Número de Expediente: ECON/000141-2018
OFICINA DE GOBIERNO DE LA SEGURIDAD
DE MADRID DIGITAL
INFORME TECNICO DE VALORACION DE LOS CRITERIOS CUALITATIVOS CUYA CUANTIFICACIÓN DEPENDA DE UN JUICIO DE VALOR
ECON 000141-2018 Informe Técnico OGS.v.1.0 1
Tabla de contenido
1 Introducción ....................................................................................................................................................................................................... 3
2 Descripción de los criterios cualitativos cuya cuantificación depende de un juicio de valor ........................................................... 3
3 Valoración de los criterios cualitativos cuya cuantificación dependa de un juicio de valor (Hasta 40 puntos) ............................ 7
3.1.1 SUBCRITERIO 3.1. Servicio continuo. ......................................................................................................... 7
3.1.2 SUBCRITERIO 3.2. Servicio proyecto. ....................................................................................................... 13
3.1.3 SUBCRITERIO 3.3. OGS. ............................................................................................................................ 15
3.1.4 SUBCRITERIO 3.4. Entregables. ................................................................................................................ 16
3.1.5 SUBCRITERIO 4.1. Equipo de proyecto. .................................................................................................... 17
3.1.6 SUBCRITERIO 4.2. Disponibilidad. ............................................................................................................ 18
3.1.7 SUBCRITERIO 4.3. Estabilidad del equipo de proyecto. ........................................................................... 19
3.1.8 SUBCRITERIO 5.1. Modelo de seguimiento del servicio. .......................................................................... 20
3.1.9 SUBCRITERIO 5.2. Modelo de gestión del conocimiento.......................................................................... 22
3.1.10 SUBCRITERIO 6.1. Plan de capacitación y formación. ............................................................................. 23
4 Conclusiones. .................................................................................................................................................................................................. 25
ECON 000141-2018 Informe Técnico OGS.v.1.0 3
1 Introducción
Celebrada el día 15 de julio de 2019, a las 11:00 horas, la Mesa de subsanación y apertura proposiciones
técnicas del expediente ECON/000141/2018 OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID
DIGITAL, la valoración técnica contenida en este informe corresponde a los criterios cualitativos cuya
cuantificación depende de un juicio de valor conforme a lo previsto por el pliego de cláusulas
administrativas particulares, página 12 y siguientes, respecto de:
CRITERIO 3.- Planificación, alcance y descripción del proyecto: Hasta 16 puntos.
CRITERIO 4.- Organización del equipo de proyecto: Hasta 14 puntos.
CRITERIO 5.- Gestión del conocimiento, seguimiento y control del servicio: Hasta 6 puntos.
CRITERIO 6.- Plan de capacitación y formación: Hasta 4 puntos.
Las empresas que han presentado proposiciones técnicas y que han sido admitidas por la Mesa, y por
tanto, objeto de valoración en el presente informe son:
Nº Denominación Social NIF
1
INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.
B88018098
2 ERNST AND YOUNG S.L. B78970506
A continuación, se expone la valoración técnica de las propuestas presentadas.
2 Descripción de los criterios cualitativos cuya cuantificación depende de
un juicio de valor
Los criterios previstos en el pliego de cláusulas administrativas particulares en su página 11 y siguientes,
son:
Nª Criterio Descripción Puntos
3 Planificación, alcance y descripción del proyecto Hasta 16
4 ECON 000141-2018 Informe Técnico OGS.v.1.0
3.1
Servicio continuo
Descripción detallada del contenido aportado para cada una de las capacidades definidas, esto
es, las funciones y servicios que corresponden a cada una de las anteriores. Descripción
detallada del enfoque de todas las actividades a realizar para la implantación y operación de
las funciones y servicios de cada una de las capacidades. Se prestará especial atención al
entendimiento y planteamiento realizado en las propuestas realizadas en cuanto al detalle de
enfoque propuesto en el Plan de implantación de servicios y en el Plan de operación y
devolución de los servicios. Ambos Planes deben concretar claramente cómo desarrollar las
capacidades en el ámbito de competencias de la Agencia y aportar el máximo nivel de detalle
posible de las actividades necesarias para implantar las funciones y servicios requeridos en
cada una de las capacidades.
Hasta 5
3.2
Servicio proyecto
Descripción detallada de la propuesta del conjunto de proyectos a realizar para impulsar las
líneas de actividad asociadas al servicio proyecto, especificado en el apartado 4.5.2. del Pliego
de prescripciones técnicas. Se valorará especialmente el mayor grado de adecuación a los
objetivos del servicio, posible en el aporte de la descripción, planteamiento, planificación,
estimación de esfuerzos y actividades a realizar de cada uno de los proyectos, que deberán
estar incluidos en el Plan de implantación de servicios y en el Plan de operación y devolución
de los servicios.
Hasta 5
3.3
OGS
Metodología de trabajo y planificación detallada del proyecto, con especificación de fases y
actividades asociadas. Se valorará especialmente el mayor grado de adecuación a los objetivos
del servicio posible, en el planteamiento y desarrollo del proyecto, el grado de completitud de
la planificación propuesta así como aquél planteamiento que aporte eficacia y eficiencia en la
prestación del servicio y ahorro en tiempo en la ejecución de las actividades y en la puesta en
marcha de las capacidades de seguridad planteadas.
Hasta 4
3.4
Entregables
Descripción de la documentación y de los entregables comprometidos para cada servicio
definido. Se valorará especialmente la propuesta de documentación y entregables
comprometidos que aporte mayor detalle en su contenido y este sea adecuado a los objetivos
del servicio.
Hasta 2
4 Organización del equipo de proyecto Hasta 14
4.1
Equipo de proyecto
Se valorará la propuesta y la descripción de la estructura del equipo de proyecto. Deberá quedar
claro el tipo de perfiles y categorías profesionales dedicadas al proyecto y el rol a desempeñar
de cada perfil en la ejecución de los trabajos. Debiendo concretarse la organización de todos
los recursos del equipo de proyecto de tal forma que, por cada línea de actividad, se aportará
el detalle de los perfiles y número de personas asignado a cada uno de ellos, así como la
dedicación propuesta en número de horas. Se valorará especialmente la aportación del máximo
nivel de adecuación a los objetivos del servicio, posible en la información antes mencionada
respecto de la propuesta y estructura del equipo de proyecto.
Hasta 6
ECON 000141-2018 Informe Técnico OGS.v.1.0 5
4.2
Disponibilidad
Se valorará especialmente la disponibilidad de perfiles, número de personas y medios para dar
respuesta ante situaciones que requieran una intervención inmediata o extraordinaria de
cualquier índole por parte de la OGS (respuesta ante incidentes graves, soporte 24 x 7, etc.).
Hasta 4
4.3
Estabilidad del equipo
Se valorará especialmente el aseguramiento de la estabilidad del equipo y comprometer la
implicación del equipo de trabajo en situaciones de crisis, en las que prima la continuidad del
servicio objeto de contratación. Se valorará especialmente la propuesta de gestión de este tipo
de situaciones y el grado de compromiso, en horas o días, para aportar recursos adicionales
y/o recursos alternativos por situaciones que escapen a la responsabilidad de la empresa.
Hasta 4
5 Gestión del conocimiento, seguimiento y control del servicio Hasta 6
5.1
Modelo de seguimiento del servicio
Propuesta detallada de cada uno de los Informes a elaborar para el seguimiento de los periodos
definidos. Métricas e indicadores del servicio, así como cualquier otro aspecto de valor que el
licitador comprometa para realizar el seguimiento y control del servicio y la verificación del
cumplimiento de los ANS definidos.
