PPT.pdf - Gestión y mantenimiento de los servicio…

## PLIEGO DE PRESCRIPCIONES TÉCNICAS ## PARTICULARES (PPTP) CONTRATO DE SERVICIOS PARA 'GESTIÓN Y MANTENIMIENTO DE LOS SERVICIOS DE INFORMÁTICA (IT) Y DE COMUNICACIONES DE MADRID CALLE 30' (EXP. Nº202600010)  PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES QUE HA DE REGIR EN EL CONTRATO DE SERVICIOS DENOMINADO 'GESTIÓN Y MANTENIMIENTO DE LOS SERVICIOS DE INFORMÁTICA (IT) Y DE COMUNICACIONES DE MADRID CALLE 30 (EXPTE. 202600010)'. ## Índice | 1. OBJETO..............................................................................................................................3 | 1. OBJETO..............................................................................................................................3 | |--------------------------------------------------------------------------------------------------------------------------------------------|----------------------------------------------------------------------------------------------------------------------------------------------| | 2. | MANTENIENTO SISTEMAS INFORMÁTICOS YDERED............................................3 | | 2.1 | ENTORNO ACTUAL......................................................................................................................3 | | 2.2 | ALCANCEDELPROYECTO........................................................................................................5 | | 2.2.1 | AUDITORIA INICIALY ADAPTACION AENS..........................................................................8 | | 2.2.2 | SOPORTE ESPECIALIZADO.....................................................................................................12 | | 2.2.3 | MONITORIZACION SISTEMASE INFRAESTRUCTURA.....................................................15 | | 2.2.4 | MONITORIZACION DESEGURIDAD.......................................................................................16 | | 2.2.5 | ASESORAMIENTO TÉCNICO....................................................................................................18 | | 2.2.6 | SERVICIO DEMANTENIMIENTO PREVENTIVO Y PREDICTIVO......................................18 | | 2.2.7 | PARTICIPACIÓN AUDITORIAS EXTERNASDEIT...............................................................19 | | 2.2.8 | SERVICIO GESTION DESOFTWARE.....................................................................................19 | | 2.2.9 | GESTIÓN DEACTUALIZACIONES SOFTWARE..................................................................21 | | 2.2.10 | GESTION DECOPIAS DESEGURIDAD..................................................................................22 | | 2.2.11 | FORMACION.................................................................................................................................22 | | 2.2.12 | BOLSA DEHORAS......................................................................................................................24 | | 2.2.13 | SEGUIMIENTO DEL PROYECTO.............................................................................................25 | | 2.2.14 | DOCUMENTACIÓNDETRABAJO...........................................................................................25 | | 3. | MEDIOS ADISPOSICIONDEL CONTRATO................................................................26 | | 3.1.1 | MEDIOS HUMANOS....................................................................................................................26 | | 3.1.2 | MEDIOS MATERIALES...............................................................................................................29 | | 3.1.3 | MEDIOS INFORMÁTICOS..........................................................................................................30 | | 4. | FIN DEL CONTRATO.......................................................................................................30 | | 5. | PLAZO DE EJECUCIÓN.................................................................................................30 | | 6. | PRESUPUESTO...............................................................................................................30 | \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  ## 1. OBJETO El objeto del presente contrato es definir el conjunto de prescripciones funcionales y técnicas que regirán la contratación de los servicios de gestión y mantenimiento de la red interna y de comunicaciones de Madrid Calle 30, así como la prestación del soporte técnico especializado necesario para garantizar una gestión eficiente, segura y fiable de la infraestructura de tecnologías de la información (IT) de la organización. Dichos servicios deberán permitir la adecuada cobertura de las necesidades específicas de los sistemas informáticos, la seguridad de la red y de la información, así como de los recursos humanos asociados. El alcance incluye una auditoría global inicial sobre el estado actual de la organización bajo las directrices del Esquema Nacional de Seguridad, que nos permita conocer dónde estamos, y la implantación de las mediadas y controles necesarios para la adecuación con el ENS y normativas de seguridad vigentes. La empresa adjudicataria deberá cumplir, durante todo el período de vigencia del contrato y bajo las directrices del responsable del contrato designado por la organización, con las necesidades concretas establecidas en el presente Pliego de Prescripciones Técnicas Particulares. ## 2. MANTENIENTO SISTEMAS INFORMÁTICOS Y DE RED ## 2.1 ENTORNO ACTUAL Todas las operaciones realizadas a lo largo del contrato tendrán una relación directa con todos los elementos hardware y software detallados a continuación y sobre aquellos nuevos que se sustituyan o amplíen sobre los ya existentes, si las necesidades del servicio lo requieren, sin un coste adicional para los servicios prestados. El