C.P. SECURIZACIÓN PUESTOS DE TRABAJO v2 P SECURIZACI… · Windows 10, se pueden encontrar...

Expediente 20170707‐00427

CONDICIONES PARTICULARES PARA LA

IMPLANTACIÓN DE SOLUCIONES PARA LA

SECURIZACIÓN DE LOS PUESTOS DE TRABAJO

Paseo de la Habana, 138 28036 Madrid. España Tel.: +34 91 452 12 00 Fax: +34 91 452 13 00 www.ineco.es

Condiciones particulares para la implantación de soluciones para la securización de los puestos de trabajo 2

1 OBJETO ........................................................................................................................ 4

1.1 INTRODUCCIÓN ................................................................................................................... 4

1.2 SITUACIÓN ACTUAL .............................................................................................................. 4

1.3 OBJETO ................................................................................................................................ 6

2 ALCANCE ...................................................................................................................... 7

2.1 DESCRIPCIÓN DE LAS SOLUCIONES DEL PROYECTO ............................................................... 7

2.2 SOLUCIÓN DE PREVENCIÓN DE FUGAS DE INFORMACIÓN .................................................... 8 Diseño de las políticas de protección DLP ............................................................................... 8 Piloto de la solución DLP ......................................................................................................... 9 Despliegue de la solución completa de DLP ............................................................................ 9

2.3 REVISIÓN DE LAS POLÍTICAS DE NAVEGACIÓN ACTUALES ................................................... 10 Revisión de las políticas de filtrado actuales ......................................................................... 10 Diseño de la Política de Navegación...................................................................................... 10

2.4 SOLUCIÓN PREVENCIÓN DE INTRUSIONES .......................................................................... 11 Diseño de la solución de HIPS ............................................................................................... 11 Piloto de la solución HIPS ...................................................................................................... 11 Despliegue general de la solución de HIPS ............................................................................ 11

2.5 SOLUCIÓN PREVENCIÓN APT .............................................................................................. 12 Diseño de la solución Anti‐APT .............................................................................................. 12 Piloto de la solución Anti‐APT ............................................................................................... 12 Despliegue general de la solución Anti‐APT .......................................................................... 13

2.6 SOLUCIÓN CIFRADO DE DISCOS DUROS .............................................................................. 13 Diseño de la solución de cifrado de discos duros ................................................................. 13 Ejecución de un piloto de cifrado de discos duros ................................................................ 14 Despliegue general de la solución de cifrado de discos duros .............................................. 14

2.7 SOLUCIÓN DE GESTIÓN DE PRIVILEGIOS DE LA INFORMACIÓN ........................................... 14 Diseño de la solución y análisis de necesidades de IRM ....................................................... 14 Instalación y despliegue de la solución IRM .......................................................................... 15 Formación para los usuarios sobre la solución IRM .............................................................. 16

3 MEDIOS REQUERIDOS ................................................................................................ 16

3.1 MEDIOS HUMANOS ........................................................................................................... 16

3.2 Medios técnicos ................................................................................................................. 17

4 TÉRMINOS Y CONDICIONES COMERCIALES ................................................................ 17

4.1 Consideraciones para la facturación ................................................................................... 17

4.2 Aclaración de dudas ........................................................................................................... 18


4.3 Penalizaciones ................................................................................................................... 18 Incumplimiento de los trabajos objeto de contrato ............................................................. 18 Ejecución defectuosa de los trabajos .................................................................................... 19 Mora en la entrega de los trabajos ....................................................................................... 19 Ejecución de Penalidades ...................................................................................................... 19 Comunicación Penalidades ................................................................................................... 19

5 DURACIÓN ................................................................................................................. 20

6 IMPORTE MÁXIMO .................................................................................................... 20

7 SOLVENCIA TÉCNICA .................................................................................................. 20

8 SOLVENCIA ECONÓMICA Y FINANCIERA ..................................................................... 21

9 CRITERIOS DE VALORACIÓN ....................................................................................... 21

9.1 Criterios excluyentes .......................................................................................................... 21

9.2 Valoración técnica .............................................................................................................. 21

9.3 Valoración económica ........................................................................................................ 22

10 CONTENIDO DE OFERTAS ........................................................................................... 22

10.1 Oferta técnica y administrativa .......................................................................................... 22 Documentación Técnica ........................................................................................................ 22 Documentación Administrativa ............................................................................................. 23

10.2 OFERTA ECONÓMICA ......................................................................................................... 24

11 PRESENTACIÓN DE OFERTAS ...................................................................................... 24

ANEXO I REQUISITOS TÉCNICOS DE LA SOLUCIÓN DLP PROPUESTA .................................. 26

ANEXO II REQUISITOS TÉCNICOS DE LA SOLUCIÓN HIPS PROPUESTA ................................ 28

ANEXO III REQUISITOS TÉCNICOS DE LA SOLUCIÓN ANTI‐APT PROPUESTA ....................... 29

ANEXO IV REQUISITOS TÉCNICOS DE LA SOLUCIÓN IRM PROPUESTA ............................... 30


1 OBJETO

1.1 INTRODUCCIÓN

Durante 2016, INECO elaboró un Plan Director de Seguridad de la Información que recoge las iniciativas a

desarrollar por la Organización durante los próximos cuatro (4) años para mejorar el nivel de protección de sus

sistemas de información.

Dentro de dicho Plan Director de Seguridad, se incluyó un proyecto de mejora integral de la protección de la

seguridad de los puestos de usuario de la empresa, que contemplaba la implantación de diversas soluciones y la

ejecución de determinadas acciones que permitían incrementar el nivel de seguridad que existe en dichos

equipos. De manera concreta, se incluían en este plan:

La implantación de una solución para la prevención de fugas de información (DLP por sus siglas en

inglés, Data Loss Prevention), tanto en los puestos de trabajo como en la red y el correo corporativos.

La revisión de las políticas aplicadas a la navegación para limitar y homogeneizar el acceso de los

empleados a sitios web potencialmente maliciosos, con independencia de que dicho acceso se

produzca desde las instalaciones de INECO o fuera de las mismas.

La implantación de una solución de prevención de intrusiones en los equipos de usuario de la empresa

(HIPS por sus siglas en inglés, Host Intrusion Prevention System), para así garantizar que la información

contenida en los equipos no es accedida por aplicaciones o servicios sin permiso del usuario.

La implantación de una solución de protección frente a amenazas de malware avanzado (APT por sus

siglas en inglés, Advanced Persistant Threat), complementaria a la protección ofrecida por las

soluciones de antivirus y de detección de intrusión mencionados anteriormente.

La implantación de una solución que permita realizar el cifrado de los portátiles de los empleados para

garantizar que la información contenida en ellos no pueda ser legible en caso de pérdida o robo de los

mismos.

La implantación de un sistema de gestión de privilegios sobre la información (IRM) que permita al usuario definir

los controles que se aplican a los ficheros durante su ciclo de vida (usuarios que pueden leer el documento, si

pueden ser enviados por correo electrónico o impresos, tiempo de vida del fichero, etc.).

1.2 SITUACIÓN ACTUAL

INECO cuenta actualmente con una plantilla de dos mil quinientos (2.500) empleados, de los cuales,

aproximadamente la mitad se encuentran ubicados en oficinas de clientes y el resto en las sedes principales de

la empresa.

En cuanto a los equipos de los usuarios, la mayoría de los portátiles de los empleados de INECO son

LENOVO con 4GB, pero existen equipos con 2GB de memoria RAM.

En lo referente a sistemas operativos, INECO se encuentra en un proceso de migración de los equipos

para tener únicamente Windows 10, quedando un residual de alrededor de 50 Windows 7. Dentro de

Windows 10, se pueden encontrar variantes de Windows 10 Enterprise y Windows 10 Enterprise 2016

LTSB.


En lo referente a la tecnología utilizada para el correo, INECO se basa en una plataforma híbrida entre

Exchange 2013 y Office 365. Se dispone de licencia Office 365 Enterprise E4 y actualmente se está

abordando un proceso de migración de los buzones a Office 365.

Respecto a las herramientas ofimáticas empleadas por los usuarios de INECO, cabe destacar las

siguientes:

o Microsoft Office 2016

o Autocad

o Adobe Reader XI

Por su parte, INECO ya dispone de varias herramientas para garantizar la seguridad de la información, de las

cuales, las más relevantes a destacar por su relación con las soluciones incluidas en el proyecto son las siguientes:

Todos los equipos de usuarios disponen del antivirus de McAfee, VirusScan 8.8 que se comunica con la

consola de gestión centralizada (ePolicy Orchestrator) mediante los agentes de McAfee desplegados en

los puestos de usuario. INECO dispone de 3.200 licencias de McAfee Endpoint Protection Suite Support

(EPSYFM‐AA), hasta junio 2021. Adicionalmente, los equipos tienen desplegados el módulo de McAfee

SiteAdvisor Enterprise (SAE) para realizar un filtrado a la hora de permitir la navegación de los

empleados cuando estos están fuera de la red de INECO.

Para la protección frente a malware de servidores virtuales y físicos, se dispone de la solución

TrendMicro Deep Security también hasta junio de 2021.

En lo referente a la seguridad contra correo de spam, se controla mediante el uso de la tecnología

antispam de Cisco Ironport. Está basado en un cluster en alta disponibilidad formado por dos equipos

Cisco C390 con licencias de bundle (AntiSpam+AntiVirus+OutbreakFilter+CentralizaedManagement)

anuales para 2.000‐2.999 usuarios.

