El Congreso de los Diputados está dispuesto a gastarse casi 700.000 euros al año para dotarse de una tecnología que le permita garantizar la seguridad de la información que alberga y de su sistema informático, así como responder con garantías y rapidez ante los posibles ciberataques que pueda sufrir. El servicio deberá estar operativo las 24 horas durante los 365 días del año.

La Mesa recibirá hasta el próximo 29 de marzo las ofertas de empresas interesadas en adjudicarse los servicios integrales de ciberseguridad de la Cámara Baja, a licitación con un presupuesto máximo de 2.757.755,43 euros (a razón de 689.438 euros al año, impuestos incluidos). El contrato se ejecutará desde agosto de 2021 a julio de 2025, pudiendo prorrogarse por otro año más (de agosto de 2025 a julio de 2026).

Según se detalla en los pliegos que regulan el concurso, el Congreso demanda una solución "llave en mano", lo que obliga al contratista a proveer, instalar y configurar previamente la infraestructura informática necesaria. Con posterioridad debe encargarse de operar, configurar, administrar y dar soporte a todos los dispositivos y al software asociado, así como gestionar y dar solución a los incidentes de seguridad que se puedan presentar.

"La necesidad administrativa que se pretende satisfacer mediante el presente contrato es la gestión de la seguridad en sistemas heterogéneos (servicios centralizados, comunicaciones, puesto de usuario final, aplicaciones) que hace necesario disponer de un servicio que integre los distintos elementos de seguridad e infraestructura para disponer de las mejores capacidades para resolver incidentes complejos donde la correlación, coordinación y gestión de las dependencias es un factor crítico que requiere de medios materiales y personales altamente cualificados en las últimas tecnologías de seguridad, así como un servicio de 24 x 7 los 365 días del año", resume.

Los conceptos que incluyen la prestación del servicio son la protección perimetral de red, los sistemas controladores de entrega de aplicaciones, la monitorización y gestión de eventos, la configuración de seguridad y respuesta ante incidentes, la protección ante malware (virus informático) para servidores y dispositivos informáticos remotos, así como la gestión de la seguridad de la información, concienciación y soporte a distancia a usuarios y control de cuentas privilegiadas.

El contratista tendrá que rastrear en redes sociales, internet profunda y foros amenazas que puedan afectar al Congreso

El encargo también abarcará labores de asistencia con vistas a la implantación de un sistema de gestión de la seguridad de la información para el cumplimiento normativo relativo al Esquema Nacional de Seguridad (ENS), al Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales y a cualquier otra norma que sea de aplicación.

"Dada la naturaleza evolutiva de las amenazas a la seguridad de la información y del propio Sistema Informático del Congreso de los Diputados, el adjudicatario se compromete a colaborar, durante la duración del contrato, en todas las integraciones y reconfiguraciones necesarias del sistema ofertado para incorporar todos aquellos elementos y tecnologías en relación con la seguridad de la información que el Congreso de los Diputados estime necesario agregar a sus sistemas a lo largo del tiempo", añade el pliego de prescripciones técnicas.

El licitador, asimismo, ha de contar con un Centro de Operaciones de Seguridad (SOC) "con todas las capacidades necesarias para la prestación del servicio" y elaborar informes tanto sobre los incidentes registrados "clasificados por tipologías y nivel de gravedad" como de las "vulnerabilidades encontradas" y de las propuestas para corregir éstas.

Asimismo, el Congreso de los Diputados exige al contratista que habilite un servicio de vigilancia digital que rastree en redes sociales, internet profunda, foros... sobre posibles "amenazas" dirigidas a la institución, entre las que cita expresamente la coordinación de ataques de denegación de servicio, la exposición de credenciales de usuario y la revelación de vulnerabilidades en sistemas y aplicaciones.

Penalizaciones

El contrato prevé penalizaciones por incumplimiento del nivel de servicio. En función de la severidad de la incidencia (en una escala de tres), el carácter del incumplimiento (leve o grave) y el tiempo de respuesta (entre dos horas y media y ocho y media) que ofrezca el proveedor, éste verá descontada su facturación mensual entre un 1 y un 4 %.

Igualmente, la penalización se aplicará si la gestión del servicio no garantiza una disponibilidad mínima del 99,75 % del conjunto de los sistemas de protección perimetral de red, controladores de entrega de aplicaciones y protección de aplicaciones web y protección ante malware para servidores y dispositivos remotos. En ese caso se recortaría un 2 % la cantidad mensual a percibir, pudiendo llegar al 8 % en el caso de que la disponibilidad fuera del 99 % o inferior.