RFI Seguridad
18
CENTRO DE INVESTIGACIÓN Y DESARROLLO EN TECNOLOGÌAS DE LA INFORMACIÒN Y LAS COMUNICACIONES – CINTEL NIT. 800.149.483-7 SOLICITUD DE INFORMACIÓN OPERACIÓN, ADMINISTRACIÓN, GESTIÓN Y MONITOREO DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN IMPLEMENTADO EN EL CONSEJO SUPERIOR DE LA JUDICATURA, INCLUYENDO LA OPERACIÓN Y ADMINISTRACIÓN DE TODAS LAS HERRAMIENTAS DE SEGURIDAD DE LA INFORMACIÓN ADQUIRIDAS POR LA ENTIDAD. Enero de 2014 Bogotá, D.C.
Transcript of RFI Seguridad
CENTRO DE INVESTIGACIÓN Y DESARROLLO EN
TECNOLOGÌAS DE LA INFORMACIÒN Y LAS
COMUNICACIONES – CINTEL
NIT. 800.149.483-7
SOLICITUD DE INFORMACIÓN
OPERACIÓN, ADMINISTRACIÓN, GESTIÓN Y MONITOREO DEL
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
IMPLEMENTADO EN EL CONSEJO SUPERIOR DE LA
JUDICATURA, INCLUYENDO LA OPERACIÓN Y
ADMINISTRACIÓN DE TODAS LAS HERRAMIENTAS DE
SEGURIDAD DE LA INFORMACIÓN ADQUIRIDAS POR LA
ENTIDAD.
Enero de 2014
Bogotá, D.C.
2
CONTENIDO
1. INTRODUCCIÓN............................................................................................................................... 3
2. INVITACIÓN ...................................................................................................................................... 3
3. CRONOGRAMA ................................................................................................................................ 3
4. ENTREGA DE LA INFORMACIÓN ................................................................................................. 4
5. RECOMENDACIONES PARA LA ENTREGA DE LA INFORMACIÓN....................................... 4
6. CONFIDENCIALIDAD Y USO DE LA INFORMACIÓN ................................................................. 6
7. ASPECTOS GENERALES............................................................................................................... 6
8. NECESIDAD ...................................................................................................................................... 9
9. OBJETIVO DE LA SOLICITUD DE INFORMACIÓN .................................................................. 11
10. REQUERIMIENTOS TÉCNICOS ............................................................................................... 11
11. PLAZO ......................................................................................................................................... 17
12. FORMA DE PAGO ..................................................................................................................... 17
13. ANEXOS ...................................................................................................................................... 18
3
1. INTRODUCCIÓN
El Centro de Investigación y Desarrollo en Tecnologías de la Información y las
Comunicaciones – CINTEL, es una corporación, sin ánimo de lucro, de participación mixta,
creada en el año de 1991, que tiene como misión de promover y fomentar el desarrollo de
las Tecnologías de la Información y las Comunicaciones.
En el marco de sus objetivos, CINTEL y el CONSEJO SUPERIOR DE LA JUDICATURA -
CSJ - suscribieron el Contrato Interadministrativo No. 113 de 2013, para “Realizar una
asesoría especializada para obtener el Diagnóstico y Recomendaciones de la
Infraestructura de Conectividad LAN y WAN y la formulación de un plan de mejoramiento
de TIC de la Rama Judicial para el periodo 2014 – 2018, con recomendaciones acerca del
modelo de operación a través del cual se gestionará el desarrollo del PET”.
En desarrollo del mencionado contrato, se hace necesario adelantar la presente Solicitud
de Información (en adelante RFI, Solicitud de Información o Estudio de Mercado), que de
acuerdo con la normatividad vigente, servirá para la estructuración de los pliegos de
condiciones y demás documentos previos del proceso de contratación, que de ser
necesario, será surtido en desarrollo del Plan de Mejoramiento de TIC 2014-2018 de la
Rama Judicial, por el Consejo Superior de la Judicatura.
2. INVITACIÓN
CINTEL invita en forma pública a responder el presente documento de Solicitud de
Información o RFI, a los proveedores que por su experiencia, estructura financiera,
tecnológica y posición en el mercado nacional e internacional, considere que clasifican para
participar en este proceso.
Se precisa que esta invitación no constituye oferta mercantil, ni es un requerimiento de
presentación de propuestas dentro de un proceso de contratación, ni es promesa de
celebración de contrato futuro, ni obliga a CINTEL ni al Consejo Superior de la Judicatura
a la suscripción de un contrato.
La información contenida en el presente documento, solo podrá ser utilizada por los
proveedores interesados, para el suministro de la información requerida.