En cuanto a navegación, se controla mediante una doble barrera de firewalls. Desde el punto de vista

interno, la primera está compuesta por unos firewalls CheckPoint 23500HPP y la segunda por UTMs

FortiGate 1500D, los cuales ofrecen entre otras funcionalidades antivirus, filtro de navegación o sistema

de prevención de intrusos (IPS). Ambas barreras disponen de la posibilidad de analizar tráfico SSL. La

funcionalidad de filtro de navegación, se utiliza conjuntamente con el SAE de McAfee y comparten la

misma política de filtrado.

INECO se encuentra actualmente en un proceso de despliegue de la solución de LogRhythm como

sistema de administración de eventos (SIEM).

Adicionalmente, como información relevante para el cifrado de discos duros, es importante mencionar

que los controladores de dominio se basan en el sistema operativo Windows Server 2012 R2; y que

INECO dispone del System Center Configuration Manager (SSCM) y cuenta con la licencia de Microsoft

BitLocker Administration and Monitoring (MBAM).


1.3 OBJETO

El presente Pliego de Condiciones Particulares (en adelante PCP) se redacta con el objeto de establecer los

requisitos técnicos que debe tener el proyecto de securización de los puestos de trabajo de los usuarios de la

empresa.

Los objetivos principales del proyecto son:

El suministro e implantación de una solución de prevención de fugas de información que proteja los

datos críticos de negocio de INECO frente al riesgo de fuga de información. La solución propuesta

deberá contemplar una solución preventiva de fuga a través de todos los puestos de usuario, de la red

y del correo electrónico.

Desde un punto de vista del ciclo de vida de la información, la solución de Data Loss Prevention deberá

tener en cuenta la información que maneja INECO tanto cuando ésta se encuentra en movimiento (Data

in motion) o cuando se encuentra en uso (Data in use). Por lo que la información en reposo (Data at

rest) no entraría en el alcance de la licitación, como tampoco entraría en el alcance la información que

se encuentra en los dispositivos móviles corporativos.

La revisión de las políticas de navegación y la verificación con las necesidades de negocio para plantear

una nueva definición de políticas de navegación con independencia de si el usuario está en la red de

INECO o fuera de la misma.

El suministro e implantación de una solución de protección frente a posibles intrusiones en todos los

equipos de trabajo (HIPS por sus siglas en inglés). Dicha solución debe ser capaz de detectar, y en su

caso bloquear, posibles anomalías en el comportamiento de los equipos de usuarios que puedan ser

síntoma de un posible incidente de seguridad.

El suministro e implantación de una solución de protección frente a amenazas de malware avanzado

(APT por sus siglas en inglés), complementaria a la protección ofrecida por la solución de antivirus y de

detección de intrusión en todos los equipos de usuarios. Por requerimientos de seguridad, la solución

propuesta debe de ser de un fabricante distinto al de la solución propuesta de prevención de

intrusiones (HIPS).

La implantación de una solución para el cifrado de los discos duros de todos los equipos de usuarios de

la empresa para garantizar la seguridad de la información en caso de pérdida o robo de los mismos.

El suministro e implantación de una solución IRM para un grupo reducido de 100 empleados

previamente seleccionado por INECO que permita:

o Establecer Quién y Cuándo accede a la documentación de la empresa.

o Controlar el uso de la documentación: ver, editar, imprimir, copy & paste, etc.

o Monitorizar accesos a la documentación (quién accede, accesos bloqueados, etc.).

o Todo ello independientemente de si la documentación está dentro de la organización o en

redes o equipos que no están bajo el control de la organización (en otras empresas).

El proveedor deberá incluir en su oferta una planificación de todo el proyecto.


La planificación deberá paralelizar el mayor número de sub‐proyectos y tareas posible, garantizando la calidad

del ejecución del proyecto, con objeto de acortar la duración total del proyecto. Para ello, el proveedor deberá

justificar la disminución de la duración del proyecto añadiendo los recursos necesarios que lo permitan

manteniendo la calidad de los trabajos.

Los hitos planteados por los licitadores en su planificación serán vinculantes a la hora de aplicar los SLAs y las

penalizaciones por incumplimiento de las mismas.

La implantación de todas las soluciones deben llevarse a cabo conforme a las directrices que se relacionan en el

apartado 2.1 del presente PCP, pero el orden que aparece aquí reflejado no es necesariamente el que tienen que

seguir, pudiendo los licitadores modificarlo para poder mejorar los tiempos de planificación acorde a sus ofertas.

Todos los trabajos deberán estar finalizados en el plazo de CINCO (5) meses y las soluciones ofertadas por los

licitadores deberán de incluir el coste de licencias y el mantenimiento de las mismas CUARENTA Y OCHO (48)

meses a contar desde su puesta en producción.

En los restantes capítulos de este documento se recoge información considerada relevante para la construcción

de la oferta, así como los requisitos mínimos que debe incorporar la contestación del proveedor. El orden de los

sub‐proyectos indicados en la presente PCP no es de carácter obligatorio, quedando el licitador libre de plantear

una planificación que crea más conveniente.

Las ofertas presentadas deberán cumplir, como mínimo, los requisitos que se detallan a continuación, con

independencia de que adjunten cuantas mejoras e información adicional consideren de interés.

Es fundamental que en la contestación el proveedor enumere los beneficios potenciales que se pueden conseguir

con la aplicación de la aproximación que plantea para su implantación, presentando a su vez datos cuantitativos

de sus experiencias en otros clientes.

2 ALCANCE

2.1 DESCRIPCIÓN DE LAS SOLUCIONES DEL PROYECTO

Las ofertas deberán describir a alto nivel las características de la arquitectura de todas las soluciones propuestas

en el proyecto. En la primera fase del proyecto el licitador deberá proponer a INECO un diseño detallado para

todas las soluciones a desplegar y su integración con la infraestructura actual, para lo cual:

Realizará una toma de datos detallada de los elementos que componen la arquitectura de sistemas de

INECO con los que se tendrá que integrar las soluciones propuestas.

Será indispensable que todas las soluciones desplegadas se integren con el SIEM.

Propondrá un diseño detallado de las soluciones y facilitará una propuesta de despliegue técnico de las

mismas, con el detalle de las tareas a desarrollar por los equipos de licitador y por los técnicos de INECO.

Suministrará las licencias y software y hardware necesarios que compondrán las soluciones ofertadas.

Las licencias adquiridas deberán activarse en el momento en que la solución implantada entre en

producción.

Se valorará de manera positiva todas las sinergias y la paralelización en el despliegue de todas las soluciones

integradas en el presente PCP.


A continuación, se detallan las fases de todos los sub‐proyectos que se encuentran integrados en esta PCP. En

ningún caso el orden descrito es el que se impone a los licitadores, siendo estos los que puedan plantear una

planificación acorde sus experiencias previas. Todos los sub‐proyectos tendrán como mínimo tres fases:

1. Diseño de las políticas a aplicar a la solución propuesta

2. Piloto de la solución propuesta

3. Despliegue general de la solución propuesta

2.2 SOLUCIÓN DE PREVENCIÓN DE FUGAS DE INFORMACIÓN

Diseño de las políticas de protección DLP

Antes de realizar el despliegue técnico, se deberá abordar un proceso de Levantamiento y Clasificación de la

Información para inventariar los activos de información que maneja la empresa y determinar las políticas de

protección a aplicar durante todo su ciclo de vida.

Para ello, el proveedor deberá desarrollar, de acuerdo con Seguridad TI de INECO, una Política de Clasificación

de la Información, que definirá los diferentes niveles de clasificación y las políticas de protección a aplicar.

Se mantendrán reuniones con el personal designado de todas las Direcciones de INECO para generar el inventario

de activos y clasificar correctamente toda la información manejada por INECO, con el objetivo de definir patrones

que permitan localizar y monitorizar la información en todo momento.

A continuación, se muestra un organigrama a alto nivel de los departamentos que tiene actualmente INECO para

poder planificar esta sub‐tarea.

Figura 1 Organigrama de INECO


A la hora de acometer el desarrollo de estas políticas se tendrá en cuenta la necesidad tanto del análisis del

contenido como del contexto, explorando todas las capacidades de análisis contextual que el producto ofrece y

todas las opciones que permite (detección, notificación, bloqueo, etc.).

Una vez completado el desarrollo de las políticas anteriores y el inventario de información, se deberá definir el

conjunto de políticas y reglas a implantar en solución propuesta, tanto para la solución endpoint como la de red

y correo.

Asimismo, se deberá definir e implantar el proceso de gestión de las alertas y, en su caso, de posibles incidentes

de fuga de información. Además, se deberá configurar la generación de informes periódicos en los que se

muestre un resumen de las detecciones con gráficas de las acciones más relevantes. Estos informes también

tienen que poder generarse de manera manual por petición del administrador de la solución. El contenido de los

informes y las gráficas deberá ser aprobado por el responsable de Seguridad TI de INECO antes de su

implementación.

Piloto de la solución DLP

Tras la fase de definición de políticas y reglas para la solución, se ejecutará una fase de Piloto de la solución, para

una muestra de usuarios por cada departamento, en la que se desplegarán las políticas de protección de forma

progresiva, contemplando, entre otros, los posibles siguientes escenarios:

Descubrimiento de contenido, mediante el escaneo de los discos duros que permitan identificar

violaciones de la Política de Clasificación de los Activos de la Información establecida.

