Consultoría para la evaluación y diagnóstico del Sistema de Gestión de

Ciberseguridad

1. Objetivo de la contratación:
El BCR requiere contratar una consultoría para diagnosticar el sistema de gestión de seguridad y las
capacidades ciberseguridad, con la que se identifique el estado actual y se determine el riesgo y el
nivel de madurez y se incluyan las recomendaciones necesarias para solventar las situaciones o
brechas que deban ser mejoradas.

2. Requerimientos generales del diagnóstico.

2.1. Realizar un análisis de desempeño de las capacidades de ciberseguridad actuales del Banco
de Costa Rica en comparación con las mejores prácticas de la industria como el marco ISO
27001 y NIST Cyber Security Framework.

2.2. Evidenciar la adecuada gestión de riesgo de ciberSeguridad e identificar riesgos actuales

asociados.

2.3. Identificar las brechas y (o) riesgos que impactan el rendimiento de ciberseguridad,
analizando la tecnología, personas y procesos existentes y requeridos para alcanzar el nivel
de madurez deseado.

2.4. Listar las principales recomendaciones para mejorar la postura de la gestión de

ciberseguridad en el Banco.

3. Fases del Proyecto. Diagnóstico de brechas del sistema de gestión de

ciberseguridad.

3.1. Etapa I Planeamiento:

La empresa contratada deberá elaborar un plan de trabajo detallado que incluya las etapas de la
consultoría y los entregables respectivos. Adicionalmente se debe incluir la descripción del
alcance, riesgos del proyecto, plan de comunicación, criterios de aceptación, cronograma del
proyecto e informes de seguimiento.

3.2. Etapa II Entendimiento de la organización y definición de alcance.

La empresa contratada deberá desarrollar una sesión de inicio de proyecto con el área encargada en
el Banco, para determinar y validar el objetivo de la contratación y lo requerimientos generales del
diagnóstico.
En esta fase se deben realizar:
a. La validación del objetivo de la contratación y los requerimientos
generales del diagnóstico.
b. Declaración del alcance del proyecto de consultoría.
c. Identificación de las áreas que puedan aportar información en el
entendimiento del funcionamiento de la organización.
d. Entrevistas con las áreas identificadas en el punto anterior.
e. Solicitud de información de los componentes:
i. Físicos
ii. Tecnológicos
iii. Proveedores y Terceros
iv. Personas
v. Ubicaciones Físicas
vi. Áreas de negocio
f. Definición de roles y responsables.
g. Plan de trabajo y cronograma en formato Gantt para la consultoría
completa. Donde se identifique claramente el plazo de ejecución, los
responsables, fechas de inicio y final, actividades predecesoras así
como sucesoras y la ruta crítica.
h. Listado de entregables en las fases que aplique.
i. Formato del informe de seguimiento.
j. Presentación de inicio del proyecto.
k. Análisis de la situación actual del Banco, con el objetivo de entender
los controles existentes de Ciberseguridad validando estos contra el
marco de referencia ISO27001 y NIST Cyber Security Framework.

3.3. Etapa III Diagnóstico sobre el estado actual de las capacidades de ciberseguridad.

Se ejecutará el objetivo de la consultoría y el alcance, considerando los siguientes requerimientos:

3.3.1. El contratista debe analizar las capacidades actuales (incluye personas, procesos y
tecnología) que posee el Banco de Costa Rica para atender y gestionar la
ciberseguridad. Para lo anterior debe utilizar marcos de mejores prácticas como
ISO27001, NIST Cyber Security Framework, o alguna otra mejor práctica de
industria la cual debe ser presentada al equipo del Banco de Costa Rica para su
aprobación.