3. CRONOGRAMA
Los proponentes interesados en participar en la presente Solicitud de Información, deben
tener en cuenta el siguiente cronograma:
4
Tabla 1 – Cronograma de Actividades del CSJ
Actividad Fecha
Publicación de documento RFI en la página web de
CINTEL www.cintel.org.co
14 de enero de 2014
Solicitudes de Aclaraciones del proveedor al
documento RFI
16 de enero de 2014
Publicación de respuestas a las solicitudes de
aclaraciones al documento RFI en la página web de
CINTEL www.cintel.org.co
20 de enero de 2014
Entrega de documento de respuesta al RFI por
parte de los proveedores
24 de enero de 2014
Fuente: CINTEL con la Información recolectada del CSJ.
Los proveedores interesados deberán dirigir las solicitudes de aclaraciones a la presente
Solicitud de Información, en los plazos señalados para el efecto, en el anterior cronograma
al siguiente correo [email protected].
En el evento que el presente documento sea objeto de alguna modificación, esta será
publicada en la página web de CINTEL www.cintel.org.co, por lo cual se recomienda su
consulta permanente, a todos los proveedores interesados.
4. ENTREGA DE LA INFORMACIÓN
La fecha límite para la entrega de la información solicitada en el presente documento, es el
día 24 de enero de 2014, a las 4:00 p.m. en el Centro de Investigación y Desarrollo en
Tecnologías de la Información y las Comunicaciones – CINTEL, ubicado en Carrera 14 No.
99-33/55, Oficina 505 de la ciudad de Bogotá D.C. (Colombia).
5. RECOMENDACIONES PARA LA ENTREGA DE LA INFORMACIÓN
Se solicita a los proveedores interesados en dar respuesta a la presente Solicitud de
Información, atender para el efecto, las siguientes recomendaciones:
a. Hacer una presentación del proveedor que contenga la siguiente información:
Información General
NIT
Estructura societaria
Fecha de entrada en operación o tiempo de funcionamiento; localización, si la
empresa es internacional por favor indicar si tiene representación en Colombia, y
específicamente en qué ciudades.
Balance General, Estado de Resultados y Notas a los Estados Financieros, con
corte a 31 de diciembre, correspondientes a los dos últimos años, debidamente
5
certificados. Asimismo, los balances se presentarán discriminados en ACTIVOS:
Corriente, no corriente y total; PASIVOS: Corriente, no corriente y total; y
PATRIMONIO.
Información Técnica: arquitectura de red del proveedor y su portafolio de servicios.
Información sobre experiencia: experiencia en proyectos similares, casos de éxito.
Perfil del personal técnico a asignar a una eventual ejecución del proyecto. Por
favor especificar las características del Gerente de Proyecto o responsable por parte
del proveedor de la ejecución y cumplimiento en la prestación del servicio.
Los eventuales canales de comunicación y atención para la prestación del servicio.
b. La información debe presentarse en el lugar y fecha definidas en este documento.
c. La información debe presentarse en idioma español, impresa y en CD, en formato PDF
y adicional la tabla de precios en formato Excel, para que facilite la consolidación de la
información.
d. Diligenciar todos y cada uno de los formatos técnicos y de precios señalados en el
presente documento.
e. Diligenciar los formatos de precios acorde con las especificaciones planteadas en el
presente documento, así como para las alternativas sugeridas, discriminando para
cada ítem el valor unitario, valor del IVA y valor total. Se debe incluir de manera
detallada todos los costos directos e indirectos que implique la prestación de los
servicios propuestos.
En todos los casos la información económica debe presentarse en pesos colombianos.
En el evento que para cumplir con lo solicitado en el anterior párrafo, el proveedor
requiera realizar la conversión del valor de los bienes o servicios de dólares a pesos
colombianos, deberá utilizar la Tasa de Cambio Representativa del Mercado – TRM
del último día hábil de la semana inmediatamente anterior a la fecha de publicación del
presente RFI, la cual encontrar en la página web www.banrep.gov.co. La TRM a utilizar
en el diligenciamiento de los formatos de la presente Solicitud de Información es MIL
NOVECIENTOS TREINTA Y CUATRO PESOS CON OCHENTA Y OCHO CENTAVOS
($1.934,88).
Para todos los casos los valores suministrados por el proveedor serán precios
corrientes. En el caso que sea necesario convertirlos en precios constantes, será
CINTEL quien calcule el factor de corrección y quien lo aplique.
f. Los interesados en responder la presente solicitud de información, tienen completa
libertad de responder de acuerdo a su entendimiento, sin embargo, se solicita
estructurar las respuestas teniendo en cuenta los requerimientos técnicos señalados
en este documento y sus anexos, utilizando los formatos establecidos para el efecto.