Hasta 4
5.2
Modelo de gestión del conocimiento
Metodología, solución y propuesta para realizar el archivo y mantenimiento de la
documentación del proyecto, así como para asegurar la calidad y grado de actualización de la
documentación. Despersonalización del conocimiento de las aplicaciones y sistemas objeto del
contrato y gestión de la devolución del conocimiento a Madrid Digital y traspaso de los
documentados generados y archivados a lo largo del servicio.
Hasta 2
6 Plan de capacitación y formación Hasta 4
6.1
Propuesta y descripción de los programas de formación con especificación de las acciones
propuestas para la implantación y prestación de las funciones y de los servicios definidos en
cada una de las capacidades de seguridad. Los cursos, seminarios, charlas o cualquier otra
acción formativa irán destinadas tanto al personal de Madrid Digital como a los propios usuarios
que reciban los servicios de seguridad previstos. Deberá aportarse información detallada
acerca de cada una de las acciones previstas, entre otras, cuantificación y tipología de
acciones, planificación, duración, periodicidad, contenidos y herramientas de soporte. Se
valorará especialmente el máximo nivel de adecuación a los objetivos del servicio aportado
acerca de la información anterior.
Hasta 4
puntos
6 ECON 000141-2018 Informe Técnico OGS.v.1.0
Para la valoración de cada criterio se ha tenido en cuenta las proposiciones aportas en cada oferta
respecto a lo exigido en pliego, conforme a los siguientes criterios:
En el caso en que la propuesta se limite a cumplir los requisitos previstos en pliego, se considera que
cumple, aunque no aporte valor adicional a lo requerido. Se puntuará con el 0% del máximo de los
puntos asociados al criterio.
En el caso en que la propuesta aporte escaso valor añadido, de forma generalista y extensa, se
considerará ADECUADA. Se puntuará con el 30% del máximo de los puntos asociados al criterio.
En el caso en que la propuesta aporte valor añadido claro respecto a lo requerido, de forma concreta
y concisa, se considerará que la propuesta es BUENA. Se puntuará con el 60% del máximo de los
puntos asociados al criterio.
En el caso en que la propuesta aporte valor añadido diferencial respecto a lo requerido, de forma
significativa, se considerará que la propuesta es NOTABLE. Se puntuará con el 100% del máximo de
los puntos asociados al criterio.
La puntuación de este criterio se redondeará al segundo decimal.
ECON 000141-2018 Informe Técnico OGS.v.1.0 7
3 Valoración de los criterios cualitativos cuya cuantificación dependa de
un juicio de valor (Hasta 40 puntos)
3.1.1 SUBCRITERIO 3.1. Servicio continuo.
INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.
La propuesta se considera buena debido su aportación valor añadido claro respecto a lo requerido, de
forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta, como son los
siguientes:
- Respecto de la descripción detallada de la capacidad de Capacidad de Gobierno y Gestión del
Riesgo, propone lo descrito en el pliego técnico, añadiendo la definición de metodologías de
análisis de riesgos y gestión de activos, tomando como referencias las metodologías Magerit,
la ISO 31000, el catálogo de amenazas de INCIBE y la herramienta PILAR del CCN-CERT.
Respecto del plan de implantación, con carácter general para todas las capacidades, se
proponen las actividades ya definidas por el Centro de Operaciones de Seguridad (Minsait) el
cual señala la importancia de realizar un “due diligence” a fin de hace un análisis de la situación
actual. Realizando en paralelo la recogida de información para la implantación de las
tecnologías y herramientas que necesita Minsait para prestar el servicio, así como los hitos
para normalizar y estandarizar la prestación del servicio de la oficina de gobierno de seguridad.
Y respecto del plan de operación, con carácter general para todas las capacidades, se propone
la prestación de servicios de Minsait, cuyo modelo operativo está basado en un modelo de
“servicio industrializado”, que, si bien optimiza la interacción, está más cerca de un enfoque de
operación de la seguridad gestionada que del modelo requerido por Madrid Digital para la
prestación del servicio de Gobierno de la Seguridad.
- Respecto de la descripción detallada de la capacidad de Capacidad de Gestión, reporte y
control, propone lo descrito en el pliego técnico, añadiendo lo establecido en la metodología
Magerit, y complementariamente propone que Minsat (Centro de Operaciones de Seguridad)
dispone del conocimiento y herramientas necesarias para obtener la información referida a la
operación de la seguridad y la efectividad de los controles.
- Respecto de la descripción detallada de la capacidad de Capacidad de Cumplimiento
Normativo, propone lo descrito en el pliego técnico, añadiendo una relación de normativa legal,
así como los requisitos mínimos del ENS en materia de documentos normativos y su
estructura. Proponiendo el uso de la herramienta “Mapa de Conocimientos”.
- Respecto de la descripción detallada de la capacidad de Capacidad de Procedimientos de
Prevención (Asesoramiento y Tratamiento de excepciones), propone lo descrito en el pliego
técnico, añadiendo la propuesta de un servicio de “transformación e2e” con impacto en
negocio, y basado en consultoría de negocio, expertos en tecnología y expertos digitales.
Añadiendo el ciclo de vida del tratamiento de excepciones.
8 ECON 000141-2018 Informe Técnico OGS.v.1.0
- Respecto de la descripción detallada de la capacidad de Capacidad de Protección de la
Infraestructura, propone lo descrito en el pliego técnico, no añadiendo elementos de valor
complementarios.
- Respecto de la descripción detallada de la capacidad de Capacidad de Protección de los
sistemas de información, propone lo descrito en el pliego técnico, no añadiendo elementos de
valor complementarios.
- Respecto de la descripción detallada de la capacidad de Capacidad de Protección de Gestión
de identidad y accesos, propone lo descrito en el pliego técnico, no añadiendo elementos de
valor complementarios.
- Respecto de la descripción detallada de la capacidad de Capacidad de Formación y
Concienciación, propone lo descrito en el pliego técnico, añadiendo ejemplos de temarios, pero
no añadiendo elementos de valor complementarios.
- Respecto de la descripción detallada de la capacidad de Capacidad de Seguridad de RRHH,
propone un buen enfoque de la seguridad de los recursos humanos referida a la normativa
ISO 27001 y 27002, desarrollando a partir de esta documentación ISO los controles a
implementar antes, durante y a la finalización de la relación laboral del personal. Limitándose
en el ámbito de los riesgos laborales a hacer una relación del marco normativo y las actividades
derivado de este. Finalmente, respecto de la seguridad física propone partir del Catálogo de
Seguridad Corporativa elaborado por el Centro de Operaciones de Seguridad (Minsait).
- Respecto de la descripción detallada de la capacidad de Capacidad de Procedimientos y
Procesos de Detección. (Detección), propone lo descrito en el pliego técnico, añadiendo el
back-office que ofrece el Centro de Operación de Seguridad (Minsait) como la forma más
eficaz de respuesta ante ciberincidentes.
- Respecto de la descripción detallada de la capacidad de Capacidad de Respuesta ante
Incidentes, propone lo descrito en el pliego técnico, añadiendo el procedimiento de invocación
del servicio por parte de Madrid Digital, sin considerar la posibilidad de acordar los requisitos
de invocación. Haciendo una adecuada relación de tipos de dispositivos, de investigaciones y
fases de actuación al respecto.
- Respecto de la descripción detallada de la capacidad de Capacidad de Aseguramiento de la
Continuidad, propone, partiendo de lo descrito en el pliego técnico, el aseguramiento de la
continuidad basado en la norma ISO 22301:2012, haciendo una exposición detallada de las
distintas fases y contenidos de los planes a implantar para el desarrollo de la capacidad.
