 7 puntos 3,5


La propuesta de BT a este criterio se considera NOTABLE ya que recoge a alto nivel la organización

de los recursos, los procedimientos de identificación, tratamiento y escalado de incidentes y amenazas

de seguridad, y los procedimientos de monitorización remota. También aporta una propuesta de

tecnologías de aprendizaje automático, análisis de comportamiento y procesamiento automático de

datos. Sin embargo, falta mayor concreción en la organización de los recursos, y en cómo la tecnología

y la herramienta de procesamiento automático basado en análisis de comportamiento va a hacer su

función.


Organización de recursos: se propone un modelo mixto tal y como se recoge en el pliego,

describiendo a alto nivel las actividades que realizará tanto el nivel 1 como el nivel 2.

Respecto al procedimiento de monitorización remota se define gráficamente el modelo de

interconexión entre el CyberSOC de BT y el nivel 1 del SOC-MD, especificando los procesos

que se conectan, vía VPN.

Respecto a la identificación de incidentes se relaciona el uso de casos de uso ya predefinidos

en el sistema SIEM.

Propone como herramientas de procesamiento automático y análisis de comportamiento, ELK,

complementado con su herramienta MISP, muy adecuadas para el servicio.



Detalle al exponer la organización de recursos respecto a las actividades que deben realizar.

Falta detalle en cómo ELK y la plataforma MISP van a poder realizar el análisis de

comportamiento y aprendizaje automático para poder automatizar las tareas del nivel N1.





La propuesta de DELOITTE a este criterio se considera SOBRESALIENTE, ya que recoge de forma

idónea y completa la organización de los recursos, los procedimientos propuestos para la

monitorización remota de los eventos de seguridad, y los procedimientos de identificación, tratamiento

y escalado de incidentes y amenazas de seguridad. También aporta una propuesta de tecnologías de

aprendizaje automático, análisis de comportamiento y procesamiento automático de datos que permite

automatizar las tareas del nivel N1 y mejorar el análisis del N2.



describiendo con precisión y de forma muy completa las actividades que realizará tanto el nivel

N1 como el N2, y sus interrelaciones. Se completa la propuesta indicando con detalle las

funciones de las personas de nivel N1 y nivel N2. Se presentan gráficos que facilitan su

comprensión.

Los procedimientos de monitorización remota están descritos con detalle, facilitando gráficos

de interrelación con el nivel N1 y equipo on-site que facilitan su comprensión.

Respecto a los procedimientos de identificación, tratamiento y escalado de incidentes y

amenazas de seguridad, están muy desarrollados y se fundamentan en criterios de priorización

de criticidad e impacto en la organización. También se detalla el flujo de tratamiento y escalado

de incidentes y amenazas de seguridad.

Propone como tecnologías, herramientas de procesamiento automático y de análisis de

comportamiento, la disponibilidad de un servicio, “Autolevel 1”, sistema de orquestación y

respuesta automática de seguridad SOAR (Security Orchestration and Automated Response)

que permite automatizar respuestas de nivel N1, en conjunto con herramientas UEBA de

QRadar, herramienta de referencia en el mercado para este tipo de actividad.


CRITERIO NÚMERO 4.5 – SERVICIO DE DETECCIÓN DE INCIDENTES, NIVEL 1 Y NIVEL 2: Hasta 7 puntos 7


La propuesta de S21SEC a este criterio se considera NOTABLE ya que recoge la organización de los

recursos, los procedimientos de identificación, tratamiento y escalado de incidentes y amenazas de

seguridad. También se ha aportado una propuesta de tecnologías de aprendizaje automático, análisis

de comportamiento y procesamiento automático de datos. Sin embargo, falta detalle y concreción en

el procedimiento de identificación, tratamiento y escalado, y en el procedimiento de monitorización

remota.



describiendo las actividades que realizará tanto el nivel N1 como el N2.


Respecto a la identificación de incidentes, esta se basará en criterios de criticidad del servicio,

recurrencia, volumen y variedad e histórico de eventos. Serán identificados y clasificados

también según el daño y/o tipología de amenaza, infiriendo que se tratarán de forma prioritaria

Propone como herramientas de procesamiento automático basadas en técnicas de inteligencia

colectiva, la herramienta MRIT, adecuada para este propósito.



Faltan criterios y detalles en el procedimiento de tratamiento y escalado.

Aunque se menciona que existirá monitorización remota 24x7 como exige el pliego, el

procedimiento de monitorización remota no se describe con el necesario nivel de detalle que

permita entender cómo se realizará.




La propuesta de ICA a este criterio se considera que NO APORTA VALOR, ya que no describe la

organización de los recursos, los procedimientos propuestos para la monitorización remota de los

eventos de seguridad y los procedimientos de identificación, tratamiento y escalado de incidentes y

amenazas de seguridad. Tampoco aporta una propuesta de valor de tecnologías de aprendizaje

automático, análisis de comportamiento y procesamiento de datos que permitan automatizar las tareas

del nivel N1 y mejorar el análisis del N2.




La propuesta de INDRA a este criterio se considera SOBRESALIENTE ya que recoge de forma idónea

y completa, la organización de los recursos, los procedimientos de identificación, tratamiento y

escalado de incidentes y amenazas de seguridad, y el procedimiento de monitorización remota de

eventos e información de seguridad. También aporta una propuesta de valor de tecnologías de






describiendo de forma muy completa las actividades que realizará tanto el nivel 1 como el nivel

2, y sus interrelaciones. Se completa la propuesta indicando los perfiles y funciones de las

personas de nivel 1 y nivel 2.

Respecto a los procedimientos de identificación de incidentes, están bien planteados y se

fundamentan en criterios como tipo de amenaza, categoría de sistemas afectados, tipos de

usuarios, requerimientos legales y regulatorios. Se propone completar esta identificación

evaluando peligrosidad y/o impacto, ofreciendo criterios de valoración de impacto. También se

detalla el flujo de tratamiento y escalado de incidentes y amenazas de seguridad.

Se plantea de forma adecuada y completa el procedimiento de monitorización remota de

eventos e información de seguridad en modalidad 24x7.

Propone como herramientas de procesamiento automático y de análisis de comportamiento la

solución UEBA (User and Entity Behavior Analytics) que implementa el SIEM IBM QRadar,

herramienta de referencia en el mercado para este tipo de actividad. De forma

complementariamente se ofrece para este propósito la plataforma UEBA de Indra.




La propuesta de OESÍA a este criterio se considera SOBRESALIENTE ya que recoge de forma idónea

y completa, la organización de los recursos, los procedimientos de identificación, tratamiento y

escalado de incidentes y amenazas de seguridad, y el procedimiento de monitorización remota de

eventos e información de seguridad. También aporta una propuesta de valor de tecnologías de





describiendo de forma muy completa las actividades que realizará tanto el nivel 1 como el nivel

2, y sus interrelaciones. Se completa la propuesta indicando los perfiles y funciones de las

personas de nivel 1 y nivel 2, ofreciendo Oesía cubrir todas las sustituciones, contingencias y

cualquier eventualidad que requiera personal in-situ para la gestión de incidentes con personal

de su Centro de Competencia en Ciberseguridad.

Respecto a los procedimientos de identificación, tratamiento y escalado de incidentes, están

desarrollados con detalle, utilizando criterios de identificación como tipo de amenaza o daño

producido. Se propone completar esta identificación con una fase de análisis que evalúe

peligrosidad y/o impacto, ofreciendo criterios de valoración de impacto. Respecto al tratamiento

y escalado su flujo está desarrollado con el nivel de detalle que permite a Madrid Digital


entender la propuesta e identificar el valor que aporta. También se proporciona información

sobre los procesos de mitigación y remediación en caso que el nivel 2 sea capaz de ejecutarlos.

Se plantea de forma adecuada el procedimiento de monitorización remota de eventos e

información de seguridad en modalidad 24x7.

Propone como herramientas de procesamiento automático y de análisis de comportamiento la

solución UEBA que implementa el SIEM IBM QRadar, herramienta de referencia en el mercado

para este tipo de actividad.




La propuesta de SIA a este criterio se considera SOBRESALIENTE ya que recoge de forma idónea y

completa, la organización de los recursos, los procedimientos de identificación, tratamiento y escalado

de incidentes y amenazas de seguridad y el procedimiento de monitorización remota de eventos e

información de seguridad También aporta una propuesta de valor de tecnologías de aprendizaje

automático, análisis de comportamiento y procesamiento automático de datos que permite automatizar

las tareas del nivel N1 y mejorar el análisis del N2.


Organización de recursos: se describe de forma amplia y detallada la organización de los

recursos locales y remotos para prestar el servicio en el horario establecido en el pliego. Se

describen las actividades de nivel 1 y nivel 2, incidiendo en que el uso de la plataforma Exabeam

permitirá automatizar y mejorar el análisis del nivel 1.

Se definen y detallan los procedimientos de tratamiento y escalado de incidentes y amenazas

de seguridad. Respecto a la identificación de incidentes se plantea utilizar casos de uso

(ingeniería de casos de uso) ya predefinidos en el sistema SIEM previsto, aportando una

clasificación muy adecuada para el servicio solicitado.

Se plantea de forma adecuada el procedimiento de monitorización remota de eventos e

información de seguridad en modalidad 24x7.

Propone como herramientas de procesamiento automático y análisis de comportamiento de

usuarios y entidades la plataforma central que es parte de la solución Exabeam.





La propuesta de TELEFÓNICA a este criterio se considera BUENA, debido a que se describe la

organización de los recursos en los niveles N1 y N2, y los procedimientos de identificación, tratamiento

y escalado de incidentes y amenazas de seguridad. No aporta ninguna propuesta de valor de

tecnologías de aprendizaje automático, análisis de comportamiento y procesamiento automático de

datos que permitan automatizar las tareas del nivel N1 y mejorar el análisis del N2.


Se describe de forma adecuada la organización de recursos para el servicio de detección de

incidentes, nivel N1 y de análisis, nivel N2, especificando sus interrelaciones.

Los procedimientos de escalado y tratamiento de incidentes y amenazas de seguridad se

plantean de forma concreta e idónea.



Respecto a los procedimientos para la monitorización remota de eventos, falta su definición.


permitan automatizar el nivel 1 y mejorar el análisis del nivel 2.




La propuesta de T-SYSTEMS a este criterio se considera BUENA, debido a que se describe la

organización de los recursos en los niveles N1 y N2, los procedimientos propuestos para la

identificación, tratamiento y escalado de incidentes y amenazas de seguridad, y los procedimientos de

monitorización remota. No aporta ninguna propuesta de valor de tecnologías de aprendizaje

automático, análisis de comportamiento y procesamiento automático de datos que permitan



La organización de recursos para el nivel N1 y nivel N2 se presenta de forma estructurada y

adecuada.

Los procedimientos de escalado y tratamiento y el procedimiento de monitorización remota se

plantean de forma clara y concisa.



Respecto a la identificación de incidentes son clasificados de forma genérica y poco concreta

según el daño y/o tipología de amenaza, atendiendo a 5 niveles de criticidad.



permitan automatizar nivel 1 y mejorar análisis nivel 2.



3.1.6 CRITERIO 4.6 - Servicio especializado de respuesta a incidentes. Hasta 2 puntos.


La propuesta de ATOS a este criterio se considera ADECUADA, debido a que solo se describe de

forma genérica la metodología, procedimientos y procesos del servicio y su interrelación entre ellos.