Protección de ficheros, impidiendo que se puedan copiar a un dispositivo externo, o anexar a un

correo, o subir a páginas de compartición de archivos no autorizados por INECO.

Protección de la red, protegiendo la impresión o el envío de faxes.

Protección ante operaciones de capturas de pantalla y copiado de información crítica sin necesidad

justificada.

Revisión de los adjuntos enviados por correos o del contenido de los correos, para verificar que no

incluye información que infrinja la Política de Clasificación de los Activos de la Información

establecida.

El proveedor deberá tener en cuenta la necesidad de aplicar distintas políticas en función de dónde se encuentre

el dispositivo, en la red corporativa o fuera de ella.

Una vez terminada la fase del piloto, se realizará un análisis de los resultados obtenidos y se procederá a un

refinamiento de las políticas para minimizar el número de falsos positivos. Finalmente, INECO aprobará la

propuesta final de políticas a desplegar en la solución, de manera previa a su puesta en producción.

Despliegue de la solución completa de DLP

Una vez terminada la fase del piloto, se procederá al despliegue de la solución a toda la empresa.

Este no será en ningún caso intrusivo, e interferirá lo menos posible en las labores de los empleados de INECO.

Para ello, los licitadores deberán proponer una metodología que deberá permitir el desarrollo, prueba y

despliegue en producción de todos los objetos gestionados en la solución. Este aspecto es fundamental para


poder garantizar el despliegue de nuevas políticas sin impactar negativamente en la prestación de los servicios

TIC.

Adicionalmente al despliegue, el proveedor deberá proporcionar documentación técnica sobre el

mantenimiento de la solución propuesta y el procedimiento para poder generar nuevas reglas y/o alertas.

Por último, deberá prestar un soporte post‐producción tras el despliegue para resolver las posibles dudas que

surjan al equipo que mantenga la solución durante un plazo de tiempo razonable, que el licitador deberá detallar

en su oferta.

2.3 REVISIÓN DE LAS POLÍTICAS DE NAVEGACIÓN ACTUALES

Este sub‐proyecto se limita únicamente a la revisión y definición de la Política de Navegación Segura que deberá

de ser aprobada por la Dirección de INECO.

Revisión de las políticas de filtrado actuales

La primera fase de este sub‐proyecto se limita a revisar las políticas que actualmente se aplican en INECO para

el filtrado de la navegación, tanto en la red interna como una vez que los empleados estén fuera de la red de la

empresa. Para ello, será necesario revisar las reglas que, a día de hoy, se están aplicando tanto en los Firewalls

de FortiGate como en el módulo aplicado de McAfee para el filtrado de la navegación desde fuera de la red de

INECO, SiteAdvisor Enterprise.

Una vez se tenga una visión de las políticas aplicadas actualmente, se deberán de analizar para poder proceder

con la siguiente fase de validación con los distintos departamentos su necesidad de uso.

Diseño de la Política de Navegación

Para poder desarrollar la Política de Navegación Segura que permita limitar y homogeneizar el acceso de los

empleados a sitios web potencialmente maliciosos, con independencia de que dicho acceso se produzca desde

las instalaciones de Ineco o fuera de las mismas, será necesario entrevistarse con todos los departamentos y

estudiar sus necesidades.

Para la realización de esta tarea, se plantea su paralelización con la de Levantamiento y Clasificación de la

Información (necesaria para el despliegue de la solución de Data Loss Prevention), aprovechando las entrevistas

que se realizarán en dicho sub‐proyecto.

Por último, el licitador deberá de preparar una propuesta de Política de Navegación Segura que incluya, para los

diferentes colectivos que se definan en función de sus requisitos de uso de este servicio, la categorización que

se haya decidido aplicar así como las medidas para cada una de las categorías para garantizar una navegación

más segura para los empleados tanto desde la red interna como desde cualquier red externa desde un equipo

de INECO que deberá de ser revisada y aprobada por el responsable de Seguridad TI de INECO para dar dicho

sub‐proyecto por finalizado.


2.4 SOLUCIÓN PREVENCIÓN DE INTRUSIONES

Diseño de la solución de HIPS

La primera fase del sub‐proyecto de Sistemas de Prevención de Intrusiones en los equipos de usuarios es la de

suministro de las licencias y diseño de la solución, en la que se desarrollará la Política de IPS a aplicar en los

equipos de los usuarios. Las principales características deseadas en la solución serán:

Integración con el resto de sistemas de seguridad de INECO y gestión centralizada.

Implantación y gestión de los agentes de host.

Gestión y actualización de las firmas e IOCs.

Generación de alertas en base a amenazas, reglas activas, volumen, etc.

Realizar servicios de tunning: configuración de sondas target‐based, definición y organización de las

firmas de HIPS.

Recomendar activación/desactivación de reglas en HIPS en base a incidentes.

Se deberá presentar una planificación del despliegue de la solución de IPS en dos tareas: piloto y despliegue a

toda la empresa.

Asimismo, se deberá definir e implantar el proceso de gestión de las alertas y, en su caso, de posibles intrusiones.

Además, se deberá configurar la generación de informes periódicos en los que se muestre un resumen de las

detecciones con gráficas de las acciones más relevantes. Estos informes también tienen que poder generarse de

manera manual por petición del administrador de la solución. El contenido de los informes y las gráficas deberá

ser aprobado por el responsable de Seguridad TI de INECO antes de su implementación.

Adicionalmente, se deberá entregar un diseño del proceso de explotación de la solución, que deberá ser

previamente validado por parte del responsable de Seguridad TI de INECO.

Piloto de la solución HIPS

Una vez diseñada la solución y aprobada por INECO la política a aplicar, se llevará a cabo un piloto de HIPS. Se

realizarán pruebas sobre un grupo representativo de puestos de trabajo, en modo aprendizaje para poder

detectar falsos positivos y poder poner a prueba los procedimientos de respuesta en caso de incidente de

seguridad. Para ello, se deberá acordar con INECO el grupo sobre el que se va a llevar a cabo esta fase de Piloto.

Durante esta tarea, se llevarán a cabo tantas modificaciones como solicite INECO sobre los procedimientos

diseñados y las reglas definidas para así satisfacer a los responsables de INECO.

Despliegue general de la solución de HIPS

Finalmente, tras la fase del piloto, se desplegará la solución de HIPS sobre todos los equipos de la empresa de

manera centralizada y se llevará a cabo una revisión por si ha surgido algún problema para poder resolverlo.

Tras la finalización del despliegue completo, se llevará acabo otra revisión de las reglas y alertas para refinar de

nuevo en función de las directrices de INECO.






en su oferta.

2.5 SOLUCIÓN PREVENCIÓN APT

En este apartado, se detallan las fases que debe de incluir el sub‐proyecto de suministro e implementación de

una solución de prevención de ataques de malware avanzados. Es importante mencionar que, siguiendo las

buenas prácticas en el diseño de plataformas de seguridad, la solución de protección frente a APT propuesta por

los licitadores deberá ser de un fabricante distinto a la solución actual de Antivirus desplegada en los puestos de

trabajo en INECO.

Diseño de la solución Anti‐APT

La primera fase del sub‐proyecto del sistema de prevención de ataques avanzados de malware en los equipos de

usuarios es la de suministro de las licencias y diseño de la solución, en la que se desarrollará la Política del anti‐

APT a aplicar en los equipos de los usuarios. Las principales características deseadas en la solución serán:

Integración con el resto de sistemas de seguridad de INECO y gestión centralizada.

Implantación y gestión de los agentes de host.

Definición de políticas, definición del entorno y política de sandboxing, bloqueo de aplicaciones,

monitorización continua, análisis previo a la descarga de archivos, etc.

Generación de alertas con base a las políticas y posibles anomalías en los equipos.

Generación de informes y gráficas sobre las detecciones realizadas por la solución.

Se deberá presentar una planificación del despliegue de la solución de anti‐APT, en dos fases: piloto y despliegue

a toda la empresa.

Asimismo, se deberá definir e implantar el proceso de gestión de las alertas y, en su caso, de posibles ataques

avanzados. Además, se deberá configurar la generación de informes periódicos, de manera que muestren un

resumen de las detecciones, incluyendo gráficas de las acciones más relevantes. Estos informes también tienen

que poder generarse de manera manual por petición del administrador de la solución. El contenido de los

informes y las gráficas deberá ser aprobado por el responsable de Seguridad TI de INECO antes de su

implementación.

Adicionalmente, se deberá entregar un diseño del proceso de explotación de la solución, que deberá ser también

validado por el responsable de Seguridad TI de INECO.

Piloto de la solución Anti‐APT

Una vez diseñada la solución y aprobada por INECO la política a aplicar, se llevará a cabo un piloto de la solución

anti‐APT. Se realizará pruebas sobre un grupo representativo de puestos de trabajo, configurando la solución en

modo aprendizaje para poder detectar falsos positivos y poder poner a prueba los procedimientos de respuesta

en caso de incidente de seguridad. Para ello, se deberá acordar con INECO el grupo sobre el que se va a llevar a

cabo esta fase de Piloto.


Durante esta fase, se llevarán a cabo tantas modificaciones como solicite INECO sobre los procedimientos

diseñados y las reglas definidas para satisfacer las necesidades detectadas por los responsables de INECO.