Estableciendo objetivos y actividades a realizar en los simulacros de los planes.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
La exposición realizada respecto de las capacidades, su entendimiento y desarrollo, en la mayoría
de las ocasiones propone lo ya descrito en el pliego técnico, lo que no permite identificar el grado
de entendimiento y aportación de valor al servicio requerido.
El modelo de servicio propuesto está basado en un “servicio industrializado” prestado por el
Minsat (Centro de Operaciones de Seguridad), que, si bien optimiza la interacción, está más cerca
de un enfoque de operación de la seguridad gestionada que del modelo de Gobierno de la
Seguridad requerido por Madrid Digital para la oficina de gobierno de la seguridad.
ECON 000141-2018 Informe Técnico OGS.v.1.0 9
ERNST AND YOUNG S.L.
La propuesta se considera notable debido su aportación de valor añadido diferencial respecto a lo
requerido, de forma significativa, según revelan los aspectos más positivos y destacables de la propuesta,
como son los siguientes:
- Respecto de la descripción detallada de la capacidad de Capacidad de Gobierno y Gestión del
Riesgo, propone una descripción analítica estructurada en objetivos, actividades, entregables
y valora añadido. Añadiendo la definición de metodologías de análisis de riesgos y gestión de
activos, tomando como referencia el marco regulatorio normativo (LO 3/2018, RGPD, RD
3/2010, RD 92/2018, EJIS) las metodologías Magerit, la ISO 31000, ISO 27001. Proponiendo
el catálogo de amenazas del CNPIC. Y estableciendo el objetivo de considerar el análisis y
gestión de riesgos como el núcleo central de toda actuación organizada y sistemática en
materia de gestión integral de la seguridad. Como valor añadido propone establecer un análisis
comparativo por Consejerías y entornos funcionales.
E&Y define que el servicio se prestará asignando las capacidades a fin de sustentar el modelo
de gobierno en la gestión del riesgo de la Agencia (gestión de activos, el catálogo de amenazas
y el análisis de riesgos), lo que demuestra un enfoque y entendimiento del proyecto alineado
con los objetivos de seguridad de la Agencia.
Respecto del plan de implantación y de operación, con carácter general para todas las
capacidades, se propone una planificación detallada de actividades por cada fase y su
duración:
- Fase l. Establecimiento de la OGS. - Fase ll. Identificación de las unidades operativas. - Fase III. Definición y establecimiento de Comités. - Fase IV. Despliegue inicial de capacidades, funciones y servicios de la OGS - Fase V. Despliegue de capacidades y servicios. - Fase VI. Entrega de los servicios al nuevo adjudicatario
Para esta capacidad en concreto, respecto del plan de implantación y de operación, se
propone una relación detallada de objetivos, tareas y resultados, destacando por su aportación
de valor las propuestas metodológicas, los inventarios y clasificación de activos, amenazas o
riesgos, la orientación al cliente de las diferentes Consejerías, la identificación de herramientas
específicas para cada necesidad o ámbito de gestión, y la gestión del riesgo que terceros o
proveedores supone para la seguridad de la información.
- Respecto de la descripción detallada de la capacidad de Capacidad de Gestión, reporte y
control, propone un objetivo claro basado en la práctica de comunicación oficial y fehaciente a
interesados a través de un canal autorizado. Concretando la definición del modelo y canales
de comunicación a comités u organismos reguladores, apoyado en un cuadro de mando
integral e indicadores para el reporte de las herramientas de control y seguimiento de los
planes de implementación y despliegue de políticas, estrategias y procesos. Definiendo niveles
de reporte y su periodicidad en el tiempo. Así como las herramientas y metodologías de reporte
junto a un plan de difusión y divulgación de los Comités a interesados y plantilla de la Agencia.
10 ECON 000141-2018 Informe Técnico OGS.v.1.0
Para esta capacidad respecto del plan de implantación y de operación, se propone una relación
detallada de objetivos, tareas y resultados, destacando por su aportación de valor el modelo
de comunicación y canales propuestos, los niveles de reporte, herramientas y procedimientos
en órganos colegiados, Comités y plantilla de trabajadores. Así como la construcción de un
cuadro de mando integral de seguridad junto a la definición de los indicadores de reporte.
- Respecto de la descripción detallada de la capacidad de Capacidad de Cumplimiento
Normativo, propone lo descrito en el pliego técnico, añadiendo una relación de normativa legal,
así como los requisitos mínimos del ENS y NIST en materia de documentos normativos y su
estructura. Proponiendo el servicio del “observatorio de regulaciones” a fin de identificar nueva
normativa o regulación que impacte en la Agencia. Así como un mapeo de controles entre la
normativa y los estándares con el objetivo de identificar la madurez y el grado de cumplimiento
de cada uno de ellos. Circunstancia que está alineada plenamente con la actual metodología
de análisis y gestión del riesgo de la Agencia (MAR), así como con el catálogo de normativas
que le son de aplicación.
Para esta capacidad en concreto, respecto del plan de implantación y de operación, se
propone una relación detallada de objetivos, tareas y resultados, destacando por su aportación
de valor el marco regulatorio propuesto (ENS-ISO-EJIS-RGPD), junto al observatorio de
regulaciones y normativas de seguridad con impacto en Madrid Digital, y la metodología de
elaboración, revisión y monitorización de cumplimiento y concienciación respecto de la Política
y su normativa de desarrollo, todo ello alineado con la actual Política de Seguridad de la
Información de la Agencia.
- Respecto de la descripción detallada de la Capacidad de Procedimientos de Prevención
(Asesoramiento y Tratamiento de excepciones), propone dos elementos relevantes para el
adecuado desarrollo de la capacidad, y son la independencia de fabricantes y su conocimiento
de diferentes soluciones de seguridad. Destacando la necesidad de definir la metodología,
proceso, intervinientes e inventario para el tratamiento de excepciones. Incluyendo como
aportaciones de valor añadido tanto el conocimiento derivado de la encuesta mundial que
anualmente realiza E&Y en materia de seguridad como el desarrollo de workshops temáticos
de ciberseguridad y cumplimiento normativo.
Para esta capacidad en concreto, respecto del plan de implantación y de operación, se
propone una relación detallada de objetivos, tareas y resultados, destacando por su aportación
de valor en el asesoramiento tanto legal como técnico desde la independencia tanto de
fabricantes como de implantadores de producto.
- Respecto de la descripción detallada de la Capacidad de Protección de la Infraestructura,
propone lo descrito en el pliego técnico, añadiendo elementos de valor complementarios
basados en el participación y conformación por E&Y de foros y asociaciones de seguridad y
en su independencia respecto de fabricantes, en la protección, asesoramiento y consultoría de
seguridad legal y TIC.
Para esta capacidad respecto del plan de implantación y de operación, se propone una relación
detallada de objetivos, tareas y resultados, destacando por su aportación de valor en la
adaptación de los controles de seguridad al entorno y casuística de la Agencia, junto al
asesoramiento en el diseño de soluciones de seguridad mediante el análisis de mercado, la
propuesta de arquitecturas de las mismas. Junto a la posibilidad de acceso a sus bases de
ECON 000141-2018 Informe Técnico OGS.v.1.0 11
datos de conocimiento y la “Encuesta Global de Seguridad” de E&Y elaborada anualmente y
con referencias comparativas a empresas de tamaño similar de la Agencia.
- Respecto de la descripción detallada de la capacidad de Capacidad de Protección de los
sistemas de información, propone lo descrito en el pliego técnico, añadiendo elementos de
valor complementarios referidos al ciclo de vida de los sistemas de información y proceso de
la seguridad por defecto y desde el diseño.
Para esta capacidad en concreto, respecto del plan de implantación y de operación, se
propone una relación detallada de objetivos, tareas y resultados, destacando por su aportación
de valor la consecución de objetivos basada en las fases de iniciativa, análisis, diseño,
preproducción y puesta en servicio.