Se indica de forma expresa que al inicio del proyecto se definirán los procedimientos en base a la

matriz de responsabilidad que se acuerde.


a lo indicado para este criterio, en los siguientes aspectos:

Descripción de la organización de los recursos, ya que no se aporta ni se detalla.

Procedimientos de escalado en función de tipología de incidentes, ya que no se aportan ni se

detallan.

Procedimiento para realizar el seguimiento de incidentes, no presentado.

Descripción de las medidas de contención, no descritas.


CRITERIO NÚMERO 4.6 – SERVICIO ESPECIALIZADO DE RESPUESTA A INCIDENTES: Hasta 2 puntos 0,5


La propuesta de BT a este criterio se considera ADECUADA, debido a que describe de forma genérica

la metodología, procedimientos y procesos del servicio, delimitando el ámbito de responsabilidad de

los equipos intervinientes. También aporta alguna medida de contención como es la reducción del área

de exposición de la red o la reconfiguración de activos, pero no las desarrolla adecuadamente.





detallan.



Desarrollo de las medidas de contención, se mencionan de forma muy genérica.




La propuesta de DELOITTE a este criterio se considera NOTABLE, ya que recoge de forma idónea y

completa, la metodología y procedimientos, incluyendo los procedimientos de escalado y seguimiento

de incidentes. También se definen las medidas de contención requeridas. No obstante, falta detalle en

cómo se va a hacer el escalado y seguimiento de incidentes.


Describe con precisión la metodología, procedimientos y procesos, estando los procesos de

preparación, invocación, contención y recuperación descritos idóneamente. Expone de forma

precisa el flujo de gestión de los eventos de seguridad en fases de recepción, análisis de primer

nivel, clasificación, seguimiento y resolución. Así mismo, describe los criterios que definen las

prioridades a asignar a los incidentes y el periodo de notificación en función de las mismas.

Describe de forma genérica con gráficos la forma de realizar el escalado y seguimiento de

incidentes (abierta, asignada, en curso, pendiente, solucionada, cerrada), vigilando los tiempos

de resolución y alertando de posibles desviaciones, con notificación a Madrid Digital con el

avance del caso.

Contempla la confección de un procedimiento operativo a seguir por el nivel 1 de respuesta en

caso de que la incidencia se volviera a producir, así como la revisión periódica de los mismos

por un nivel 3 que puede indicar la creación de scripts de automatización.

Describe de forma precisa el ámbito del perfil de “forense digital” (análisis forense de red,

análisis de logs y registros y análisis de malware).

Se describen los principales mecanismos de contención tecnológica a realizar: desactivación

de cuentas, cambios de contraseña, desconexión de redes, uso de firewalls /proxies web y uso

de herramientas de seguridad de red.

Plantea los entregables del servicio.


con lo indicado para este criterio, en relación al procedimiento de escalado y seguimiento de incidentes,

ya que falta su desarrollo.





La propuesta de S21SEC a este criterio se considera SOBRESALIENTE, ya que recoge de forma

idónea y completa, la metodología, procedimientos, organización de los recursos en base a niveles de

criticidad del incidentes y capacidades requeridas, procedimientos de escalado y seguimiento de

incidentes y definición de medidas de contención.


La metodología, procedimientos y procesos se describen de forma detallada, con todos los

procesos de preparación, detección, análisis y contención descritos. Se describe las

interrelaciones de este servicio con el nivel N1 y sobre todo con el N2, indicando cuando se

activará el servicio DFIR (Data Forensics and Incident Response). Se define claramente el

ámbito y delimitación de responsabilidades en el servicio. El proceso de análisis forense está

muy detallado.

Los procedimientos de escalado y seguimiento se describen de forma detallada, con gráficos

que facilitan su entendimiento.

Respecto a la organización de los recursos se menciona que este servicio se ejecutará de forma

presencial y remota, contando con el equipo DFIR de S21SEC cuando sea necesario.

Incluye una descripción detallada de la división del trabajo por competencias técnicas dentro

del DFIR (Malware Analysts, Threat Hunters y Digital Forensics Analysts), en comunicación con

un equipo de “inteligencia de amenazas”

Medidas de contención: se enumeran y se relacionan con las medidas de recogida y

preservación de evidencias.

Se incluye un listado amplio de herramientas relacionadas con el servicio

Se incluye la realización de un ciber-ejercicio al año para chequear procedimientos y establecer

mejoras y lecciones aprendidas.

Se detallan los tipos de entregables de este servicio: informes semanales de avance, informes

finales con evidencias, activos involucrados, medidas urgentes y próximos pasos, resumen

ejecutivo del incidente y clonado para investigación forense.


CRITERIO NÚMERO 4.6 – SERVICIO ESPECIALIZADO DE RESPUESTA A INCIDENTES: Hasta 2 puntos 2


La propuesta de ICA a este criterio se considera que NO APORTA VALOR, ya que no describe ni

detalla la metodología, procedimientos, para prestar el servicio valorado en este criterio. Tampoco

aporta información sobre la organización de los recursos en base a niveles de criticidad y capacidades

técnicas requeridas. Igualmente falta información sobre los procedimientos de escalado de incidentes,


como se va a ser su seguimiento y que medidas de contención se proponen relacionadas con este

servicio.




La propuesta de INDRA a este criterio se considera NOTABLE, ya que recoge de forma detallada,

idónea y completa, la metodología y procedimientos, incluyendo los procedimientos de escalado y

seguimiento de incidentes. También se definen las medidas de contención requeridas. No obstante,

falta detalle en la descripción de la organización de los recursos en base a niveles de criticidad de los

incidentes y capacidades requeridas.


La metodología, procedimientos y procesos se describen de forma detallada, siguiendo las

metodologías del CCN y NIST al respecto. Se describe las interrelaciones de este servicio con

el nivel N1 y sobre todo con el N2, indicando que las capacidades UEBA del SIEM propuesto,

permitirán identificar incidentes que ni siquiera el nivel 2 ha percibido. Se define claramente el

ámbito y delimitación de responsabilidades en el servicio. El proceso de análisis forense está

muy detallado, sigue la metodología ISO 27037:2012, e incluye informe pericial.

Afirman que el Service Desk Tilena, basado en software libre, aporta inmediatamente al equipo

de nivel N3 una información completa y depurada del incidente aportada por el nivel N2

El nivel N3 se beneficia de las capacidades conjuntas que aporta el SIEM y UEBA. Esta última

herramienta aporta la capacidad de análisis de comportamiento de usuarios y entidades, que

permite identificar desviaciones de patrones habituales.

Como medidas de contención se propone aislamiento de equipos, nuevas reglas en FW,

bloqueos de usuarios, etc., medidas dependientes del tipo y alcance del incidente.

Respecto a la Organización de los recursos se menciona que este servicio se ejecutará de

forma presencial y remota, contando con el equipo Ciber Defense Center o del CSIRT de

Minsait-Indra cuando sea necesario.

Se da vital importancia a la definición de indicadores de compromiso (IOCs) definidos por el

propio equipo de trabajo, desde diferentes fuentes de inteligencia y proveedores, integrados

con las herramientas disponibles, mantenidos en el tiempo, utilizando controles de calidad, y

adaptados por este mismo grupo.

Se da importancia a la calidad del informe post-incidencia y los aspectos que debe incluir, que

debe quedar bajo gestión documental y enlazada al incidente.

Inclusión de su plataforma de deception de CounterCraft, orientada a crear señuelos para

localizar a posibles atacantes, buscando de forma activa amenazas persistentes en la

infraestructura.


Se aporta de forma complementaria un servicio complementario de Threat Hunting proactivo

de búsqueda de APT en las infraestructuras.


a lo indicado para este criterio, en relación a la descripción de la organización de los recursos en base

a niveles de criticidad y capacidades requeridas, y en cuanto al procedimiento de seguimiento de

incidentes.




La propuesta de OESÍA a este criterio se considera NOTABLE, ya que recoge de forma idónea y

genérica, la metodología y procedimientos, incluyendo los procedimientos de escalado y seguimiento

de incidentes. En relación a la organización de los recursos en base a niveles de criticidad y

capacidades técnicas sí se desarrolla de forma completa, y también se definen las medidas de

contención requeridas. No obstante, falta detalle en la descripción de los procedimientos y en especial

en el de seguimiento de incidentes, ya que no se articula su relación con los otros niveles.


La metodología, procedimientos y procesos se describen de forma general, lo que incluye los

procesos de preparación, investigación, notificación, contención, remediación, recuperación y

post-incidente. Se describe las interrelaciones de este servicio con el nivel N1 y sobre todo con

el N2. Se define claramente el ámbito y delimitación de responsabilidades en el servicio.

El proceso de análisis forense está incluido y descrito a alto nivel.

Los procedimientos de seguimiento del incidente están implícitos en los procesos del servicio.

Como medidas de contención se propone aislamiento de equipos, nuevas reglas en FW,

bloqueos de usuarios, etc., medidas dependientes del tipo y alcance del incidente.

Respecto a la organización de los recursos se menciona que este servicio se ejecutará de forma

presencial y remota, contando con el equipo de Especialistas SOC de nivel del CERT de Oesía

cuando sea necesario.

Búsqueda de manera activa de amenazas mediante procesos automatizados de detección de

patrones de uso basados en la aplicación QRadar UBA, que usa algoritmos machine learning.

Ello redunda en una detección proactiva de los ataques y evaluación más rápida de la causa

raíz.


a lo indicado para este criterio, en relación a los procedimientos del servicio y sobre todo del

procedimiento para realizar el seguimiento de incidentes.





La propuesta de SIA a este criterio se considera BUENA, ya que recoge de forma idónea y completa,

la metodología y procedimientos, incluyendo los procedimientos de seguimiento de incidentes. Sin

embargo, falta detalle en describir cómo se hace el escalado de incidentes, cómo se van a organizar

los recursos en base a niveles de criticidad y capacidades técnicas. Tampoco se especifican las

medidas de contención requeridas.


La metodología, procedimientos y procesos se describen de forma detallada, con todos los

procesos de identificación, análisis y respuesta (incluye contención) descritos. Se define

claramente el ámbito y delimitación de responsabilidades en el servicio. Se incluye un conjunto

de roles bien definidos para el proceso de gestión de incidentes con las responsabilidades

asociadas. Se incluye un apartado de mejora continua.

Los procedimientos de seguimiento de incidentes dentro del servicio se describen de forma

detallada.

Respecto a la organización de los recursos se describe de forma implícita en cada proceso del

servicio.

Se indica que se usará la herramienta OTRS para gestión y documentación de procesos.

Incluye cierto detalle en cuanto a la clasificación por niveles de peligrosidad e impacto, y en

cuanto a estados asociados a un incidente (tres más los tipos de cierre).



Descripción del procedimiento de escalado de incidentes, falta detalle.

Organización de los recursos en base a niveles de criticidad y capacidades técnicas, no

detallado.

Descripción de medidas de contención, ya que no se aporta.




La propuesta de TELEFONICA a este criterio se considera NOTABLE ya que recoge de forma idónea

y genérica, la metodología y procedimientos, incluyendo los procedimientos de escalado y seguimiento


de incidentes. En relación a la organización de los recursos en base a niveles de criticidad y

capacidades técnicas sí se desarrolla de forma completa y también se definen las medidas de

contención requeridas. No obstante, falta detalle en la descripción de los procedimientos y en especial

en el de seguimiento de incidentes, ya que no se articula su relación con los otros niveles


Metodología, procedimientos y procesos se describen alto nivel, incluyendo los procesos de

análisis, contención y remediación. Se sigue la metodología del CCN-CERT de gestión y

respuesta a ciber-incidentes. Se detallan los entregables del servicio.

