Servicios Profesionales en Seguridad de

la Información

OBJETIVOS GENERALES
La Secretaria de Defensa al Consumidor y Usuario (SEDECO) tiene como objetivo
la implementación de Servicios de Seguridad de la Información, con el fin de
proteger los datos, información e infraestructura.

Ante esta necesidad se requiere contar con servicios profesionales del área de
Seguridad de la Información para establecer un sistema de monitoreo,
recomendaciones de seguridad y campañas de concientización sobre los peligros
que existen en la internet, permitiendo generar las normas, manuales y
procedimientos necesarios, evaluar vulnerabilidades del ambiente corporativo.

ALCANCE
Los servicios contratados deben contemplar el monitoreo de los servicios
existentes de la SEDECO publicados al público en general. (web institucional,
aplicaciones web, correo institucional).

También deben contemplarse todos los materiales multimedios y elaboración de

campañas para la concienciación que serán realizados 2 veces durante la
duración del contrato a todos los funcionarios/técnicos.

La Secretaria de Defensa al Consumidor y Usuario (SEDECO) es la responsable

de proporcionar los recursos Hardware para la implementación del Sistema de
Monitoreo. Así como las configuraciones necesarias a nivel de Red para su
correcto funcionamiento.

GENERALIDADES

Los servicios a ser desarrollados deberán considerar las actuales Política de

Seguridad en uso en la SEDECO.

Las reuniones deberán ser documentadas en Actas de Reunión

Todos los documentos e informes generados por el CONTRATISTA, deberán ser

padronizados y normalizados de acuerdo a las normas del Ministerio. El
CONTRATISTA podrá entregar los documentos, en formato digital para asegurar
la actualización constante de los mismos.

Todas las documentaciones deberán estar redactadas en idioma español y/o

inglés.

Los trabajos podrán ser realizados en forma presencial o virtual conforme a las
definiciones del Ministerio, en horario normal de actividades, excepto aquellos que
de común acuerdo entre la CONTRATISTA y el SEDECO consideren relevantes
realizarlos en un local y horario específico.

1
Los servicios profesionales necesarios para cumplir con el objetivo del proyecto
deben contemplar como mínimo los siguientes puntos:

✔ Monitoreo utilizando las herramientas de la OEE

✔ Informe Semanal
✔ Soporte a Eventos Alarmas (modalidad 8x5 para incidentes normales y
24x7 para incidentes críticos?)
✔ Apertura de X tickets mensuales para consulta

GESTIÓN DE LA SEGURIDAD

Los trabajos a ser ejecutados deben estar conforme, como mínimo, con los
siguientes estándares/mejores prácticas:

1. Gestión del proyecto en conformidad con metodología del PMI – Project

Management Institute.
2. Guía de Pruebas y Revisión de código de OWASP (Open Web Application
Security Project).
3. CIS CONTROL – implementación de Controles de Ciberseguridad.

EQUIPO DE TRABAJO

El oferente debe contemplar el personal de soporte necesario para la

administración, implementación y operación del Sistema de Monitoreo durante la
vigencia del contrato.

Se requiere los siguientes perfiles para el desarrollo del proyecto:

Rol/Función Descripción
Un gerente de Proyecto con experiencia
mínima de 7 años en proyecto de TI, con
Project Manager
certificación PMP o Prince vigente, deberá
presentar certificado.
Coordinador Seguridad Dos especialistas responsables de la
implementación, monitoreo del sistema.
Especialista con 4 años de experiencia en el
área de seguridad y experiencia específica
en conformación y gestión de CSIRT.

Entre otras tareas, el mismo tendrá a su

cargo:
1. Supervisar la respuesta a incidentes
de seguridad en las que estén
involucrados sistemas pertenecientes

2
 al SEDECO, actuando con celeridad y
coordinando las acciones con los
diferentes sectores involucrados, e
intercambiando datos con los
organismos de justicia para
persecución penal de aquellos
considerados delitos.

IMPLEMENTACION

El oferente deberá presentar el plan de trabajo contemplando el detalle de todas

las actividades en un plazo máximo de 45 (cuarenta y cinco) días corridos.

Este plan de implementación deberá formar parte de la oferta para su evaluación.

En caso de no contar con plan, la oferta será desestimada. Se debe incluir en
dicho plan, los alcances, supuestos y dependencias, cronogramas y entregables,
entre otras documentaciones.

El plan presentado en la oferta se adecuará una vez adjudicado al oferente. Esto

se realizará en las reuniones de inicio previstas entre personal técnico del
SEDECO y el oferente en forma posterior a la adjudicación, en un plazo no mayor
a 15 (quince) días una vez recibida la orden de servicio. Una vez concluido el
relevamiento de requerimientos detallados, quedará trazado el plan definitivo, el
cual deberá ser seguido durante la implantación del sistema.