- Respecto de la descripción detallada de la Capacidad de Protección de Gestión de identidad
y accesos, propone lo descrito en el pliego técnico, añadiendo elementos de valor
complementarios en la exposición de los objetivos y actividades que compondrían el desarrollo
de esta capacidad.
Para esta capacidad en concreto, respecto del plan de implantación y de operación, se
propone una relación detallada de objetivos, tareas y resultados, destacando por su aportación
de valor los ámbitos de Gestión de identidades (gestión de la identidad digital, generación
única de ID, gestión de atributos desde fuentes autorizadas), Gestión de accesos (gestión de
datos de fuentes autoritativas, gestión de privilegios de acceso, gestión de credenciales,
gestión de roles, administración de políticas de acceso), Control de acceso (servicios de
autenticación compartida, Single sign-on, federación de identidades y aplicación de políticas
de acceso definidas), Registro y monitorización (consolidación y análisis de registros, gestión
de Información de Seguridad y Eventos, informes y control de acceso privilegiado), Auditoría
(certificación de roles y definiciones, monitorización del cumplimiento de políticas, certificación
de acceso y revisión).
- Respecto de la descripción detallada de la capacidad de Capacidad de Formación y
Concienciación, propone lo descrito en el pliego técnico, añadiendo los elementos de valor
complementarios que a continuación se detallan.
Para esta capacidad respecto del plan de implantación y de operación, se propone una relación
detallada de objetivos, tareas y resultados, destacando por su aportación de valor el desarrollo
de las actividades de definición del Plan de Formación y Concienciación para los colectivos
involucrados, la selección de mensajes e ideas clave y el desarrollo de materiales y
preparación. Y campañas específicas o integrales de concienciación a medida del público
objetivo.
- Respecto de la descripción detallada de la capacidad de Capacidad de Seguridad de RRHH,
propone los objetivos de control que deberán orientar el desarrollo de la capacidad, añadiendo
como elemento de valor la definición de un código de conducta interno para personal que
permita a la Agencia realizar una labor de compliance organizativo. En el ámbito de riesgos
laborales propone la elaboración de una guía para la implantación de los procedimientos de
un futuro sistema de gestión de la prevención de riesgos laborales. Añadiendo las
orientaciones para la implantación e implementación de los procedimientos del Sistema
Integral de Gestión de la Prevención de Riesgos Laborales.
12 ECON 000141-2018 Informe Técnico OGS.v.1.0
Para esta capacidad respecto del plan de implantación y de operación, se propone una relación
detallada de objetivos, tareas y resultados, destacando por su aportación de valor en
planteamiento relativo a la elaboración del clausulado de contratación de personal, los
controles para la retirada de derechos de acceso a la información y a las instalaciones del
procesamiento de información a la finalización del empleo, contrato o acuerdo, o revisión en
caso de cambio, junto a la verificación periódica del cumplimiento de los controles de derecho
de acceso o del sistema de prevención.
- Respecto de la descripción detallada de la capacidad de Capacidad de Procedimientos y
Procesos de Detección, partiendo de lo descrito en el pliego técnico, demuestra un adecuado
entendimiento y enfoque de desarrollo de la capacidad al realizar la descripción de los
elementos que componen la capacidad, identificando agentes externos, modelo de relación, y
proceso de notificación a organismos reguladores, entre otros.
Para esta capacidad respecto del plan de implantación y de operación, se propone una relación
detallada de objetivos, tareas y resultados, destacando por su aportación de valor la relación
de actividad tales como, tras identificar los agentes externos de relación la Agencia establecer
el modelo de compartición de información para prevenir ciberataques y ataques físicos,
identificar los canales de comunicación además de la preceptiva notificación de los
ciberincidentes al CCN-CERT, en ocasiones los Organismos públicos necesitarán
comunicarse con terceros (Fuerzas y Cuerpos de Seguridad y medios de comunicación social,
específicamente).
- Respecto de la descripción detallada de la capacidad de Capacidad de Respuesta ante
Incidentes, propone una clara y precisa descripción del objetivo a alcanzar con esta capacidad,
basado en las actuaciones de identificar y reconstruir los hechos tras un incidente en un
dispositivo informático buscando la reconstrucción de las acciones realizadas y los
responsables de las mismas. Para ello propone las actividades forenses recogidas en la
normativa ISO 27037, 27040 y 27042. Describiendo los modelos analíticos utilizados, en vivo
y estático, así como la metodología de trabajo.
Para esta capacidad respecto del plan de implantación y de operación, se propone una relación
detallada de objetivos, tareas y resultados, destacando por su aportación de valor el pleno
respeto de las actividades relacionadas con seguridad forense y pericial conforme a lo
establecido en las normativas ISO 27037, 27040 y 27042. Estas normativas proporcionan
directrices en cuanto a recopilación, almacenamiento e interpretación de la información
obtenida.
- Respecto de la descripción detallada de la capacidad de Capacidad de Aseguramiento de la
Continuidad, propone que esta capacidad se apoye en una fase de definición previa de los
planes, junto a la definición de los mecanismos de respuesta para la gestión adecuada de la
toma de decisiones en caso de crisis, así como de los simulacros a fin de probar la eficacia de
los planes (DRP-BCP). Para ello propone la utilización las metodologías desarrolladas por la
normativa ISO 22301:2012 y BS 25999. Respecto de la gestión de crisis propone un modelo
alienado con el de Madrid Digital, orientado al gobierno de la gestión, apoyándose en fuentes
de información de incidentes como CSIRT o SOC internos o externos. Como elemento de valor
añadido propone alinear el proceso de gestión de crisis con la “Guía Nacional de Notificación
y Gestión de ciberincidentes” del Consejo Nacional de Ciberseguridad. Finalmente, respecto
de los simulacros y su aprendizaje expone los objetivos, actividades y resultados de modo
ECON 000141-2018 Informe Técnico OGS.v.1.0 13
preciso y conciso, detallando las etapas de las pruebas y el proceso de aprendizaje basado en
el análisis de vulnerabilidades, proyectos de mitigación de vulnerabilidades y finalmente
identificación de proyectos quick-win.
Para esta capacidad respecto del plan de implantación y de operación, se propone una relación
detallada de objetivos, tareas y resultados, destacando por su aportación de valor las
derivadas de la aplicación de las metodologías internacionales de continuidad de negocio
(BS25999 e ISO 22301), y la identificación de fuentes de información de incidentes (CSIRT,
SOC, etc…) para la oficina de gobierno de la seguridad, lo cual se adapta al modelo de gestión
esperado por Madrid Digital, modelo de relación CERT (gobierno) –SOC (operación).
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
No aplica respecto del grado de detalle y exposición de la propuesta.
El resultado de la valoración de este subcriterio es:
3.1.2 SUBCRITERIO 3.2. Servicio proyecto.
INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.