Definición del flujo y detalle de tareas que origina la intervención de este servicio especializado

de respuesta (recepción, recolección de evidencias, análisis de artefactos recolectados,

evaluación de alcance, recomendaciones estratégicas, lecciones aprendidas e informe

forense).

Bajo el nombre “CSIRT”, define el ámbito de este servicio: investigación digital y forense, guías

de respuesta y remediación, y servicio de consultas.

Aporta herramienta de análisis y gestión de incidentes propia, TIP, y los feeds propios de IoCs

propietarios de Telefónica.

Aporta tecnologías de Deception de CounterCraft para crear señuelos que engañen a ciber-

adversarios.

Se incluye organización de los recursos en base a sus capacidades técnicas, y un modelo de

relación presentado de forma gráfica.

Medidas de contención se enumeran y se relacionan dentro del modelo de activación y

escalado del servicio (bloqueo, takedown, aislamiento de equipos)

Se propone y describe el procedimiento de activación, escalado de incidentes.


a lo indicado para este criterio, en relación a los procedimientos del servicio y sobre todo del

procedimiento para realizar el seguimiento de incidentes.




La propuesta de T-SYSTEMS a este criterio se considera ADECUADA, debido a que solo se describe

de forma genérica la metodología, procedimientos y procesos del servicio y su interrelación entre ellos.

Se describe de forma muy general el flujo de atención a incidentes y solo es destacable la descripción

de las tareas de análisis forense y análisis de malware.






detallan.


Descripción de las medidas de contención, no descritas.



3.1.7 CRITERIO 4.7 - Servicio de soporte a la gestión de incidentes. Hasta 2 puntos.


La propuesta de ATOS a este criterio se considera que NO APORTA VALOR, ya que no describe ni

detalla la metodología, procedimientos, capacidades y herramientas necesarias para prestar el servicio

valorado en este criterio. Tampoco aporta información sobre el despliegue de medidas de contención,

definición de planes de recuperación y como se va a apoyar desde este servicio a los equipos de

respuesta a incidentes de seguridad.


CRITERIO NÚMERO 4.7 – SERVICIO DE SOPORTE A LA GESTIÓN DE INCIDENTES: Hasta 2 puntos 0


La propuesta de BT a este criterio se considera BUENA, debido a que define los procedimientos de

gestión de incidentes, si bien no se detallan las capacidades y herramientas necesarias para prestar

el servicio valorado en este criterio. No aporta información sobre el despliegue de medidas de

contención. Sí se detalla el plan de respuesta que incluye el plan de recuperación, indicando que el

apoyo a los equipos de respuesta se hará a demanda.


Planes de respuesta y de recuperación, acordes al servicio y presentados en detalle.

Organización idónea del apoyo a los equipos de respuesta, que se realizará a demanda con

los mecanismos de articulación bien planteados.



Detalle en la descripción de metodología y procedimientos.


Capacidades y herramientas.

Detalle de cómo se van a desplegar las medidas de contención.

Descripción del procedimiento de apoyo a los equipos de respuesta a incidentes, no

presentado.




La propuesta de DELOITTE a este criterio se considera ADECUADA, ya que no detalla la metodología,

procedimientos, capacidades y herramientas necesarias para prestar el servicio valorado en este

criterio. Tampoco aporta información sobre el despliegue de medidas de contención, y no desarrolla la

definición de planes de recuperación. Sí expone la forma en que se va a apoyar desde este servicio a

los equipos de respuesta a incidentes de seguridad, considerándose adecuado.

El aspecto más positivo y destacable de la propuesta es la forma en que se va a prestar el apoyo desde

este servicio a los equipos de respuesta a incidentes de seguridad.



Detalle de la metodología, procedimientos, capacidades y herramientas

Despliegue de medidas de contención

Definición de planes de recuperación.


CRITERIO NÚMERO 4.7 – SERVICIO DE SOPORTE A LA GESTIÓN DE INCIDENTES: Hasta 2 puntos 0,5


La propuesta de S21SEC a este criterio se considera NOTABLE, ya que describe la metodología y

procedimientos, las capacidades y herramientas para la gestión global de incidentes, y cómo se va a

hacer el apoyo a los equipos de respuesta a incidentes de seguridad. Se mencionan las medidas de

contención a alto nivel. No obstante, no se desarrollan las medidas de contención ni se describe cómo

se van a aplicar los planes de recuperación.


Metodología y procedimientos descritos siguiendo el mismo modelo de procesos del servicio

especializado de respuesta a incidentes, considerando que este servicio se activa a demanda

a requerimiento de Madrid Digital.


Capacidades: se pone a disposición de Madrid Digital el equipo DFIR (Digital Forensics Incident

Response) de S21SEC, que podrá intervenir de forma presencial o remota.

En relación al modelo DFIR se relacionan las medidas de contención, muy adecuadas al

servicio.

En lo relativo a herramientas se cuenta con un catálogo de más de 10 dedicadas a funciones

de análisis forense y respuesta a incidentes.



Detalle de cómo se van a desplegar las medidas de contención.

Descripción sobre la forma de implementar los planes de recuperación.




La propuesta de ICA a este criterio se considera que NO APORTA VALOR, ya que no describe ni

detalla la metodología, procedimientos, capacidades y herramientas necesarias para prestar el servicio

valorado en este criterio. Tampoco aporta información sobre el despliegue de medidas de contención,

definición de planes de recuperación y sobre cómo se va a apoyar desde este servicio a los equipos

de respuesta a incidentes de seguridad.




La propuesta de INDRA a este criterio se considera SOBRESALIENTE, ya que recoge de forma idónea

y completa las capacidades y herramientas para la gestión global de incidentes, el despliegue de

medidas de contención y aplicación de planes de recuperación. También se describe y detalla cómo

se va a hacer el apoyo a los equipos de respuesta a incidentes de seguridad.


Metodología y procedimientos, indicando los procedimientos del servicio: respuesta,

contención, remediación, recuperación e investigación (incluye análisis de malware, threat

hunting)

Capacidades y Herramientas: se propone utilizar las capacidades de personal especializado en

respuesta a incidentes del Cyber Defense Center de Indra-Minsait y como herramientas se


propone utilizar la plataforma Cyber Deception de CounterCraft (plataforma de "señuelos" para

localizar al atacante) y su servicio de Threat Hunting, herramientas novedosas que permiten

disuadir e identificar mejor al atacante y sus métodos de ataque mejorando la gestión global

del incidente.

Respecto a los planes de recuperación de servicios, Indra-Minsait propone definir planes y

medidas de redundancia de comunicaciones, equipos e información.

Respecto al despliegue de medidas de contención, también se propone utilizar su laboratorio

del Cyber Defense Center para probar las medidas de contención y de protección antes de

aplicarlas en los sistemas de Madrid Digital.

Apoyo a los equipos de respuesta a incidentes de seguridad: se propone la utilización del

personal especializado en respuesta a incidentes del Cyber Defense Center de Indra-Minsait




La propuesta de OESIA a este criterio se considera NOTABLE, ya que recoge la metodología y

procedimientos, las capacidades y herramientas para la gestión global de incidentes, y cómo se va a

hacer el apoyo a los equipos de respuesta a incidentes de seguridad. No obstante, no se mencionan

medidas de contención ni se describe cómo se van a aplicar los planes de recuperación.


Metodología y procedimientos descritos y relacionados con las capacidades y herramientas del

servicio. Se incluye análisis de malware, análisis forense e inteligencia de amenaza.

Servicio proporcionado por el Centro de Competencias de Ciberseguridad de Oesía, que cuenta

con todas las certificaciones necesarias.

Utilización de la herramienta Skadi para realización de análisis forense.



Detalle de cómo se van a desplegar las medidas de contención, no desarrollado.

Descripción sobre la forma de implementar los planes de recuperación.





La propuesta de SIA a este criterio se considera BUENA, debido a que define de forma detallada la

metodología y procedimientos de gestión de incidentes, estableciendo claramente los límites de

responsabilidad, relacionando las capacidades y herramientas necesarias para prestar el servicio. No

aporta información sobre el despliegue de medidas de contención ni la aplicación de planes de

recuperación. El apoyo al equipo de respuesta a incidentes no está definido.

Los aspectos más positivos y destacables de la propuesta son:

La completitud e idoneidad de la metodología y los procedimientos de gestión de incidentes.

La relación de capacidades y herramientas para prestar el servicio.



Mayor desarrollo de las capacidades y herramientas relacionadas.

Detalle de cómo se van a desplegar las medidas de contención y los planes de recuperación.

Descripción y detalle del procedimiento de apoyo a los equipos de respuesta a incidentes.




La propuesta de TELEFÓNICA a este criterio se considera BUENA, debido a que define los

procedimientos de gestión de incidentes, si bien no se detallan las capacidades y herramientas

necesarias para prestar el servicio. Tampoco aporta información sobre el despliegue de medidas de

contención. Respecto al apoyo al equipo de respuesta a incidentes, propone medidas de recuperación

y respuesta destacando la comunicación con las Fuerzas de Seguridad del Estado y otras instituciones

implicadas.


La definición de los procedimientos de gestión de incidentes críticos de forma idónea que son

objeto de este servicio.

El apoyo al equipo de respuesta a incidentes.



Capacidades y herramientas, no descritas.



Repite la aproximación expuesta para el servicio continuo especializado en respuesta a

incidentes, cuando el de gestión de incidentes es de naturaleza distinta, a demanda y de apoyo

ante incidentes críticos.




La propuesta de T-SYSTEMS a este criterio se considera BUENA, debido a que define los

procedimientos de gestión de incidentes, indicando que se dispone de un equipo de analistas en el

SOC de T-Systems. No aporta información sobre el despliegue de medidas de contención, ni sobre las

capacidades y herramientas necesarias, si bien hace referencia a que se apoyará al equipo de

respuesta a incidentes desde su SOC.


La definición idónea de los procedimientos de gestión de incidentes.

El apoyo desde su propio SOC en la gestión de incidentes y en el despliegue de medidas de

contención.



Capacidades y herramientas, no descritas.




3.1.8 CRITERIO 4.8 - Servicio de diseño y operación de procesos y tecnologías del SOC.

Hasta 4 puntos.


La propuesta de ATOS a este criterio se considera que NO APORTA VALOR ya que no describe la

organización de los recursos ni identifica las relaciones entre ellos. Tampoco aporta una visión general

de la integración entre los diferentes servicios de monitorización y tratamiento de incidentes, procesos,

procedimientos comunes y sistemas de gestión de soporte a los servicios. No se desarrolla una

propuesta de identificación de fuentes de eventos a monitorizar, modelado de amenazas de seguridad,

y elaboración de casos de uso de monitorización y tratamiento del incidente correspondiente.



CRITERIO NÚMERO 4.8 – SERVICIO DE DISEÑO Y OPERACIÓN DE PROCESOS Y TECNOLOGÍAS DEL SOC: Hasta 4 puntos 0


La propuesta de BT a este criterio se considera BUENA, mencionando la puesta a disposición de su

metodología de ciberdefensa, basada en capacidades, procesos y tecnologías, con su modelo de

organización de recursos, acorde a lo demandado en el pliego técnico; no obstante falta desarrollo en

las integraciones de todos los procedimientos y en el modelado de amenazas con visión integradora.