6
g. Se solicita al proveedor que para cada uno de los servicios para los cuales suministra
información de mercado, indique la factibilidad técnica de cumplir con la totalidad de
los requerimientos especificados y las alternativas técnicas que podrían tomarse en
cuenta para una mejor estructuración de los servicios tomando en consideración el
estado del arte, su desarrollo en los próximos cinco años y las mejores prácticas de
esa manera plantee su solución articulada a los requerimientos especificados y las
alternativas factibles. Se solicita que anexe la información técnica que estime relevante
para un mejor entendimiento de las soluciones planteadas.
6. CONFIDENCIALIDAD Y USO DE LA INFORMACIÓN
Toda la información suministrada por los proveedores en el marco del presente proceso de
Solicitud de Información o RFI, tendrá el carácter de confidencial, y podrá ser utilizada por
CINTEL y por el Consejo Superior de la Judicatura para la estructuración definitiva de las
soluciones técnicas requeridas que se contemplarán en los estudios y documentos previos,
así como en los pliegos de condiciones del proceso de contratación, si a ello hubiere lugar,
sin mencionar la fuente específica, condiciones que son aceptadas por el proveedor con el
suministro de la información.
7. ASPECTOS GENERALES
7.1 Rama Judicial en Colombia
La Constitución Política de Colombia en su artículo primero establece, como principio rector,
que Colombia es un Estado social de derecho. Con fundamento en este principio, el Estado
tiene la obligación de garantizar a toda persona el acceso a la Administración de Justicia,
con el fin de hacer efectivos sus libertades, derechos y garantías, de tal forma que se pueda
lograr la convivencia pacífica entre los habitantes del territorio colombiano. Por ello, la
Administración de Justicia -por disposición constitucional- es considerada función pública,
por lo que debe ser suministrada, a través de los funcionarios judiciales de manera eficiente,
eficaz y oportuna, con la plena observancia de las formalidades propias de cada proceso.
El artículo 116 de la Constitución Política, modificado por el artículo primero del Acto
Legislativo Nro. 03 de 2002, establece que la Administración de Justicia se encuentra a
cargo de la Corte Constitucional, la Corte Suprema de Justicia, el Consejo de Estado, el
Consejo Superior de la Judicatura, la Fiscalía General de la Nación, los Tribunales y los
Jueces, así como la Justicia Penal Militar.
Adicional, la Constitución Política en sus artículos 246 y 247 contempla otras dos
jurisdicciones especiales que son: la jurisdicción de las comunidades indígenas y la
jurisdicción de paz.
7
De acuerdo con lo dispuesto en la Constitución Política, la Ley 270 de 1996 (Ley Estatutaria
de la Administración de Justicia), la cual ha sido objeto de algunas modificaciones mediante
la Ley 585 de 2000 y la Ley 771 de 2002, la Rama Judicial en la actualidad se encuentra
conformada de la siguiente manera:
Figura 1. Organigrama funcional de la rama Judicial
Fuente: www.ramajudicial.gov.co/csj//publicaciones/index/subcategoria/213/386/Organigrama
El título VIII (artículo 228 y siguientes) de la Constitución Política está dedicado a establecer
el marco constitucional de la Rama Judicial, al cual se deben sujetar las leyes y actos
administrativos relacionados con la materia.
Se precisa que, no obstante el organigrama funcional de la Rama Judicial, expuesto en la
gráfica anterior, para efectos del presente documento, cuando se haga referencia al término
“rama judicial”, se entenderá que abarca:
- Jurisdicción ordinaria
- Jurisdicción Contencioso Administrativa
- Jurisdicción Constitucional
- Consejo Superior de la Judicatura
Las jurisdicciones se encuentran establecidas, de acuerdo con el tipo de conflicto que se
pretende dirimir y de quienes son parte en el litigio, encontrando lo siguiente:
Jurisdicción Ordinaria: Resuelve los litigios entre los particulares, así como aquellos que
no estén atribuidos por la Constitución o la ley a otra jurisdicción. Su máximo tribunal, es
la Corte Suprema de Justicia, el cual tiene atribuciones especiales adicionales a los demás
tribunales y juzgados de la jurisdicción, que se encuentran contempladas en el artículo 235
de la Constitución Política.
8
Jurisdicción de lo Contencioso Administrativa: Resuelve los litigios administrativos
originados en la actividad de las entidades públicas y de las personas privadas que
desempeñen funciones públicas. Su tribunal supremo es el Concejo de Estado, el cual
tiene atribuciones especiales adicionales a los demás tribunales y juzgados de la
jurisdicción, que se encuentran contempladas en el artículo 237 de la Constitución Política.
Jurisdicción Constitucional: Se le confía la guarda de la integridad y supremacía de la
Constitución Política, a través de la Corte Constitucional, órgano que se encuentra
conformado por magistrados pertenecientes a diversas especialidades del Derecho. Sus
funciones se encuentran señaladas en el artículo 241 de la Constitución.