La propuesta se considera adecuada debido a la aportación de valor añadido, de forma generalista y
extensa, respecto de lo requerido. Los aspectos más positivos y destacables de la propuesta son los
siguientes:
Minsait (Centro de Operaciones de Seguridad) plantea respecto del plan de implantación, un
modelo de servicio industrializado, para lo que propone las siguientes fases, con sus objetivos y
actividades que se adecuan a los objetivos del servicio:
- F1.1 Due Diligence
- F1.2 arranque del proyecto
- F1.3 recopilación de información de infraestructura de Madrid Digital
- F1.4 actividades pre implantación en Minsait
- F1.5 instalación y configuración inicial de las tecnologías y herramientas del servicio
- F1.6 configuración de los sistemas y equipos desplegados
- F1.7 integración de herramientas
- F1.8 inteligencia y personalización de las herramientas
- F1.9 elaboración y ejecución del plan de pruebas
- F1.10 definición del modelo de servicio
- F1.11 adecuación de las infraestructuras
- F1.12 configuración del equipo humano
- F1.13 configuración de las herramientas de gestión
- F1.14 definición de procesos
- F1.15 definición de métricas de control y seguimiento
- F1.16 establecimiento de metodologías
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
6,90 ERNST AND YOUNG S.L. 10,10
3.1 Servicio continuo. (Hasta 5 puntos) BUENA 3,00 NOTABLE 5,00
CRITERIO 3.- Planificación, alcance y descripción del proyecto: Hasta 16 puntos
14 ECON 000141-2018 Informe Técnico OGS.v.1.0
- F1.17 aseguramiento de la calidad
- F1.18 identificación de oportunidades y riesgos
- F1.19 implantación del plan de gestión del cambio
- F2.14 cierre de la fase de lanzamiento del servicio
Minsait plantea, respecto del plan de operación y entrega de servicio, tres fases:
- Fase de estabilización
- Fase de operación
- Fase devolución del servicio
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
En el plan de implantación no se propone con el nivel de detalle esperado la planificación ni los
esfuerzos necesarios para alcanzar los objetivos fijados para las actividades de implantación del
servicio.
En el plan de operación no se propone con el nivel de detalle esperado la planificación ni los
esfuerzos necesarios para alcanzar los objetivos fijados para las actividades de implantación del
servicio.
ERNST AND YOUNG S.L.
La propuesta se considera adecuada debido a la aportación de valor añadido, de forma generalista e
extensa, respecto de lo requerido. Los aspectos más positivos y destacables de la propuesta son los
siguientes:
Se plantea, respecto del plan de implantación, las siguientes fases, con detalle de la planificación,
actividades y duración que se adecuan a los objetivos del servicio:
- Fase l. Establecimiento de la OGS
- Fase ll. Identificación de las unidades operativas
- Fase III. Definición y establecimiento de Comités
- Fase IV. Despliegue inicial de capacidades, funciones y servicios de la OGS
- Fase V. Despliegue de capacidades y servicios
- Fase VI. Entrega de los servicios al nuevo adjudicatario
Se plantea, respecto del plan de operación y entrega de servicio, detallando por cada capacidad,
los objetivos, actividades y resultados.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
En el plan de implantación no se propone con el nivel de detalle esperado la planificación ni los
esfuerzos necesarios para alcanzar los objetivos fijados para las actividades de implantación del
servicio.
En el plan de operación no se propone con el nivel de detalle esperado la planificación ni los
esfuerzos necesarios para alcanzar los objetivos fijados para las actividades de implantación del
servicio.
ECON 000141-2018 Informe Técnico OGS.v.1.0 15
El resultado de la valoración de este subcriterio es:
3.1.3 SUBCRITERIO 3.3. OGS.
INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.
La propuesta se considera cumple con los requisitos previstos en pliego, aunque se considerara que no
aporta valor respecto a lo requerido. Los aspectos destacables de la propuesta son los siguientes:
- El servicio se prestará con dos equipos de trabajo diferenciados: Equipo Base y Equipo Proyecto.
La modalidad de trabajo de cada equipo será distinta (equipo base in-situ frente a equipo proyecto
remoto/a demanda), pero el servicio que pretende prestar Minsait considera un único equipo de
trabajo.
- Minsait es propuesta como el socio estratégico ideal para acompañar a Madrid Digital en su
estrategia en la adopción de medidas para el gobierno de la seguridad. El Centro de Operaciones
de Ciberseguridad de Minsait se constituye como un centro de referencia en Ciberseguridad a
nivel nacional e internacional, con capacidad para proporcionar servicios avanzados de
ciberseguridad gestionada.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- El modelo de servicios avanzados de ciberseguridad gestionada, de carácter “industrializado”,
tiene mejor aplicación en los procesos de un centro de operaciones de seguridad gestionada que
en los de una oficina de gobierno de la seguridad.
- El servicio que se pretende prestar Minsait considera un único equipo de trabajo en el que cada
capacidad o ámbito descrito en el alcance del pliego técnico será repartida entre los equipos por
el responsable del servicio, en coordinación con el responsable del proyecto de Madrid Digital, lo
cual no está adecuadamente alineado con los requerido por la Agencia para la metodología de
trabajo de la oficina de gobierno de la seguridad.
ERNST AND YOUNG S.L.
La propuesta se considera buena debido su aportación valor añadido claro respecto a lo requerido, de
forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:
- El equipo base y de proyecto compuesto por más de 10 recursos los cuales tendrán la participación
necesaria para el cumplimiento de los objetivos y entregables que tengan asignado dentro de su
ámbito de trabajo. E&Y reforzará el equipo de trabajo de las fases de calidad y transformación de
los servicios con un Responsable de Calidad y un Senior Manager para garantizar la transición
con la máxima calidad y eficacia y la mejora continua de los servicios prestados. Realizando las
labores de dirección del proyecto global un Socio de E&Y.
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
6,90 ERNST AND YOUNG S.L. 10,10
3.2 Servicio proyecto. (Hasta 5 puntos) ADECUADA 1,50 ADECUADA 1,50
CRITERIO 3.- Planificación, alcance y descripción del proyecto: Hasta 16 puntos
16 ECON 000141-2018 Informe Técnico OGS.v.1.0
- Las acciones propuestas están basadas en el Framework NIST, que pretenden mejorar la
seguridad global de la Organización, promoviendo una gestión de la Seguridad de la Información
centralizada y transparente para el usuario.
- Adicionalmente y como complemento al estándar NIST, E&Y dispone de un framework propio en
función de su experiencia basada en las buenas prácticas y el estándar definido por la ISO/IEC
27002:2013.
- Para afrontar la ejecución del contrato se propone por parte de E&Y la estructura del equipo de
trabajo encabezada por un socio-director, apoyado este por un panel de expertos en seguridad.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- Aunque se especifica la metodología de trabajo, no se presenta la planificación del proyecto con
el nivel de detalle esperado, con especificación de fases y actividades asociadas.
El resultado de la valoración de este subcriterio es:
3.1.4 SUBCRITERIO 3.4. Entregables.
INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.
La propuesta se considera buena debido a la aportación de valor añadido claro respecto a lo requerido,
de forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:
- Se propone una relación documental de títulos de entregables por cada capacidad o servicio.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- No se desarrolla con el nivel de detalle esperado el contenido de la documentación propuesta.
ERNST AND YOUNG S.L.
La propuesta se considera buena debido a la aportación de valor añadido claro respecto a lo requerido,
de forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:
- Se propone una relación documental de títulos de entregables por cada capacidad o servicio.
- Se detalla los elementos de valor añadido en relación con los entregables y las actividades de
cada capacidad.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
5,70 ERNST AND YOUNG S.L. 10,10
3.3. OGS. (Hasta 4 puntos) CUMPLE 0,00 BUENA 2,40
CRITERIO 3.- Planificación, alcance y descripción del proyecto: Hasta 16 puntos
ECON 000141-2018 Informe Técnico OGS.v.1.0 17
- El contenido detallado es claro y conciso, si bien no se desarrolla con el nivel de detalle esperado
el contenido de la documentación propuesta.
El resultado de la valoración de este subcriterio es:
3.1.5 SUBCRITERIO 4.1. Equipo de proyecto.
INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.
La propuesta se considera que adecuado debido a la aportación de valor añadido, de forma generalista
e extensa, respecto de lo requerido. Los aspectos destacables de la propuesta son los siguientes:
- El servicio de la OGS, contará con la capacidad de un equipo de trabajo formado por un Equipo
Base y los Equipos de Proyecto que sean necesarios, garantizando el nivel de especialización
requerido para el servicio y con capacidad de back-office más allá de los equipos propuestos
desde el inicio del servicio.
