Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ciberseguridad
1. Objetivo de la contratación:
El BCR requiere contratar una consultoría para diagnosticar el sistema de gestión de seguridad y las
capacidades ciberseguridad, con la que se identifique el estado actual y se determine el riesgo y el
nivel de madurez y se incluyan las recomendaciones necesarias para solventar las situaciones o
brechas que deban ser mejoradas.
2.1. Realizar un análisis de desempeño de las capacidades de ciberseguridad actuales del Banco
de Costa Rica en comparación con las mejores prácticas de la industria como el marco ISO
27001 y NIST Cyber Security Framework.
2.3. Identificar las brechas y (o) riesgos que impactan el rendimiento de ciberseguridad,
analizando la tecnología, personas y procesos existentes y requeridos para alcanzar el nivel
de madurez deseado.
3.3. Etapa III Diagnóstico sobre el estado actual de las capacidades de ciberseguridad.
3.3.1. El contratista debe analizar las capacidades actuales (incluye personas, procesos y
tecnología) que posee el Banco de Costa Rica para atender y gestionar la
ciberseguridad. Para lo anterior debe utilizar marcos de mejores prácticas como
ISO27001, NIST Cyber Security Framework, o alguna otra mejor práctica de
industria la cual debe ser presentada al equipo del Banco de Costa Rica para su
aprobación.
3.3.4. Deben utilizarse entrevistas a las áreas técnicas y de negocio para evaluar las
brechas de seguridad de la información y ciberseguridad, con base a la mejor práctica
acordada con el administrador del contrato, como por ejemplo NIST Security
Framework.
3.3.6. En análisis de brechas debe incluir evaluaciones técnicas que permita confirmar la
eficacia de los controles evaluados y determinar la postura de ciberseguridad. El plan
de trabajo para la evaluación técnica debe ser presentado al administrador del contrato
para aceptar su alcance y profundidad. El oferente deberá justificar la definición del
alcance considerando muestreo estadístico o muestreo por atributos. Entre las pruebas
que puede considerar el oferente se encuentra:
d. Revisión de configuraciones.
e. En todos los casos se debe incluir re-evaluación de las pruebas técnicas que se
elaboren.
3.3.8. Se debe documentar un informe detallado que liste las brechas identificadas, así
como el respectivo informe ejecutivo asociado.
b. Una presentación ejecutiva para el nivel gerencial que el Banco de Costa Rica
informe al contratista.
a. Informe del estado actual que revele el estado actual de las capacidades de
ciberseguridad, con relación al marco de referencia sea NIST o ISO27001,
donde se incluya las respectivas recomendaciones generales.
b. Detalle del cumplimiento de las categorías y subcategoría en relación al marco
de referencia, sea NIST o ISO27001, y las respectivas recomendaciones.
c. Detalle de los hallazgos encontrados en las evaluaciones técnicas,
conjuntamente con los sistemas analizados e indicando la metodología de
revisión aplicada.
d. Recomendaciones para la mitigación de las vulnerabilidades encontradas.
e. Informe y presentación para el equipo técnico que detalle las vulnerabilidades y
riesgos encontrados por cada sistema evaluado y recomendaciones para
remediarlas.
f. Informe y presentación ejecutiva para el grupo gerencial del Banco, donde se
muestren los resultados del diagnóstico efectuado, con el nivel de seguridad
encontrado y conclusiones.
a. Nombre de la iniciativa
b. Objetivo
c. Actividades clave
d. Supuestos
e. Criterios de éxito
f. Dependencias
g. Actividades sugeridas
h. Recursos requeridos (software, hardware, consultoría).
5. De los entregables.
El Banco de Costa Rica se reserva el derecho de aprobar o realizar cambios dentro de los cinco (5)
días hábiles, posteriores al recibido del informe. En caso de la no aceptación por parte del Banco de
Costa Rica, el adjudicatario contará con un plazo máximo de dos (2) días hábiles adicionales
contados a partir del comunicado del Banco de Costa Rica para realizar las correcciones requeridas,
lo anterior hasta un máximo de dos (2) correcciones.
Es importante indicar que una vez agotadas las dos correcciones otorgadas por el Banco de Costa
Rica para realizar las modificaciones solicitadas, si el informe no cumple con lo requerido por el
Banco de Costa Rica, se procederá a considerar esta situación como incumplimiento del
adjudicatario, por lo que el Banco de Costa Rica podrá tener por incumplido el contrato sin
responsabilidad de su parte, quedando en el derecho de resarcirse de los daños y perjuicios que tal
incumplimiento le cause.
6.1.1. El oferente debe haber realizado al menos 3 proyectos similares al objetivo de esta
contratación ya sea en instituciones públicas o privadas del país o bien en el
extranjero en un periodo no mayor a 5 años anteriores a la fecha fijada para la
apertura de ofertas.
6.1.2. Debe demostrar que ha conducido y realizado al menos 3 proyectos de asesoría para
la implementación de modelos de gestión de ciberseguridad, y en donde al menos 1 de
esas referencias haya alcanzado la certificación ISO27001.
6.1.3. Con base a los dos puntos anteriores (seis (6) referencias), el oferente deberá
aportar bajo juramento, las referencias y evidencias de donde brindó el servicio,
donde se detalle: nombre, dirección, teléfono y correo electrónico del cliente,
descripción del servicio realizado, fecha de inicio y fecha de finalización del proyecto.
El Banco de Costa Rica se reserva el derecho de verificar los datos consignados en la
lista.
