El Congreso de los Diputados gastará 2.757.755 millones de euros en la contratación de servicios de ciberseguridad para proteger todos sus sistemas de información y soporte durante los próximos cuatro años, según ha publicado el Boletín Oficial del Estado (BOE). Para ello, la Cámara Baja ha sacado a concurso la prestación de estos servicios, al que podrán presentarse todas las empresas interesadas hasta el próximo 29 de marzo.
El contrato que ofrece el Congreso de los Diputados abarca cuatro años, desde el próximo 1 de agosto de 2021 hasta el 31 de julio de 2025, a razón de 689.438 euros anuales, impuestos incluidos. El documento también prevé una posible prórroga de un solo año, hasta julio de 2026, por el mismo valor anual, por lo que el importe total podría ascender a 3,4 millones de euros en cinco años.
El pliego de la licitación especifica que el contratista tendrá que proveer al Congreso de los Diputados de servicios integrales de ciberseguridad gestionada en régimen de 24×7, incluyendo el hardware y software necesarios para la configuración, administración, operación y soporte de todos los dispositivos y sus programas, la gestión de incidentes de seguridad y la tecnología asociada.
Asimismo, el contrato incluye la asistencia para la implantación de un sistema de gestión de la seguridad de la información para cumplir con las normas del Esquema Nacional de Seguridad (ENS), del Reglamento General de Protección de Datos y de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, así como cualquier otra ley aplicable.
Servicio “llave en mano”
El documento también señala que el servicio que le proporcione el proveedor de ciberseguridad tendrá que ser “llave en mano”, es decir, que el contratista deberá proveer, instalar y configurar todos los elementos necesarios para su correcto funcionamiento, incluidas instalaciones físicas como el cableado de alimentación eléctrica, antes del inicio de la prestación del servicio, que comienza el próximo 1 de agosto.
De esta forma, una vez decidido el proveedor de ciberseguridad, el Congreso le concederá un plazo máximo de tres meses para instalar y configurar toda la infraestructura.
La Cámara Baja proporcionará al proveedor, previa firma de un contrato de confidencialidad, la documentación detallada de todos los sistemas preexistentes, su arquitectura y su nivel de criticidad, con el objeto de que el contratista planifique la integración de sus servicios en relación con ellos.
El personal del sistema informático del Congreso de los Diputados colaborará con el proveedor de ciberseguridad en todo lo necesario para integrar las nuevas herramientas y sistemas en los ya existentes mientras dure el contrato. A su vez, el contratista tendrá que dar acceso a los empleados que designe la Cámara Baja a la visualización de la configuración de los sistemas y dispositivos desplegados.
Servicios incluidos
Entre los servicios de los que deberá proveer la empresa de ciberseguridad seleccionada al Congreso de los Diputados se encuentran la protección perimetral de red, la entrega y protección de aplicaciones web, la monitorización y gestión de eventos e información de seguridad, la configuración y gestión de las respuestas ante incidentes, la protección frente a malware para servidores y endpoints, la gestión de la seguridad de la información, la gestión de identidades, el soporte en remoto a usuarios o el control de cuentas privilegiadas.
Dentro del sistema de respuesta ante incidentes, la Cámara Baja incluye un servicio de vigilancia digital que rastree las redes sociales, la deep web, foros y otros lugares de la red con el objetivo de localizar posibles amenazas cibernéticas contra el Congreso, tales como la revelación de vulnerabilidades del sistema o la exposición de credenciales de usuarios.
El proveedor también tendrá que disponer de un centro de operaciones de seguridad con personal especializado en los sistemas de ciberseguridad desplegados. Éste deberá tener un portal para la gestión de incidentes y de peticiones de servicio, y elaborará informes sobre vulnerabilidades e incidentes registrados. También de un teléfono de emergencia para peticiones o contratiempos urgentes.
