Recordatorio. Concurso de la Oficina de seguridad en Tecnologías de la Informacion del Servicio Madrileño de Salud [la OSSI-CERT]

[17/07] Acaba de  publicarse en el BOCM (nº 162 de 10/07/2014) la convocatoria de licitación del importante contrato de servicios denominado "Oficina de seguridad y centro de soporte especializado en el Área de Seguridad de Sistemas y Tecnologías de la Información del Servicio Madrileño de Salud (OSSI-CERT)” especificándose que el contrato tendrá una duración de 2 años (prorrogables a otros 2), de inicio previso el 16 de Octubre de 2014,  y un apreciable presupuesto base de más de 2 millones de euros (para el plazo de 2 años inicial) [1] El criterio de adjudicación es únicamente el precio.

Según los  pliegos de prescripciones técnicas el objeto del contrato es el servicio de soporte especializado de Oficina de Seguridad de sistemas de información(OSS|), en temas relacionados con la seguridad y la protección de datos personales al Área de Seguridad de la DGSIS . En los pliegos se explica que la OSSI es "el órgano responsable de la coordinación e implantación de políticas y medidas de seguridad de la organizacion, prestando a los diferentes centros dependientes de la Consejería de sanidad, una serie de servicios tanto reactivos, como preventivos, con el objeto de impulsar y dar soporte a la implantación de las medidas de seguridad por parte de dichos centros" siempre realizando actuaciones orientadas al cumplimiento del Esquema Nacional de Seguridad.

El adjudicatario deberá prestar los servicios de

• consultoría para cumplimiento de la normativa vigente en seguridad y protección de datos
• asesoriía y auditoría de controles de seguridad de TI
• análisis de la seguridad del SW y HW de la Consejería
• comunicación y formación en seguridad
• monitorización y correlación de eventos de seguridad en horario de 24h que se prestará desde el Centro de Operaciones de Seguridad del contratista (SOC)

El contrato también incluye el mantenimiento de las plataformas  existentes:

• DrAN@,  "Aplicación informática que permite gestionar de forma centralizada el cumplimiento de
  la Ley Orgánica de Protección de Datos personales (LOPD)" para los responsables de seguridad de cada centro
• SGOSSI, Sistema de gestión de la propia Oficina , cuadros de mano de seguridad y de las auditorías bienales
• HORUSTRACK, Herramienta de gestión de auditorías de acceso a información de paciente
• SIEM (Sistema de gestión de Eventos de seguridad), plataforma de monitorización de dispositivos, electrónica y servidors con funcionalidades de IDS (Detección de Intrusos) , escáner de vulnerabilidades,  correlación de eventos sobre las 5 Sondas Alien Vault ya instaladas en hospitales y  otras 5 Fortinet que se están desplegando así como la consola de gestión SIEM de Alien Vault

 y de nueva dotación de

• equipamiento de 21 nueva sondas con funcionalidades de gestión de malware, detección de ataques y vulnerabilidades "tipo snort", aportando, en su caso, las licencias de uso
• software de anaĺisis de vunerabilidades web Accunetix o similar para la búsqueda de fallos de las páginas web de la Consejería en Internet

Los trabajos se llevarán a cabo de forma habitual en las propias oficinas de los contratistas (como el SOC) o en las dependencias de la DGSIS, según conveniencia de la DGSIS, exigiendo  un número mínimo de 10 personas  más el jefe de proyecto aparte del personal que tenga la empresa de 24x7 para el SOC. Para la parte variable de los servicios específicos de cuota variable que se encargue se han valorado una tarifas aplicables en concepto de horas-hombre de 42,01 euros + IVA  euros/hora para un Consultor. La DGSIS aportará un Director de Proyecto y "otros miembros opcionales" para gobernar el contgrato. La transición prevista con los contratistas actualeses de 1 mes. Se permite a los adjudicatarios un 30% de nivel de subcontratación,
Este concurso supone por tanto una continuación de anteriores concursos del área de seguridad de los SSCC del SERMAS, que funciona bajo un modelo de externalización amplia y  en la que también existe personal de  la Agencia de Informática de la Comunidad de Madrid (ICM) dadas las compentencias que  tiene desde el 1/1/2008  en la Consejería de Sanidad en materia de de seguridad de las comunicaciones de datos (entre otras).

Dado que el ámbito de este área de seguridad es el específico sanitario y en la organización SERMAS contar con personal propio del SERMAS bien aprovechado y actualizado en su formación y competencias y, en caso de ser necesario, reubicado en funciones y ámbito de actuación, contribuiria a  una mayor calidad y control del servicio y retención de conocimiento.


[1] casi 2 millones correspondientes a la parte fija del contrato (servicios de soporte y mantenimiento software), menos de 200 mil euros en  la parte variable y 84 mil euros en el suministro de nuevas sondas  ( a cargo cargo de las partidas 22730 sobre todo y tambien la 62600 del Programa 720 de los Presupuestos) .


NOTA DEL EDITOR:  Entrada modificada el 18/09/2014 con la mención a ICM y su personal 
 
Entradas relacionadas :

• [21/10/2008] Adjudicado a Indra el contrato de servicios de seguridad informática de la Consejería de Sanidad (entrada nuestra)
• [08/07/2010] Concurso para un nuevo Centro de Soporte de Seguridad informática externalizado del SERMAS: el CESEAS-CERT (entrada nuestra)
• [14/09/2014] Adjudicado a Telefónica el concurso del nuevo Centro de Soporte de Seguridad informática externalizado del SERMAS: el CESEAS-CERT
• [17/07/2014]  Concurso de la Oficina de seguridad en Tecnologías de la Informacion del Servicio Madrileño de Salud [la OSSI-CERT]