La organización de los recursos propuesta para el diseño y operación de procesos es clara y

concreta, estableciendo funciones y actividades.

Se presenta una visión a alto nivel de integración de los distintos servicios con gráficos que

permiten su entendimiento.



Un mayor detalle de la propuesta de procedimientos globales de integración de los distintos

servicios de monitorización y detección, tratamiento y escalado de incidentes.

Una propuesta de modelado de amenazas, elaboración de casos de uso de monitorización, e

identificación de fuentes de eventos y amenazas a monitorizar.




La propuesta de DELOITTE a este criterio se considera SOBRESALIENTE debido que desarrolla una

propuesta de organización de recursos del SOC, personas y tecnologías, definición de procesos de

gobierno del SOC basada en la evaluación del nivel de madurez por dominio de análisis, y una

propuesta de modelado de amenazas y creación de casos de uso de monitorización.

Los aspectos más destacados y positivos de la propuesta son:

Organización de los distintos recursos del SOC, personas y tecnologías, y de sus capacidades,

todo ello descrito de forma completa.


La descripción de su propuesta de gobierno del SOC, basada en cinco niveles de madurez por

dominio de operación, con una estructura común de organización para todos los servicios, que

permitirá una evaluación continua de los servicios de seguridad por parte de Madrid Digital.

La propuesta de un proceso de modelado de amenazas y creación de casos de uso de

monitorización, basada en un análisis del riesgo de seguridad, identificación del “gap” entre

situación actual y deseada, creación del caso de uso y su puesta en operación.

Aporta la biblioteca de casos de uso de monitorización de Deloitte, indicadores de compromiso

y metodología, para la elaboración de todos los casos de uso y procesos evolutivos de las

herramientas analíticas del SOC de Madrid Digital.

Propuesta de proceso de análisis de situación del sistema SIEM, para ajuste de las fuentes de

datos y calidad de la información analizada, y el establecimiento del “roadmap” de casos de

uso a elaborar dentro de un proceso continuo.




La propuesta de S21SEC a este criterio se considera que BUENA ya que describe la organización de

los recursos indicando el apoyo que recibirá del personal del SOC de S21 SEC y plantea los procesos

de gobierno del SOC, sus capacidades y herramientas; no obstante falta planteamiento integrador de

cómo se van a elaborar los casos de uso, y de gobierno de amenazas y fuentes de eventos.


Identifica claramente la organización de recursos que participarán en las actividades de

definición de procedimientos de operación, diseño del portal de ciberseguridad, y definición de

procesos de implantación, con un modelo mixto de con personal de S21Sec/Nextel remoto y

personal del SOC-MD.

Aporta una propuesta idónea y concreta de procedimientos de interrelación entre los servicios

de monitorización y tratamiento de incidentes.



No se plantea como va a ser el procedimiento de elaboración de casos de uso de

monitorización.

No se desarrolla una propuesta de gobierno de identificación de fuentes de eventos a

monitorizar ni modelado de amenazas de seguridad.





La propuesta de ICA INFORMÁTICA Y COMUNICACIONES a este criterio se considera que NO

APORTA VALOR ya que no desarrolla una propuesta de organización de recursos, procesos y

procedimientos de monitorización, identificación y tratamiento de incidentes globales, ni cómo realizará

el modelado de amenazas de seguridad para la elaboración de casos de uso de monitorización y

tratamiento del incidente correspondiente.




La propuesta de INDRA a este criterio se considera BUENA, proponiendo una definición de los flujos

de operación ante incidentes similar a la aplicada en su Cyber Defense Center, desde las fases de

detección, análisis y notificación, hasta los procedimientos de escalado entre niveles 1, 2 y 3,

actividades de las fases de contención, erradicación y respuesta, y las acciones post-incidentes; sin

embargo no se propone gobierno del servicio que recoja el modelado de amenazas, fuentes de

eventos, ni de implantación de las capacidades técnicas.


La organización concreta, idónea, con una visión integradora, de todos los recursos para

realizar las actividades de diseño y operación de procesos.

La descripción de forma completa de todos los flujos e interrelaciones ante incidentes de

seguridad de los niveles N1, N2 y N3, con una visión integrada, con diagrama de flujos y

explicaciones detalladas.



No desarrolla la implantación de las capacidades técnicas para el gobierno del servicio.

No propone una metodología de gobierno, modelado de amenazas, análisis de fuentes de

eventos y desarrollo de casos de uso de monitorización.





La propuesta de OESÍA a este criterio se considera NOTABLE, desarrollando, de manera exhaustiva

para cada servicio del SOC, la relación de procedimientos de operación a establecer, así como las

instrucciones técnicas concretas asociadas a cada tarea; no obstante, no presenta en este servicio

una propuesta de modelado de amenazas.

Los aspectos más destacados y positivos de la propuesta son:

La relación muy exhaustiva de todos los procedimientos del servicio, incluido todas sus

interrelaciones.

La descripción de forma completa e idónea al servicio solicitado en el pliego técnico de cada

uno de los procedimientos, describiendo interrelaciones.

La relación completa e idónea de las instrucciones técnicas, muy aplicables al servicio.



Detalle de la propuesta de procedimientos globales de integración de los distintos servicios de

monitorización y detección, tratamiento y escalado de incidentes, y no de forma individual por

servicio.

Falta de propuesta de una metodología de modelado de amenazas, análisis de fuentes de

eventos y desarrollo de casos de uso de monitorización.




La propuesta de SIA a este criterio se considera NOTABLE ya que relaciona los procedimientos

propuestos para el gobierno del SOC, detalla las capacidades técnicas de las herramientas propuestas

para su gobierno, y propone una metodología a aplicar para identificación de amenazas y definición de

casos de uso muy completa y acorde al servicio; no obstante falta completitud en los procedimientos

de gobierno relacionados.


Una descripción detallada de las capacidades técnicas de las herramientas propuestas para el

gobierno del SOC.

Su propuesta de metodología de identificación de amenazas y adaptación de los sistemas de

monitorización para su detección, mediante la elaboración de un catálogo de amenazas y un

caso de uso de monitorización por amenaza.


Una propuesta detallada del proceso de definición del caso de uso, desde la identificación y

definición funcional de la amenaza, la definición técnica del ataque, la estrategia de respuesta

hasta la definición de la lógica de detección.



Falta de completitud en los procedimientos de gobierno del SOC.

Detalle en la organización de los recursos propuesta para el gobierno del SOC.




La propuesta de TELEFÓNICA a este criterio se considera BUENA, en su detalle de organización de

recursos del SOC, sus capacidades humanas y técnicas, y su plan de cobertura de los servicios en

24x7; sin embargo falta desarrollo de su propuesta de gobierno de capacidades técnicas y

procedimientos.


La organización de las personas para prestar el servicio de diseño y operación, con propuesta

de gobierno integradora, idónea y completa, incluido el plan de cobertura 24x7.

Los procedimientos de monitorización remota y de escalado de incidentes, bien descritos,

cubriendo todos los niveles de detección, análisis y respuesta.



No desarrolla adecuadamente la propuesta de procedimientos de gobierno del SOC, haciendo

foco únicamente en los procedimientos de monitorización remota y en el escalado de

incidentes.

No desarrolla la propuesta de implantación de las capacidades técnicas asociadas a los

procesos de gobierno del SOC.

No propone una metodología de modelado de amenazas, análisis de fuentes de eventos y

desarrollo de casos de uso de monitorización.





La propuesta de T-SYSTEMS a este criterio se considera que NO APORTA VALOR ya que no

concreta su propuesta de organización de recursos, procesos y procedimientos de monitorización,

identificación y tratamiento de incidentes globales, ni cómo realizará el modelado de amenazas de

seguridad para la elaboración de casos de uso de monitorización y tratamiento del incidente

correspondiente.



3.1.9 CRITERIO 4.9 – Servicio de capacitación y formación en ciberseguridad. Hasta 2

puntos.


La propuesta de ATOS a este criterio se considera que NO APORTA VALOR, ya que no desarrolla

una oferta formativa concreta para el personal técnico de Madrid Digital, ni dispone de contenidos

formativos ya desarrollados puestos a disposición para este contrato, ni plantea la posible ejecución

de campañas específicas de evaluación del grado de concienciación en seguridad.


CRITERIO NÚMERO 4.9 – SERVICIO DE CAPACITACIÓN Y FORMACIÓN EN CIBERSEGURIDAD: Hasta 2 puntos 0


La propuesta de BT a este criterio se considera NOTABLE ya que oferta varias acciones formativas

para el personal técnico de Madrid Digital, si bien no detalla el contenido de los cursos. Su propuesta

formativa contempla contenidos formativos propios, plataforma de formación on-line, y capacidades

para la realización de campañas de evaluación de la concienciación en seguridad.


Cinco acciones formativas asociadas a los contenidos técnicos recogidos en el pliego, análisis

de vulnerabilidades, administración y operación del SIEM y análisis forense, con detalle de

duración de cada curso y cinco asistentes por curso.

Acceso para cinco mil usuarios a su plataforma de formación on-line, para concienciación y

formación en seguridad, con treinta módulos formativos ya desarrollados.


Capacidad de realización de campañas de evaluación de concienciación en seguridad, desde

su plataforma de formación.

Soporte a Madrid Digital en la definición estratégica de un plan de formación en ciberseguridad

a tres niveles: general, técnico y técnico de seguridad.



La definición de los contenidos de cada una de las acciones formativas propuestas.

Oferta de contenidos formativos ya desarrollados, de carácter general, en forma de píldoras,

vídeos o similar, a disposición de Madrid Digital.


CRITERIO NÚMERO 4.9 – SERVICIO DE CAPACITACIÓN Y FORMACIÓN EN CIBERSEGURIDAD: Hasta 2 puntos 1,5


La propuesta de DELOITTE a este criterio se considera SOBRESALIENTE ya que recoge una

propuesta formativa muy completa de los cursos técnicos mínimos orientados a la capacitación del

personal de Madrid Digital en las áreas requeridas, un curso on-line para todos los empleados de

formación en seguridad, y diversas iniciativas relacionadas con la concienciación.


Tres acciones formativas asociadas a los contenidos técnicos recogidos en el pliego con

temarios muy completos, adecuados a los objetivos formativos, con tres niveles de profundidad,

y modalidad on-line o presencial.

Un curso on-line de ciberseguridad para empleados en formato SCORM, integrable en la

plataforma LMS de Madrid Digital.

Dos campañas de ingeniería social (phishing) orientadas a la concienciación.

Videos y materiales de concienciación semestrales.

Un taller de sensibilización para la Alta Dirección.





La propuesta de S21SEC a este criterio se considera BUENA ya que su propuesta de cursos técnicos

contempla las áreas mínimas requeridas y propone el desarrollo de sesiones de concienciación a la

alta dirección, con una periodicidad anual de impartición de ambas acciones; no obstante, falta

determinar alcance y contenidos de temarios, y no se ha propuesto contenidos ya desarrollados.


La propuesta de cursos técnicos acorde a los servicios objeto del pliego, indicando su duración

en horas, periodicidad de ejecución, y número de asistentes.

La oferta de cursos de concienciación dirigidos la alta dirección.



Contenido y alcance de las acciones formativas propuestas.

Oferta de contenidos formativos ya desarrollados, de carácter general, en forma de píldoras,

vídeos o similar, a disposición de Madrid Digital.