Despliegue general de la solución Anti‐APT

Finalmente, tras la fase del piloto, se procederá al despliegue de la solución anti‐APT sobre todos los equipos de

la empresa de manera centralizada, y se llevará a cabo un proceso de revisión para la resolución de posibles

problemas que pudiesen surgir en la implantación por si ha surgido algún problema para poder resolverlo.

Tras la finalización del despliegue completo, se llevará acabo otra revisión de las reglas y alertas para refinarlas

de nuevo en función de las directrices marcadas por INECO.

De manera adicional al despliegue, el proveedor deberá proporcionar documentación técnica sobre el




en su oferta.

2.6 SOLUCIÓN CIFRADO DE DISCOS DUROS

A continuación, se describen cada una de las fases planteadas para el sub‐proyecto de cifrado de discos, que

podrán ser modificadas en función de las soluciones presentadas por los proveedores:

1. Diseño de la solución. Durante esta fase, se deberá desarrollar la Política de Cifrado de los Discos Duros

de los Equipos de los Usuarios.

2. Ejecución de pilotos de la solución propuesta.

3. Puesta en producción para todos los equipos de la empresa.

Diseño de la solución de cifrado de discos duros

Antes de abordar el despliegue de la solución, se deberá realizar un diseño de la misma. En esta fase se

desarrollará la Política de Cifrado de los Discos Duros de los Equipos de los Usuarios. Dicho procedimiento deberá

incluir, como mínimo, la siguiente información:

Procedimiento para el desbloqueo del equipo por parte del usuario, como por ejemplo, mediante el uso

de un PIN adicional a la contraseña de Windows, el uso de un dispositivo externo (USB) o una integración

transparente para los usuarios con el logon de Windows.

Gestión y almacenamiento centralizados de las claves de recuperación de cifrado, así como definir qué

usuarios tienen acceso a dichas claves y el mecanismo para obtenerlas.

Procedimiento de solicitud por parte de los empleados de desbloqueo del volumen cifrado con una

justificación.

Procedimiento de contingencia en caso de fallo o pérdida de claves.

Sistema de autoprovisión para que los usuarios puedan obtener la clave de recuperación en caso de

pérdida u olvido de la misma.

Sistema de reportes de los registros de auditoría de los equipos del dominio.

Sistema de monitorización de estado de cumplimiento del cifrado de los equipos del dominio.


Adicionalmente, se deberá presentar una planificación con el despliegue de la solución de cifrado, empezando

por un Piloto y luego el despliegue completo de manera centralizada.

Asimismo, se deberá definir e implantar el proceso de gestión de las alertas y, en su caso, de posibles incidentes.

Además, se deberá configurar la generación de informes periódicos en los que se muestre un resumen de las

detecciones con gráficas de las acciones más relevantes. Estos informes también tienen que poder generarse de

manera manual por petición del administrador de la solución. El contenido de los informes y las gráficas deberá

ser aprobado por el responsable de Seguridad TI de INECO antes de su implementación.

Ejecución de un piloto de cifrado de discos duros

Una vez se tenga la Política de Cifrado de Discos Duros desarrollada, se llevará a cabo un piloto de la solución

para así poder realizar pruebas sobre un grupo reducido y poder poner a prueba los procedimientos de

contingencia en caso de fallo o pérdida de claves. Para ello, se deberá acordar con INECO el grupo sobre el que

se va a llevar a cabo esta fase de Piloto.

Durante esta fase, se llevarán a cabo tantas modificaciones como solicite INECO sobre los procedimientos

diseñados para así satisfacer a los responsables de INECO, de manera previa a su puesta en producción.

Despliegue general de la solución de cifrado de discos duros

Finalmente, se desplegará el cifrado de los discos duros de todos los portátiles de la empresa de manera

centralizada, almacenando las contraseñas de cifrado de manera segura como se ha descrito en el procedimiento

desarrollado anteriormente. Dicho despliegue no será en ningún caso intrusivo, e interferirá lo menos posible

en las labores de los empleados de INECO.


mantenimiento de la solución propuesta.



en su oferta.

2.7 SOLUCIÓN DE GESTIÓN DE PRIVILEGIOS DE LA INFORMACIÓN

El alcance del proyecto de IRM se estructurará en las siguientes fases:

1. Diseño de la solución de IRM en función de las necesidades de INECO

2. Instalación y ejecución del despliegue para los usuarios seleccionados

3. Impartición de formación para los empleados

Diseño de la solución y análisis de necesidades de IRM

El uso del IRM se extenderá según necesidades.

Inicialmente, el IRM se deplegará a un grupo de CIEN (100) usuarios. Durante la explotación del servicio de IRM,

el número de usuarios podrá crecer hasta un máximo de 2.500 en función de las necesidades que se detecten.

Se deberá realizar un análisis sobre los perfiles de los usuarios a los que se desplegará la solución inicialmente,

elaborando políticas apoyadas en la política de Clasificación de la Información de INECO. En esta fase, también


se deberá analizar la infraestructura de la empresa y planificar la integración con los diferentes sistemas de

información presentes en INECO. Los entregables de esta fase serán:

Las políticas definidas en función de los perfiles a los que se vaya a instalar la solución.

Una descripción de la integración de la solución con los sistemas tecnológicos de la empresa.

Una planificación que incluya las fechas de despliegue de la solución y las fechas de las sesiones de

formación.

Las licencias necesarias que compondrán la solución ofertada.

Es importante mencionar que la solución ofertada deberá poder proteger de forma nativa los archivos de las

aplicaciones más utilizadas en la empresa:

Microsoft Office, Project y Visio

Librerías o carpetas de SharePoint

AutoCAD

Archivos en formato PDF

Correos electrónicos, tanto los ficheros adjuntos como los propios cuerpos de los correos.

Formatos de imágenes jpg, jpeg, jpe, jfif, gif, bmp, dib, png, tif, tiff

Instalación y despliegue de la solución IRM

Tras las fases de diseño, se procederá a la instalación y el despliegue de la solución a los CIEN (100) usuarios.

Esta etapa consiste en una primera instalación del software sobre la infraestructura establecida en la etapa

anterior. El software se testea de forma básica sobre una serie de usuarios y escenarios de prueba para

asegurarse de que la instalación se ha realizado de forma completa y tiene la calidad adecuada para pasar a la

fase final del despliegue.

La etapa finaliza con las siguientes entregas:

• Guía de despliegue: descripción de los pasos realizados durante la instalación de los distintos

componentes.

• Plan de tests de aceptación del sistema: plan de pruebas que se realizarán en la fase siguiente como

base para dar por finalizado el despliegue.

• Software empleado durante la instalación: los instaladores y ficheros de configuración a partir de

los cuales se ha realizado la instalación.

• Software instalado y con pruebas básicas realizadas: resultado con éxito de las pruebas básicas con

las que se termina esta fase.

Finalmente, se realizará la configuración de la plataforma instalada y la distribución del software cliente en los

dispositivos que se hayan establecido en el diseño y planificación del proyecto de despliegue como objetivos a

alcanzar.

La etapa termina con los siguientes entregables:

• Resultados de la ejecución de los test de aceptación del sistema: realización plan de pruebas de

aceptación definido en la etapa anterior y que sirve como criterio principal para dar por finalizado

el despliegue.


• Guía de operaciones: descripción de cómo mantener saludable el sistema y monitorizarlo

adecuadamente.

• Software configurado disponible para los usuarios finales.

• Software certificado con las pruebas de aceptación del sistema.

Una vez terminado el despliegue, se realizará un análisis de los resultados obtenidos y se procederá a un

refinamiento de las políticas en caso de petición por parte de INECO.

Por último, el proveedor deberá prestar un soporte post‐producción tras el despliegue de la solución para

resolver las posibles dudas que surjan al equipo que mantenga la solución durante un plazo de tiempo razonable,

que el licitador deberá detallar en su oferta.

Formación para los usuarios sobre la solución IRM

En la última fase de este PCP, se realizará una formación tanto a usuarios del departamento técnico de la

empresa, como a los usuarios finales a los que se les vaya a desplegar la solución.

La formación para usuarios del departamento técnico estará dirigida al mantenimiento y conocimiento de la

tecnología desplegada. La formación para usuarios finales estará dirigida al uso de la herramienta para proteger

y acceder a documentos protegidos.

La etapa finaliza con las siguientes entregas:

Guía de usuario

Manual de buenas prácticas

Presentaciones para cada perfil

Manual de prácticas de usuario

Manual de prácticas de administrador

3 MEDIOS REQUERIDOS

La empresa adjudicataria deberá aportar todos los medios materiales, técnicos y humanos necesarios para la

correcta ejecución de los trabajos, conforme a lo establecido en las presentes condiciones particulares.

Todos los medios ofertados podrán ser exigidos para el desarrollo de los trabajos. De no ser así se considerará

como incumplimiento de la empresa adjudicataria, aplicando las penalizaciones por incumplimiento.

3.1 MEDIOS HUMANOS

El adjudicatario deberá aportar los medios humanos necesarios para la implantación de las soluciones y la

integración con las herramientas actuales. Será requisito indispensable que los recursos propuestos por parte de

los licitadores tengan certificaciones técnicas de los fabricantes de las soluciones que incluyen en sus propuestas,

que demuestren que los recursos humanos sepan desplegar, configurar y administrar dichas soluciones. En

ningún caso serán válidas certificaciones de preventa.