mantenimiento, gestión y supervisión, será a nivel hardware y software, sobre el conjunto de la infraestructura IT y de comunicaciones de Madrid Calle30. Madrid Calle30 dispone de una oficina situada en Méndez Álvaro 95, con una infraestructura propia on site, donde se alojan aproximadamente 30 estaciones de trabajo completas con sus periféricos y software asociado, así como la administración de las salas de reuniones, sala de formación y de gestión de crisis, dotadas y conectadas con la tecnología audiovisual necesaria para realizar reuniones y conferencias Online. Madrid Calle 30 dispone de un Centro de Procesamiento de Datos (CPD) dónde se albergan servidores, electrónica de red, dispositivo de almacenamiento, etc. A continuación, se muestra una descripción aproximada de los activos actuales, para que el adjudicatario pueda realizar una valoración sobre el servicio a prestar: \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  ## a) Hardware: - -Servidores Físicos y Virtuales: - 3 Servidores Físicos para virtualización del entorno. - 1 Máquina Virtual, con Rol Controlador de dominio, Servidor DNS, Servidor DHCP. - 1 Máquina Virtual, con Rol Aplicación para la realización de copias de Seguridad. - 1 Máquina Virtual, con Rol para la gestión del entorno virtualizado. - 1 Máquina virtual para conexiones remotas. ## -Red Local: Coexisten dos rangos de red diferenciadas, una red para servicios y otra para la red interna corporativa. ## 1. Red Servicios: Madrid Calle30 cuenta en su CPD con 3 host físicos, donde residen las máquinas virtuales de la organización para la gestión de copias de seguridad, servicios de Directorio Activo (DC) , servicio de asignación dinámica de direccionamiento (DHCP), servicio de resolución de nombres red (DNS), servidor de gestión de virtualización, entre otros. Componentes principales arquitectura de red: - 2 Firewall. - 2 Swiches de capa 2 y 3. Sistema de almacenamiento de Backup: - 2 NAS. ## 2. Red Corporativa: - 1 Impresora en Red. - 6 impresoras láser color. - 30 estaciones de trabajo. - 4 Tablet - Dispositivos Informáticos móviles. - 30 teléfonos móviles. - Servicios de Centralita de Telefonía en Cloud. - 2 Teléfonos IP con uso de centralita. - 2 Teléfonos IP para salas de conferencias. - Proyectores de vídeo. - Sistema de VideoConferencias con Cámara 4K. - Televisores Táctiles com OPC integrado. ## 3. Red inalámbrica: \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  ## Existen 2 SSID´s, cuya señal la reparten mediante puntos de acceso. ## Software: - -Los servidores con los que se cuenta disponen de sistema Operativo Windows Server 2016. - -Plataforma de virtualización en VMware: - -1 licencia VMware vCenter Server Appliance 6.0.0.20000. - -3 licencias de ESXi 7.0 Update 3. - -Correo Electrónico y plataforma colaborativa: Microsoft Office 365. - -1 Dominio Principal y 4 subdominios. - -Certificados SSL, además de otros necesarios para la gestión pública. - -30 licencias Antivirus Panda Adaptive Defense 360 - -Plataforma de seguridad que protege la información, los accesos y los dispositivos corporativos. Centraliza la gestión de políticas y previene amenazas avanzadas, garantizando accesos seguros en entornos locales y remotos. - -30 Equipos clientes con Windows 11 Pro. - -Veembackup para copias de seguridad: Veeam Backus & Replication 12. - -Veeam Backus para Microsoft 365. - -Almacenamiento de ficheros en Cloud. - -AutoCAD. - -Presto. - -Nitro PDF. - -Y otros según necesidades específicas de los usuarios. Cabe mencionar que, por seguridad y protección de la infraestructura e información, se presenta una relación básica de componentes hardware y software para estimación del servicio por parte del adjudicatario, siendo al inicio del contrato cuando Madrid Call30 hará entrega del inventarío, la arquitectura física y lógica detallada, así como una relación detallada de los activos y servicios asociados. ## 2.2 ALCANCE DEL PROYECTO El alcance es la prestación de un servicio integral de soporte especializado orientado a la operación diaria y al mantenimiento de la infraestructura de tecnologías de la información y de comunicaciones. Dicho servicio deberá incluir la gestión y resolución de incidencias y fallos que afecten al conjunto del entorno tecnológico alojado en el Centro de Procesamiento de Datos (CPD), así como a los sistemas informáticos, periféricos, dispositivos móviles y el software asociado, con el fin de garantizar la integridad, disponibilidad y continuidad operativa de los sistemas que sustentan la actividad de la organización incluyendo las acciones necesarias para la protección frente a vulnerabilidades del sistema. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  Se incluyen, sin perjuicio de cualesquiera otras que puedan resultar necesarias o críticas durante la vigencia del contrato, las siguientes actividades contempladas en el servicio: - -Prestación de soporte continuo y especializado sobre la arquitectura física y lógica descrita en el presente pliego, así como sobre cualquier tecnología adicional o componente que se adquiera durante la vigencia del contrato. - -Monitorización en tiempo real de la totalidad de los sistemas que conforman la infraestructura, incluyendo servidores, almacenamiento, copias de seguridad, NAS, switches, firewalls, estaciones de trabajo, puntos de acceso y demás componentes asociados. - -Asesoramiento técnico continuo por parte del adjudicatario, para garantizar que la infraestructura IT y de comunicaciones de Madrid Calle30 se mantenga actualizada, optimizada y alineada con las mejores prácticas y tecnologías emergentes. Esto incluye la evaluación y diagnostico periódico del estado de los sistemas, así como la emisión de recomendaciones estratégicas para la actualización de hardware, software, seguridad, redes o cualquier otra solución