Consejo Superior de la Judicatura: El Consejo Superior de la Judicatura está conformado
por un lado, por la Sala Administrativa encargada de atender las necesidades de
organización y de gestión de la Rama Judicial; y por otro lado, por la Sala Jurisdiccional
Disciplinaria encargada de adelantar los procesos disciplinarios de los funcionarios de la
rama judicial y de los abogados en el ejercicio de su profesión, así como de dirimir los
conflictos de competencia entre las distintas jurisdicciones.
Finalmente, es importante precisar que la gestión de Administración de Justicia por parte
de la Rama Judicial exige permanente interacción con los ciudadanos y con diferentes
entidades públicas y privadas.
7.2 Entendimiento del Plan de Mejoramiento de TIC 2014 – 2018 de la Rama Judicial
En el marco del contrato Interadministrativo Nro. 113 de 2013 celebrado entre el Consejo
Superior de la Judicatura y CINTEL, se estableció como una de las obligaciones la
formulación de un Plan de mejoramiento o modernización de TIC de la Rama Judicial para
el periodo 2014 – 2018, que contempló entre otras actividades realizar un diagnóstico de la
infraestructura de las TIC que actualmente posee la Rama Judicial, en el cual se identificó,
en la mayoría de los casos, unas TIC que no han evolucionado, de acuerdo con las
tendencias tecnológicas a nivel mundial en los últimos cinco (5) años.
Es así, como se requiere construir un plan de modernización que proyecte al Consejo
Superior de la Judicatura y a toda la Rama Judicial, en la adquisición de tecnologías de la
información y las comunicaciones modernas y de punta, alineadas con los objetivos y
planes estratégicos establecidos para la Rama Judicial, en lo concerniente a las TIC, y
articulados igualmente con los diferentes planes gubernamentales, como es el Plan
Nacional de TIC, orientando siempre su misión a la constitución de servicios que deben ser
suministrados al Estado, los particulares y en especial al ciudadano en general.
En esa medida, en temas de herramientas informáticas se ha proyectado un mejoramiento
y modernización de los sistemas de información que actualmente operan las Altas Cortes;
los sistemas de información que se requieren para el apoyo y control a la gestión de la
9
Rama Judicial; y una nueva arquitectura de Datos soportada por una infraestructura
tecnológica y de comunicaciones con su seguridad respectiva. Igualmente, se proyectan
bases de datos transaccionales, las cuales servirán de repositorios estructurados
alimentadas por las operaciones que realiza la Rama Judicial y los intervinientes de la
Justicia, mediante los sistemas de información modernizados y la interoperabilidad en línea
y casi en tiempo real con entidades del Estado y particulares, realizando una transformación
de la misma a bodegas de datos, con el fin de generar valor agregado de toda la información
y convertirse en un gestor de conocimiento para la justicia.
8. NECESIDAD
En el Consejo Superior de la Judicatura (CSJ) en cuanto al Sistema de Gestión de la
Seguridad de la Información, se encuentra lo siguiente:
En el contrato 125 del 2010 entre, la Empresa de Telecomunicaciones de Bogotá S.A. ESP
- ETB - y el CSJ se entregó a la unidad Informática del CSJ una primera versión del Manual
de Políticas de Seguridad de la Información.
Posteriormente, el CSJ contrató la Consultoría No. 0192 de 2012, a través de la Unidad
Ejecutora del Proyecto BID, cuyo objetivo era: "Diseño del modelo de seguridad informática
(WAN y MAN) e implementación de mecanismos y protocolos de seguridad: diseñar el
modelo de comunicaciones y seguridad Informática para las altas cortes y jurisdicción
contencioso - administrativa de Cundinamarca y Bogotá".
Como aporte al sistema de gestión de seguridad de la información del CSJ, esta consultoría
generó una nueva propuesta tanto del manual de seguridad de la información como de los
procedimientos de seguridad alineados con lo establecido en la NTC-ISO/IEC 27002:2005
de la norma ISO 27001:2005.
Actualmente, el CSJ se encuentra en proceso de contratación de los servicios profesionales
a través de la licitación Publica 30 de 2013, para: “Adquirir la actualización, implementación
y puesta en operación de un esquema de seguridad informática y de la información para la
Rama Judicial”, cuyo alcance involucra:
Actualización del modelo de seguridad de la información vigente.
Gestión de vulnerabilidades.
a. Remediación de vulnerabilidades, con “Retest”.
Diseño de Arquitectura de Seguridad de la red e Integración con el Directorio Activo
del CSJ
Licencias con soporte y derecho a uso de las herramientas necesarias para el
monitoreo, análisis y control de las medidas de seguridad implementadas.
