El Ministerio de Salud Pública, a través de la Dirección de Tecnologías de la Información y Comunicaciones, convoca a proveedores a participar en el proceso de elaboración del Estudio de Mercado para la “CONTRATACIÓN DE SERVICIOS DE NO CONSULTORÍA PARA IDENTIFICACIÓN Y VALORACIÓN CONTINUA DE EVENTOS DE SEGURIDAD INFORMÁTICA EN LA INFRAESTRUCTURA TECNOLÓGICA DEL MINISTERIO DE SALUD PÚBLICA PLANTA CENTRAL A TRAVÉS DE UN CENTRO DE OPERACIONES DE SEGURIDAD (SOC)”

Este estudio de mercado será utilizado para la definición del presupuesto referencial previo a la publicación del proceso de contratación.

El precio referencial de los servicios deberá considerar los siguientes aspectos:

1. La vigencia de la cotización no debe ser menor a 120 días;
2. La fuente de financiamiento será realizada con recursos del Banco Interamericano de Desarrollo, por lo que los oferentes deberán pertenecer a los países miembros del BID;
3. La oferta debe presentarse por la totalidad de la contratación.
4. Este proceso no contempla el reajuste de precios.

DESCRIPCIÓN DE LA CONSULTORÍA

Se requiere contratar un servicio que provea monitoreo y reportes continuos de eventos de seguridad informática que permita la detección, identificación, valoración, clasificación de vulnerabilidades y eventos de seguridad informáticas pudiendo así obtener alertas en tiempo real, informe de recomendaciones de contención y mitigación, con la finalidad de minimizar los riesgos derivados de los activos de la información a través de un Centro de Operaciones de Seguridad (SOC). El cual cuente con las especificaciones técnicas adjuntas en el Anexo 1:

https://almacenamiento.msp.gob.ec/index.php/s/5o0akPbRi9tSyRV

El MSP entregará los activos de la información aplicables para ser monitoreados en el servicio – Anexo Activos-Producción:

https://almacenamiento.msp.gob.ec/index.php/s/5o0akPbRi9tSyRV

El monitoreo se llevará a cabo utilizando herramientas automatizadas y manuales, que serán provistas para el servicio contratado.

El oferente de servicio deberá informar en un tiempo predeterminado, según el nivel de riesgo de cada evento, mediante llamadas, mensajes, alertas y reportes el nivel de criticidad (critico, alto, medio, bajo o informativo) de las vulnerabilidades y eventos se seguridad que se suscitan en  los activos, sistemas y aplicaciones de información, deberá emitir un informe de conclusiones y recomendaciones para mitigar el evento de seguridad, además, dentro de la documentación, debe registrar los hallazgos encontrados.

Toda referencia al servicio se entiende de alta confidencialidad y por consiguiente no puede ser divulgado sin autorización expresa de las autoridades pertinentes del MSP. Así mismo el personal integrante en la provisión de servicio deberá firmar consentimientos de no divulgación y de reserva de la información.

ALCANCE

El Centro de Operaciones de Seguridad (SOC) monitorizará y reportará continuamente eventos de seguridad informática en la Infraestructura tecnológica del Ministerio de Salud Pública Planta Central, el cual tiene como finalidad recolectar (log) en tiempo real e identificar eventos de seguridad y vulnerabilidad, para poder correlacionarlas a través del Security Information and Event Management (SIEM) el cual permite escanear, detectar, identificar, analizar, valorar, clasificar las  vulnerabilidades así como también los eventos de seguridad de la información, pudiendo así obtener un informe de recomendaciones de migración de vulnerabilidades y eventos de seguridad informática a fin de mitigar los riesgos derivados de los activos, sistemas y aplicaciones.

Para verificación de detalle de alcance revisar Anexo_1 en → https://almacenamiento.msp.gob.ec/index.php/s/5o0akPbRi9tSyRV  

CARACTERÍSTICAS TÉCNICAS DEL SERVICIO

Las especificaciones técnicas solicitadas según se encuentra en el Anexo 1 → https://almacenamiento.msp.gob.ec/index.php/s/5o0akPbRi9tSyRV

METODOLOGÍA DE TRABAJO

El servicio se debe basar en mejores prácticas enfocadas a ciberseguridad, así como metodologías y procesos estratégicos para construir y mantener las defensas de seguridad cibernética.

Con la finalidad de disminuir los falsos positivos, así como realizar un proceso más exacto y exhaustivo, se deben utilizar herramientas de nueva generación que permitan encontrar vulnerabilidades y eventos de seguridad informática importantes. Esta herramienta debe cubrir al menos los siguientes escenarios:

• Monitoreo de activos de la información.
• Detección de vulnerabilidades y eventos de seguridad informática.
• Detección de malware.
• Detección de actividad de movimiento lateral.
• Detección de escalamiento de privilegios.
• Detección de posible persistencia.

El oferente de servicio deberá en un plazo máximo de 15 días a partir del día siguiente de la suscripción del contrato, realizará la implementación de los componentes de la solución que permita realizar la activación del servicio contratado y la identificación de los activos de producción y controles que se realizaran en el proceso de monitoreo.

Adicional, el oferente de servicio como mínimo deberá contar con las certificaciones ISO 27000, o ISO 27001 o ISO 9001 o ISO 20000 o ISO 27700 en actividades de integración de equipos diversos para la recolección, retención y análisis de logs como monitorización de eventos; identificación, reacción y control de amenazas de ciberseguridad; gestión de incidentes; soluciones preventivas y reportes.