tecnológica relevante y de aplicación en nuestro ámbito. - -Servicio de Mantenimiento preventivo y predictivo , orientado a garantizar su operatividad, seguridad y eficiencia minimizando la ocurrencia de fallos y optimizando la disponibilidad de los sistemas. - -Prestación de servicio de atención a incidencias , mediante la resolución de averías que se presenten en el conjunto del sistema, tanto a nivel de software como a nivel de hardware, con la reparación o corrección de los elementos afectados. En los casos en que la reparación no sea posible, el adjudicatario deberá garantizar la continuidad del servicio mediante la provisión temporal de un elemento de igual o similar capacidad y características, manteniendo las funcionalidades actuales hasta su sustitución por uno nuevo. - La adquisición del reemplazo definitivo no se incluye en este contrato, debiendo realizarse conforme al Expediente 2024\_12\_I , para suministro de componentes hardware y software, adjudicado en marzo del 2025, donde se recoge la relación de elementos hardware y software a suministrar con la descripción de las características técnicas mínimas a cumplir para cada tipo de producto. - -Implementación de medidas correctoras y de mejora sobre el entorno IT, la seguridad de la red, la información y las comunicaciones, derivadas de incidencias detectadas en el sistema, como resultado de acciones recomendadas en auditorías internas y/o externas o derivadas de los servicios de mantenimiento y supervisión continua. - -Gestión integral del software , incluyendo su instalación, configuración, y actualización a su última versión vigente durante la totalidad del contrato, asegurando \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  su correcto funcionamiento y alineamiento con los estándares de la infraestructura IT de Madrid Calle30. - -Gestión integral del hardware , incluyendo su instalación, etiquetado, configuración, actualización y mantenimiento, durante la vigencia del contrato, garantizando su operatividad y alineamiento con los estándares de la infraestructura IT de Madrid Calle30. - -Gestión de copias de seguridad (backup), incluyendo la elaboración y ejecución de planes de contingencia para garantizar la disponibilidad, integridad y recuperación de la información ante posibles fallos o incidentes. - -Gestión del Directorio Activo (Active Directory), incluyendo la administración de usuarios, grupos, políticas de seguridad y recursos, asegurando la correcta operación y seguridad del entorno corporativo. - -Administración integral de la red de comunicaciones , incluyendo la configuración, monitoreo, mantenimiento y optimización de todos los elementos de la infraestructura de red, garantizando disponibilidad, rendimiento y seguridad. - -Monitorización de seguridad de la red , consistente en la supervisión continua del tráfico y los eventos de la infraestructura TI para poder detectar, prevenir y dar respuestas a amenazas en tiempo real. - -Análisis de vulnerabilidades y establecimiento de procesos de mejora continua para garantizar el cumplimiento de normativas, estándares y regulaciones aplicables en el ámbito de las tecnologías de la información. - -Implementación y mantenimiento de medidas y políticas de seguridad sobre los componentes físicos de la infraestructura, tales como firewalls, switches, puntos de acceso, antivirus, entre otros, asegurando la protección de los sistemas y el cumplimiento de la Política de Seguridad de la Información del Ayuntamiento de Madrid y sus Organismos Públicos. - -Auditoría y adecuación a la normativa de seguridad de la información y al Esquema Nacional de Seguridad (ENS), mediante el análisis de la situación actual, la evaluación de riesgos y la identificación de vulnerabilidades. Se determinará el nivel de protección conforme a la clasificación documental de la organización y se elaborará el correspondiente plan de acción e implantación de las medidas y políticas de seguridad y herramientas de monitorización, incluyendo el apoyo técnico necesario para la obtención de la acreditación correspondiente. - -Prestación de soporte especializado a los usuarios de la organización , incluyendo asesoramiento sobre el uso de las herramientas IT disponibles, provisión de información técnica detallada sobre los recursos tecnológicos y asistencia en la resolución de problemas ofimáticos y de usabilidad de las herramientas corporativas. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  - -Formación continua cuando proceda, a los usuarios de la organización, sobre el uso eficiente de las tecnologías necesarias para su desempeño diario, seguridad en la red, buenas prácticas en la utilización de los recursos disponibles y concienciación sobre la correcta gestión ética de la información, contribuyendo a la seguridad global de la organización. - -Mantenimiento de la documentación técnica e inventario de activos de la infraestructura tecnológica de la red de Madrid Calle30 actualizado. - -Elaboración de manuales de usuario en los que se podrán contemplar directivas de uso, medidas de seguridad, manuales uso de aplicaciones… - -Elaboración de informes de reporte sobre el estado de la instalación periódicamente al responsable del contrato de Madrid Calle30. ## 2.2.1 AUDITORIA INICIAL Y ADAPTACION A ENS Al inicio del contrato el adjudicatario deberá de realizar una Auditoría inicial completa de toda la infraestructura tecnológica, sistemas de información, seguridad y cumplimiento normativo, con el fin de recabar en primera instancia toda la información y configuración existente que permita conocer el estado real del sistema para que permita planificar y realizar un programa del servicio más personalizado y de mayor calidad. Su objetivo principal es identificar riesgos, vulnerabilidades y con ello oportunidades de mejora en la gestión de los recursos