Actualización de la estructura organizacional de seguridad.
Actualización del plan de continuidad de negocio vigente.
10
Entrega y recibo a satisfacción de la Gestión de vulnerabilidades.
Reportes mensuales de monitoreo, análisis y recomendaciones con relación a
seguridad informática y de la información, de acuerdo a las herramientas
implementadas
Plan del proyecto e informe de avance en su ejecución.
Con este servicio se busca apoyar el desarrollo del Sistema de Gestión de Seguridad de la
Información (SGSI), de acuerdo al estándar internacional de control de aplicabilidad en
Colombia la NTC-ISO/IEC 27001, actualizando los documentos generados en los procesos
de consultoría anteriores y desarrollando los documentos que sean requeridos.
Bajo el marco de la normatividad ISO/IEC 27001:2005, el Sistema de Gestión de Seguridad
de la Información opera bajo el ciclo del PHVA (Planear, Hacer, Verificar, Actuar). Ver Figura
2. Lo cual implica que una vez implementado, este debe mantenerse; y su mantenimiento
está definido en la operación y administración del SGSI cuyo alcance lo dan los 11 dominios
establecidos en la norma.
Figura 2. Ciclo PHVA
Fuente: www.ISO27000.es
Por otro lado, la operación continúa del sistema que apoya la consolidación del Modelo de
Gestión de la Seguridad de la Información establecido para el CSJ, debe ser ejecutado por
personal idóneo y dedicado a esta labor, es decir, que conozca y cuente con experiencia
en el SGSI y las buenas prácticas en seguridad de la Información.
En razón a que la Unidad de Informática del CSJ, cuenta con un limitado número de
personas en su grupo de seguridad de la información que apoye la operación del SGSI de
la entidad, se recomienda la contratación de la prestación del servicio de operación,
administración, gestión y monitoreo del Sistema de Gestión de Seguridad de la Información,
que reporte al Director de la Unidad de Informática, como supervisor del contrato.
11
Finalmente, el requerimiento de establecer el SGSI, desarrollarlo, operarlo y mantenerlo ha
sido promulgado por la estrategia de Gobierno en línea – GEL del Ministerio de las
Tecnologías de la Información y Comunicaciones - MINTIC, desde la primera versión y
ratificado según lo establecido en el Manual 3.1 Evolución 2012- 2015, bajo su componente
transversal en la actividad No.4 Implementar un Sistema de Gestión de Seguridad de la
Información – SGSI para la protección de los activos de información, razón por la cual las
entidades del Gobierno Nacional deben encaminar esfuerzos para dar cumplimiento a lo
allí exigido.
9. OBJETIVO DE LA SOLICITUD DE INFORMACIÓN
En cumplimiento de lo previsto en el artículo 15 del Decreto 1510 de 2013, se considera
necesario conocer el sector de las Tecnologías de la Información y las Telecomunicaciones,
específicamente respecto de las condiciones técnicas y económicas del servicio entre otras,
para contratar los servicios de operación, administración, gestión y monitoreo del Sistema
de Gestión de la seguridad de la información (SGSI) implementado en el Consejo Superior
de la Judicatura, incluyendo la operación y administración de todas las herramientas de
seguridad de la información adquiridas por la entidad.
Con la contratación el CSJ debe lograr una clara definición y consolidación de un Sistema
de Gobierno de Seguridad de la Información, alineado con la política General de Seguridad
de la información y a una gestión del riesgo de los procesos de la Entidad, que incluye la
operación y administración de todas las herramientas de seguridad de la información
adquiridas por el CSJ.
10. REQUERIMIENTOS TÉCNICOS
Para la prestación del servicio se deberá:
1. Realizar un plan de trabajo por periodos trimestrales y cronograma para ser entregado a la supervisión, dentro de los siguientes tres (3) días a la suscripción del contrato, donde se describa de forma detallada la ejecución de las actividades a desarrollar.
2. Realizar la administración de las herramientas de software actuales que use el Consejo Superior de la Judicatura en el Sistema de Gestión de Seguridad de la Información, así como aquellas que adquiera durante la ejecución del contrato para apoyo al mismo.
3. Firmar un acuerdo de confidencialidad por cada uno de los participantes en el desarrollo del proyecto en el formato establecido en el Consejo Superior de la Judicatura.
