Marzo, 2023

El Ministerio de Salud Pública, a través de la Dirección Nacional de Tecnologías de la Información y Comunicaciones, convoca a proveedores nacionales e internacionales a participar en el proceso de elaboración del Estudio de Mercado para la “CONSULTORÍA DE IDENTIFICACIÓN Y VALORACIÓN CONTINUA DE EVENTOS DE SEGURIDAD INFORMÁTICA EN LA INFRAESTRUCTURA TECNOLÓGICA DEL MINISTERIO DE SALUD PÚBLICA PLANTA CENTRAL A TRAVÉS DE UN CENTRO DE OPERACIONES DE SEGURIDAD (SOC)”

Este estudio de mercado será utilizado para la definición del presupuesto referencial previo a la publicación del proceso de contratación.

El precio referencial de los servicios deberá considerar los siguientes aspectos:

1. La vigencia de la cotización no debe ser menor a 120 días;
2. La fuente de financiamiento será realizada con recursos del Banco Interamericano de Desarrollo, por lo que los oferentes deberán pertenecer a los países miembros del BID;
3. La oferta debe presentarse por la totalidad de la contratación.
4. Este proceso no contempla el reajuste de precios.

DESCRIPCIÓN DE LA CONSULTORÍA

Se requiere contratar una consultoría que provea monitoreo y reportes continuos de eventos de seguridad informática que permita la detección, identificación, valoración, clasificación de vulnerabilidades y eventos de seguridad informáticas pudiendo así obtener alertas en tiempo real,  informe de recomendaciones de mitigación, con la finalidad de minimizar los riesgos derivados de los activos de la información a través de un Centro de Operaciones de Seguridad (SOC), el cual cuente con las siguientes consideraciones y especificaciones técnicas:

Tabla 1. Descripción general de los equipos solicitados para la solución SOC.

El principal objetivo de estos componentes es el ejecutar procedimientos de detección, identificación y monitoreo en los activos, sistemas, aplicaciones y demás  de información del MSP, con la finalidad de recolectar registros de actividades (log) en tiempo real e identifica eventos de seguridad y vulnerabilidades, para poder correlacionarlas a través de un Security Information and Event Management (SIEM), el cual permite analizar, identificar, valorar, clasificar y correlacionar los posibles riesgos que pondrían en riesgo la red, e información del ministerio de salud,  así como también los eventos de seguridad de la información, pudiendo así obtener un informe y alertas de recomendaciones de migración de vulnerabilidades y eventos de seguridad informática a fin de mitigar los riesgos derivados de los activos de información.

El MSP entregará los activos de la información aplicables para ser monitoreados en esta consultoría.

El monitoreo se llevará a cabo utilizando herramientas automatizadas y manuales, que serán provistas por la consultoría.

La consultoría deberá informar en un tiempo predeterminado, según el nivel de riesgo de cada evento, mediante llamadas, mensajes, alertas y reportes el nivel de criticidad (critico, alto, medio, bajo o informativo) de las vulnerabilidades y eventos se seguridad que se suscitan en  los activos, sistemas y aplicaciones de información, deberá emitir un informe de conclusiones y recomendaciones para mitigar el evento de seguridad, además, dentro de la documentación, debe registrar los hallazgos encontrados.

Toda referencia a la consultoría se entiende de alta confidencialidad y por consiguiente no puede ser divulgado sin autorización expresa de las autoridades pertinentes del MSP. Asimismo, los consultores que participen de la misma deberán firmar consentimientos de no divulgación y de reserva de la información.

ALCANCE

El Centro de Operaciones de Seguridad (SOC) monitorizará y reportará continuamente eventos de seguridad informática en la Infraestructura tecnológica del Ministerio de Salud Pública Planta Central, el cual tiene como finalidad recolectar (log) en tiempo real e identificar eventos de seguridad y vulnerabilidad, para poder correlacionarlas a través del Security Information and Event Management (SIEM) el cual permite escanear, detectar, identificar, analizar, valorar, clasificar las  vulnerabilidades así como también los eventos de seguridad de la información, pudiendo así obtener un informe de recomendaciones de migración de vulnerabilidades y eventos de seguridad informática a fin de mitigar los riesgos derivados de los activos, sistemas y aplicaciones. (Para verificación de detalle de alcance revisar Anexo 1 en → https://almacenamiento.msp.gob.ec/index.php/s/bD8m1HkmrW6AnVk

ESPECIFICACIONES TÉCNICAS

Las especificaciones técnicas solicitadas según se encuentra en el Anexo 1  → https://almacenamiento.msp.gob.ec/index.php/s/bD8m1HkmrW6AnVk

METODOLOGÍA DE TRABAJO

La consultoría se debe basar en mejores prácticas enfocadas a ciberseguridad, así como metodologías y procesos estratégicos para construir y mantener las defensas de seguridad cibernética.

Con la finalidad de disminuir los falsos positivos, así como realizar un proceso más exacto y exhaustivo, se deben utilizar herramientas de nueva generación que permitan encontrar vulnerabilidades importantes. Esta herramienta debe cubrir al menos los siguientes escenarios:

• Monitoreo en la red y activos de la información.
• Detección de vulnerabilidades.
• Detección de malware.
• Detección de actividad de movimiento lateral.
• Detección de escalamiento de privilegios.
• Detección de posible persistencia.
• Información en forma de feeds mediante fuentes externas.

Adicional, la consultoría como mínimo deberá contar con las certificaciones ISO 27001 o ISO 9001 o ISO 20000 o ISO 27700 en actividades de integración de equipos diversos para la recolección, retención y análisis de logs como monitorización de eventos; identificación, reacción y control de amenazas de ciberseguridad; gestión de incidentes; soluciones preventivas y reportes.