tecnológicos, proteger la información de la organización y sus activos adecuadamente y, partiendo de los resultados del análisis, poder establecer las medidas de seguridad y aplicación de las mejoras que sean necesarias. Para ello, al comienzo del contrato, el adjudicatario junto con el Responsable de Madrid Calle30, definirán qué sistemas, procesos, tecnologías, recursos, departamentos y ubicaciones serán auditados y se realizará un Análisis de Riesgos empleando una metodología reconocida y adecuada al alcance del servicio y conforme a la normativa vigente, con objeto de establecer los objetivos encaminados a mejorar la seguridad, garantizar el cumplimiento normativo y evaluar la eficiencia operativa. La auditoría debe de recoger como mínimo los siguientes aspectos, sin menos cabo de otros que el adjudicatario considere necesarios para el desarrollo de la actividad y sin ser ninguno de estos limitativos a otros adicionales: - -Seguridad Física : El adjudicatario deberá llevar a cabo un análisis exhaustivo de la seguridad física aplicada tanto al centro de datos principal como a las instalaciones y oficinas de Madrid Calle 30, donde se encuentran alojados los sistemas informáticos, infraestructuras críticas de red y soportes de información. El objetivo es evaluar el grado de protección existente frente a amenazas físicas que puedan comprometer la confidencialidad, integridad y disponibilidad de la información. El análisis deberá \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  - contemplar, como mínimo, los siguientes aspectos: control de accesos físicos, protección perimetral, existencia de sistemas de vigilancia y detección de intrusos, revisión de la protección de soportes y documentación física, etc.. - -Evaluación de todos los recursos y activos de la Infraestructura de sistemas y comunicaciones: Análisis integral, exhaustivo y detallado de todos los activos que conforman la infraestructura tecnológica de la entidad, abarcando tanto los componentes físicos como los virtuales, servicios web, así como los servicios, aplicaciones, mecanismos de seguridad y medidas de protección asociadas a los mismos. El objetivo del análisis es determinar el grado de madurez, robustez, eficacia y seguridad de la infraestructura tecnológica, identificando vulnerabilidades, configuraciones deficientes y riesgos que puedan comprometer la continuidad operativa y la protección de la información. El alcance deberá incluir, como mínimo, los siguientes elementos: Inventario y clasificación de activos, equipamiento físico y virtual, infraestructuras de comunicaciones y red, sistemas de acceso remoto y conexiones seguras, dispositivos de red inalámbrica, equipos de usuario final, seguridad asociada a sistemas y servicios, interconexiones y dependencias entre sistemas. - -Evaluación del software y aplicaciones : análisis completo del software corporativo y de todas las aplicaciones utilizadas en la organización, incluyendo tanto las soluciones críticas como las no críticas, con el objetivo de determinar el grado de cumplimiento legal, el estado de mantenimiento, la eficiencia de su funcionamiento y el nivel de riesgo asociado a cada una de ellas. El análisis deberá incluir tanto software instalado en servidores como en estaciones de trabajo, dispositivos móviles y sistemas virtualizados. El alcance mínimo deberá contemplar los siguientes aspectos: Inventario y clasificación del software, evaluación del licenciamiento, evaluación del mantenimiento y ciclo de vida, evaluación funcional y de rendimiento de aplicaciones, aplicaciones en la nube y servicios SaaS.. - -Análisis de Riesgos : Realizar un completo diagnóstico y valoración de las amenazas y vulnerabilidades en los sistemas de información que maneja la empresa, su correcto funcionamiento y cuales deben ser las acciones y medidas necesarias para cumplir con los requisitos que permitan alcanzar el nivel de protección en función del posible impacto como se establece RD 311/2022 y para poder adecuarse a la misma. - -Identificación y clasificación de los activos clave, incluyendo datos, servicios, sistemas e infraestructura. Cada activo deberá clasificarse según su importancia, valor, sensibilidad, impacto potencial y nivel de protección requerido. - -Diagnóstico y valoración de amenazas y vulnerabilidades: Identificar las amenazas internas y externas que afecten a los sistemas, datos, servicios e infraestructuras de la organización. - -Evaluación de riesgos y su impacto, incluyendo la valoración de riesgos derivados de accesos no autorizados, fallos de disponibilidad, fugas de información, ataques \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  - internos/externos, evaluación de políticas de acceso y privilegios, mecanismos de encriptación, protección de los datos en plataformas internas y externas, registros de auditoría, trazabilidad y controles de seguridad habilitados. Determinación de niveles de probabilidad e impacto de los riesgos sobre los activos identificados. - -Definición de principios y medidas de protección adecuadas que mitiguen el impacto, basándose en el cumplimiento normativo aplicable de la organización para adecuarlo al Esquema Nacional de Seguridad ( ENS), siendo este el marco regulador que establece los requisitos de seguridad para proteger la información manejada por las administraciones públicas y entidades relacionadas, regulado por el Real Decreto 311/2022 del 3 de Mayo, así como normativas GDPR(Reglamento General de Protección de Datos), u otras que se puedan considerar de aplicación dentro de Madrid Calle 30. - -Implantación de las medias necesarias surgidas del análisis de riesgo para el nivel de protección determinado asegurando que cada control implantado cumpla con sus objetivos para la protección adecuada de los activos y procesos. - -Acompañamiento en el