3.3.2. De preferencia debe considerar un marco que incluya la siguiente metodología:

a. Identificación: donde se desarrolle un entendimiento organizacional para

administrar el riesgo de ciberseguridad de los sistemas, personas, los activos, los
datos y las capacidades. La comprensión del contexto empresarial, los recursos
que respaldan las funciones críticas y los riesgos relacionados con la
ciberseguridad, permiten a una organización centrarse y priorizar sus esfuerzos,
 de acuerdo con su estrategia de administración de riesgos y sus necesidades
comerciales.
b. Protección: debe describir las medidas de seguridad adecuadas para garantizar
la entrega de servicio de las infraestructuras críticas. Se contempla la
capacidad de limitar o contener el impacto de un potencial evento de
ciberseguridad.
c. Detectar: Definir las actividades necesarias para identificar la ocurrencia de un
evento de ciberseguridad, permitiendo el descubrimiento oportuno de los
mismos.
d. Responder: Incluir las actividades necesarias para tomar medidas con respecto
a un incidente de ciberseguridad detectado, desarrollando la capacidad de
contener el impacto de un potencial incidente.
e. Recuperar: Identificar las actividades necesarias para mantener los planes de
resilencia y para restaurar cualquier capacidad o servicio que se haya
deteriorado debido a un incidente de ciberseguridad. Esta función es compatible
con la recuperación oportuna de las operaciones normales para reducir el
impacto de un incidente de ciberseguridad.

3.3.3. El análisis debe permitir comprender de forma amplia la situación actual de

ciberseguridad, los niveles y capacidades de tecnología asociada a los procesos.

3.3.4. Deben utilizarse entrevistas a las áreas técnicas y de negocio para evaluar las
brechas de seguridad de la información y ciberseguridad, con base a la mejor práctica
acordada con el administrador del contrato, como por ejemplo NIST Security
Framework.

3.3.5. La evaluación debe incluir el análisis de documentos como políticas,

procedimientos, guías y controles relevantes de seguridad, autoevaluaciones y
revisiones de seguridad realizadas anteriormente.

3.3.6. En análisis de brechas debe incluir evaluaciones técnicas que permita confirmar la
eficacia de los controles evaluados y determinar la postura de ciberseguridad. El plan
de trabajo para la evaluación técnica debe ser presentado al administrador del contrato
para aceptar su alcance y profundidad. El oferente deberá justificar la definición del
alcance considerando muestreo estadístico o muestreo por atributos. Entre las pruebas
que puede considerar el oferente se encuentra:

a. Evaluación de vulnerabilidades internas/externas/inalámbricas.

b. Pruebas de seguridad para aplicativos Web/Móviles.

c. Pruebas de ingeniería social (Phishing, Vishing).

d. Revisión de configuraciones.
 e. En todos los casos se debe incluir re-evaluación de las pruebas técnicas que se
elaboren.

El oferente debe considerar que el Banco posee aproximadamente 5000 equipos

servidores y 5000 equipos de usuario final. 2050 equipos de comunicación, seguridad
y enrutamiento y al menos 140 aplicaciones. Cualquier otra información no será
provista para preservar la confidencialidad.

3.3.7. Se debe documentar el nivel de madurez actual en cada área evaluada.

3.3.8. Se debe documentar un informe detallado que liste las brechas identificadas, así
como el respectivo informe ejecutivo asociado.

3.3.9. El contratista debe elaborar dos presentaciones de resultados a saber:

a. Una presentación detallada y técnica para los involucrados directos del

proyecto.

b. Una presentación ejecutiva para el nivel gerencial que el Banco de Costa Rica
informe al contratista.

3.3.10. Entregables de la fase:

a. Informe del estado actual que revele el estado actual de las capacidades de
ciberseguridad, con relación al marco de referencia sea NIST o ISO27001,
donde se incluya las respectivas recomendaciones generales.
b. Detalle del cumplimiento de las categorías y subcategoría en relación al marco
de referencia, sea NIST o ISO27001, y las respectivas recomendaciones.
c. Detalle de los hallazgos encontrados en las evaluaciones técnicas,
conjuntamente con los sistemas analizados e indicando la metodología de
revisión aplicada.
d. Recomendaciones para la mitigación de las vulnerabilidades encontradas.
e. Informe y presentación para el equipo técnico que detalle las vulnerabilidades y
riesgos encontrados por cada sistema evaluado y recomendaciones para
remediarlas.
f. Informe y presentación ejecutiva para el grupo gerencial del Banco, donde se
muestren los resultados del diagnóstico efectuado, con el nivel de seguridad
encontrado y conclusiones.

3.4. Etapa IV Definición del estado deseado.

A partir de los resultados del diagnóstico de ciberseguridad, la empresa contratada deberá
apoyar al Banco de Costa de Rica en la definición del estado deseado de cada una de las
capacidades de ciberseguridad. Para lo anterior deberá considerar como mínimo los siguientes
criterios:
 3.4.1. Realizar un análisis de “qué pasaría si” (What If) para comprender las mejoras de
resilencia cibernética según la mejora de capacidades. Lo anterior con el objetivo de
identificar qué cambios se deben lograr y el avance que aporta cada uno de los
cambios.