Para poder demostrar dichos requisitos, será necesario entregar el currículum de todos los recursos humanos

incluidos en la oferta, así como las certificaciones técnicas de fabricantes que tengan los mismos de las soluciones

ofertadas con un máximo de tres (3) años de antigüedad y dos (2) años de experiencia con la solución concreta.

Se estima una necesidad


3.2 MEDIOS TÉCNICOS

El adjudicatario deberá aportar los medios técnicos necesarios para la implantación de las soluciones y la

integración con las herramientas actuales.

Para que el adjudicatario, en su caso, pueda disponer en su sede de puestos remotos con acceso a la red de

INECO, se deberán estudiar con INECO la infraestructura adecuada y las condiciones adecuadas de seguridad.

Los equipos necesarios, su instalación remota, así como los gastos derivados de las oportunas conexiones

correrán a cargo del adjudicatario.

El adjudicatario deberá proporcionar los medios necesarios para la realización de los trabajos motivados por

desplazamientos del equipo de trabajo a los centros de trabajo de INECO (vehículos, dietas, portátil, teléfono

móvil, etc.).

4 TÉRMINOS Y CONDICIONES COMERCIALES

Serán de aplicación las condiciones generales de contratación publicadas en el perfil del contratante de Ineco

(www.ineco.com) y en la plataforma de contratación del estado (www.contrataciondelestado.es).

La empresa adjudicataria deberá estar capacitada según la legislación vigente para el desarrollo de los trabajos

requeridos en el presente documento.

La presentación de oferta supone la aceptación de las Condiciones Generales de Contratación de Ineco y de las

presentes Condiciones Particulares, con el orden de prelación de documentación contractual establecido en el

Artículo 20 de las Condiciones Generales de Contratación de Ineco.

Ineco no permitirá la subcontratación de ninguna de las actividades descritas en el presente pliego de

condiciones particulares. En caso de precisar subcontratación deberá aprobarse anteriormente por escrito y

sometiendo el límite máximo de la misma.

En todos los casos el licitador deberá garantizar contractualmente que en todo momento no hará uso, cederá o

revelará datos a terceros (ni siquiera a una autoridad judicial, otra entidad gubernamental o litigante civil) salvo

en aquellos casos en los que lo exija la ley y únicamente bajo orden judicial o imperativo legal, debiendo en estos

casos notificar e informar inmediatamente a INECO de las cesiones y revelaciones que hayan tenido lugar.

4.1 CONSIDERACIONES PARA LA FACTURACIÓN

La facturación se realizará en función del trabajo realmente ejecutado, valorado a los precios ofertados. En

ningún caso INECO tendrá la obligación de agotar en su totalidad el presupuesto ni el plazo, quedando limitado

a las necesidades reales de la empresa.

Los días de pago son los días 5, 15 y 25 de cada mes, lo que deberá tenerse en cuenta para los plazos de pago.

El pago se realizará a sesenta días tras la validación de la factura.

Los pagos se realizarán en euros, mediante transferencia bancaria, desde una cuenta corriente de INECO

domiciliada en Madrid (España), por lo que todas las facturas deberán indicar:

Titular de la cuenta

Nombre del banco

IBAN o codificación unívoca equivalente.

SWIFT o BIC (Cuando aplique)


Los gastos adicionales ocasionados por pagos mediante diferentes medios a los indicados correrán por cuenta

del proveedor.

Todas las facturas que se emitan deberán contener los siguientes datos obligatoriamente:

Nº de Adjudicación.

Código de proyecto.

Nº de factura o serie.

Fecha de expedición.

Nombre y apellidos, razón o denominación social completa tanto del obligado a expedir factura como

del destinatario de las operaciones.

Número de Identificación Fiscal atribuido por la Administración tributaría española.

Domicilio fiscal tanto del obligado a expedir la factura como del destinatario de las operaciones.

Descripción de la/s operación/es.

Tipo impositivo o exención del mismo si procede.

La cuota tributaria que, en su caso se repercuta, que deberá consignarse por separado.

4.2 ACLARACIÓN DE DUDAS

Las empresas licitantes podrán solicitar aclaraciones o información adicional por escrito en una (1) lista cerrada

de puntos que deberá incluir:

Número de pregunta.

Concepto debidamente especificado.

Justificación de la pregunta y/o impacto en la oferta a presentar.

La solicitud de aclaración de dudas, así como una descripción mínima de la empresa ofertante (máximo una

página) deberán ser enviadas al correo electrónico [email protected]. La respuesta será realizada por INECO

por el mismo medio.

4.3 PENALIZACIONES

En caso de incumplimiento de obligaciones contractuales, INECO aplicará las siguientes penalidades:

Incumplimiento de los trabajos objeto de contrato

Se aplicará una penalidad correspondiente al tres (3%) por ciento del importe total del contrato por el

incumplimiento de cualquiera de las tareas descritas en el apartado segundo. El responsable del expediente

informará de esta situación al coordinador nombrado por la empresa adjudicataria para que, en el plazo máximo

de dos (2) días, alegue lo que considere oportuno. Una vez recibidas las alegaciones por parte de INECO, en caso

de desestimarlas, en el plazo máximo de cuatro (4) días, informará sobre la aplicación de dicha penalidad o sobre

la rescisión anticipada del contrato, sin derecho a indemnización alguna a favor de la empresa adjudicataria. Las

comunicaciones entre INECO y la empresa adjudicataria se realizarán siempre por escrito.

Las penalidades por incumplimiento de los trabajos, en caso de superar el veinte (20%) por ciento del importe

total del contrato, habilitarán a INECO para proceder a la rescisión anticipada del contrato.


Ejecución defectuosa de los trabajos

Se aplicará una penalidad del dos (2%) por ciento del importe total del contrato por la ejecución defectuosa de

los trabajos. El responsable del expediente informará de esta situación al coordinador nombrado por la empresa

adjudicataria para que, en el plazo máximo de dos (2) días, alegue lo que considere oportuno. Una vez recibidas

las alegaciones por parte de INECO, en caso de desestimarlas, en el plazo máximo de cuatro (4) días, informará

sobre la aplicación de dicha penalidad o sobre la rescisión anticipada del contrato, sin derecho a indemnización

alguna a favor de la empresa adjudicataria. Las comunicaciones entre INECO y la empresa adjudicataria se

realizarán siempre por escrito.

Las penalidades por ejecución defectuosa de los trabajos en caso de superar el diez (10%) por ciento del importe

del contrato, habilitará a INECO para proceder a la rescisión anticipada del contrato.

Mora en la entrega de los trabajos

Se aplicará una penalidad del diez (15%) por ciento del importe total del contrato cuando se produzca, por causas

imputables a la empresa adjudicataria, un retraso en la entrega de los trabajos. Cuando dicho retraso supere en

un 50% el plazo máximo previsto para la finalización de los trabajos, INECO podrá cancelar el contrato sin ningún

tipo de compensación económica para el adjudicatario.

El responsable del expediente informará de esta situación al coordinador nombrado por la empresa adjudicataria

para que, en el plazo máximo de dos (2) días, alegue lo que considere oportuno. Una vez recibidas las alegaciones

por parte de INECO, en caso de desestimarlas, en el plazo máximo de cuatro (4) días, INECO informará sobre la

aplicación de dicha penalidad o sobre la rescisión anticipada del contrato, sin derecho a indemnización alguna a

favor de la empresa adjudicataria. Las comunicaciones entre INECO y la empresa adjudicataria se realizarán

siempre por escrito.

Ejecución de Penalidades

Las penalidades mencionadas se harán efectivas mediante la correspondiente deducción en la siguiente factura

emitida por la empresa adjudicataria. El responsable del expediente deberá informar de la aplicación de dicha

penalidad al coordinador nombrado por la empresa adjudicataria, para que se contemple dicha deducción por

este concepto en la correspondiente factura, de no ser así, INECO se reserva el derecho a realizar una retención

del doble de la penalidad impuesta que se practicará en la última factura emitida por la empresa adjudicataria.

Comunicación Penalidades

Las comunicaciones por escrito se realizarán al correo electrónico facilitado por el contratista, siendo

responsabilidad del mismo el mantenimiento de dicha cuenta, así como la consulta y lectura de los correos

emitidos. En el caso de cambiar la dirección de correo electrónico, el contratista deberá de notificarlo por escrito

a INECO, en caso de no hacerlo las comunicaciones emitidas al correo facilitado tendrán la consideración de

comunicación escrita a los efectos de oportunos.

En caso de incumplimiento por parte del contratista y de sus subcontratas, de sus obligaciones con la Seguridad

Social, abono de salarios a sus trabajadores y obligaciones en materia de PRL, se podrá rescindir anticipadamente

el contrato así como realizar retenciones en concepto de penalización en las facturas emitidas.


5 DURACIÓN

La duración de este contrato será de CINCUENTA Y TRES (53) MESES, de los cuales:

La ejecución de todos los sub‐proyectos deberá concluirse dentro de los primeros CINCO (5) MESES.

El resto de la duración del contrato, hasta un máximo de CUARENTA Y OCHO (48) MESES adicionales

(dependiendo de la fecha de puesta en producción de las soluciones licenciadas) corresponde a la

vigencia del mantenimiento de las licencias adquiridas.