La propuesta de ICA a este criterio se considera que NO APORTA VALOR, ya que, si bien menciona

posibles áreas formativas, no concreta ninguna propuesta de cursos formativos, contenidos ya

desarrollados y puestos a disposición, o campañas para evaluación del nivel de concienciación en

seguridad.




La propuesta de INDRA a este criterio se considera SOBRESALIENTE ya que recoge, además de una

oferta formativa muy completa y ajustada a los requisitos del pliego, la realización de ciber-ejercicios

para entrenamiento del personal de Madrid Digital en capacidades, respuesta ante amenazas y

detección de ámbitos de mejora.



Propone la realización de un itinerario formativo de seis sesiones muy técnicas de una semana

de duración, para un máximo de treinta asistentes, en modalidad presencial, ofreciendo su

catálogo completo de cursos, entre los que se encuentran los exigidos. El total de jornadas

formativas ofrecidas es de treinta. Dentro de este catálogo se dispone de los cursos asociados

a los contenidos técnicos recogidos en el pliego.

Dos sesiones anuales de ciber-ejercicios para entrenamiento de capacidades del equipo de

Madrid Digital, proponiéndose dos concretos, un ataque de ingeniería social y una dinámica de

grupo (roleplay) de un escenario de crisis, muy acordes y orientados a respuesta ante

incidentes.

Sesiones de trabajo periódicas, de presentación de nuevas tendencias y de sugerencias de

mejora en tecnologías hardware y software.

Oferta de contenidos ya desarrollados de formación en seguridad muy detallada, todo ello con

mediciones del nivel de concienciación recibido.




La propuesta de OESÍA a este criterio se considera NOTABLE proponiendo el diseño de un plan de

formación y sensibilización continuo, basado en cursos y píldoras formativas periódicas, con

propuestas específicas de concienciación de la estructura directiva y personal de Madrid Digital.


Diseño de un Plan de Formación acorde a las necesidades de capacitación de Madrid Digital,

con indicadores de seguimiento específicos, con una propuesta a alto nivel de contenidos para

la impartición de los cursos técnicos relacionados con los servicios del pliego.

Acciones específicas de concienciación a directivos, como análisis de exposición en fuentes

públicas o vulnerabilidades en dispositivos personales, entre otros.

Formación para el personal de Madrid Digital sobre procesos de seguridad, continuidad de

negocio, o manejo de activos, entre otros, a través de su plataforma de e-learning para

formación on-line.

Propuesta de ejecución de su campaña “En red sin riesgos” para empleados de Madrid Digital

y familiares, orientada a la concienciación.

Elaboración de píldoras formativas con periodicidad mensual sobre temas de seguridad de la

información.




Detalle del contenido de cada una de las acciones formativas y de concienciación propuestas.

Campañas de evaluación del nivel de concienciación.




La propuesta de SIA a este criterio se considera NOTABLE ya que su propuesta de acciones

formativas para el personal técnico es idónea y ajustada a los objetivos recogidos en el pliego, además

de la elaboración de píldoras formativas mensuales sobre noticias relevantes en ciberseguridad.


Nueve cursos asociados a los contenidos técnicos recogidos en el pliego, detallando la duración

de cada acción formativa y propuesta de temario de cada curso. El total de jornadas formativas

propuesta es de treinta jornadas.

Material de todos los cursos formativos disponible a través del Portal de Ciberseguridad.

Elaboración de dos píldoras formativas mensuales.



Propuestas específicas para concienciación.

Oferta de contenidos formativos ya desarrollados, a disposición de Madrid Digital.




La propuesta de TELEFÓNICA a este criterio se considera BUENA proponiendo la impartición de

acciones formativas enfocadas a los contenidos técnicos mínimos exigidos (formación sobre la

plataforma SIEM, cursos de pentesting, hacking y gestión de incidentes) y el desarrollo de un plan de

sensibilización en materia de seguridad a usuarios; no obstante, falta el desarrollo de los contenidos

de los cursos y la propuesta de contenidos ya desarrollados puestos a disposición de Madrid Digital.



La propuesta formativa es acorde a los servicios demandados en el pliego, contemplando

formación sobre la plataforma SIEM McAfee, cursos de pentesting, hacking ético y de gestión

de incidentes.

Se propone el desarrollo de un plan de sensibilización, concienciación en materia de seguridad

dirigida a usuarios no técnicos.



Extensión de las acciones formativas propuestas en contenido y alcance de cada una de ellas.

Puesta a disposición de contenidos formativos ya desarrollados.

Campañas de evaluación del nivel de concienciación en seguridad.




La propuesta de T-SYSTEMS a este criterio se considera que NO APORTA VALOR, ya que, si bien

menciona la existencia de un plan de formación, a acordar, no propone contenidos formativos,

asistentes, duración de cursos, contenidos ya desarrollados y puestos a disposición de Madrid Digital,

o campañas para evaluación del nivel de concienciación en seguridad.



3.1.10 CRITERIO 4.10 - Servicio de soporte a la gestión y operación del SOC. Hasta 2 puntos.


La propuesta de ATOS a este criterio se considera que NO APORTA VALOR ya que, si bien enumera

la relación de sistemas de gestión y soporte de los diferentes servicios a los que se tendrá acceso

desde el Portal de Ciberseguridad (GLPI y Nagios), no desarrolla con suficiente completitud la

estructura del Portal de Ciberseguridad y tecnología asociada, las vistas propuestas, el nivel de

personalización ofrecido, la información general de seguimiento y control a la que se tendrá acceso, ni

los cuadros de mando propuestos para el seguimiento de los servicios.



CRITERIO NÚMERO 4.10 – SERVICIO DE SOPORTE A LA GESTIÓN Y OPERACIÓN DEL SOC: Hasta 2 puntos 0


La propuesta de BT a este criterio se considera que NO APORTA VALOR ya que si bien describe los

sistemas propuestos para para la gestión y soporte de la operación (ServiceDesk Plus y Nagios), y

recoge que se facilitará el acceso integrado a todas las consolas de gestión y herramientas asociadas

a los servicios, no desarrolla de forma adecuada su propuesta de construcción del Portal de

Ciberseguridad a nivel funcional, tecnología de desarrollo, cuadros de mando o vistas propuestas.




La propuesta de DELOITTE a este criterio se considera BUENA sustentando su propuesta de

seguimiento del servicio sobre su producto DSOC-Control Panel, como elemento centralizador de los

servicios de gestión y reporting, y con funcionalidades ya disponibles desde el inicio. No se concretan

las vistas y funcionalidades del portal ni los contenidos del cuadro de mando.


Cuadro de mando integral, con agregación de los datos de las distintas herramientas y fuentes

de datos externas mediante API REST y librerías de integración

Métricas de seguimiento estándar, ya predefinidas y a disposición desde el inicio, si se utiliza

su servicio Service Desk.

Certificación, mediante sello de tiempo y firma, de las trazas de los servicios de monitorización

y detección de incidentes de seguridad, mediante el servicio DoyFE.



Concreción y claridad en la propuesta de estructura del portal, sus vistas y funcionalidades.

Propuesta de contenidos de cuadro de mando para el seguimiento del servicio.

Necesidad de licencia de DSOC Panel para las integraciones propuestas. No se menciona si a

la finalización del contrato Madrid Digital podrá utilizar esta licencia, frente a otros licitadores

que sí lo indican de forma expresa.





La propuesta de S21SEC a este criterio se considera BUENA debido a la descripción de

funcionalidades y vistas previstas del Portal de Ciberseguridad, apoyando su propuesta en el portal de

clientes SOC/CERT de S21 para la vista privada de acceso a los distintos servicios, y el desarrollo de

una vista pública con contenidos informativos y de concienciación; sin embargo, la propuesta funcional

del portal y cuadros de mando está poco desarrollada.


Funcionalidades y vistas bien planteadas a alto nivel, con estructura muy acorde al servicio.

Identifica las integraciones a realizar con otros módulos del SOC, como son Nagios, SIEM,

GLPI o vigilancia digital.



Concreción en la propuesta funcional de estructura del portal y de las integraciones previstas.

No desarrolla una propuesta orientada a los servicios del SOC sobre cuadros de mando a

desarrollar.




La propuesta de ICA a este criterio se considera que NO APORTA VALOR ya que, si bien indica que

dispone de capacidades organizativas para su desarrollo, no facilita ninguna información sobre

esquema funciona del portal, vistas, integraciones con otros sistemas, cuadros de mando o tecnología

de desarrollo.




La propuesta de INDRA a este criterio se considera BUENA centrando su propuesta en las

funcionalidades de reporting y cuadro de mandos integrado con todas las fuentes de información de


los distintos servicios del pliego; sin embargo, no se define de forma completa las funcionalidades y

vistas del portal, incluyendo la información de seguimiento del servicio.


Identifica claramente todas las fuentes de información de las que se alimentará el portal para

la construcción de los cuadros de mando: herramienta de ticketing, SIEM, Onesait Cyber,

servicio de vigilancia digital, información sobre vulnerabilidades y avisos, e información sobre

indicadores de compromiso de amenazas.

Propone el desarrollo de un cuadro de mandos en niveles: uno ejecutivo con información

agregada, y varios subniveles de detalle, con una herramienta de búsqueda avanzada.



No se detalla la propuesta funcional del portal, con vistas públicas y privadas,

No se desarrolla la propuesta de información de seguimiento y control de los servicios que se

facilitará a través del portal.




La propuesta de OESÍA a este criterio se considera NOTABLE ya que describe de forma concreta e

idónea las distintas fuentes de información y funcionalidades que facilitará el Portal de Ciberseguridad,

así como la pila de tecnologías aplicadas en el desarrollo; sin embargo, la propuesta adolece de falta

de vistas, cuadros de mando de cómo se va a hacer el seguimiento del servicio.


Propone un diseño funcional del portal bien estructurado con una propuesta de secciones para

la vista pública, y de contenidos accesibles desde la vista privada.

Relaciona de forma detallada todos los sistemas, consolas y herramientas accesibles desde la

vista privada del portal, así como la información de seguimiento y control del servicio:

procedimientos, cuadros de mando, indicadores de seguimiento e informes.

Metodología de desarrollo SCRUM, con entregas continuas, que facilita la personalización e

incorporación de contenidos.


con lo indicado para este criterio, en relación al seguimiento y control de los servicios.



CRITERIO NÚMERO 4.10 – SERVICIO DE SOPORTE A LA GESTIÓN Y OPERACIÓN DEL SOC: Hasta 2 puntos 1,5


La propuesta de SIA a este criterio se considera BUENA ya que describe las vistas privadas y públicas

del Portal de Ciberseguridad, centrando su propuesta en la vista privada de acceso a las distintas

consolas de los servicios y herramientas; no obstante, no completa ni concreta la propuesta en las

distintas vistas, cuadros de mando, estructura de la información necesaria para la comprensión del

servicio.


Propuesta de construcción de una vista pública con información de divulgación, actividad del

SOC, buenas prácticas, o similar, y una vista privada de acceso a los elementos de

administración y gestión de los servicios.

Detalla la relación de herramientas accesibles desde la vista privada.

Cuadro de mando integral para control del estado de los distintos servicios.



Concreción en la propuesta funcional de estructura del portal.

Desarrollo de la propuesta de cuadros de mando que facilitará el portal.

Completitud de la propuesta de información de seguimiento y control de los servicios.