4. Administrar y gestionar el Sistema de Gestión de Seguridad de la Información para el Consejo Superior de la Judicatura en la RAMA JUDICIAL, el cual puede contemplar como mínimo catorce (14) aspectos, direccionados por la Política General de Seguridad
12
de la Información del Consejo Superior de la Judicatura y en los cuales se representan las actividades de gobierno, control y protección de la información, así:
i) Actualización del modelo de Gestión de seguridad de la información (SGSI)
El proponente debe realizar la actualización y mantenimiento del modelo de gestión de
seguridad de la información (SGSI) basados en el uso de las buenas prácticas para la
gestión de calidad ISO 9001, NTCGP-1000:2009 (Norma Técnica de Calidad en la Gestión
Pública) y de gestión de la seguridad de la información y estándares internacionales de
control de aplicabilidad en Colombia (NTC-ISO/IEC 27001 - Objetivos de Control para
Información y Tecnología relacionada), así como las recomendadas por Gobierno en línea
en su Modelo de Seguridad de la Información.
ii) Gestión de riesgo
El proponente debe realizar periódicamente la actualización de los cambios que se generen
en infraestructura, políticas, y demás, del SGSI de la Entidad.
iii) Atención de incidentes de seguridad.
El proponente debe desarrollar y mantener el gobierno de atención y manejo de eventos de
seguridad, junto con la divulgación, gestión y mejora de los procedimientos y demás
normatividad asociada a la respuesta a incidentes.
Ante la detección de eventos que se puedan clasificar como incidentes de seguridad, se
requiere la intervención del proponente en el análisis de estas situaciones, el
reconocimiento como incidente de seguridad, y la evaluación y apoyo en las acciones de
atención y contención de estos incidentes.
iv) Asesoría y consultoría en temas de seguridad informática: apoyo en la
implementación de las estrategias definidas para: protección de fuga de
información, monitoreo y correlación de eventos y auditoría de bases de
datos.
El proponente debe evaluar el nivel de cumplimiento de la política de seguridad y apoyar la
implementación de las estrategias definidas para la protección de la fuga de Información,
monitoreo, correlación de eventos y auditoría de bases de datos.
Las actividades a ejecutar, a cargo del proponente, buscan:
Conocer el nivel de cumplimiento de la política de seguridad, por parte de toda la
Entidad.
Definir propuestas de mejora del gobierno en seguridad de la información.
Proponer controles de protección y uso de la información y del mejoramiento frente
a los hallazgos identificados.
13
Seguir e impulsar el cumplimiento de los planes de mejoramiento.
Buscar el mejoramiento permanente del material normativo y procedimental de
seguridad de la información existente en el CSJ que vuelve operacional la política,
así como el desarrollo, actualización y formalización del material normativo que se
identifique como faltante y necesario para el desarrollo del modelo de seguridad de
la información de la entidad y en cumplimiento de la Política General de Seguridad
de la Información del CSJ y el que identifique necesario la gestión de riesgo de la
información.
v) Investigación forense con evidencia digital.
El proponente debe suministrar los servicios necesarios para dar respuesta a las
investigaciones solicitadas por el CSJ sobre incidentes de seguridad detectados con base
en el modelo de SGSI de la entidad. Las actividades de colección de información, cadena
de custodia y presentación de resultados se deben ejecutar de acuerdo con los
procedimientos establecidos en el CSJ.
El proponente debe trabajar con últimas versiones liberadas en el mercado para las
herramientas de software y hardware a ser usadas.
vi) Procesos de sensibilización, formación y concienciación en cuanto a
Seguridad de la Información para el personal del CSJ y la RAMA JUDICIAL
al que se le asignen responsabilidades definidas en el SGSI.
El proponente debe desarrollar, gestionar, mejorar e implementar la estrategia y los planes
a corto, mediano y largo plazo, necesarios para aumentar el nivel de cultura organizacional
de seguridad, mejorando la comprensión en la Política de Seguridad y el SGSI de los
funcionarios del CSJ.
Esto implica que se debe diseñar, desarrollar, dirigir, medir y publicar los planes de
sensibilización y concienciación para el modelo de gestión de seguridad de la información
de la entidad acogiendo la política de CERO PAPEL de GEL.
vii) Manejo de control de cambios.
El proponente debe revisar, mejorar y proponer estrategias de seguridad necesaria para su
participación en el proceso de control de cambio y dar cumplimiento a la política del SGSI
en la totalidad de cambios generados en cada proceso de la administración de sistemas.
Para dar cumplimiento a este aspecto se requiere la participación del proveedor del servicio,
en la evaluación y aceptación de los cambios, considerando el impacto que tengan sobre
el modelo de SGSI, el aseguramiento de la infraestructura informática y de la información
del CSJ.
14
Se deben proponer alternativas, soluciones y recomendaciones tecnológicas en la
aplicación de estos cambios y asegurar que cada proceso de administración de sistemas
del CSJ integre el manejo de la seguridad.
viii) Planes de respuesta y continuidad ante desastres.
El proponente debe liderar y consolidar el desarrollo de los planes de recuperación ante
desastres de la plataforma tecnológica del CSJ acorde con la gestión de riesgo en seguridad
de la información de cada proceso de negocio, así como el desarrollo de los planes de
continuidad de negocio ante desastres mayores para la entidad.