6 IMPORTE MÁXIMO

El importe máximo que INECO abonará al adjudicatario por la ejecución de las prestaciones requeridas será de

seiscientos mil euros (600.000,00 €), IVA no incluido.

En ningún caso INECO tendrá la obligación de agotar en su totalidad el presupuesto, quedando limitado a las

necesidades reales de la empresa.

El abono de los trabajos se realizará conforme a las unidades reflejadas en la oferta económica que se adjunta

en el anejo 1 O.E. 20170707‐00427 NOMBRE DE PROVEEDOR.

7 SOLVENCIA TÉCNICA

Con el objetivo de acreditar su solvencia técnica, los licitadores deberán demostrar su experiencia en el

despliegue de soluciones similares a la ofertada, en organizaciones similares a INECO, y con un mínimo de un (1)

año de tiempo de explotación de las mismas en el caso de implantaciones de soluciones.

Para ello, los licitadores deberán acreditar una facturación mínima agregada de un millón de euros (1.000.000,00

€) IVA no incluido, en trabajos similares realizados en los últimos cinco (5) años, de los cuales se deberán acreditar

al menos:

Tres (3) proyectos de implantación de soluciones DLPs para más de 500 usuarios.

Tres (3) proyectos de implantación de soluciones HIPSs sobre más de 500 puestos de trabajo.

Tres (3) proyectos de implantación de soluciones Anti‐APT sobre más de 500 puestos de trabajo.

Tres (3) proyectos de implantación de soluciones de disco duro sobre más de 500 puestos de trabajo.

Tres (3) proyectos de implantación de soluciones IRM para más de 100 usuarios.

Este requisito se acreditará mediante la presentación de certificados de buena ejecución del licitador suscrito

por la entidad contratante para cada una de las soluciones o tareas integradas en la presente PCP, con la siguiente

información:

Entidad contratante.

Empresa adjudicataria.

Porcentaje de participación de la empresa adjudicataria en el contrato, en el caso de agrupación de

empresas.

Descripción y emplazamiento del proyecto.

Nº de empleados de la empresa contratante en la fecha de fin del proyecto.


Duración del proyecto. (Mes y año de inicio y fin). No serán válidas referencias de proyectos ejecutados

hace más de cinco (5) años.

Datos de contacto de la persona que firma el certificado.

8 SOLVENCIA ECONÓMICA Y FINANCIERA

En el momento de presentar la oferta, para acreditar la solvencia económica y financiera se deberá aportar y

renovar cada seis meses la siguiente información:

Informe de Instituciones financieras con los que el participante en la negociación haya mantenido

posiciones de activo o de pasivo significativas en los tres últimos ejercicios que indique al menos los

siguientes extremos:

o Cumplimiento de los compromisos de reembolso de operaciones de crédito.

o Evaluación global de la entidad.

Certificado oficial de hallarse al corriente de cumplimiento de las obligaciones tributarias.

Certificado oficial de hallarse al corriente de cumplimiento de sus obligaciones de la seguridad social.

Seguro de responsabilidad Civil.

9 CRITERIOS DE VALORACIÓN

Las ofertas recibidas se clasificarán de acuerdo a su valoración técnica y económica. La puntuación que se aplicará

será de 70 puntos para la parte económica y 30 puntos para la parte técnica.

9.1 CRITERIOS EXCLUYENTES

Será motivo de exclusión las siguientes causas:

No estar dado de alta en el registro de proveedores de INECO, o en su defecto no adjuntar un

compromiso de hacerlo en el plazo de quince (15) días naturales a partir de que INECO se lo requiera.

No presentar los certificados acreditativos de solvencia exigidos en el apartado 7 y 8.

No aportar los medios requeridos en el punto 3.

No cumplir con los requisitos para contratar con Ineco establecidos en el apartado 4 del documento

Normas Internas de Contratación publicado en el perfil del contratante de la web de Ineco.

Presentar soluciones que no cumplan con los requisitos técnicos presentados en los anexos de la

presente PCP.

9.2 VALORACIÓN TÉCNICA

La valoración técnica de las ofertas se realizará puntuando con un máximo de treinta (30) puntos repartidos

según el siguiente criterio:

15 puntos por cada reducción en 15 días naturales del tiempo de ejecución del total estimado del proyecto, hasta

un máximo de 30.

Los hitos planteados por los licitadores serán vinculantes a la hora de aplicar los SLAs y las penalizaciones por

incumplimiento.


9.3 VALORACIÓN ECONÓMICA

La valoración económica se realizará en función del presupuesto ofertado por cada licitador, de acuerdo con la

siguiente formulación:

ó ó 70 • á ó

30

Se considerará oferta desproporcionada aquella que sea un 10 % inferior a la media de las ofertas presentadas.

En este caso se podrá solicitar informe de detalle que justifique su oferta económica.

La oferta quedará descartada en el caso de que se considere que se trata de una oferta temeraria, que pondría

en riesgo el buen término de los trabajos.

Las ofertas consideradas temerarias no se considerarán para la determinación de la puntuación económica.

10 CONTENIDO DE OFERTAS

La documentación deberá ser suficiente para poder valorar la solvencia y cumplir con todos los requerimientos

presentes, y en particular lo expresado en los siguientes puntos:

10.1 OFERTA TÉCNICA Y ADMINISTRATIVA

Documentación Técnica

Cada proveedor presentará una memoria técnica de los trabajos a realizar y resultados a alcanzar. Dicha memoria

técnica no podrá superar las 200 páginas de contenido, incluyendo en los anexos toda la documentación que el

proveedor estime, sin límite de páginas. La memoria técnica deberá contener de forma clara y concisa la siguiente

información, siguiendo la estructura marcada a continuación:

1. Índice

2. Características generales

a. Identificación de la oferta: Número de expediente e identificador

b. Acatamiento con carácter general de las condiciones del pliego

c. Datos de la empresa: Información relevante para el concurso de la empresa ofertante

3. Resumen ejecutivo

El licitador deberá sintetizar su propuesta, prestando especial atención a los aspectos más

destacables de la oferta.

4. Solvencia Técnica:

a. Referencias con certificado de buena ejecución y otras referencias de proyectos similares

b. Medios materiales

5. Descripción técnica de la solución ofertada

6. Matriz de cumplimiento: Se deberá incluir una matriz donde especifique el cumplimiento de los

requisitos y criterios de evaluación, que serán analizados en la valoración técnica según los parámetros

establecidos. La matriz deberá cumplir el siguiente formato:


Matriz de cumplimiento

Criterio de evaluación Referencia en la Oferta

Criterio 1 Página P1

.. ..

Criterio N Página Pn

El cumplimiento de dichos requisitos será vinculante. El incumplimiento de alguno de los requisitos

podrá ser motivo de la rescisión del contrato por parte de INECO sin compensación para el proveedor

asociada al resto de trabajo o soluciones suministradas como parte del proyecto.

7. Aproximación a la ejecución de este proyecto de securización de puesto de usuario: fases, cronograma

inicial, alcance, propuesta inicial de políticas y ámbitos, etc. (Retos, riesgos y factores críticos de éxito)

para cada una de las soluciones propuestas

La planificación detallada de tareas y sus hitos intermedios serán vinculantes a la hora de aplicar las

posibles penalizaciones por demora en la entrega de los trabajos.

8. Descripción de los entregables del proyecto.

9. Anexos:

a. Cualquier información de interés para INECO.

Todo lo anterior, en coherencia con las prescripciones establecidas en las presentes condiciones particulares.

Los datos requeridos de justificación de solvencia técnica, se han de presentar de acuerdo a los formatos

requeridos y preferiblemente en un documento Excel.

Documentación Administrativa

Con el fin de agilizar la redacción del contrato, en caso de que la empresa resulte adjudicataria, es necesario

adjuntar la siguiente documentación:

Datos de la empresa: Razón social, NIF, objeto de la empresa (copia de estatutos y/o modificaciones),

domicilio social.

Datos del firmante en nombre de la empresa: Nombre y apellidos, copia o referencia de la escritura de

designación de cargo o apoderamiento para la firma del contrato, NIF (fotocopia).

Adicionalmente, será necesario incluir el resto de documentación que acredite el cumplimiento de todos los

requisitos exigidos en el presente documento, y en particular será necesario presentar:

Declaración del responsable de la empresa adjudicataria de disponer en el momento de la formalización

del contrato de que cuenta en su plantilla con el personal establecido en los perfiles comprometiéndose

a entregar a la firma el TA2, documento de afiliación a la seguridad social y boletines de cotización

Relación Nominal de Trabajadores (RNT) y recibo de liquidación de cotizaciones (RLC), a la seguridad

social.


En caso de presentar a personal que no pertenezca a la empresa en el momento de presentar la oferta

será necesario presentar carta de compromiso de cada uno de los perfiles nominados. Estas cartas de

compromiso deberán ser en exclusividad para la empresa ofertante.

Declaración responsable de no estar incursos en prohibición de contratar

La empresa adjudicataria y también si hay subcontratistas, deben presentar a la firma del contrato, copia

de la póliza de seguros que cubra las indemnizaciones por fallecimiento o incapacidad permanente

determinadas en convenio colectivo de aplicación y copia del justificante de abono de la prima de dicho

seguro.