proceso de adecuación y acreditación a ENS. Deberá proporcionar asistencia técnica y documental a Madrid Calle30 para: Identificar la categoría ( alta, media, baja) ENS de los sistemas, realizar la adecuación progresiva a los requisitos y medidas del Anexo del RD 311/2022, elaborar la documentación correspondiente del proceso con análisis de riesgos, política de seguridad, procedimientos operativos, de control y registro y actividades de tratamiento, en definitiva preparar a Madrid Calle30 para una auditoría de certificación o declaración de conformidad con el ENS y acompañarla en la resolución e implantación de las no conformidades. - -Gestión de Datos y Continuidad de Negocio : evaluación completa de los mecanismos, políticas y procedimientos relacionados con la gestión de datos, así como de los planes de continuidad de negocio y recuperación ante desastres implantados en Madrid Calle30. El objetivo es garantizar la disponibilidad, integridad, confidencialidad y recuperabilidad de la información corporativa ante cualquier incidente que afecte a los sistemas de información o a la infraestructura tecnológica. - La evaluación deberá centrarse en identificar deficiencias, analizar la madurez de los procesos existentes, y proponer mejoras que aseguren la resiliencia operativa. Debe de contemplar como prioritario la evaluación de los planes de respaldo (backup), evaluación de los planes de recuperación ante desastres (DPR), gestión de continuidad de negocio (BCP) así como la evaluación de la integridad y disponibilidad de la información y recomendaciones de mejora. - -Revisión de Procesos y Controles , consiste en un análisis detallado de los procesos operativos, procedimientos, controles técnicos y organizativos implantados en el área de \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  la tecnología de información, con el fin de evaluar su eficacia, madurez y alineación con las mejores prácticas. El objetivo incluye: - -Valoración de los procesos de TI: gestión de accesos, copias de seguridad, acceso a la información, reportes de monitorización, gestión de incidentes y logs de actividad. - -Evaluación de los servicios web integrados en el sistema para detectar vulnerabilidades. - -Revisión de configuraciones técnicas de los sistemas fundamentales para la operación y revisión de las actualizaciones y parches, incluyendo: servidores de bases de datos, aplicaciones, firewalls, VPN, switches, sistemas virtualizados, soluciones de seguridad EDR, antivirus, sistemas en Cloud... - -Identificación de mejoras en automatización y eficiencia de procesos operativos y su impacto. - -Elaboración de un Inventario actualizado de todos los elementos hardware y software. Para la correcta ejecución del servicio objeto del presente contrato, el adjudicatario deberá contar con personal cualificado, especializado y con experiencia demostrable en auditorías tecnológicas integrales de seguridad de la información, cumplimiento normativo y análisis de riesgos. Los profesionales asignados deberán disponer de las acreditaciones, certificaciones y competencias técnicas necesarias para garantizar la adecuada realización de las inspecciones y evaluaciones que conforman la auditoría global del sistema. En el caso que el adjudicatario no cuente con especialistas certificados o recursos internos suficientes para esta parte del servicio, podrá recurrir a la subcontratación de empresas o profesionales externos los cuales deberán ser empresas acreditadas con capacidad demostrable y especializada en los ámbitos objeto de la auditoria, garantizando que el personal subcontratado posee las certificaciones y competencias exigidas. El resultado final de la Auditoría deberá de ser presentado a los responsables del contrato de Madrid Calle 30, en formato digital, con la elaboración de un informe detallado donde se especifique estado actual y los hallazgos y desviaciones detectadas, evaluación del cumplimiento con el Esquema Nacional de Seguridad, recomendaciones, acciones a realizar y programa de trabajo para implementación de controles necesarios para corregir y mitigar las vulnerabilidades y deficiencias halladas permitiendo alcanzar el nivel de protección que haya resultado del análisis. El adjudicatario debe de elaborar un plan de acción detallado con planificación de plazos para corrección e implantación de las medidas a aplicar bajo la supervisión y aprobación por parte del responsable del contrato de Madrid Calle30. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  Dicho informe debe servir de referencia para posibles auditorias y procesos de certificación si fuera necesaria, así como la base para establecer procedimiento de mejora continua y adaptabilidad a las nuevos retos tecnológicos , el citado documento deberá ser actualizado durante la vigencia del presente contrato, con las actualizaciones y/o cambios que se vayan implementando sobre la infraestructura a medida que se implante controles. ## 2.2.2 SOPORTE ESPECIALIZADO La empresa que asuma el contrato de Gestión y mantenimiento de la infraestructura IT y de red de Madrid Calle30, deberá de proporcionar un servicio de soporte técnico de 6hx2diasx365 , siendo presencial en las oficinas de Madrid Calle30 durante 2 días laborales a la semana (a definir por las partes interesadas al inicio del contrato) en horario laboral de 8:30 h a 14:30 h, pudiéndose gestionar fuera de este horario el servicio remotamente, si fuera necesario, en caso de incidencias relevantes o por requerimientos del cliente en situaciones consideradas como urgentes. Este servicio tiene la finalidad de ofrecer el soporte técnico y especializado necesario sobre la totalidad de los elementos que conforman la arquitectura actual de Madrid Calle30 (tanto hardware como software). Las actividades principales del servicio, sin perjuicio de poder prestar