El oferente deberá entregar los informe mensuales y trimestrales como se establece en las características del servicio a contratar.

INFORMES

El proveedor de servicio  deberá generar y presentar informes estandarizados (ver: Anexo_1: Sección Informes – https://almacenamiento.msp.gob.ec/index.php/s/5o0akPbRi9tSyRV ) de acuerdo con la periodicidad y frecuencia requeridas en el alcance del servicio.

Para formatos y especificaciones descriptivas de informes ver Anexo_1 → https://almacenamiento.msp.gob.ec/index.php/s/5o0akPbRi9tSyRV

RECURSOS

Debido a la especialización requerida para cumplir con los objetivos, se entiende necesario y se valorará especialmente que el servicio cuente con recursos en talento humano de alta especialización en experiencia, participación e implementación de programas similares, de preferencia en modelos de gestión de salud nacional, y proyectos nacionales de sistemas de información en salud.

El oferente de servicio deberá contar e indicar las herramientas de última generación licenciadas, que utilizará para gestionar y llevar adelante todos los requerimientos y objetivos planteados, así como para realizar el levamiento de información, su sistematización, documentación y dar seguimiento al avance del proyecto.

La metodología, instrumentos/herramientas ofertadas deberán contar con antecedentes de haber sido utilizada y probada en otros servicios relacionados, que deberán ser presentadas como respaldo.

Durante el tiempo de ejecución del servicio el MSP podrá solicitar acceso a dichas herramientas, pero en ningún caso insumirá costos adicionales para éste, por lo cual deberá correr a cuenta del servicio contratado.

CAPACIDAD DEL PROVEEDOR DE SERVICIO

El oferente de servicio deberá presentar los sustentos que demuestren su experiencia dentro de los últimos 5 (cinco) años, en trabajos de monitoreo del Centro De Operaciones de Seguridad (SOC) ya sea en el Sector Público o Privado. 

PRODUCTOS ESPERADOS DEL SERVICIO

El MSP espera que el servicio proporcione los siguientes productos, mismos que se detallan en la siguiente Tabla:

CRONOGRAMA Y ENTREGABLES 

A continuación, se detallan los entregables mencionados y su cronograma de entrega a partir de la activación del servicio (días calendario), como se muestra en el siguiente cuadro:

Tabla de Cronograma Entregables

El cronograma podrá estar sujeto a cambios siempre y cuando las dos partes (MSP y PROVEEDOR DEL SERVICIO) estén de acuerdo, no excediendo el tiempo total fijado para el servicio (365 días a partir de la firma de contrato).

MODALIDAD DE PAGO

La modalidad de pago de este servicio será trimestral.

Las cotizaciones deben ser remitidas en formato digital (firmadas), a los correos institucionales consultorias@mspsalud.gob.ec y proyecto.bid@mspsalud.gob.ec hasta el día viernes 28 de abril de 2023, con los siguientes datos:

Formato Presentación Cotización 

Datos del oferente:

Razón Social:

RUC:

Dirección:

Teléfono:

Forma de Pago: (Los pagos serán trimestrales)

Tiempo de entrega del servicio: (365 días)

Fecha de emisión de la oferta:

Vigencia de la Oferta: (no debe ser menor a 120 días)

Firma de responsabilidad de preferencia firmada electrónicamente en formato QR para lo cual se sugiere utilizar la aplicación FIRMA EC https://www.firmadigital.gob.ec/descargar-firmaec/

Datos del contratante:

A nombre de: Ministerio de Salud Pública

RUC: 1760001120001

Dirección: Quito, Av. Quitumbe Ñan y Av. Amaru Ñan, Plataforma Gubernamental de Desarrollo Social.

Teléfono: 593-2 381-4400 ext. 4008

Propuesta Económica:

Tomar en consideración el Anexo_1 de Características Técnicas → https://almacenamiento.msp.gob.ec/index.php/s/5o0akPbRi9tSyRV para detalle, características y metodología de desarrollo de los productos.

Adjuntar a la cotización el cumplimiento de las características técnicas, en el formato (Si Cumple). 

Ejemplo:

Y el cumplimiento de los Perfiles Técnicos

Listado de países elegibles

• Lista de países miembros cuando el financiamiento provenga del Banco Interamericano de Desarrollo:  Alemania, Argentina, Austria, Bahamas, Barbados, Bélgica, Belice, Bolivia, Brasil, Canadá, Chile, Colombia, Costa Rica, Croacia, Dinamarca, Ecuador, El Salvador, Eslovenia, España, Estados Unidos, Finlandia, Francia, Guatemala, Guyana, Haití, Honduras, Israel, Italia, Jamaica, Japón, México, Nicaragua, Noruega, Países Bajos, Panamá, Paraguay, Perú, Portugal, Reino Unido, República de Corea, República Dominicana, República Popular de China, Suecia, Suiza, Surinam, Trinidad y Tobago, Uruguay, y Venezuela.

Territorios elegibles

• Guadalupe, Guyana Francesa, Martinica, Reunión – por ser Departamentos de Francia.
• Islas Vírgenes Estadounidenses, Puerto Rico, Guam – por ser Territorios de los Estados Unidos de América.
• Aruba – por ser País Constituyente del Reino de los Países Bajos; y Bonaire, Curazao, Sint Maarten, Sint Eustatius – por ser Departamentos de Reino de los Países Bajos.
• Hong Kong – por ser Región Especial Administrativa de la República Popular de China.