- Se realiza una propuesta de recursos adicionales que Minsait (Centro de Operaciones de
Seguridad) podrá ir proporcionando, gracias a la disponibilidad y flexibilidad de los recursos de los
que disponemos.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- No se concreta el número de las horas propuestas de los recursos asignados al equipo base o de
proyecto. Tampoco se concreta respecto de los recursos adicionales propuestos.
- La modalidad de trabajo de cada equipo será distinta (equipo base in-situ frente a equipo proyecto
remoto/a demanda), pero el servicio que pretende prestar Minsait considera un único equipo de
trabajo en el que cada capacidad o ámbito descrito en el alcance del pliego técnico será repartida
entre los equipos por el responsable del servicio.
ERNST AND YOUNG S.L.
La propuesta se considera buena debido a la aportación de valor añadido claro respecto a lo requerido,
de forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:
- Se realiza una propuesta y descripción del equipo de trabajo que incluye las funciones y perfiles
aportados por cada línea de actividad de la oficina de gobierno de seguridad, así como la cantidad
de recursos y horas, especificando la misión de cada uno y las habilidades requeridas:
comunicación "efectiva", clara orientación a los resultados, gestión eficaz del tiempo y de los
recursos que tengan asignados y diplomacia en su relación con terceros.
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
6,90 ERNST AND YOUNG S.L. 10,10
3.4 Entregables. (Hasta 2 puntos) BUENA 1,20 BUENA 1,20
CRITERIO 3.- Planificación, alcance y descripción del proyecto: Hasta 16 puntos
18 ECON 000141-2018 Informe Técnico OGS.v.1.0
- Adicionalmente, propone la asignación al proyecto de un perfil de Socio encargado de la dirección
del proyecto, de un senior manager encargado de la calidad y mejora continua y finalmente un
panel de expertos que presenta E&Y como un valor añadido, al añadir al equipo asignado a la
OGS el conocimiento y la experiencia de un Panel de Expertos reconocidos en las diferentes
materias que van a desarrollarse en el despliegue del Plan Estratégico. Asimismo, pone a
disposición la red internacional de E&Y para cualquier consulta relacionada con el desarrollo de
cualquiera de las iniciativas.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- No aplica. Se concretan los diferentes elementos requeridos.
El resultado de la valoración de este subcriterio es:
3.1.6 SUBCRITERIO 4.2. Disponibilidad.
INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.
La propuesta se considera buena debido a la aportación de valor añadido claro respecto a lo requerido,
de forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:
- En Minsait, oferta el back-office de la unidad de Ciberseguridad cuenta con más de 400 expertos.
Minsait es miembro de FIRST, la principal organización y líder mundial reconocido en la respuesta
a incidentes.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- El Servicio de Proyecto se prestará con personal asignado al servicio en una modalidad remota
gracias a los equipos expertos del Cyber Defense Center (el SOC-Centro de Operaciones de
Ciberseguridad- de Minsait), como puede ser el apoyo experto puntual o la colaboración del CSIRT
(Computer Security Incident Response Team).
ERNST AND YOUNG S.L.
La propuesta se considera notable debido a la aportación de valor añadido diferencial respecto a lo
requerido, de forma clara y significativa. Los aspectos más positivos y destacables de la propuesta son
los siguientes:
- Respecto de los casos en los que sea necesario ejecutar tareas derivadas de la confirmación de
la existencia de un incidente grave de seguridad o de cualquier otro que, por su naturaleza y a
criterio del Jefe de Proyecto o de la Dirección de la Agencia el equipo de E&Y al completo se
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
4,20 ERNST AND YOUNG S.L. 11,60
4.1 Equipo de poryecto (Hasta 6 puntos) ADECUADA 1,80 BUENA 3,60
CRITERIO 4.- Organización del equipo de proyecto. Hasta 14 puntos
ECON 000141-2018 Informe Técnico OGS.v.1.0 19
comprometa estar a disposición de la Agencia de manera inmediata del personal de la OGS o el
personal de back-office de E&Y, fuera del horario habitual, en sábados o festivos, o en régimen
de nocturnidad.
- Esta situación no supondrá ningún sobre coste adicional por estas circunstancias
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- No aplica. Se concretan los diferentes elementos requeridos.
El resultado de la valoración de este subcriterio es:
3.1.7 SUBCRITERIO 4.3. Estabilidad del equipo de proyecto.
INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.
La propuesta se considera cumple con los requisitos previstos en pliego, aunque se considerar que no
aporta valor adicional a lo requerido. Los aspectos destacables de la propuesta son los siguientes:
- Para conseguir estabilidad sobre el personal asignado a proyectos, en Minsait disponen de una
política de retención para nuestros empleados, el llamado “salario emocional”, compuesta por una
serie de iniciativas, tales como, planes de carrera o formación continua, aunque no se especifica
respecto de la continuidad del servicio.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- Se orienta la estabilidad del equipo dentro de la organización Indra o Minsait, pero no
específicamente respecto de la continuidad del servicio del proyecto.
- No se especifica la disponibilidad de perfiles y número que permitan dar respuesta ante situaciones
de intervención inmediata o extraordinaria.
ERNST AND YOUNG S.L.
La propuesta se considera notable debido a la aportación de valor añadido diferencial respecto a lo
requerido, de forma clara y significativa. Los aspectos más positivos y destacables de la propuesta son
los siguientes:
- E&Y propone respecto de la estabilidad del equipo y garantía de los recursos para la continuidad
del servicio, un plan de contingencia para la prestación, en caso de no disponibilidad de los
recursos y ligado a las instalaciones principales en la Agencia:
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
2,40 ERNST AND YOUNG S.L. 11,60
4.2 Disponibildad (Hasta 4 puntos) BUENA 2,40 NOTABLE 4,00
CRITERIO 4.- Organización del equipo de proyecto. Hasta 14 puntos
20 ECON 000141-2018 Informe Técnico OGS.v.1.0
Las instalaciones de E&Y Madrid, ubicadas en Raimundo Fernández Villaverde, 65. La
instalación dispone de los adecuados sistemas de seguridad física.
Conexiones cifradas entre las instalaciones de E&Y y los sistemas y herramientas de la
Agencia. Equipos maquetados con políticas de seguridad.
- Respecto de los recursos adicionales, E&Y propone la asignación al proyecto de un perfil de Socio
encargado de la dirección del proyecto, de un senior manager encargado de la calidad y mejora
continua, y finalmente un panel de expertos que presenta E&Y como un valor añadido, al añadir
al equipo asignado a la OGS el conocimiento y la experiencia de un Panel de Expertos reconocidos
en las diferentes materias que van a desarrollarse en el despliegue del Plan Estratégico. Asimismo,
pone a disposición la red internacional de E&Y para cualquier consulta relacionada con el
desarrollo de cualquiera de las iniciativas.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- No aplica. Se concretan los diferentes elementos requeridos.
El resultado de la valoración de este subcriterio es:
3.1.8 SUBCRITERIO 5.1. Modelo de seguimiento del servicio.
INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.
La propuesta se considera cumple con los requisitos previstos en pliego, aunque se considerar que no
aporta valor adicional a lo requerido. Los aspectos destacables de la propuesta son los siguientes:
- Se propone la elaboración detallada del mismo tras la adjudicación del contrato, con la
colaboración de Madrid Digital. No obstante, señala algunos elementos generales que, a su juicio,
deberán formar parte de dicho plan.
- Se propone la herramienta de reporte TILENA y se compromete a adaptarse a las necesidades
de MD en cuanto a contenido y periodicidad de los mismos.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- No se hace una propuesta concreta de Plan de Calidad, aplazando su elaboración tras la
adjudicación del contrato.