INFORMES

La consultoría deberá generar y presentar informes estandarizados (ver: Anexo 1: Sección Informes – https://almacenamiento.msp.gob.ec/index.php/s/bD8m1HkmrW6AnVk) de acuerdo con la periodicidad y frecuencia requeridas en el alcance de la consultoría. Para formatos y especificaciones descriptivas de informes ver Anexo 1 → https://almacenamiento.msp.gob.ec/index.php/s/bD8m1HkmrW6AnVk

Tabla 2. Tabla descriptiva general de Informes

RECURSOS

Debido a la especialización requerida para cumplir con los objetivos, se entiende necesario y se valorará especialmente que la consultoría cuente con recursos en talento humano de alta especialización en experiencia, participación e implementación de programas similares, de preferencia en modelos de gestión de salud nacional, y proyectos nacionales de sistemas de información en salud.

La consultoría deberá contar e indicar las herramientas de última generación licenciadas, que utilizará para gestionar y llevar adelante todos los requerimientos y objetivos planteados, así como para realizar el levamiento de información, su sistematización, documentación y dar seguimiento al avance del proyecto.

La metodología, instrumentos/herramientas ofertadas deberán contar con antecedentes de haber sido utilizada y probada en otras consultorías relacionadas, que deberán ser presentadas como respaldo.

Durante el tiempo de ejecución de la consultoría el MSP podrá solicitar acceso a dichas herramientas, pero en ningún caso insumirá costos adicionales para éste, por lo cual deberá correr a cuenta de la consultoría.

CAPACIDAD DE LA CONSULTORÍA

La consultoría deberá presentar los sustentos que demuestren su experiencia dentro de los últimos 5 (cinco) años, en trabajos de monitoreo del Centro De Operaciones de Seguridad (SOC) ya sea en el Sector Público o Privado.

PLAZO DE EJECUCIÓN, CRONOGRAMA Y ENTREGABLES

El plazo estimado para la ejecución del contrato es de 12 meses (365 días calendario) desglosados de la siguiente manera:

Asimismo, el MSP espera que la consultoría proporcione los siguientes productos, mismos que se detallan en la siguiente tabla:

Tabla 3 Productos Esperados

CRONOGRAMA Y ENTREGABLES

A continuación, se detallan los entregables mencionados y su cronograma de entrega a partir de la firma de contrato (días calendario), como se muestra en el siguiente cuadro:

Tabla 4 Cronograma Entregables

El cronograma podrá estar sujeto a cambios siempre y cuando las dos partes (MSP y CONSULTORÍA) estén de acuerdo, no excediendo el tiempo total fijado para la consultoría (365 días a partir de la firma de contrato).

MODALIDAD DE PAGO

La modalidad de pago de esta consultoría será en base a la firma de acta/entrega de productos en base a los escenarios de desarrollo de los productos esperados en base a las etapas especificadas de la Tabla 3 de Productos Esperados.

Las cotizaciones deben ser remitidas en formato digital (firmadas), a los correos institucionales consultorias@mspsalud.gob.ec y proyecto.bid@mspsalud.gob.ec hasta el día 04 de abril de 2023, con los siguientes datos:

Datos del oferente:

Razón Social:

RUC:

Dirección:

Teléfono:

Forma de Pago: (Serán 4 pagos parciales contra entrega de productos a los 90 días después de firmado el contrato, 180 días después de firmado el contrato, 270 días después de firmado el contrato y 365 días después de firmado el contrato )

Tiempo de entrega de la consultoría: (365 días)

Fecha de emisión de la oferta:

Vigencia de la Oferta: (no debe ser menor a 120 días)

Firma de responsabilidad de preferencia firmada electrónicamente en formato QR para lo cual se sugiere utilizar la aplicación FIRMA EC https://www.firmadigital.gob.ec/descargar-firmaec/

Datos del contratante:

A nombre de: Ministerio de Salud Pública

RUC: 1760001120001

Dirección: Quito, Av. Quitumbe Ñan y Av. Amaru Ñan, Plataforma Gubernamental de Desarrollo Social.

Teléfono: 593-2 381-4400 ext. 4008

Formato Presentación Cotización 

Propuesta Económica:

Tomar en consideración el Anexo 1 de Características Técnicas → https://almacenamiento.msp.gob.ec/index.php/s/bD8m1HkmrW6AnVkpara detalle, características y metodología de desarrollo de los productos.

Listado de países elegibles

• Lista de países miembros cuando el financiamiento provenga del Banco Interamericano de Desarrollo:  Alemania, Argentina, Austria, Bahamas, Barbados, Bélgica, Belice, Bolivia, Brasil, Canadá, Chile, Colombia, Costa Rica, Croacia, Dinamarca, Ecuador, El Salvador, Eslovenia, España, Estados Unidos, Finlandia, Francia, Guatemala, Guyana, Haití, Honduras, Israel, Italia, Jamaica, Japón, México, Nicaragua, Noruega, Países Bajos, Panamá, Paraguay, Perú, Portugal, Reino Unido, República de Corea, República Dominicana, República Popular de China, Suecia, Suiza, Surinam, Trinidad y Tobago, Uruguay, y Venezuela.

Territorios elegibles

• Guadalupe, Guyana Francesa, Martinica, Reunión – por ser Departamentos de Francia.
• Islas Vírgenes Estadounidenses, Puerto Rico, Guam – por ser Territorios de los Estados Unidos de América.
• Aruba – por ser País Constituyente del Reino de los Países Bajos; y Bonaire, Curazao, Sint Maarten, Sint Eustatius – por ser Departamentos de Reino de los Países Bajos.
• Hong Kong – por ser Región Especial Administrativa de la República Popular de China.