La propuesta de TELEFÓNICA a este criterio se considera que NO APORTA VALOR ya que no facilita

información suficiente sobre propuesta funcional del portal, vistas, información que se pondrá a

disposición, fuentes de información, cuadros de mando o tecnología de desarrollo.






enumera la relación de consolas de gestión desde las que se facilitará un acceso integrado, no

desarrolla una propuesta funcional del portal, fuentes de información, cuadros de mando o tecnologías

de desarrollo.



3.2 CRITERIO NÚMERO 5 – PLANES OPERATIVOS. Hasta 10 puntos.

3.2.1 CRITERIO 5.1 – Plan de implantación de los servicios. Hasta 5 puntos


La propuesta de ATOS a este criterio se considera que NO APORTA VALOR, ya que no recoge de

forma completa e idónea su propuesta de implantación de los servicios y tecnologías, metodología de

control y seguimiento del proyecto, planificación, actividades y plazos previstos, procedimientos y

documentación de seguimiento, calendario de puesta en marcha, ni medios humanos y materiales

asociados a esta fase.


CRITERIO NÚMERO 5.1 – PLAN DE IMPLANTACIÓN DE LOS SERVICIOS: Hasta 5 puntos 0


La propuesta de BT a este criterio se considera BUENA: desarrolla un plan de proyecto a alto nivel

idóneo, con identificación de las actividades principales a ejecutar para la puesta en marcha de cada

servicio ; sin embargo, falta detalle de planificación de actividades y seguimiento del proyecto.


Plan de proyecto de alto nivel identificando las principales actividades asociadas a la puesta en

marcha de cada servicio, con detalle de planificación (Diagrama Gantt de proyecto).

Gestión del proyecto según metodología PMP y PRINCE2.

Propuesta de equipo específico para la implantación de cada servicio, compuesto por personal

especialista de BT, personal del SOC-MD y soporte de fabricantes.




Identificación y planificación de las actividades asociadas a la puesta en marcha de los

servicios.

Identificación de las actividades asociadas a la puesta en marcha de las herramientas de

gestión del servicio (ticketing, monitorización, CMDB, cuadro de mandos, etc.).

Propuesta de documentación de seguimiento del proyecto.


CRITERIO NÚMERO 5.1 – PLAN DE IMPLANTACIÓN DE LOS SERVICIOS: Hasta 5 puntos 2,5


La propuesta de DELOITTE a este criterio se considera BUENA: propone un plan de proyecto de alto

nivel, identificando las actividades asociadas a la puesta en marcha de cada servicio, con especial foco

en el servicio de monitorización; no obstante falta detalle en planificación de actividades y metodología

de control de proyecto.


Plan de proyecto de alto nivel identificando las principales actividades asociadas a la puesta en

marcha de cada servicio.

Identificación de tareas horizontales a ejecutar, comunes a todos los servicios, recogiendo

aspectos como plan de comunicación, definición de KPI’s del servicio o procedimientos de

gestión.



Detalle en la planificación y calendario de ejecución de cada una de las actividades

identificadas, y específicamente en las asociadas a la puesta en marcha de las herramientas

de gestión del servicio.

Detalle en la metodología de control y seguimiento del proyecto.

Equipo humano dedicado a la fase de implantación.


CRITERIO NÚMERO 5.1 – PLAN DE IMPLANTACIÓN DE LOS SERVICIOS: Hasta 5 puntos 2,5



La propuesta de S21SEC a este criterio se considera SOBRESALIENTE ya que propone un plan de

proyecto completo, muy bien estructurado y claro con todas las fases y actividades asociadas a la

implantación de todos los servicios del SOC.


Plan de proyecto propuesto organizado en siete fases, las cinco primeras orientadas a la

organización y planificación general, análisis de situación de partida y sistemas involucrados,

tanto los propuestos para el SOC como los que se monitorizarán y gestionarán, definición de

procedimientos de interrelación y casos de uso iniciales, y dos asociadas a la implantación y

revisión de cumplimiento de objetivos.

Identifica de forma completa, idónea y clara, para cada fase, los objetivos de todas las

actividades asociadas y la documentación de seguimiento que facilitará, con especial

consistencia en lo relativo a la instalación del sistema SIEM y la solución de análisis de

vulnerabilidades, y en el diseño de casos de uso de monitorización y procedimientos de

actuación.

Recoge una fase específica de análisis de procedimientos de interrelación entre el SOC y resto

de áreas de Madrid Digital, modelo de gobierno, flujos de trabajo y ANS’s

Actividades asociadas al desarrollo del Portal de Ciberseguridad, implantación de las

herramientas de gestión del SOC, infraestructura de acceso remoto (VPN) y conectividad entre

CPD's, claras y adecuadas.

Propuesta de ejecución de un ciber-ejercicio de respuesta ante incidentes para el chequeo de

la idoneidad de los procedimientos definidos y capacidades de los roles identificados.




La propuesta de ICA a este criterio se considera ADECUADA: propone un plan de proyecto genérico

estructurado en fases y actividades; si bien, falta detalle en la planificación de las actividades

relacionadas con la puesta en marcha de cada servicio y en la metodología de control y seguimiento

del proyecto



Detalle en la planificación de las actividades asociadas a la puesta en marcha de cada servicio.

Detalle en la descripción y planificación de las actividades asociadas a la puesta en marcha de

las herramientas soporte a la gestión del servicio.


Detalle en la metodología de control y seguimiento del proyecto que se propone aplicar.





La propuesta de INDRA a este criterio se considera NOTABLE, ya que propone un plan de

implantación articulado en dos fases principales, con sub-fases, actividades y entregables asociados,

e identificación de objetivos y riesgos asociados en cada actividad; no obstante, falta detalle en el

calendario de ejecución de actividades e identificación del equipo en cada fase, y en el desarrollo de

las actividades de control.


Identificación de dos fases principales, una de despliegue de tecnologías y herramientas y otra

de implantación propiamente dicha de los servicios.

Definición de alto nivel de los objetivos de cada una de las actividades identificadas, y de la

documentación a elaborar y entregar como resultado de cada actividad.

Metodología de proyecto propuesta para la implantación de los servicios muy completa.



Detalle en la planificación y calendario de ejecución de cada una de las actividades

identificadas, así como en la asignación del equipo técnico dedicado a cada actividad.

Concreción en las actividades de control y seguimiento del proyecto, que permitan identificar

desviaciones sobre la planificación.




La propuesta de OESÍA a este criterio se considera ADECUADA: recoge una propuesta de plan de

proyecto estructurado en fases y actividades a realizar en cada fase; si bien, falta concreción en la

identificación de las actividades relacionadas con la puesta en marcha de cada servicio y en el

desarrollo de la metodología de control y seguimiento.




Detalle en la planificación de las actividades asociadas a la puesta en marcha de cada servicio.

Detalle en la descripción y planificación de las actividades asociadas a la puesta en marcha de

las herramientas soporte a la gestión del servicio.

Detalle en la metodología de control y seguimiento del proyecto que se propone aplicar.





La propuesta de SIA a este criterio se considera NOTABLE, proponiendo para la puesta en marcha

de los servicios un plan de proyecto concreto en cuatro fases, indicando calendario de actividades en

cada una de las fases, con especial detalle de las actividades asociadas a la fase de despliegue de

infraestructuras; no obstante, no se desarrolla la metodología de control y seguimiento.


Plan de proyecto propuesto organizado en cuatro fases: lanzamiento, revisión y actualización

del plan de puesta en marcha, despliegue de infraestructura y puesta en marcha de los

servicios.

Calendario de ejecución de cada una de las fases y actividades identificadas, tanto para la fase

de despliegue de infraestructura como para la de puesta en marcha.

Facilita una visión completa de todos los sistemas y herramientas a desplegar, y de las

relaciones entre ellas.


con lo indicado para este criterio, en relación a la metodología de control y seguimiento del proyecto.




La propuesta de TELEFÓNICA a este criterio se considera NOTABLE, ya que propone un plan de

proyecto en el que identifica, para cada uno de los servicios, las principales actividades y calendario

de ejecución asociado a cada una de ellas; no obstante, no desarrolla cómo se va a hacer el control y

seguimiento del proyecto.



Plan de implantación desarrollado en base a los distintos servicios, identificando para cada uno

de ellos las actividades asociadas y el calendario propuesto de ejecución.

Relación de actividades propuestas asociadas a la puesta en marcha del SIEM, muy concretas

y detalladas.

Elaboración de un plan formal de respuesta a incidentes entre Madrid Digital y el SOC de

Telefónica, adecuado para el servicio.



Detalle en la planificación de las actividades asociadas a los servicios de detección y análisis

de incidentes.

Detalle en su propuesta de metodología de control y seguimiento del proyecto.





propone como metodología de gestión del proyecto la utilización de PM BOOK, no recoge de forma

completa e idónea su propuesta de implantación de los servicios y tecnologías, metodología de control

y seguimiento del proyecto, planificación, actividades y plazos previstos, procedimientos y

documentación de seguimiento, calendario de puesta en marcha, ni medios humanos y materiales

asociados a esta fase.



3.2.2 CRITERIO 5.2 – Plan de operación y devolución de los servicios. Hasta 3 puntos


La propuesta de ATOS a este criterio se considera BUENA, debido a que facilita una descripción

completa de las actividades y funciones por roles de cada uno de los recursos; sin embargo, no

describe con suficiente detalle la propuesta de modelo organizativo para el plan de operación ni se

detalla un plan de devolución de los servicios.


Detalla actividades y funciones por recurso/rol.


Detalla un plan propio para formar a los recursos y retenerlos.

Dentro del modelo organizativo, se detalla el flujo de gestión de incidentes.



Concreción en la propuesta de modelo organizativo y de relación entre equipos.

Definición del control y seguimiento de eventos.

Detalle en la propuesta de devolución del servicio, documentación mínima a entregar y

actividades a ejecutar.


CRITERIO NÚMERO 5.2 – PLAN DE OPERACIÓN Y DEVOLUCIÓN DE LOS SERVICIOS: Hasta 3 puntos 1,5


La propuesta de BT a este criterio se considera BUENA, debido a que presenta y describe de forma

detallada el plan de operación y modelo organizativo propuesto; sin embargo, el plan de devolución de

los servicios no está suficientemente desarrollado.


Describe en el plan de operación de los servicios el modelo organizativo propuesto.

En el plan de devolución destaca la creación de un equipo dedicado a esta actividad dentro del

servicio prestado.



Detalle en los procedimientos y la metodología de relación entre equipos.

Detalle en la identificación de las responsabilidades por roles dentro de los equipos y medidas

de aseguramiento del talento y capacitación técnica del equipo que se van a implementar.

Detalle en las fases y actividades del plan de devolución propuesto, así como en la

documentación a entregar por fase y actividad.





La propuesta de DELOITTE a este criterio se considera BUENA, debido a que el plan de devolución

del servicio detalla suficientemente el modelo de ejecución, basado en ejes o pilares y en el cual se

hace hincapié en la actualización de la documentación que se va emitiendo para que esté siempre

actualizada; sin embargo, no detalla el plan de operación del servicio de forma global.


Especifica medidas de aseguramiento del talento y capacitación técnica del equipo.

El plan de devolución del servicio, aunque es algo teórico, detalla bastante el modelo de

ejecución, basado en ejes o pilares y en el cual se hace hincapié en la actualización de la

documentación que se va emitiendo para que esté siempre actualizada.