3.4.2. Realizar sesiones de entrevistas de entendimiento con grupos de gobierno

corporativo para documentar los requerimientos de negocio en materia de
ciberseguridad y la definición de los objetivos a alcanzar en el plan de ciberseguridad.

3.4.3. Entregables de la fase:

a. Informe de la definición del estado deseado.

3.5. Etapa V Iniciativas de Ciberseguridad.

El contratista deberá entregar una propuesta de implementación de iniciativas y su respectivo
roadmap para desarrollarlo; con el fin de atender las oportunidades de mejora identificadas durante
la ejecución del diagnóstico y el logro del estado deseado.

3.5.1. El contratista deberá elaborar y presentar un pliego de recomendaciones para lograr

los requerimientos del estado deseado junto con el cierre de brechas identificadas en
el diagnóstico. Cada iniciativa deberá incluir al menos lo siguiente:

a. Nombre de la iniciativa
b. Objetivo
c. Actividades clave
d. Supuestos
e. Criterios de éxito
f. Dependencias
g. Actividades sugeridas
h. Recursos requeridos (software, hardware, consultoría).

3.5.2. Entregables de la fase.

a. Listado de iniciativas de mejora.

b. Plan de implementación de iniciativas.
4. Plazos por etapa.
Etapa Plazo
Etapas I y II 15 Días hábiles
Etapa III 60 Días hábiles
Etapa IV 20 Días hábiles
Etapa V 30 Días hábiles

5. De los entregables.
El Banco de Costa Rica se reserva el derecho de aprobar o realizar cambios dentro de los cinco (5)
días hábiles, posteriores al recibido del informe. En caso de la no aceptación por parte del Banco de
Costa Rica, el adjudicatario contará con un plazo máximo de dos (2) días hábiles adicionales
contados a partir del comunicado del Banco de Costa Rica para realizar las correcciones requeridas,
lo anterior hasta un máximo de dos (2) correcciones.
Es importante indicar que una vez agotadas las dos correcciones otorgadas por el Banco de Costa
Rica para realizar las modificaciones solicitadas, si el informe no cumple con lo requerido por el
Banco de Costa Rica, se procederá a considerar esta situación como incumplimiento del
adjudicatario, por lo que el Banco de Costa Rica podrá tener por incumplido el contrato sin
responsabilidad de su parte, quedando en el derecho de resarcirse de los daños y perjuicios que tal
incumplimiento le cause.

6. Condiciones especiales del oferente.

6.1. Experiencia mínima del oferente.

6.1.1. El oferente debe haber realizado al menos 3 proyectos similares al objetivo de esta
contratación ya sea en instituciones públicas o privadas del país o bien en el
extranjero en un periodo no mayor a 5 años anteriores a la fecha fijada para la
apertura de ofertas.

6.1.2. Debe demostrar que ha conducido y realizado al menos 3 proyectos de asesoría para
la implementación de modelos de gestión de ciberseguridad, y en donde al menos 1 de
esas referencias haya alcanzado la certificación ISO27001.

6.1.3. Con base a los dos puntos anteriores (seis (6) referencias), el oferente deberá
aportar bajo juramento, las referencias y evidencias de donde brindó el servicio,
donde se detalle: nombre, dirección, teléfono y correo electrónico del cliente,
descripción del servicio realizado, fecha de inicio y fecha de finalización del proyecto.
 El Banco de Costa Rica se reserva el derecho de verificar los datos consignados en la
lista.

6.2. Equipo de trabajo del oferente.

6.2.1. El oferente deberá incluir un equipo de trabajo multidisciplinario, donde dicho

equipo ofertado cumpla con el objeto contractual y los requisitos específicos de cada
alcance particular, el cual deberá estar constituido como mínimo por dos (2) técnicos
y un (1) Director de proyecto especialista en seguridad.

6.2.2. El Banco de Costa Rica, podrá exigir la sustitución de cualquier miembro de trabajo
provisto por el adjudicatario, por incumplimiento de responsabilidades, normas y
procedimientos del Banco, o porque el desempeño en su rol interfiere con la calidad y
oportunidad del avance del proyecto.

6.2.3. Debe aportarse el nombre, cédula de identificación y demás calidades del personal
ofertado.

6.2.4. El personal ofertado debe contar con el título de Bachillerato en computación,

extendido por cualquier centro de educación superior reconocido por el MEP, para lo
cual debe aportarse fotocopia del título debidamente certificado por un notario o una
autoridad competente.