- No presenta una propuesta detallada de cada uno de los informes a elaborar para el seguimiento
de los periodos definidos.
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
2,40 ERNST AND YOUNG S.L. 11,60
4.3 Estabilidad del equipo (Hasta 4 puntos) CUMPLE 0,00 NOTABLE 4,00
CRITERIO 4.- Organización del equipo de proyecto. Hasta 14 puntos
ECON 000141-2018 Informe Técnico OGS.v.1.0 21
- Recoge en su oferta técnica el mismo cuadro de Acuerdos de Nivel de Servicio (ANS) y
Penalizaciones que figura en el Pliego de Prescripciones Técnicas.
ERNST AND YOUNG S.L.
La propuesta se considera buena debido a la aportación de valor añadido claro, de forma concreta y
concisa, respecto de lo requerido. Los aspectos más positivos y destacables de la propuesta son los
siguientes:
- Propone un Plan de Calidad con una escueta definición y complementado con macro-procesos:
Aseguramiento de la Calidad (cinco procesos internos) y Control de la Calidad (cuatro procesos
internos).
- Dentro del Plan de Calidad, E&Y detalla los mecanismos de seguimiento que, a su juicio deberán
ser Auditoría, Control de Calidad, Medición de desempeño, Monitorización y Evaluación.
- Se hace referencia genérica a una herramienta de reporte para la “automatización de informes de
seguimiento”.
- E&Y propone generar en términos generales, para el seguimiento del servicio, los siguientes tipos
de documentación:
▪ Documentación de seguimiento de la planificación de actividades.
▪ Informes específicos para cada proyecto.
▪ Informes de seguimiento: De la capacidad del servicio, Del nivel de cumplimiento de los
ANS, Informes para los Comités de seguimiento y actas de dichos comités.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- No se concreta una propuesta con el nivel de detalle esperado de cada uno de los informes de
servicio a elaborar para el seguimiento de los periodos definidos.
- Recoge en la propuesta el cuadro de Acuerdos de Nivel de Servicio (ANS) y Penalizaciones que
figura en el Pliego de Prescripciones Técnicas.
El resultado de la valoración de este subcriterio es:
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
0,60 ERNST AND YOUNG S.L. 3,60
5.1 Modelo de seguimiento del servicio (Hasta 4 puntos) CUMPLE 0,00 BUENA 2,40
CRITERIO 5.- Gestión del conocimiento, seguimiento y control del servicio. Hasta 6 puntos
22 ECON 000141-2018 Informe Técnico OGS.v.1.0
3.1.9 SUBCRITERIO 5.2. Modelo de gestión del conocimiento.
INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.
La propuesta se considera adecuada debido a la aportación de valor añadido, de forma generalista y
extensa, respecto de lo requerido. Los aspectos más positivos y destacables de la propuesta son los
siguientes:
- Se propone incluir en el Plan de Calidad de la OGS un capítulo dedicado a los procedimientos de
gestión y control documental. Para ello propone usar la metodología ISO 9001 y desarrollar
conforme a ella, para la OGS, un Plan de Gestión de la Documentación.
- Se propone la elaboración de un Plan de Finalización de los servicios, consensuado con MD y con
el nuevo adjudicatario. Asegura que dispondrá de tres partes o planes: Plan de formación y
entrevistas de aseguramiento de traspaso de conocimientos, Plan de configuración y transferencia
de conocimientos entre equipos de trabajo y el Plan de entrega de documentación sobre
procedimientos y manuales técnicos.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- No se se detalla la metodología de gestión documental que se propone para el proyecto.
- No se concreta si la elaboración de los procedimientos de gestión y control documental son a
cargo de las horas de proyecto de la oficina o son una propuesta ya elaborada que se aporta.
ERNST AND YOUNG S.L.
La propuesta se considera buena debido a la aportación de valor añadido claro respecto a lo requerido,
de forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:
- Se detalla la metodología de gestión documental que se propone para el proyecto. Las fases, o
aspectos, de la gestión documental que propone E&Y para el proyecto son: Creación de un índice
documental, Definición de espacio en infraestructuras de MD, Creación de permisos de acceso a
los repositorios documentales, Indexación de la documentación, Seguimiento del ciclo de vida de
la documentación y relación con la gestión del conocimiento, Creación de hojas de control de
cambios, Definición de los circuitos de revisión y aprobación, Definición de los criterios de
protección, Seguimiento de la distribución de la documentación y su publicación en repositorios
corporativos, Retirada y archivo de la documentación obsoleta.
- Propone la elaboración de un Plan de Finalización de los servicios, consensuado con MD y con el
nuevo adjudicatario. Esta fase consistiría en la preparación del conjunto de entregables necesarios
para la transferencia del servicio de mantenimiento al nuevo proveedor y a la Agencia. Articulado
en dos planes fundamentales: el Plan de Formación y transferencia de conocimiento y
documentación del servicio al personal de la Agencia y al equipo del nuevo adjudicatario, y el Plan
de Comunicación.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
ECON 000141-2018 Informe Técnico OGS.v.1.0 23
- Propone la definición del espacio en la infraestructura de la Agencia donde alojar la información
con la creación de las estructuras de índice correspondiente para la gestión documental.
El resultado de la valoración de este subcriterio es:
3.1.10 SUBCRITERIO 6.1. Plan de capacitación y formación.
INDRA SOLUCIONES TECNOLOGÍAS DE LA INFORMACIÓN, S.L.U.
La propuesta se considera que cumple con los requisitos previstos en pliego, aunque se considerará que
no aporta valor añadido respecto de lo requerido. Los aspectos destacables de la propuesta son los
siguientes:
- Se propone definir y llevará a cabo tras la adjudicación, en colaboración con MD, un Plan de
Formación y Capacitación con los contenidos y la duración que se consideren necesarios.
- Propone la posibilidad de diseñar un Plan que comprenderá, aspectos como: Sesiones y charlas
formativas, píldoras formativas, videos, celebración de eventos, ejercicios prácticos y elementos
de concienciación estáticos.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- No se concreta un Plan de Formación y Capacitación con los contenidos y la duración que se
considera requerido.
- Presenta, como ejemplo, el temario general de un curso general sobre seguridad.
- El ejemplo está orientado exclusivamente a formación TIC en ciberseguridad, no estando
orientado a todas las capacidades y necesidades de la oficina de gobierno de la seguridad.
ERNST AND YOUNG S.L.
La propuesta se considera buena debido a la aportación de valor añadido claro respecto a lo requerido,
de forma concreta y concisa. Los aspectos más positivos y destacables de la propuesta son los siguientes:
- Se propone un plan de formación adaptado a perfiles los contenidos propuestos, incluyendo la
duración estimada. Así como la modalidad presencial, on-line o autoformación.
- Se proponen objetivos de la formación y concienciación, así como los diferentes ámbitos (General
en seguridad, especifica en seguridad de cada una de las capacidades definidas, a usuarios de
seguridad)
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
0,60 ERNST AND YOUNG S.L. 3,60
5.2 Modelo de gestión del conocimiento (Hasta 2 puntos) ADECUADA 0,60 BUENA 1,20
CRITERIO 5.- Gestión del conocimiento, seguimiento y control del servicio. Hasta 6 puntos
24 ECON 000141-2018 Informe Técnico OGS.v.1.0
- La propuesta de contenidos ha tomado en consideración las necesidades y capacidades de la
futura oficina de gobierno de la seguridad, adaptando estos a las necesidades específicas de sus
destinatarios.