Concreción en la propuesta de plan de operación de los servicios.

Detalle en los procedimientos y la metodología de relación entre equipos,

Detalle en la definición de responsabilidades por funciones dentro de los equipos




La propuesta de S21SEC a este criterio se considera NOTABLE, destacando dentro del plan de

operación su propuesta de asignación de responsabilidades por funciones, el programa de

capacitación del equipo, y el apartado de devolución del servicio, basado en metodología ITIL, en el

que detalla qué actividades se realizan en cada etapa contemplada y la duración de cada fase. No

obstante, falta mayor concreción en el desarrollo del modelo organizativo propuesto y en la

documentación a generar en cada fase.


Describe el modelo de operación para la gestión y respuesta a incidentes.

Existe un matriz RACI de responsabilidad por funciones, que establece los compromisos por

funciones del equipo.

Para el aseguramiento de la capacitación y talento del equipo tiene definido un programa de

capacitación, formación y evaluación de desempeño (formación continuada y especializada de

las funciones) con un número mínimo de horas determinadas por cada recurso.

El plan de devolución del servicio, basado en metodología ITIL, detalla qué actividades se

realizan en cada etapa, especificando la duración de cada fase.




Concreción en la propuesta de modelo organizativo del servicio.

Concreción de los procedimientos y metodologías de relación entre equipos, que se deducen

de la matriz RACI de funciones.




La propuesta de ICA a este criterio se considera ADECUADA, proponiendo a alto nivel un modelo de

gestión de los servicios, detallando la documentación mínima a general durante el contrato.



Concreción en la propuesta de modelo organizativo, de los procedimientos del servicio y de las

metodologías de relación entre equipos

Detalle en la propuesta de roles y responsabilidades de los recursos

Detalle en propuesta de medidas de capacitación y aseguramiento del talento que desarrollarán

a lo largo del contrato.

Concreción en la propuesta de plan de devolución del servicio.




La propuesta de INDRA a este criterio se considera NOTABLE: define un modelo organizativo-

operacional basado en metodología NIST, que traslada de forma concreta al equipo que se dedicará

a las operaciones. Destaca también su propuesta de medidas de aseguramiento del talento y la

capacitación técnica; sin embargo, el plan de devolución de los servicios no especifica la

documentación que se generará en cada etapa tal y como se indica en la descripción de este criterio.


Define un modelo organizativo-operacional, basado en metodología NIST, que se concreta en

el equipo que se dedicará a las operaciones.


A destacar que tienen medidas de aseguramiento del talento y capacitación técnica a través de

las siguientes medidas: carrera profesional, conciliación, movilidad y planes de formación.

En el plan de devolución de los servicios se definen de manera ligera las etapas con sus

objetivos.



Concreción en la propuesta de modelo organizativo, procedimientos y metodología sobre la

relación del equipo de trabajo, sobre sus responsabilidades por funciones y su constitución.

Concreción en la definición de la documentación que se generará en las distintas fases del plan

de devolución de los servicios.




La propuesta de OESIA a este criterio se considera NOTABLE, debido a que especifica un plan de

devolución del servicio basado en fases, las cuales detalla tanto en actividades como en los

entregables obtenidos en cada una de ellas. Propone medidas concretas a través de un plan de carrera

para asegurar el talento y la capacitación, y dispone de un plan interno para asegurar las sustituciones

de personal; sin embargo, falta detalle en el desarrollo del modelo organizativo.


Especifica un plan de devolución del servicio basado en fases, las cuales detalla tanto en

actividades como en los entregables obtenidos en cada una de ellas.

Las medidas internas de las que dispone el licitador para el aseguramiento del talento y

capacitación del equipo mediante un plan de carrera, con evaluación del desempeño y plan de

formación personalizado.

La oferta de un plan de cobertura para cubrir sustituciones en el equipo.



Detalle en el modelo organizativo y la metodología de relación entre equipos propuesta.

Concreción en la definición de responsabilidades por funciones.





La propuesta de SIA a este criterio se considera SOBRESALIENTE, debido a que especifica un plan

de operación del servicio y un plan de devolución del servicio completos e idóneos, basado en fases y

actividades, detallando recursos (humanos y técnicos), entregables y calendarios.


Describe detalladamente el modelo organizativo y de relación entre los recursos en tres niveles:

gobierno, táctico y operativo, incluyendo gráficos que mejoran su comprensión.

Se detallan todas las actividades e interrelaciones del plan de operación del servicio,

relacionándolas con otras actividades de gestión de la demanda, gestión de problemas, gestión

de quejas y soporte técnico.

Definen un plan muy detallado de devolución del servicio basado en fases, actividades y

entregables obtenidos en cada una de ellas, incluyendo el plan de transferencia del

conocimiento.

Ofrece un equipo multidisciplinar de apoyo en sus instalaciones para ambos planes.


CRITERIO NÚMERO 5.2 – PLAN DE OPERACIÓN Y DEVOLUCIÓN DE LOS SERVICIOS: Hasta 3 puntos 3


La propuesta de TELEFÓNICA a este criterio se considera BUENA, debido a que describe un modelo

organizativo matricial para el plan de operaciones, basado en tres ejes y tres capas (gobierno,

operación y tecnología); no obstante, no detalla suficientemente las actividades del plan de operación

del servicio ni las del plan de devolución del mismo.


Describe un modelo organizativo matricial basándose en tres ejes y tres capas (gobierno,

operación y tecnología).

Recoge un planteamiento de alto nivel sobre el plan de devolución de los servicios.



Detalle del modelo operativo propuesto.

Concreción en el apartado de gestión de recursos, responsabilidades funciones y medidas

internas de aseguramiento del talento.

Detalle en el plan de devolución de los servicios, como la documentación.





La propuesta de T-SYSTEMS a este criterio se considera BUENA, debido a que desarrolla las

funciones que considera más importantes del equipo del plan de operaciones; sin embargo, falta

concreción en la propuesta del plan de operación y plan de devolución del servicio.


Propone un modelo organizativo basado en tres niveles.

Identifica las responsabilidades por funciones del equipo, destacando las que considera más

importantes a nivel de servicio.



Detalle en la propuesta de plan de operación del servicio.

Concreción sobre aspectos de la gestión de recursos: relación entre equipos y medidas internas

de aseguramiento del talento.

Detalle y desarrollo de las fases propuestas en el plan de devolución de los servicios.



3.2.3 CRITERIO 5.3 – Plan de calidad. Hasta 2 puntos


La propuesta de ATOS a este criterio se considera BUENA debido a que define de forma idónea un

plan de mejora continua de la calidad detallando los pasos a seguir para desarrollarlo; sin embargo, no

se presenta un plan de seguimiento ni se especifica sus informes.


Propone como indicadores clave de seguimiento, indicadores subjetivos de calidad para medir

el servicio percibido

Propone una metodología de medición de los indicadores de calidad propuestos, acordes a los

servicios del pliego.

Define un plan de mejora continua indicando cuáles son los pasos a dar.




Detalle en la definición del plan de seguimiento y calidad.

Concreción en la relación de informes de seguimiento del servicio propuestos.


CRITERIO NÚMERO 5.3 – PLAN DE CALIDAD: Hasta 2 puntos 1


La propuesta de BT a este criterio se considera que NO APORTA VALOR, debido a que no detalla

nada del plan de calidad, lo deja todo a definir cuándo se firme el contrato. Tampoco propone

indicadores posibles, ni metodología de medición y control de dichos indicadores, y respecto al plan

de seguimiento y calidad se nombra, pero no se detalla.




La propuesta de DELOITTE a este criterio se considera BUENA contemplando, dentro del plan de

seguimiento de los niveles de calidad de los servicios, la revisión periódica de los ANS establecidos,

para su análisis, ajuste, sustitución o eliminación si procede; sin embargo, no se detalla con suficiente

concreción la metodología de medición y control.


Propuesta de alto nivel de plan de seguimiento de los niveles de calidad.

Recoge, dentro del plan de seguimiento de la calidad, las actividades de revisión periódica de

los ANS para su ajuste o eliminación.



Detalle en la propuesta de plan de seguimiento de la calidad, ya que está explicado a alto nivel.

No se presenta con suficiente detalle la propuesta de indicadores de seguimiento.

Concreción en la relación de informes de seguimiento del servicio propuestos.





La propuesta de S21SEC a este criterio se considera BUENA debido a que define un plan seguimiento

de la calidad de los entregables a facilitar a lo largo del contrato, con varios procedimientos, y una

gestión de las desviaciones para la aplicación de mecanismos de corrección; sin embargo, no se detalla

suficientemente las actividades del plan de seguimiento y calidad para el servicio.


La exposición detallada e idónea de un plan de calidad de los entregables, con varios

procedimientos.

Propuesta de gestión de las desviaciones para la aplicación de mecanismos correctivos en

mínimo tiempo.



Detalle en la propuesta de plan de calidad del servicio.

Concreción en la propuesta de indicadores clave de los niveles de calidad, así como en la

metodología de medición y control de los indicadores.

Detalle en la identificación de los informes que se obtendrán para componer el cuadro de mando

de seguimiento de ANS propuesto.




La propuesta de ICA a este criterio se considera ADECUADA, proponiendo una relación de indicadores

clave de seguimiento de la calidad del servicio.



Detalle en la definición de indicadores clave de calidad por servicio.

Detalle en la metodología de medición y seguimiento de los indicadores de calidad.

Detalle en la propuesta de plan de seguimiento de la calidad

Concreción en la propuesta de informes de seguimiento a elaborar.


CRITERIO NÚMERO 5.3 – PLAN DE CALIDAD: Hasta 2 puntos 0,5



La propuesta de INDRA a este criterio se considera BUENA, debido a que el plan de calidad propuesto

incluye procedimientos orientados a la mejora continua mediante el incremento progresivo del nivel de

servicio; no obstante, falta concreción en las actividades del plan, y mayor desarrollo de los indicadores

para el seguimiento de la calidad del servicio


Para los planes de seguimiento y calidad, propone la realización de un plan de calidad de los

procedimientos cuyo objetivo es el incremento progresivo del nivel del servicio.

En su oferta considera las no conformidades y propone cómo detectarlas y solucionarlas.



Concreción en el desarrollo de la metodología de medición y control.

Detalle de la propuesta de informes para el seguimiento de la calidad.

Detalle de la propuesta de indicadores complementarios para el seguimiento de la calidad de

los servicios.




La propuesta de OESIA a este criterio se considera NOTABLE debido a que dentro del plan de

seguimiento y calidad proponen un plan de mejora específico de los ANS del servicio, así como comités

e informes ad-hoc para su seguimiento, aportando propuesta detallada de informes de seguimiento;

sin embargo, falta concreción en la metodología utilizada.


Plan de seguimiento y calidad detallado que incluye un plan específico de mejora de los ANS

del servicio, mediante la realización de comités de seguimiento e informes ad-hoc para su

seguimiento.

Propone una relación de indicadores acordes al servicio para el seguimiento y mejora de la

formación y para la mejora del servicio.

La relación de informes de seguimiento con contenidos desarrollados, e indicación de su

periodicidad de entrega.


con lo indicado para este criterio, en relación al desarrollo de la metodología de medición y control

propuesta para este proyecto.



CRITERIO NÚMERO 5.3 – PLAN DE CALIDAD: Hasta 2 puntos 1,5


La propuesta de SIA a este criterio se considera SOBRESALIENTE debido a que, dentro del plan de

seguimiento y calidad, propone una metodología de medición y control muy precisa. Esta metodología

ofrece cuadros de mando adaptados a los distintos servicios. Propone diferentes indicadores y tipos

de informes para realizar el seguimiento.