6.2.2. El Banco de Costa Rica, podrá exigir la sustitución de cualquier miembro de trabajo
provisto por el adjudicatario, por incumplimiento de responsabilidades, normas y
procedimientos del Banco, o porque el desempeño en su rol interfiere con la calidad y
oportunidad del avance del proyecto.
6.2.3. Debe aportarse el nombre, cédula de identificación y demás calidades del personal
ofertado.
6.2.5. El personal técnico debe haber participado en al menos tres (3) proyectos que
considere alguno de las siguientes actividades sobre el marco de trabajo NIST en
todos sus procesos: de optimización de procesos de ciberseguridad que incluya
actividades de planificación, análisis de brechas en empresas del sector financiero
nacional o internacional. Esto dentro de los cinco (5) años anteriores a la apertura de
las ofertas. A tal efecto, el oferente deberá aportar una lista bajo fe de juramento de
los clientes a los cuales los técnicos les brindó directamente los servicios antes
citados, con indicación del nombre del cliente (empresa propietaria o persona física
que recibió el servicio o el equipo), teléfonos del cliente, nombre del contacto que
pueda otorgar referencia, correo electrónico, nombre de los proyectos, fecha
(mes/año) de inicio y finalización del proyecto, indicación expresa del servicio
realizado.
El Banco se reserva el derecho de verificar los datos consignados en la lista.
6.2.6. Los miembros del equipo de trabajo ofertado deberán garantizar la disponibilidad
de las siguientes certificaciones:
a. Al menos uno (1) de los miembros del equipo de trabajo deberá contar
adicionalmente con la certificación CEH (Certified Ethical Hacker), emitida por
EC-Council, para lo cual deberán presentar fotocopia debidamente certificada
por un notario.
b. Al menos dos (2) de los miembros del equipo de trabajo deberá contar con
Certificación ISO27001 Lead Implementer, emitida por PECB o BSI, para lo
cual deberán presentar fotocopia debidamente certificada por un notario.
c. Al menos uno (1) de los miembros del equipo de trabajo deberá contar
adicionalmente con la certificación CISSP (Certified Information Systems
Security Professional) emitida por ISC2.
d. Todas las certificaciones anteriores deben poder ser comprobadas mediante una
consulta web u otro método electrónico ante el ente certificador
correspondiente.
6.2.8. El Director de proyecto ofertado deberá contar con las siguientes certificaciones,
para lo cual deberán presentar fotocopia debidamente certificada por un notario.
b. Certificación ITIL
d. Todas las certificaciones anteriores deben poder ser comprobadas mediante una
consulta web u otro método electrónico ante el ente certificador
correspondiente.
6.2.9. El Director de Proyecto deberá tener al menos quince (15) años de experiencia en
seguridad de la información, auditoría de seguridad y tecnología o gobierno de la
tecnología, anterior a la fecha de apertura de las ofertas, período en el cual deberá
haber ejecutado al menos 5 proyectos relacionados a trabajos en administración y
gestión de proyectos de estrategia de ciberseguridad.
A tal efecto, el oferente deberá aportar una lista bajo fe de juramento de los clientes a
los cuales los técnicos les brindó directamente los servicios antes citados, con
indicación del nombre del cliente (empresa propietaria o persona física que recibió el
servicio o el equipo), teléfonos del cliente, nombre del contacto que pueda otorgar
referencia, correo electrónico, nombre de los proyectos, fecha (mes/año) de inicio y
finalización del proyecto, indicación expresa del servicio realizado.
El Banco se reserva el derecho de verificar los datos consignados en la lista.
6.2.10. En caso de ofertar personal extranjero, el mismo debe cumplir con lo
solicitado en el punto 6.2 de este cartel y todos sus incisos, exceptuando lo
relacionado con los títulos del personal, con los mismos se procederá de la siguiente
forma:
b. Dentro de los quince (15) días hábiles siguientes a la firmeza del acto de
adjudicación, el adjudicatario deberá entregar copia de los títulos certificada
consularmente, conforme a las previsiones de la Ley N°8923. Si dicha
documentación no es presentada, los contratiempos por dicha situación serán
tomados como incumplimiento de la empresa adjudicataria, facultando a la
administración para proceder a declarar insubsistencia de ese acto, según lo
previsto en el artículo 191 del Reglamento a la Ley de Contratación
Administrativa.
d. Deberá contar con los trámites migratorios vigentes y necesarios, para realizar el
trabajo asignado, durante el tiempo que se requiera el recurso humano como
miembro del equipo de trabajo ofertado.
6.2.12. El nuevo recurso humano deberá cumplir con los mismos requisitos
académicos y de experiencia del personal a sustituir, aceptando que únicamente podrá
iniciar labores hasta que el Banco de Costa Rica le otorgue su visto bueno y
aprobación. Dicha aprobación se otorgará por parte del Banco de Costa Rica, dentro
ocho (8) horas hábiles siguientes al recibo de los atestados presentados por parte del
adjudicatario.
7. Oferta económica.
7.1. Precio
El precio debe indicarse en la siguiente tabla: por etapa y por el costo total de los servicios de
diagnóstico del sistema de gestión de ciberseguridad, debidamente ejecutado y recibidos los
entregables de la contratación a entera conformidad del Banco.
Para indicar el precio por etapa, se debe utilizar como referencia la tabla incluida en el punto 7.2.
El precio puede ser indicado en colones o en moneda extranjera, detallando el costo del servicio con
los impuestos respectivos incluidos.
El monto debe indicarse tanto en números como en letras. En caso de discrepancia prevalecerá el
monto en letras.