CIBERSEGURIDAD
El Congreso saca a concurso un contrato para protegerse cuatro años de ciberataques por casi 3 millones de euros
Contará con un sistema de rastreo de redes sociales y de la 'Internet profunda' para detectar eventuales ataques coordinados
El Congreso de los Diputados quiere blindarse ante posibles ciberataques y ha convocado un concurso para contratar a una empresa que se ocupe de su protección durante cuatro años por 2.757.755,43 euros, IVA incluido.
La finalidad del contrato es garantizar la seguridad de todos los activos de información del Congreso y de los sistemas que les dan soporte y establecer un marco para la mejora continua de todos los procesos relacionados con la gestión de la seguridad de la información.
"El Congreso de los Diputados es plenamente consciente de la relevancia de la protección de seguridad de la información para el correcto desempeño de sus funciones y como fundamento esencial para la prestación de servicios TIC fiables y de calidad", indican los pliegos del concurso.
Inicialmente el contrato abarcará del 1 de agosto de este año al 31 de julio de 2025, aunque podrá prorrogarse un año más. El valor estimado del contrato hasta entonces, sin incluir impuestos, ascendería a 3,30 millones de euros.
La empresa adjudicataria tendrá que proporcionar a la Cámara servicios integrales de ciberseguridad durante 24 horas los 365 días del año, que deberán comprender el hardware y o software necesarios, así como la operación, configuración, administración y soporte de todos los dispositivos y software asociados.
Del mismo modo, también deberá ocuparse de la gestión ante incidentes de seguridad, de la tecnología asociada, y de la asistencia para la implantación de un sistema de gestión de la seguridad de la información para el cumplimiento normativo relativo al Esquema Nacional de Seguridad (ENS), al Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales y a cualquier otra norma aplicable.
ACTUALIZACIÓN CONSTANTE
A través de la previa firma de un acuerdo de confidencialidad, la Cámara proporcionará a los licitadores un documento detallado con todos los sistemas preexistentes, su arquitectura y los niveles de criticidad a los efectos de su integración con la tecnología que ellos oferten.
En principio, se establece un plazo máximo de tres meses para el aprovisionamiento de la infraestructura, instalación y configuración, previo al inicio de la prestación del servicio.
Dada la naturaleza evolutiva de las amenazas a la seguridad de la información y del propio Sistema Informático de la Cámara, el adjudicatario se debe comprometer a colaborar, durante la duración del contrato, en todas las integraciones y reconfiguraciones necesarias del sistema ofertado.
Por este motivo, las empresas que compitan para hacerse con el contrato tendrán que ofrecer un sistema de cortafuegos perimetrales de red de nueva generación (next generation firewall) compuesto por dos capas separadas (externa e interna) con diferente fabricante y tecnología de protección cada una de ellas.
Además, se deberá implantar un sistema de gestión de eventos de información de seguridad (Security Information and Event Management), que permita la monitorización y la correlación de eventos de seguridad, integrando las fuentes de datos que generen todos los dispositivos y sistemas de red ofertados así como los sistemas preexistentes en la institución, con el objeto de detectar anomalías de seguridad y generar alertas que permitan la adecuada clasificación del nivel de amenaza de cualquiera de los incidentes de seguridad detectados.
Otra de las cosas que deberán ofrecer quienes quieran hacerse con el contrato es un servicio de gestión y configuración de seguridad y respuesta ante incidentes, así como un sistema de clasificación y priorización de las alertas generadas, tratamiento de los incidentes de seguridad que no hayan sido contenidos mediante las configuraciones preestablecidas en el sistema, y la implantación de un modelo de mejora continua de acuerdo con la evolución de las amenazas y vulnerabilidades que pudieran ir surgiendo durante la duración del contrato.
También se contemplará la disponibilidad de un servicio de vigilancia digital que rastree en redes sociales, internet profunda, foros y el resto de posibles amenazas dirigidas contra el Congreso de los Diputados tales como la coordinación de ataques de denegación de servicio, la exposición de credenciales de usuario, la revelación de vulnerabilidades en sistemas y aplicaciones, así como otras de naturaleza similar, debiendo contemplar un mínimo de 200 identidades digitales.
FORMACIÓN PARA PERSONAL Y DIPUTADOS
Finalmente, el servicio contemplará la asistencia para recogida in situ de evidencias forenses relativas a incidentes de seguridad y su custodia y preservación a efectos legales y/o procesales por un mínimo de dos jornadas anuales.
El contrato también prevé servicios de formación y de evaluación para mejorar la concienciación en ciberseguridad por parte de los diputados y el personal de la Cámara, con atención específica a la protección de datos.