Y los aspectos que no permiten identificar propuestas de valor añadido respecto a lo requerido,
adicionales a las ya expuestas, son los siguientes:
- Se presentan los contenidos definidos en la propuesta de modo resumido, aunque sin el nivel de
detalle deseado.
El resultado de la valoración de este apartado es:
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
0,00 ERNST AND YOUNG S.L. 2,40
6.1 Plan de capacitacion y formacion (Hasta 4 puntos) CUMPLE 0,00 BUENA 2,40
CRITERIO 6.- Plan de capacitación y formación. Hasta 4 puntos
ECON 000141-2018 Informe Técnico OGS.v.1.0 25
4 Conclusiones.
A la vista de lo expuesto técnicamente, las ofertas analizadas cumplen con los requisitos mínimos exigidos
por los Pliegos de Condiciones Jurídicas y Técnicas, pero destaca la oferta presentada por ERNST AND
YOUNG S.L. sobre las demás por los siguientes elementos diferenciadores:
Respecto de la planificación, alcance y descripción del proyecto.
Propone una descripción analítica estructurada en objetivos, actividades, entregables y valor añadido.
Añadiendo la definición de metodologías de análisis de riesgos y gestión de activos, tomando como
referencia el marco regulatorio normativo (LO 3/2018, RGPD, RD 3/2010, RD 92/2018, EJIS) las
metodologías Magerit, la ISO 31000, ISO 27001. Proponiendo el catálogo de amenazas, entre otros, del
CNPIC. Y estableciendo el objetivo de considerar el análisis y gestión de riesgos como el núcleo central
de toda actuación organizada y sistemática en materia de gestión integral de la seguridad. Como valor
añadido propone establecer un análisis comparativo por Consejerías y entornos funcionales. E&Y define
que el servicio se prestará asignando las capacidades que sustentarán el modelo de gobierno y gestión
del riesgo de la Agencia.
Respecto del plan de implantación y de operación, se propone una relación detallada de objetivos, tareas
y resultados, destacando por su aportación de valor las propuestas metodológicas, los inventarios y
criterios de clasificación, la orientación al cliente de la Agencia ubicado en las diferentes Consejerías, la
identificación de herramientas específicas para cada necesidad o ámbito de gestión, y la gestión del riesgo
que terceros o proveedores supone para la seguridad de la información.
Las acciones propuestas están basadas en el Framework NIST, y adicionalmente y como complemento
al estándar NIST, E&Y dispone de un framework propio en función de su experiencia basada en las
buenas prácticas y el estándar definido por la ISO/IEC 27002:2013. Para afrontar la ejecución del contrato
se propone por parte de E&Y la estructura del equipo de trabajo encabezada por un socio-director,
apoyado este por un panel de expertos en seguridad.
Proponiendo una relación documental de títulos de entregables por cada capacidad o servicio. Y
detallando los elementos de valor añadido en relación con los entregables y las actividades de cada
capacidad.
Respecto de Organización del equipo de proyecto.
Se realiza una propuesta y descripción del equipo de trabajo que incluye las funciones y perfiles aportados
por cada línea de actividad de la oficina de gobierno de seguridad, así como la cantidad de recursos y
horas (más de 10 recursos), especificando la misión de cada uno y las habilidades requeridas. Y
adicionalmente, se propone la asignación al proyecto de un perfil de Socio encargado de la dirección del
proyecto, de un senior manager encargado de la calidad y mejora continua y un Panel de Expertos
reconocidos en las diferentes materias que van a desarrollarse en el despliegue.
Respecto de los casos en los que sea necesario ejecutar tareas derivadas de la confirmación de la
existencia de un incidente grave de seguridad o de cualquier otro que, por su naturaleza y a criterio del
Jefe de Proyecto o de la Dirección de la Agencia, el equipo de E&Y al completo se compromete estar a
26 ECON 000141-2018 Informe Técnico OGS.v.1.0
disposición de la Agencia de manera inmediata del personal de la OGS o el personal de back-office de
E&Y, fuera del horario habitual, en sábados o festivos, o en régimen de nocturnidad.
E&Y propone respecto de la estabilidad del equipo y garantía de continuidad de los recursos del servicio
un plan de contingencia para la prestación de los servicios, en caso de no disponibilidad de las
instalaciones principales en la Agencia.
Respecto de la gestión del conocimiento, seguimiento y control del servicio.
Propone un Plan de Calidad complementado con macro-procesos: Aseguramiento de la Calidad (cinco
procesos internos) y Control de la Calidad (cuatro procesos internos). Dentro del Plan de Calidad, E&Y
detalla los mecanismos de seguimiento.
Se detalla la metodología de gestión documental que se propone para el proyecto. Y propone la
elaboración de un Plan de Finalización de los servicios, consensuado con MD y con el nuevo adjudicatario.
Respecto del plan de capacitación y formación:
Propone un plan de formación adaptado a perfiles los contenidos propuestos, incluyendo la duración
estimada. Así como la modalidad presencial, on-line o autoformación. Así como los objetivos de la
formación y concienciación, y los diferentes ámbitos y público objetivo destinatario. La propuesta de
contenidos ha tomado en consideración las necesidades y capacidades de la futura oficina de gobierno
de la seguridad, adaptándose a las necesidades específicas de los ámbitos y público objetivo.
ECON 000141-2018 Informe Técnico OGS.v.1.0 27
Por todo ello, el resultado de la valoración técnica de las ofertas presentadas al concurso titulado
““OFICINA DE GOBIERNO DE LA SEGURIDAD DE MADRID DIGITAL” a adjudicar mediante
procedimiento abierto con pluralidad de criterios, de la Agencia para la Administración Digital de la
Comunidad de Madrid, es el que se recoge en la tabla siguiente:
El Director de Seguridad Corporativa
Fdo.: Fernando Ledrado Gómez
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
5,70 ERNST AND YOUNG S.L. 10,10
3.1 Servicio continuo. (Hasta 5 puntos) BUENA 3,00 NOTABLE 5,00
3.2 Servicio proyecto. (Hasta 5 puntos) ADECUADA 1,50 ADECUADA 1,50
3.3. OGS. (Hasta 4 puntos) CUMPLE 0,00 BUENA 2,40
3.4 Entregables. (Hasta 2 puntos) BUENA 1,20 BUENA 1,20
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
4,20 ERNST AND YOUNG S.L. 11,60
4.1 Equipo de poryecto (Hasta 6 puntos) ADECUADA 1,80 BUENA 3,60
4.2 Disponibildad (Hasta 4 puntos) BUENA 2,40 NOTABLE 4,00
4.3 Estabilidad del equipo (Hasta 4 puntos) CUMPLE 0,00 NOTABLE 4,00
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
0,60 ERNST AND YOUNG S.L. 3,60
5.1 Modelo de seguimiento del servicio (Hasta 4 puntos) CUMPLE 0,00 BUENA 2,40
5.2 Modelo de gestión del conocimiento (Hasta 2 puntos) ADECUADA 0,60 BUENA 1,20
INDRA SOLUCIONES
TECNOLOGÍAS DE LA
INFORMACIÓN, S.L.U.
0,00 ERNST AND YOUNG S.L. 2,40
6.1 Plan de capacitacion y formacion (Hasta 4 puntos) CUMPLE 0,00 BUENA 2,40
TOTAL 10,50 27,70
CRITERIO 3.- Planificación, alcance y descripción del proyecto: Hasta 16 puntos
CRITERIO 4.- Organización del equipo de proyecto. Hasta 14 puntos
CRITERIO 5.- Gestión del conocimiento, seguimiento y control del servicio. Hasta 6 puntos
CRITERIO 6.- Plan de capacitación y formación. Hasta 4 puntos
CRITERIOS CUALITATIVOS - JUICIO DE VALOR (Hasta 45 puntos)