otras complementarias que aporten valor y calidad a la prestación son: - -Servicio de asistencia continua y personalizada a los usuarios de la organización, para ello el adjudicatario debe proporcionar una herramienta para la gestión de tickets (Help Desk) y control de incidencias, que sirva como plataforma de seguimiento y registro de las actuaciones planificadas y no planificadas. Dicha herramienta debe de ser capaz de proporcionar informes y reportes. - -Administración y mantenimiento de la infraestructura IT, llevará a cabo la administración integral de los servidores incluyendo tanto los físicos como los virtuales. Realizando la supervisión del estado general del entorno, disponibilidad, carga de trabajo, uso de recursos y detección temprana de anomalías. - -Administración, configuración, supervisión y mantenimiento integral de la infraestructura de comunicaciones de la organización, garantizando el funcionamiento óptimo, seguro y continuo de las redes LAN, WAN y WiFi. Asimismo, será responsable del diagnóstico y la resolución de incidencias relacionadas con la conectividad, el rendimiento y la disponibilidad de los servicios de red. - -Atención y resolución de incidencias hardware, mediante una actuación rápida y proactiva según la criticidad del sistema, bien reparando los componentes dañados o remplazándolos por nuevos, realizando para ello la gestión integral del servicio desde \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  la retirada del elemento deteriorado, propuesta de cambio por uno igual o de características similares, así como la instalación, configuración y puesta en marcha. - -Administracion y mantenimiento de todos los endpoints instalación y actualización del software necesarios así como la gestión y Administracion de usuarios. - -Servicio de Garantía de reposición para elementos hardware críticos que produzcan indisponibilidad del servicio cuya reparación no es inmediata, y tiene un tiempo de resolución superior a 8 horas, garantizando, la sustitución de dichos elementos críticos del sistema tales como servidores, switches, firewall, estaciones de trabajo (sobremesas y/o portátiles) por otros de iguales o similares características a los actuales que permitan dar continuidad al servicio sin verse este mermado. La adquisición de equipos para garantizar la sustitución de aquellos que presenten deficiencias o averías, será con cargo a Madrid Calle 30, S.A. - -Gestión de las garantías con el fabricante, tanto de las soluciones hardware como software. El adjudicatario del contrato deberá garantizar una prestación de servicios IT de alta calidad, asegurando el cumplimiento de unos mínimos compromisos operativos que permitan mantener la continuidad, eficiencia y fiabilidad de los sistemas tecnológicos de Madrid Calle 30. Estos compromisos deberán estar alineados garantizando en todo momento la disponibilidad de los servicios, la correcta atención de incidentes y la adecuada resolución de los mismos. Para determinar el nivel de servicio dentro de la organización, las incidencias se van a clasificar en tres tipos: - -Tipo 0, Incidencias Leves: Aquellas incidencias que no tienen impacto en la disponibilidad del servicio, son incidencias menores que no impiden la operación global de la empresa, sino que afectan de manera individualizada a los usuarios y/o sistemas IT, tales como errores de ejecución de software individuales, instalación de parches/actualizaciones software, errores en impresoras o periféricos, averías hardware fácilmente reparables, actualizaciones sobre servidores, configuración de firewall, etc.. Estas incidencias deben atenderse por orden de detección, pudiéndose resolver en la modalidad presencial o remota, no excediéndose en una semana su resolución. - -Tipo 1: Incidencias Medias: Caída parcial del sistema, que no inhabilita la operación habitual de la organización, pero que deja determinados servicios en una situación degradada, tales como bloqueo de acceso a los datos, imposibilidad de uso de aplicaciones colaborativas, no acceso a portales o aplicaciones críticas de la \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  organización, alertas que afecten a la seguridad e integridad de la información pero que no hayan causado daños relevantes… Cuando se detecten Incidencias de Tipo 1, el tiempo de respuesta no debe de ser superior a un día, pudiendo ser atendidas en primera instancia en remoto, y teniendo que ser con asistencia presencial si las condiciones de esta no permitieran otra modalidad. El tiempo de resolución no puede exceder los dos días laborales, ya que deja al sistema en una situación degradada. - -Tipo 2: Incidencias Críticas: Son aquellas que afectan a la disponibilidad del servicio, problemas que tienen un gran impacto en la actividad y que limitan el uso del sistema. Shutdown de los servicios integrados en el CPD, caída total de la red local, accesos de VPN no disponibles, ciberataques sobre la red o los sistemas, etc. … En este caso, la respuesta debe de ser inmediata, desde la detección y aviso por parte de Madrid Calle30. Se considerará que el sistema queda restaurado una vez se haya recuperado por completo el servicio o se hayan implantado las medidas compensatorias necesarias para mitigar el impacto tanto a nivel lógico como a nivel físico. Las incidencias severas (tipo 2), deben de ser atendidas de manera inmediata al ser conocidas por parte del adjudicatario responsable de este contrato. Por ello, la empresa adjudicataria debe de proporcionar un número de teléfono de contacto de guardia 24x7, para incidencias catalogadas como críticas. Para cada tipo de incidencia, se ha definido una tabla con las condiciones a cumplir por el adjudicatario, en cuanto a respuesta y resolución: | Tipo de Incidencia | Tiempo Máximo Respuesta | Intervención Remoto | Intervención