La empresa adjudicataria y también sus subcontratas, deben cumplimentar y firmar obligatoriamente a

la firma del contrato, el documento de cumplimiento en PRL (prevención de riesgos laborales) “Registro

de Coordinación de Actividades Empresariales” que se encuentra alojado en la web de INECO. Asimismo,

deberá disponer del “Manual de Prevención de Riesgos Laborales de INECO” y del de “Riesgos, Medidas

Preventivas y Medidas de Emergencia en INECO”, alojados en la web de INECO.

La empresa adjudicataria y sus subcontratistas, si va a tratar sola o conjuntamente con otros, datos

personales por cuenta del responsable del tratamiento –INECO‐ y tenga que acceder a datos de carácter

personal, almacenados en los sistemas de INECO, ya sea informático o en papel, deberá formalizar el

contrato de prestador de servicio, de acuerdo a lo estipulado en el artículo 12 de la LOPD y en aquellos

servicios que no impliquen un tratamiento de datos personales responsabilidad de INECO, pero sí una

posibilidad de acceso físico a los mismos, deben firmar los empleados adscritos al servicio el

“documento de confidencialidad y privacidad”, a la firma del contrato de la empresa con INECO.

Para las empresas extranjeras, en los casos en que el contrato vaya a ejecutarse en España, debe

presentarse la declaración de someterse a la jurisdicción de los juzgados y tribunales españoles de

cualquier orden, para todas las incidencias que de modo directo o indirecto pudieran surgir del contrato,

con renuncia, en su caso, al fuero jurisdiccional extranjero que pudiera corresponderle.

10.2 OFERTA ECONÓMICA

La propuesta económica deberá estar firmada por el representante legal de la empresa ofertante.

Las cantidades recogidas en dicha propuesta deberán expresarse con y sin IVA.

El único modelo de oferta económica admisible es el que se corresponde con la plantilla que se adjunta en el

fichero Excel O.E. 20170707‐00427 NOMBRE DEL PROVEEDOR.

Las propuestas que no se ajusten a dicho formato no serán consideradas.

Deberá entregarse el fichero en soporte electrónico, tanto el Excel (*.xls) cumplimentado como el pdf del

impreso firmado por el delegado del proveedor.

11 PRESENTACIÓN DE OFERTAS

Todas las ofertas deberán enviarse en soporte electrónico a la siguiente dirección: [email protected]


El fichero que contenga la oferta económica se identificará como O.E. 20170707‐00427 NOMBRE DEL

PROVEEDOR.y el fichero con la oferta técnica se identificará como O.T. 20170707‐00427 NOMBRE DEL

PROVEEDOR.

No serán tomadas en cuenta las ofertas presentadas a través de plataformas on‐line de almacenamiento de

documentos. En ningún caso el fichero excederá de 15MB.

En ambos casos se deberá hacer referencia al número de expediente que figura en la portada de este documento.

La oferta técnica y la oferta económica deberán presentarse en ficheros separados, sin que se haga referencia a

la propuesta económica dentro de la propuesta técnica.

En caso de incumplimiento de los requisitos establecidos en el presente apartado, relativos al envío de las ofertas

a una dirección distinta de la indicada, el ofertante podrá quedar excluido de la presente licitación.


ANEXO I REQUISITOS TÉCNICOS DE LA SOLUCIÓN DLP PROPUESTA

Se enumeran a continuación los requerimientos necesarios que deberá satisfacer la solución propuesta de DLP:

REQUISITOS TÉCNICOS ‐ FUNCIONALIDADES

A.1 DESCUBRIMIENTO DE INFORMACIÓN

Posibilidad de descubrir información sin marcar o sin clasificar

A.2 Posibilidad de clasificar automáticamente información sin marcar o clasificar

B.1 RETENCIÓN DE INFORMACIÓN

Posibilidad de obtener un inventario de todos los ficheros clasificados o no

C.1

BÚSQUEDA DE INFORMACIÓN

Posibilidad de búsquedas basadas en periodos de tiempos específicos

C.2 Posibilidad de búsquedas basadas en patrones definidos

C.3 Posibilidad de búsquedas basadas en ubicación o dueño del activo

C.4 Posibilidad de búsqueda de correos y adjuntos basadas en remitente o destinatario

D.1

MONITORIZACIÓN DE INFORMACIÓN

Posibilidad de monitorizar equipos de usuario

D.2 Posibilidad de monitorizar canales de I/O (Bluetooth, bus…)

D.3 Posibilidad de monitorizar dispositivos externos (USB, disco duros externos…)

D.4 Posibilidad de monitorizar información cifrada por SSL

D.5 Posibilidad de establecer escaneos periódicos basados en reglas y políticas

D.6 Posibilidad de auto‐aprendizaje de la solución DLP para información no clasificada

D.7 Posibilidad de monitorizar la información subida a entornos cloud corporativos (onedrive) o no corporativos

E.1

DEFINICIÓN ALERTAS

Posibilidad de utilizar el histórico para refinar las reglas de alerta

E.2 Posibilidad de alertar a usuarios/administradores de violaciones repetidas de las reglas definidas

E.3 Posibilidad de mantener un histórico de los datos en reposo para no volver a analizar todos los documentos

E.4 Posibilidad de alertar a la hora de copiar información sin cifrar a dispositivos externos

E.5 Posibilidad de definir varios medios de alertas a los administradores (email, móvil, SMS…)

F.1 DEFINICIÓN REGLAS DE

ACTUACIÓN Posibilidad de permitir, cifrar, encriptar, borrar o poner en cuarentena archivos sensibles utilizados por los usuarios

F.2

DEFINICIÓN DE REGLAS

Posibilidad de definir reglas específicas de normativas conocidas (LOPD, ENS…)

F.3 Posibilidad de definir una gran variedad de reglas muy detalladas

F.4 Posibilidad de definir nuevas reglas personalizadas basadas en la clonación de reglas existentes

F.5 Posibilidad de incluir excepciones rápidas para evitar falsos positivos

F.6 Posibilidad de definir acciones de remediación basada en la política de infracción

F.7 Posibilidad de definir reglas basadas en usuarios y/o grupos de usuarios

F.8 Posibilidad de definir reglas basadas en extensión de ficheros

F.9 Posibilidad de manejar y desplegar las reglas desde una consola centralizada

G.1 CONTROL DE DISPOSITIVOS

Posibilidad de definir controles sobre dispositivos externos en equipos de usuario

G.2 Posibilidad de copiar información siempre que esté cifrada en dispositivos externos

G.3 Posibilidad de conectar dispositivos externos únicamente en modo lectura

H.1

GESTIÓN DE CIFRADO

Posibilidad de mantener un cifrado consistente para información en reposo (correo, ficheros, discos duros…)

H.2 Soporta algoritmos con claves de más de 256 bits

H.3 Certificación Common Criteria Nivel EAL2 ‐ EAL4

H.4 Posibilidad de utilizar certificados, tokens o tarjetas inteligentes para proteger las claves (disponibles para pre‐booy y Windows)

H.5 Gestión centralizada de las políticas de cifrado y las claves

H.6 No existe un superusuario que pueda obtener las claves; se necesitan las claves originales para el descifrado

H.7 No se almacenan las claves en claro en el servidor

H.8 Necesidad de autenticarse para acceder a las claves de cifrado

H.9 Disponibilidad de claves de cifrado offline

H.10 Posibilidad de reset temporal para usuarios que pierdan sus tokens de acceso

H.11 Posibilidad de crear "admins de recuperación" sin permisos adicionales

I.1 ADMINISTRACIÓN DE

LA SOLUCIÓN

Posibilidad de administrar la solución de manera centralizada

I.2 Posibilidad de crear varios usuarios nominativos

I.3 Posibilidad de segregar funciones por roles de administradores


I.4 Posibilidad de controlar las cuentas de administrador con las misas políticas que la de usuarios

I.5 Sencillez de la GUI de la solución

I.6 Posibilidad de definir o modificar reglas en real‐time

I.7 Posibilidad de integración con el Directorio Activo

J.1 SEGUIMIENTO INCIDENTES

Posibilidad de investigar incidentes que involucran información sensible en reposo, en uso o en tránsito

J.2 Posibilidad de clasificar incidencias o casos en categorías configuradas por los administradores

K.1

REPORTES

Existencia de un dashboard con estadísticas en tiempo real sobre datos en reposo, en uso o en tránsito que incumplan las políticas clasificadas por criticidad, tipo…

K.2 Posibilidad de personalizar el dashboard con las estadísticas

K.3 Posibilidad de obtener reportes de un dispositivo en particular o todos a la vez

K.4 Posibilidad de mantener todo el loggeo centralizado en un SIEM

K.5 Posibilidad de exportar los logs en varios formatos diferentes

L.1

RENDIMIENTO

Impacto menor del 5% en CPU/memoria para cifrado o descifrado

L.2 Recuperación rápida de errores en el proceso de cifrado o descifrado

L.3 Impacto mínimo en recursos de red a la hora de realizar tareas de descubrimiento

L.4 Actualización en segundo plano de las nuevas reglas aplicadas, sin impacto para los usuarios


ANEXO II REQUISITOS TÉCNICOS DE LA SOLUCIÓN HIPS PROPUESTA

Se enumeran a continuación los requerimientos necesarios que deberá satisfacer la solución propuesta de HIPS:

REQUISITOS TÉCNICOS ‐ FUNCIONALIDADES A.1

DEFINICIÓN ALERTAS Posibilidad de alertar a usuarios/administradores de ataques en tiempo real