PROPIEDAD INTELECTUAL Y CONFIDENCIALIDAD

Toda la información generada en este proyecto, será de propiedad exclusiva del

SEDECO.

Queda prohibido al Oferente, bajo toda circunstancia y forma y sin perjuicio de lo

dispuesto en estas Bases Administrativas, apoderarse, extraer o retener cualquier
información relativa a los servicios licitados y contratados.

CONSIDERACIONES ADICIONALES

El oferente será responsable por el gerenciamiento y la integración de todas las

actividades necesarias para lograr el éxito total del proyecto. A tal efecto deberá
conformar un equipo de trabajo, currículum del personal jerárquico del mismo.

En la metodología y plan de trabajo que deberán presentar los oferentes, debe

incluir, los alcances, supuestos y dependencias, cronogramas y entregables, entre
otras documentaciones. La convocante se reserva el derecho de solicitar mayores
detalles de Metodología y plan de trabajo.

ETAPAS DEL PROYECTO

Los servicios contemplados en la presente contratación deberán ser ejecutados en

etapas de la siguiente forma:

3
Etapa 1 – Planificación del Proyecto
a. La CONTRATISTA, en conjunto con el SEDECO, deberá elaborar el
Plan de Trabajo detallado, incluyendo cronograma que refleje las
actividades, fechas, metodología de trabajo, diseño del esquema de
control de avance del proyecto e instancias de reporte de los
avances.
b. Las principales actividades de esta etapa:
i. Reunión de Inicio de Proyecto.
ii. Definición del equipo de trabajo del CONTRATISTA y el
SEDECO.
iii. Elaboración del plan de trabajo detallado, incluyendo
cronograma, esquema de control de avance, puntos de control
e instancias de reporte.
iv. Presentación y lanzamiento del proyecto.

Etapa 2 – Establecer Soporte de Monitoreo para la Sedeco:

c. La CONTRATISTA, en conjunto con el SEDECO, deberá
implementar un sistema de monitoreo de seguridad para la Sedeco.
d. Las principales actividades de esta etapa:
i. Instalación y puesta en producción de una herramienta
opensource para el monitoreo de eventos de seguridad.
ii. Configuración de envío de Alertas.
iii. Ajustes de eventos de seguridad para descartar falsos
positivos.
iv. Generacion de Reportes:
1. Host o dispositivos comprometidos
2. Mayores Eventos de seguridad detectados
3. Vulnerabilidades detectadas.
v. Reporte Semanales de los eventos de seguridad
vi. Soporte a Eventos Alarmas (modalidad 8x5 para incidentes
normales y 24x7 para incidentes críticos)
vii. Apertura de Ticket para soporte

Etapa 3 – Concientización en Seguridad de la Información para la SEDECO:

e. La CONTRATISTA deberá preparar programas de concientización
en Seguridad para la SEDECO.
f. Las principales actividades de esta etapa:
i. Proponer y organizar “Ataques Dirigidos” con el objetivo de
concientizar a los usuarios sobre las vulnerabilidades que
deben ser prevenidas a la hora de confiar en los archivos que
ejecutan y los correos que reciben.
ii. Elaborar y distribuir volantes, folletos y otros medios
audiovisuales sobre seguridad de la información, al tiempo de
definir los mecanismos de actualización de los mismos.

Los trabajos podrán ser realizados en forma presencial o virtual conforme a las
definiciones del Ministerio, en horario normal de actividades, excepto aquellos que
de común acuerdo entre la CONTRATISTA y el SEDECO consideren relevantes
realizarlos en un local y horario específico.

EXPERIENCIA

4
Presentar copias de Contratos y/o Facturas a través de las cuales el oferente
demuestre haber realizado la provisión de Tecnologías (Hardware y/o Software)
relacionadas a Sistemas de Seguridad, de Personas o de Activos
(Comunicaciones, Identidad, Forenses o similares), a instituciones públicas o
privadas dentro de los últimos 5 (cinco) años (2015 – 2016 – 2017 – 2018 – 2019),
y que el volumen de negocios en su totalidad sea igual o superior al 30% (treinta
por ciento) del valor de su oferta.

PLAZOS DE ENTREGA

La Orden de Entrega se emitirá en un plazo máximo de 15 días corridos,

contados a partir de la firma del Contrato.

Las entregas se realizan en base al cuadro siguiente:

Ítem Entregable Plazo

Servicios
Etapa 1 Planificación del 60 (sesenta) días corridos, contados a
Proyecto partir de la recepción por la Orden de
entrega.
Etapa 2 Establecer un Soporte 30 (treinta) días corridos, contados a
de Monitoreo para la partir de la recepción por la Orden de
Sedeco entrega.

Etapa 3 Concientización en Las fechas serán definidas

Seguridad de la de común acuerdo entre la
Información en TI CONTRATISTA y el SEDECO. En total,
serán 2 (dos) ciclos de concientización
durante la vigencia del contrato.