6.2.5. El personal técnico debe haber participado en al menos tres (3) proyectos que
considere alguno de las siguientes actividades sobre el marco de trabajo NIST en
todos sus procesos: de optimización de procesos de ciberseguridad que incluya
actividades de planificación, análisis de brechas en empresas del sector financiero
nacional o internacional. Esto dentro de los cinco (5) años anteriores a la apertura de
las ofertas. A tal efecto, el oferente deberá aportar una lista bajo fe de juramento de
los clientes a los cuales los técnicos les brindó directamente los servicios antes
citados, con indicación del nombre del cliente (empresa propietaria o persona física
que recibió el servicio o el equipo), teléfonos del cliente, nombre del contacto que
pueda otorgar referencia, correo electrónico, nombre de los proyectos, fecha
(mes/año) de inicio y finalización del proyecto, indicación expresa del servicio
realizado.
El Banco se reserva el derecho de verificar los datos consignados en la lista.

6.2.6. Los miembros del equipo de trabajo ofertado deberán garantizar la disponibilidad
de las siguientes certificaciones:

a. Al menos uno (1) de los miembros del equipo de trabajo deberá contar
adicionalmente con la certificación CEH (Certified Ethical Hacker), emitida por
EC-Council, para lo cual deberán presentar fotocopia debidamente certificada
por un notario.
 b. Al menos dos (2) de los miembros del equipo de trabajo deberá contar con
Certificación ISO27001 Lead Implementer, emitida por PECB o BSI, para lo
cual deberán presentar fotocopia debidamente certificada por un notario.

c. Al menos uno (1) de los miembros del equipo de trabajo deberá contar
adicionalmente con la certificación CISSP (Certified Information Systems
Security Professional) emitida por ISC2.

d. Todas las certificaciones anteriores deben poder ser comprobadas mediante una
consulta web u otro método electrónico ante el ente certificador
correspondiente.

6.2.7. El oferente deberá aportar al menos un (1) profesional en administración de

proyectos, quien funja como Director del proyecto y deberá contar como mínimo con
el título de Bachillerato en alguna de las siguientes ramas: Ingeniería en sistemas,
electrónica, informática o computación, extendido por cualquier centro de educación
superior reconocido por el MEP, para lo cual debe aportarse fotocopia del título
debidamente certificado por un notario o una autoridad competente.

6.2.8. El Director de proyecto ofertado deberá contar con las siguientes certificaciones,
para lo cual deberán presentar fotocopia debidamente certificada por un notario.

a. Certificación PMP (Project Management Profesional) emitida por el Project

Management Institute.

b. Certificación ITIL

c. Opcionalmente el Director de Proyecto puede contar con Certificación CISSP

(Certified Information Systems Security Professional) emitida por ISC2 y
Certificación ISO27001 Lead Implementer emitida por PECB o BSI.

d. Todas las certificaciones anteriores deben poder ser comprobadas mediante una
consulta web u otro método electrónico ante el ente certificador
correspondiente.

6.2.9. El Director de Proyecto deberá tener al menos quince (15) años de experiencia en
seguridad de la información, auditoría de seguridad y tecnología o gobierno de la
tecnología, anterior a la fecha de apertura de las ofertas, período en el cual deberá
haber ejecutado al menos 5 proyectos relacionados a trabajos en administración y
gestión de proyectos de estrategia de ciberseguridad.
A tal efecto, el oferente deberá aportar una lista bajo fe de juramento de los clientes a
los cuales los técnicos les brindó directamente los servicios antes citados, con
indicación del nombre del cliente (empresa propietaria o persona física que recibió el
servicio o el equipo), teléfonos del cliente, nombre del contacto que pueda otorgar
referencia, correo electrónico, nombre de los proyectos, fecha (mes/año) de inicio y
finalización del proyecto, indicación expresa del servicio realizado.
El Banco se reserva el derecho de verificar los datos consignados en la lista.
6.2.10. En caso de ofertar personal extranjero, el mismo debe cumplir con lo
solicitado en el punto 6.2 de este cartel y todos sus incisos, exceptuando lo
relacionado con los títulos del personal, con los mismos se procederá de la siguiente
forma:

a. Al momento de presentar la oferta se deberá entregar una copia de los títulos.