A.2 Posibilidad de utilizar el histórico para refinar las reglas de alertas

B.1

DEFINICIÓN DE REGLAS

Posibilidad de definir una gran variedad de reglas muy detalladas

B.2 Posibilidad de definir nuevas reglas personalizadas basadas en la clonación de reglas existentes

B.3 Posibilidad de manejar y desplegar las reglas desde una consola centralizada

C.1

ADMINISTRACIÓN DE LA SOLUCIÓN

Posibilidad de administrar la solución de manera centralizada

C.2 Posibilidad de crear varios usuarios nominativos

C.3 Sencillez de la GUI de la solución

C.4 Posibilidad de definir o modificar reglas en tiempo real

C.5 Posibilidad de integración con el Directorio Activo

C.6 Posibilidad de definir la periodicidad de las actualizaciones de los endpoints

C.7 Posibilidad de realizar forenses tras algún incidente de seguridad

C.8 Posibilidad de generar reglas específicas para un grupo reducido de usuarios

D.1

REPORTES

Existencia de una consola central con estadísticas en tiempo real sobre incidentes

D.2 Posibilidad de personalizar el dashboard con las estadísticas

D.3 Posibilidad de obtener reportes de un equipo en particular o todos a la vez

D.4 Posibilidad de mantener todo el loggeo centralizado en un SIEM

D.5 Posibilidad de exportar los logs en varios formatos diferentes

E.1 RENDIMIENTO

Impacto menor del 10% en CPU/memoria

E.2 Actualización en segundo plano de las nuevas reglas aplicadas, sin impacto para los usuarios

F.1 PLATAFORMAS Windows 7 y Windows 10

G.1

MECANISMOS UTILIZADOS

Actualización periódica de IOCs

G.2 Solución basado en firmas

G.3 Solución basado en comportamiento

G.4 Solución contra ataques zero‐day

H.1 PROTECCIÓN DE APLICACIONES

Internet Explorer

H.2 Microsoft Exchange

H.3 Adobe

I.1 DESPLIEGUE Despliegue de manera centralizada y automática


ANEXO III REQUISITOS TÉCNICOS DE LA SOLUCIÓN ANTI‐APT PROPUESTA

Se enumeran a continuación los requerimientos necesarios que deberá satisfacer la solución propuesta de anti‐

APT:

REQUISITOS TÉCNICOS ‐ FUNCIONALIDADES A.1 PLATAFORMAS Windows 7 y Windows 10

B.1

MECANISMOS UTILIZADOS

Actualización periódica de IOCs

B.2 Solución basado en firmas

B.3 Solución basado en comportamiento

B.4 Solución contra ataques zero‐day

B.5 Posibilidad de remediación sin conexión a Internet

B.6 Utilización de mecanismos de sandbox

B.7 Posibilidad de analizar las descargas de los usuarios en busca de amenazas

Posibilidad de bloqueo en tiempo real de las amenazas

B.8 Monitorización continua de los sistemas, incluso en el arranque

B.9 Bloqueo de páginas web en función de la reputación de la web

C.1

ADMINISTRACIÓN DE LA SOLUCIÓN

Consola de administración centralizada con estadísticas de los últimos incidentes

C.2 Posibilidad de integración con Directorio Activo

C.3 Posibilidad de realizar forenses tras algún incidente de seguridad

C.4 Posibilidad de definir o modificar reglas en tiempo real

C.5 Posibilidad de definir la periodicidad de las actualizaciones de los endpoints

C.6 Posibilidad de generar reglas específicas para un grupo reducido de usuarios

C.7 Posibilidad de generar reglas en función del tipo de archivo de utilice el usuario

D.1 RENDIMIENTO

Impacto menor del 10% en CPU/memoria

D.2 Actualización en segundo plano de las nuevas reglas aplicadas, sin impacto para los usuarios

E.1 GENEREACIÓN DE ALERTAS

Posibilidad de generar alertas en función de las políticas y umbrales definidas

F.1

REPORTES

Existencia de una consola central con estadísticas en tiempo real

F.2 Posibilidad de personalizar el dashboard con las estadísticas

F.3 Posibilidad de obtener reportes de un equipo en particular o todos a la vez

F.4 Posibilidad de mantener todo el loggeo centralizado en un SIEM

F.5 Posibilidad de exportar los logs en varios formatos diferentes

G.1 DESPLIEGUE Despliegue de manera centralizada y automática


ANEXO IV REQUISITOS TÉCNICOS DE LA SOLUCIÓN IRM PROPUESTA

Se enumeran a continuación los requerimientos necesarios que deberá satisfacer la solución propuesta de IRM:

REQUISITOS TÉCNICOS ‐ FUNCIONALIDADES A.1

PROTECCIÓN / GESTIÓN DE POLÍTICAS

Soporta formatos de Microsoft Office, PDF, Project, Visio, ficheros de AutoCAD, imágenes y texto plano

A.2 Permite tener la información protegida tanto dentro como fuera de la organización

A.3 Utiliza técnicas de cifrado superiores a AES 128

A.4 No se necesita instalar ningún plugin adicional para ver los documentos protegidos de forma nativa por la solución

A.5 Permite que los documentos protegidos puedan editarse o modificarse si el usuario tiene los permisos

A.6 Se pueden aplicar perfiles de protección ya existentes o crear uno nuevo específico para el documento

A.7 Integración directa con Microsoft Office, permite proteger documentos desde un plugin en Office

A.8 Permite proteger carpetas en el PC por parte del usuario final de forma que todos los documentos que se guarden en la misma hereden la política de protección asignada a la carpeta

A.9 Permite aplicar políticas de protección sobre carpetas en servidores de ficheros o el NAS de INECO (NetAPP)

A.10 Permite proteger repositorios de documentación en Sharepoint (librerías) de forma que cuando un usuario incluya un documento en Sharepoint éste se proteja de forma automática

A.11 Se pueden asignar los siguientes permisos: Ver, Editar/Modificar, Imprimir, Copiar y Pegar, Control Total

A.12 Posibilidad de dar el permiso a un usuario para que añada a otros usuarios al documento con permisos iguales o inferiores a los suyos

A.13 Posibilidad de proteger de forma masiva varios documentos

A.14 Permite proteger carpetas de sistemas tipo OneDrive Dropbox, Google Drive, etc.

A.15 Posibilidad de poner una marca de agua dinámica en PDFs, imágenes de forma que aparezca la dirección de email de la persona que abre con permisos de lectura el documento

A.16 Posibilidad de limitar el acceso a información protegida hasta una determinada fecha

A.17 Posibilidad de integración con el Gestor Documental Documentum o Primavera

A.18 Integración con la solución DLP ofertada

A.19 Posibilidad de abrir documentos sin conexión a Internet, siempre que el fichero haya sido abierto previamente

A.20 Posibilidad de nombrar administradores delegados para que gestionen la aplicación

A.21 Posibilidad de proteger ficheros enviados por correo y el propio cuerpo del correo electronico

A.22 Posibilidad de proteger dominios y subdominios completos (*@empresa.com)

B.1

REVOCACIÓN Y DESPROTECCIÓN

Posibilidad de revocar accesos a un documento por parte de un usuario final

B.2 Posibilidad de revocar accesos a un documento por parte de un administrador

B.3 Posibilidad de tener una lista de usuarios bloqueados para cualquier documento protegido

B.4 El administrador en casos de urgencia puede desproteger cualquier documento dejándose un log o auditoría de lo que ha desprotegido

B.5 Posibilidad de desproteger documentos de forma masiva

C.1

AUTENTICACIÓN / REGISTRO

Integración con Directorio Activo

C.2 Se pueden generar invitaciones a externos para que el proceso de aprovisionamiento de externos se gestione de forma desatendida para el administrador

C.3 El administrador puede controlar si se envían invitaciones y quién puede enviarlas

C.4 El administrador no necesita intervenir para trabajar con externos

C.5 Será posible tener una infraestructura “multi‐tenant”, permitiendo crear administradores delegados por departamento

D.1

MONITORIZACIÓN

Monitorización de acciones sobre documentos para admin

D.2 Monitorización de acciones de usuario final

D.3 Generación de Informes de Auditoría: Accesos bloqueados, docs en riesgo, sospechosos, etc.

D.4 Generación de Informes Ejecutivos: Alertas, Protecciones más usadas, etc.

D.5 Permite obtención de datos de auditoría para usuario final: Acceso bloqueados, etc.

D.6 El administrador puede obtener información de la política de protección de un doc "inaccesible" que los usuarios no puedan abrir

D.7 Admin audit log: tracking de acciones del administrador

E.1 DESPLIEGUE Posibilidad de despliegue en entornos virtualizados de VMWare

F.1 FÁCIL USO

Protección con botón‐derecho sobre documento

F.2 Protección desde Microsoft Office


G.1

PLATAFORMAS

Windows 7 y Windows 10

G.2 Windows Server 2003, 2008, 2008 R2, 2012, 2012 R2 (protección de carpetas)

G.3 Ver documentos Office protegidos en SO de móviles (iOS y Android)

C.P. SECURIZACIÓN PUESTOS DE TRABAJO v2 P SECURIZACI… · Windows 10, se pueden encontrar...

Documents

Transcript of C.P. SECURIZACIÓN PUESTOS DE TRABAJO v2 P SECURIZACI… · Windows 10, se pueden encontrar...