Se deberá mantener y actualizar las estrategias, indicadores y las mediciones de
recuperación ante desastres y continuidad del negocio acorde con la gestión de riesgo de
la entidad y con base a los requerimientos establecidos por el estándar ISO 22301 y buenas
prácticas de la industria.
ix) Ejecución de pruebas de vulnerabilidad internas y externas a la
infraestructura Hardware y Software con sus respectivos “Retest” cada
trimestre.
El proponente debe asesorar a la entidad en la implementación de un conjunto de
recomendaciones para la remediación de vulnerabilidades identificadas a partir de la
definición de los planes de remediación, recomendaciones de mejores prácticas de
implementación y el seguimiento del resultado de las remediaciones aplicadas en la red de
datos y componentes de infraestructura del CSJ.
El proponente debe realizar el análisis de vulnerabilidades con una periodicidad trimestral
a los componentes de infraestructura tecnológica (Swítches. routers, servidores, estaciones
de trabajo, bases de datos, aplicaciones WEB, etc.).
x) Validación, seguimiento y ejecución de las recomendaciones de los
informes entregados por los proveedores actuales de WAN y LAN en el
tema de seguridad de la información y seguridad informática.
El proponente debe efectuar la ejecución de las recomendaciones que en materia de
seguridad ofrezcan los proveedores actuales de WAN y LAN una vez analizado el impacto
de su implementación y habiendo obtenido la aprobación por parte de la Unidad Informática
del CSJ.
Adicionalmente, el proponente debe buscar el desarrollo integral de la estrategia de
seguridad de la información establecida en el CSJ para la evaluación y emisión de concepto
sobre nuevos productos, metodologías, proyectos o demás requerimientos derivados de la
operación diaria del modelo de seguridad de la información del CSJ, que sean puestos a
consideración del proponente, bajo la política de seguridad de la información de la entidad.
15
El alcance de la participación el proponente en estas actividades corresponde a asesoría,
orientación técnica, propuesta de alternativas, soluciones y acompañamiento en reuniones.
xi) Seguimiento y cumplimento del SGSI
El proponente debe definir una estrategia para el seguimiento y cumplimiento del SGSI en
la entidad, la cual debe ser aprobada por la Unidad Informática del CSJ.
xii) Evaluar la eficacia de las acciones realizadas.
El proponente debe como parte del modelo de seguridad, evaluar la eficiencia y eficacia de
las acciones realizadas referente a la operación de la plataforma de seguridad y la
implantación de la política de seguridad en los servicios y recursos informáticos de la
entidad.
El proponente es responsable del diseño de la configuración e implantación en la
infraestructura que gestiona, de acuerdo a los requerimientos de los servicios informáticos
y la política de seguridad de la información del CSJ.
El proponente debe interactuar, cooperar y coordinar con la unidad de informática del CSJ
para lograr que se ejecuten las actividades de seguridad del SGSI necesarias en la
plataforma y servicios informáticos.
El proponente debe generar y controlar los indicadores y reportes del nivel de cumplimiento
de las actividades definidas en el SGSI aprobados por parte de la unidad de informática.
El Proveedor debe liderar el desarrollo y mantenimiento de la línea base de aseguramiento
de la plataforma tecnológica informática propia del CSJ.
xiii) Generar los informes encaminados a dar avances al líder de Gobierno en
Línea.
El proponente debe generar los informes encaminados a dar avances del SGSI al líder de
Gobierno en Línea del CSJ, en los cuales se demuestre el cumplimiento del componente
requerido por la estrategia GEL.
xiv) Generar los informes establecidos con la Unidad Informática del CSJ.
El proponente debe generar informes mensuales de monitoreo, análisis y recomendaciones
con relación a la seguridad informática y del SGSI de acuerdo a las herramientas
implementadas, así como disponer de un mecanismo de seguimiento para tomar acciones
preventivas y/o correctivas que garanticen que los procesos sensibles de la entidad estén
16
debidamente protegidos, los cuales serán aprobados y establecidos con la Unidad
Informática del CSJ.
El proponente debe generar informes trimestrales establecidos con la Unidad Informática
del CSJ, mostrando la gestión, trazabilidad y avance del plan del proyecto en la ejecución
de cada una de las fases.
EXPERIENCIA:
El proponente interesado, deberá Indicar en la respuesta a la presente solicitud de
información, la experiencia que se considera deben tener los proveedores prestadores del
servicio
ENTREGABLES EN DESARROLLO DE LA PRESTACION DEL SERVICIO
Respecto de los entregables, como parte de la prestación del servicio, se deberá:
Presentar mes a mes informe de avance y resultados sobre el plan de trabajo
acordado entre el Proveedor y el CSJ de la RAMA JUDICIAL.