Propone una metodología de medición y control que permite el cálculo y control automatizado

de los distintos indicadores que se implementen.

Propone nuevos indicadores para el seguimiento y mejora del servicio y del contrato.

Plan de seguimiento y calidad idóneo y concreto que se presentará a través de un cuadro de

mando integral.

Propuesta de diferentes tipos de informes dentro del plan de seguimiento (financiero,

seguimiento, calidad, etc.).




La propuesta de TELEFÓNICA a este criterio se considera BUENA debido a que establece una

metodología basada en ITIL para la definición de los procesos de seguimiento de la calidad, que incluye

la medición y control de los indicadores; sin embargo, falta detalle en la identificación de las actividades

y documentación de seguimiento de la calidad, incluido los indicadores de seguimiento de la calidad.


Establece una metodología basada en ITIL para la definición de los procesos de seguimiento

de la calidad. Esta metodología incluye la definición de los indicadores de los niveles de calidad

y su control, planteando un plan de mejora continua del servicio para la corrección de las

desviaciones.

Propone la realización de varios tipos de informes de seguimiento de la calidad como el

económico o el de gestión del servicio.




Detalle en la propuesta de indicadores clave de calidad.

Detalle en las actividades y documentación de seguimiento propuestas.




La propuesta de T-SYSTEMS a este criterio se considera BUENA debido a que define de forma idónea

un plan de calidad donde destaca la orientación hacia la mejora continua del servicio; sin embargo, no

se concretan suficientemente las actividades de seguimiento del plan, ni el contenido de la

documentación a generar.


Propone una relación detallada de nuevos indicadores para el seguimiento del servicio.

Propone un plan de calidad orientado a la mejora continua del servicio.



Detalle y concreción en el desarrollo del plan de calidad propuesto.

Detalle en la propuesta de documentación de seguimiento de la calidad.




4 Resumen de la valoración de los criterios cualitativos. Hasta 45

puntos.

A continuación, se recoge el resumen de la valoración final de las propuestas:

CRITERIOS Puntuación

ATOS Puntuación

BT Puntuación DELOITTE

Puntuación S21 SEC

Puntuación ICA

4. Solución técnica propuesta para los servicios requeridos

11,5 21 26 27 1

4.1 Servicio automatizado de análisis de vulnerabilidades

1 1,5 0,5 0,5 0

4.2 Servicio manual de análisis de vulnerabilidades

1 0,5 0,5 1,5 0,5

4.3 Servicio de monitorización de eventos de seguridad

5 8 8 10 0

4.4 Servicio de identificación de amenazas y vigilancia digital

0,5 0,5 1 2 0,5

4.5 Servicio de detección de incidentes, nivel 1 y nivel 2

3,5 5,5 7 5,5 0

4.6 Servicio especializado de respuesta a incidentes

0,5 0,5 1,5 2 0

4.7 Servicio de soporte a la gestión de incidentes

0 1 0,5 1,5 0

4.8 Servicio de diseño y operación de procesos y tecnologías del SOC

0 2 4 2 0

4.9 Servicio de capacitación y formación en ciberseguridad

0 1,5 2 1 0

4.10 Servicio de soporte a la gestión y operación del SOC

0 0 1 1 0

5. Planes operativos 2,5 4 5 8,5 2

5.1 Plan de implantación de los servicios 0 2,5 2,5 5 1

5.2 Plan de operación y devolución de los servicios

1,5 1,5 1,5 2,5 0,5

5.3 Plan de calidad 1 0 1 1 0,5

TOTALES 14 25 31 35,5 3


CRITERIOS Puntuación

INDRA Puntuación

OESÍA Puntuación

SIA Puntuación TELEFÓNICA

Puntuación T-SYSTEMS

4. Solución técnica propuesta para los servicios requeridos

30,5 27,5 29,5 19 8

4.1 Servicio automatizado de análisis de vulnerabilidades

2 1 1,5 0,5 0,5

4.2 Servicio manual de análisis de vulnerabilidades

1,5 1,5 2 0,5 0

4.3 Servicio de monitorización de eventos de seguridad

10 8 10 8 2

4.4 Servicio de identificación de amenazas y vigilancia digital

1,5 1 1,5 1 0,5

4.5 Servicio de detección de incidentes, nivel 1 y nivel 2

7 7 7 3,5 3,5

4.6 Servicio especializado de respuesta a incidentes

1,5 1,5 1 1,5 0,5

4.7 Servicio de soporte a la gestión de incidentes

2 1,5 1 1 1

4.8 Servicio de diseño y operación de procesos y tecnologías del SOC

2 3 3 2 0

4.9 Servicio de capacitación y formación en ciberseguridad

2 1,5 1,5 1 0

4.10 Servicio de soporte a la gestión y operación del SOC

1 1,5 1 0 0

5. Planes operativos 7,5 5 9 6,5 2,5

5.1 Plan de implantación de los servicios 4 1 4 4 0

5.2 Plan de operación y devolución de los servicios

2,5 2,5 3 1,5 1,5

5.3 Plan de calidad 1 1,5 2 1 1

TOTALES 38 32,5 38,5 25,5 10,5

La oferta técnica de la empresa SIA responde a los requisitos técnicos recogidos en el Pliego de

Prescripciones Técnicas y es la mejor de las presentadas. Como resumen de la valoración hay que

destacar:

Respecto a los criterios que valoran las soluciones técnicas propuestas para los servicios

requeridos en el pliego de prescripciones técnicas:

o Presenta una propuesta de servicios de análisis de vulnerabilidades, automático y

manual, muy completa e idónea, describiendo con detalle los procedimientos de


ejecución y seguimiento del servicio, los componentes de la solución, y su integración

con el servicio de identificación de amenazas y vigilancia digital.

o La solución propuesta para la plataforma de monitorización de eventos de seguridad es

excelente e innovadora, basada en Exabeam, SIEM destacado en el cuadrante mágico

de líderes de Gartner. Destaca la arquitectura de la misma, las medidas de

disponibilidad y continuidad planteadas, las capacidades de integración y adaptación

con los sistemas de Madrid Digital y sus posibilidades de escalado. También hay que

resaltar la completitud y adecuación de la librería de casos de uso de monitorización ya

desarrollados, y la calidad y desarrollo de la propuesta de operación y mantenimiento

de la plataforma.

o La solución de Ciberinteligencia propuesta para el servicio de identificación de

amenazas y vigilancia digital es muy completa, y adecuada en metodología y

procedimientos. Incluye una relación muy exhaustiva y acorde con el servicio de fuentes

externas de inteligencia y de notificación de amenazas, que permiten identificar riesgos

y cualificar el impacto.

o Presenta una propuesta de servicio de detección de incidentes sobresaliente. La

organización de los recursos, los procedimientos de identificación, tratamiento y

escalado de incidentes y de monitorización son completos e idóneos. También se aporta

una propuesta de valor de tecnologías de aprendizaje automático, análisis de

comportamiento y procesamiento automático de datos, que permite automatizar las

tareas del nivel N1 y mejorar el análisis del N2.

En relación al resto de criterios que valoran las soluciones técnicas propuestas para los

servicios, el aporte de valor de SIA es muy bueno, y por encima de la media del resto de

licitadores.

Respecto a los criterios que valoran los planes operativos, los planes de implantación y

operación presentados son idóneos y concretos, proponiendo fases, actividades y calendarios

detallados para la implantación y operación de cada servicio, facilitando una visión completa de

todos los sistemas y herramientas a desplegar. Se contempla un plan de devolución del servicio

consistente y objetivo, con un plan de transferencia de conocimiento completo, herramientas, y

documentación. Por último, el plan de calidad propone una metodología de medición y control

muy precisa, con cuadros de mando e indicadores específicos para hacer el seguimiento de los

distintos servicios.

Junto con la mejor oferta de la empresa SIA, es de destacar las propuestas de INDRA, S21SEC y

OESÍA, todas ellas responden a los requisitos del Pliego de Prescripciones Técnicas, con propuestas

de valor por encima de los 32 puntos. Como resumen de sus valoraciones se destaca:

INDRA:



o Presenta una propuesta de servicios de análisis de vulnerabilidades, automático y

manual, muy completa e idónea, proponiendo una herramienta integrada en el SIEM


ofertado, acotando y definiendo perfectamente los objetivos del servicio, la arquitectura,

procedimientos y metodologías.


sobresaliente, basada en QRadar, SIEM líder del cuadrante mágico de Gartner. Destaca

en todos los aspectos valorados: arquitectura, medidas de disponibilidad y continuidad,

capacidades de integración y adaptación, escalabilidad, librería de casos de uso de

monitorización, y propuesta de operación y mantenimiento de la plataforma.

o Las capacidades de vigilancia digital se resuelven con una solución de Ciberinteligencia

que se describe con precisión, relacionando y desarrollando la relación y tipología de

fuentes externas de inteligencia y la notificación de amenazas propuestas para el

servicio.

o Presenta una propuesta de servicio de detección de incidentes sobresaliente, que

complementa con servicios especializados de respuesta a incidentes, y de gestión y

apoyo a la respuesta ante incidentes graves, muy sólida y bien estructurada.

Respecto a los criterios que valoran los planes operativos, los planes de implantación de

los servicios y de operación y devolución, son concretos y acordes al proyecto, estando por

encima de la media de valoración del resto de licitadores.

S21SEC:








o Las capacidades de vigilancia digital se resuelven de forma sobresaliente con una

solución de evaluación de riesgo digital líder en el cuadrante de Forrester. Se describe

con precisión ambos servicios, objetivos, actividades, e interrelaciones, relacionado

ampliamente las fuentes y amenazas identificadas.

o Presenta una propuesta de servicio de detección de incidentes notable, que

complementa con un servicio especializado de respuesta a incidentes excelente.

Respecto a los criterios que valoran los planes operativos, destaca su propuesta

sobresaliente del plan de implantación, desarrollado en: fases, actividades y recursos. Este plan

se complementa con un plan de operación y devolución del servicio, y un plan de calidad,

ambos completos y consistentes.


OESÍA:








o Presenta una propuesta de servicio de detección de incidentes sobresaliente, muy

desarrollada, que identifica de forma clara las interrelaciones entre los niveles de

detección y análisis, los procedimientos de identificación, tratamiento y escalado, y el

procedimiento de monitorización remota. Se aporta una propuesta de valor de

tecnologías de aprendizaje automático, análisis de comportamiento y procesamiento

automático de datos que permite automatizar las tareas de este servicio.

o Los servicios especializados de respuesta y de gestión de incidentes están muy bien

planteados y desarrollados, complementando perfectamente al servicio de detección de

incidentes.

Respecto a los criterios que valoran los planes operativos, destaca su propuesta notable

de plan de operación y devolución del servicio, con medidas concretas para asegurar el talento

y la capacitación del equipo. Respecto al plan de calidad, incorpora un plan específico de

mejora de los ANS del servicio.

La Subdirectora General de Infraestructuras y Operaciones

Fdo. Zaida Sampedro Préstamo

Documents

LOTE 1: Centro de Operaciones de Seguridad · 2019-04-04 · CRITERIOS, procede realizar la valoración del LOTE1: CENTRO DE OPERACIONES DE SEGURIDAD, correspondiente a los criterios