b. Dentro de los quince (15) días hábiles siguientes a la firmeza del acto de
adjudicación, el adjudicatario deberá entregar copia de los títulos certificada
consularmente, conforme a las previsiones de la Ley N°8923. Si dicha
documentación no es presentada, los contratiempos por dicha situación serán
tomados como incumplimiento de la empresa adjudicataria, facultando a la
administración para proceder a declarar insubsistencia de ese acto, según lo
previsto en el artículo 191 del Reglamento a la Ley de Contratación
Administrativa.

c. Corresponderá al adjudicatario la responsabilidad exclusiva de verificar que el

personal extranjero ofertado está facultado conforme a las leyes costarricenses,
para ejercer su profesión en Costa Rica, para lo cual deberá adjuntar a su oferta
la constancia de las autoridades públicas respectivas acreditando tal hecho, entre
éstos, la acreditación de los mismos ante el Colegio Profesional en Costa Rica
que corresponda, según la profesión que ostenta cada uno de los funcionarios
del adjudicatario, autorizándolos a ejercer la profesión en Costa Rica. Si dicha
documentación no es presentada, los contratiempos por dicha situación serán
tomados como incumplimiento de la empresa adjudicataria, facultando a la
Administración para proceder a declarar la insubsistencia de ese acto, según lo
previsto en el artículo 191 del Reglamento a la Ley de Contratación
Administrativa, reservándose además el Banco el derecho de proceder a la
ejecución de la garantía correspondiente y al cobro de daños y perjuicios, así
como de proceder a adjudicar la contratación a la segunda oferta mejor
calificada, siempre que dicha oferta haya cumplido con los requisitos mínimos
establecidos en el cartel y su oferente acuerde ante la Administración sostenerla
en los mismos términos en que fue originalmente presentada.

d. Deberá contar con los trámites migratorios vigentes y necesarios, para realizar el
trabajo asignado, durante el tiempo que se requiera el recurso humano como
miembro del equipo de trabajo ofertado.

6.2.11. En caso de que el adjudicatario requiera reemplazar algún recurso humano,

deberá comunicarlo al Banco de Costa Rica como mínimo con ocho (8) días hábiles
de anticipación.

6.2.12. El nuevo recurso humano deberá cumplir con los mismos requisitos
académicos y de experiencia del personal a sustituir, aceptando que únicamente podrá
iniciar labores hasta que el Banco de Costa Rica le otorgue su visto bueno y
aprobación. Dicha aprobación se otorgará por parte del Banco de Costa Rica, dentro
 ocho (8) horas hábiles siguientes al recibo de los atestados presentados por parte del
adjudicatario.

7. Oferta económica.

7.1. Precio
El precio debe indicarse en la siguiente tabla: por etapa y por el costo total de los servicios de
diagnóstico del sistema de gestión de ciberseguridad, debidamente ejecutado y recibidos los
entregables de la contratación a entera conformidad del Banco.
Para indicar el precio por etapa, se debe utilizar como referencia la tabla incluida en el punto 7.2.

Etapa Precio por etapa

Etapa I y II
Etapa III
Etapa IV
Etapa V

El precio puede ser indicado en colones o en moneda extranjera, detallando el costo del servicio con
los impuestos respectivos incluidos.
El monto debe indicarse tanto en números como en letras. En caso de discrepancia prevalecerá el
monto en letras.

7.2. Forma de pago.

Se realizará el pago acorde a la siguiente tabla, previa presentación y aceptación a conformidad del
Banco de los entregables definidos en cada etapa.

Etapa Porcentaje de Pago

Etapas I y II 20%
Etapa III 50%
Etapa IV 20%
Etapa V 10%

7.3. Criterios de Evaluación.

Para efectos de evaluación, se asignará el mayor puntaje a la oferta más económica.

Criterios de evaluación Puntaje

1. Oferta económica 100 puntos
Total 100 puntos.

7.4. Oferta económica

La oferta económica deberá indicarse en términos de precio por servicio, es decir, por todo el
servicio de consultoría para diagnosticar el sistema de gestión de seguridad y las capacidades
ciberseguridad. En virtud de lo anterior, la oferta que cotice el menor precio por el servicio, se
le asignarán cien (100) puntos.
Las demás ofertas serán evaluadas en forma proporcional, de acuerdo a la siguiente formula:
PA = PM/PO * 100
Donde:
PA = Puntaje asignado
PM = Precio de la oferta de menor costo
PO = Precio de la oferta evaluada