Durante la primera semana del primer mes de ejecución del contrato, la tabla de
contenido de los informes deberá ser aprobada por el CSJ.
Informes requeridos según lo definido en el plan de trabajo trimestral.
Objeto
Contratar la prestación de los servicios de operación, administración, gestión y monitoreo
del Sistema de Gestión de la seguridad de la información implementado en el Consejo
Superior de la Judicatura, incluyendo la operación y administración de todas las
herramientas de seguridad de la información adquiridas por la entidad.
Obligaciones
El contratista se obligará con la Nación – Consejo Superior de la Judicatura a cumplir con
las obligaciones señaladas en el Anexo Nro. 1 – Especificaciones Técnicas numeral 1.1. y
numeral 1.2. Para la ejecución del objeto contractual.
Autorizaciones, permisos y licencias requeridos
Todo software que sea utilizado por el contratista en la ejecución del contrato debe estar
debidamente licenciado. Se debe informar también al CONSEJO SUPERIOR DE LA
JUDICATURA el licenciamiento necesario para la implementación de las soluciones cuando
requiera software de terceros.
17
Plazo de ejecución y vigencia del contrato
El plazo de ejecución del contrato que se derive de este proceso de selección es de cuatro
(4) años a partir de la suscripción del Acta de Inicio, previo cumplimiento de los requisitos
de perfeccionamiento, legalización y ejecución del contrato.
Los dos (2) primeros meses serán de entendimiento y recepción de las soluciones
instaladas y operativas (período de transición).
Autorizaciones, permisos y licencias requeridos
El servicio contará con las herramientas y software licenciado que soporten el monitoreo,
análisis y control de las medidas de seguridad implementadas en el SGSI,
Lugar de ejecución
La prestación del servicio se hará en la ciudad de Bogotá con cobertura a nivel nacional,
específicamente en los sitios y sedes del Consejo Superior de la Judicatura a nivel nacional,
y teniendo en cuenta los crecimientos porcentuales que se detallan en los anexos que
hacen parte integral de este documento. Ver Anexo Nro. 4.
11. PLAZO
El plazo de ejecución del contrato que se derive de este proceso de selección es de cuatro
(4) años a partir de la suscripción del Acta de Inicio, previo cumplimiento de los requisitos
de perfeccionamiento, legalización y ejecución del contrato.
Los dos (2) primeros meses serán de entendimiento y recepción de las soluciones
instaladas y operativas (período de transición).
12. FORMA DE PAGO
El Consejo Superior de la Judicatura pagará al contratista el valor del contrato así:
Periodo de Transición, Servicio de Operación, administración, gestión y monitoreo: 48
pagos fijos mensuales, cada uno por la suma de CIENTO VEINTIUN MILLONES OCHENTA
Y TRES MIL TRESCIENTOS TREINTA Y TRES PESOS M/CTE (incluido IVA) TRES $
121.083.333 M/cte.
Los pagos se realizarán dentro de los 45 días calendario, siguientes a la presentación de
los documentos que se relacionan a continuación: 1) Certificación de cumplimiento a
satisfacción del bien o servicio entregado en el periodo que se reporta, suscrita por el
supervisor del contrato. 2) Factura o cuenta de cobro dependiendo del régimen tributario al
18
que pertenezca (Régimen Común o Régimen Simplificado), según el caso. 3) Certificación
expedida por el revisor fiscal o el representante legal, según corresponda, de conformidad
con la Ley 43 de 1990 y el Artículo 23 de la Ley 1150 de 2007, que acredite estar al día en
el pago de la nómina y de las obligaciones al Sistema Integra de Seguridad Social y
parafiscales, cuando haya lugar.
En caso de devolución de los documentos presentados por el contratista para el pago, el
conteo de los términos reiniciará con la nueva radicación.
Los pagos se sujetarán a los recursos que la Dirección del Tesoro Nacional y Crédito
Público del Ministerio de Hacienda sitúe a la entidad, y no podrá afectar el pago oportuno
de salarios y prestaciones sociales al personal contratado para la ejecución del contrato.
13. ANEXOS
Anexos para diligenciar: De acuerdo con lo establecido en el presente documento, se
solicita a los interesados en el suministro de información, entregar con su respuesta,
diligenciados los siguientes anexos:
Anexo Nro. 2 Costos de Equipo de Trabajo y Viajes.
Anexo Nro.3 Experiencia, Forma de pago y Plazos.
Anexos informativos: Los siguientes anexos son de tipo informativo, por lo cual se solicita
a los interesados en el suministro de información su lectura, de manera previa a la
preparación y presentación de sus respuestas
Anexo Nro. 4 Tipificación Sedes.