Presencial | Tiempo Máximo de Resolución | |----------------------|--------------------------------------------------|-----------------------|---------------------------|-------------------------------| | Tipo 0: Leve | Mantenimiento ordinario por detección/criticidad | x | x | <= 5 días laborables. | | Tipo 1: Media | <=24h | x | x | <= 2 día laborables | | Tipo 2: Crítica | Inmediata | | x | <= 1 días laborables. | \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  El adjudicatario debe de informar a los responsables del contrato de Madrid Calle30, sobre cualquier anomalía relevante que detecte en el sistema, asegurando la integridad de la información y seguridad del sistema. Para que la comunicación y reporte de incidencias sea lo más efectiva posible, además de la herramienta de tickering, se deberá de proveer de los siguientes canales de comunicación: - -Teléfono de contacto del Jefe de Proyecto. - -Teléfono de contacto del Técnico Especializado. - -Teléfono para incidencias críticas nivel 2, con servicio 24x7. - -Correo electrónico de Soporte y atención al Cliente. ## 2.2.3 MONITORIZACION SISTEMAS E INFRAESTRUCTURA El adjudicatario deberá implantar una herramienta de monitorización integral, que permita tener una visión general de todos los servicios y arquitectura detallada en el punto 2.1 Entorno actual del presente pliego , de tal manera que se genere una visión global de toda la infraestructura IT y de comunicaciones de la empresa. Debe de cumplir, con las siguientes capacidades mínimas y cumplir con al menos los requerimientos técnicos y funcionales que aquí se detallan, de manera que aporte visibilidad completa y permita configurar alertas de detección temprana: ## Monitorización de Sistemas y Red - -Supervisión en tiempo real del estado de servidores, dispositivos de red, servicios, aplicaciones y comunicaciones. - -Recolección y análisis de métricas (CPU, memoria, almacenamiento, latencia, disponibilidad, tráfico, etc.). - -Cuadros de mando e informes configurables, con visualización de alertas, tendencias y rendimiento. - -Sistema de alertas automático, configurable por umbrales, eventos o anomalías, con notificaciones vía correo, SMS o integraciones externas. - -Detección temprana de fallos y capacidades de diagnóstico para reducir tiempos de resolución y para poder aplicar actuaciones preventivas que eviten fallos o anomalías más críticas. - -Compatibilidad con protocolos estándar (SNMP, WMI, Syslog, API, ICMP, etc.). - -La herramienta debe ofrecer la posibilidad de realizar un inventario detallado del sistema tanto de la arquitectura hardware como software. - -Capacidad para instalación On-Site o en Cloud, a decidir entre las partes al inicio del contrato cuando se presente la herramienta para implantación y configuración, la cual \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  debe de ser aprobada por Madrid Calle30 antes de su implementación, y ser actualizada a la última versión vigente en el mercado por el adjudicatario sin que esto suponga un sobre coste. ## Plataforma de Ticketing - -Registro centralizado de incidencias, solicitudes y tareas, con asignación automática o manual a los equipos responsables. Debe de ser accesible a personal de Madrid Calle30. - -Workflow configurable, con estados, niveles de prioridad, acuerdos de nivel de servicio (SLA) y escalados. - -Histórico de actuaciones, manteniendo trazabilidad completa de intervenciones y comunicaciones. - -Portal de usuario final en el que Madrid Calle30 puede visualizar la notificación de incidencias y consultar el estado. - -Integración con la monitorización, permitiendo la creación automática de tickets ante alertas críticas. - -Informes y métricas de servicio (tiempos de respuesta, resolución, cumplimiento de SLA). Requisitos Transversales recomendables a tener en cuenta por parte del adjudicatario a la hora de elegir el software o herramienta: - -Interfaz web intuitiva y accesible. - -Capacidad de integración con herramientas externas mediante API o conectores. - -Alta disponibilidad y seguridad, cumpliendo estándares de protección de datos. - -Escalabilidad, permitiendo ampliar la supervisión conforme crezca la infraestructura. El monitoreo continuo debe de ser una actividad principal a realizar por el adjudicatario, informando a los responsables de IT de Madrid Calle30 de aquellas alertas ó incidencias que requieran de un tratamiento especial por afectar a la disponibilidad del servicio o por ponerlo en riesgo, así como las encaminadas a la mejora continua. La licencia adquirida debe estar a nombre de Madrid Calle30 desde el inicio y ser mantenida y actualizada a la última versión vigente en el momento hasta finalizar el contrato entre las partes, sin que esto suponga un coste adicional para el servicio. ## 2.2.4 MONITORIZACION DE SEGURIDAD La monitorización de la seguridad en la infraestructura tecnológica y de la información de Madrid Calle 30 es de máxima prioridad, debe de ser un proceso continuo de supervisión, detección y análisis de eventos en los sistemas, redes y aplicaciones con el principal objetivo de identificar amenazas, vulnerabilidades y actividades maliciosas en tiempo real. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  Este proceso es vital para prevenir incidentes de ciberseguridad, minimizar riesgos y garantizar la integridad, confidencialidad y disponibilidad del entorno y de la información. El servicio debe de cubrir como mínimo con las actividades y especificaciones que se detallan a continuación: - -Disponer de un gestor de eventos de Seguridad (SIEM - Security Information and Event Management), para la recopilación, correlación y análisis de registros de diferentes sistemas, posibilidad de generar alertas automatizadas en caso de detección de amenazas para su posterior tratamiento por el administrador del sistema. - -Herramienta de monitoreo en tiempo real, con supervisión y detección continua 24x7 de eventos de seguridad para el análisis del tráfico de red, accesos y registros de actividad, identificando cualquier comportamiento anómalo o no autorizado. - -Monitorización del estado de antivirus/EDR, firmas y detecciones en los endpoints. - -Análisis de flujos de red para identificar exfiltración, movimientos laterales, picos anómalos o escaneos. - -Análisis de vulnerabilidades y detección de intrusos, mediante el escaneo y evaluación de sistemas y aplicaciones. Implementación de sistemas IDS/IPS para la detección y bloqueo de ataques. - -Gestión de incidentes de seguridad, mediante la identificación y categorización de los incidentes según criticidad. Dar una respuesta rápida ante incidentes para minimizar el impacto y restaurar el servicio. - -Control de accesos y autenticación: Monitoreo de intentos de acceso y gestión de identidades y privilegios a los recursos de la organización. Implementación de autenticación multifactor (MFA) y gestión de credenciales seguras. - -Monitorización del estado de las copias de seguridad, fallos y retención. - -Alertas en caso de fallos o ausencia de backups críticos. - -Velar por el correcto cumplimiento normativo de aplicación para Madrid Calle30, derivado de la auditoria de seguridad que debe de realizar el adjudicatario al inicio del contrato. Proponer mejoras si fueran necesarias en términos de seguridad durante la vigencia del contrato, y realizar informes mensuales a presentar a los responsables de Madrid Calle30 sobre seguridad para verificar el estado de protección del sistema. - -Informes mensuales con la evolución de vulnerabilidades, alertas y eventos críticos, incidentes detectados y resueltos, recomendaciones de mejora, estado de cumplimiento normativo. - -Control del estado de parches del sistema operativo, firmware y aplicaciones, incluyendo alertas por sistemas desactualizados o vulnerables. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  - -Mejora continua y propuestas al cliente que mejoren la seguridad de la infraestructura y la información. - -Capacidad para la definición de tiempos máximos de respuesta y actuación ante alertas críticas. - -El adjudicatario deberá incorporar e integrara el trabajo llevado a cabo para el cumplimiento de ENS en la plataforma GRC (Governance, Risk, and Compliance) que Madrid Calle 30 disponga para la gobernanza y gestión del riesgo en cosa de no contar con ella en el momento de la adecuación al ENS. Se valorará muy positivamente la integración con el sistema de tickering o gestor de incidentes, que permita la creación automática de tickets de seguridad desde el SIEM y el seguimiento y cierre controlado de incidentes, garantizando trazabilidad. ## 2.2.5 ASESORAMIENTO TÉCNICO El adjudicatario deberá de dar soporte técnico y asesoramiento a Madrid Calle30, sobre toda la tecnología implantada en la infraestructura actual, así como aquellas que se desplieguen a fututo durante la vigencia del contrato, en las mismas condiciones previstas en este pliego, sin incremento de coste adicional. Debe de participar activamente en la aplicación de innovación tecnológica y mejora continua, ayudando a la aplicación de tecnologías emergentes ( AA, automatización Zero Trust), proponer estrategias de actualización y modernización de la infraestructura IT , así como establecer planes de contingencia y continuidad de negocio. En el caso de redacción de nuevos proyectos de IT o telecomunicaciones , estará obligado a prestar colaboración con el cliente así como asesorar técnicamente. ## 2.2.6 SERVICIO DE MANTENIMIENTO PREVENTIVO Y PREDICTIVO El mantenimiento IT o informático aglutina distintas tareas cuyo objetivo es mejorar la calidad de los equipos e infraestructuras. Su finalidad es que los componentes tecnológicos se mantengan operativos por largo tiempo consiguiendo así un menor coste y la reducción de una posible pérdida de datos o corrupción de la información. El servicio de mantenimiento IT , a garantizar por el adjudicatario para este contrato debe de contener al menos: - -Mantenimiento de hardware: Este tipo de mantenimiento está especialmente indicado para los ordenadores así como la instalación y configuración de elementos periféricos ( pantallas, teclados, impresoras…). Cubre a su vez servidores físicos, cabinas de almacenamiento, NAS, dispositivos de red … - -Mantenimiento de red: Es una práctica principalmente proactiva que busca prevenir problemas, mejorar la eficiencia y garantizar la disponibilidad de los servicios de red. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  Está basado principalmente en tareas de inspección de redes locales, inalámbricas o del tipo que tenga la organización, para la detección de problemas de conexión a la red, calidad del servicio, rendimiento y/o detección de vulnerabilidades de seguridad o problemas existentes sobre la misma. - -Mantenimiento de Software: Es el mantenimiento relacionado con el software soluciona problemas como la adaptabilidad de programas a determinados sistemas operativos o actualizaciones en primer o segundo plano de los equipos informáticos. Este servicio puede abarcar entre otros con la gestión de copias de seguridad y restore, actualizaciones ordinarias o específicas sobre software para la aplicación de parches, licenciamiento, etc. El adjudicatario, una vez realizada la auditoría interna global al inicio del contrato, y después de presentar el informe de resultados final de la misma, debe de presentar un plan de Mantenimiento preventivo /predictivo en base a la arquitectura hardware y software del entorno actual. Siendo este revisado y aprobado por el responsable de IT de Madrid Calle30 para su aplicación durante la vigencia del contrato. ## 2.2.7 PARTICIPACIÓN AUDITORIAS EXTERNAS DE IT Madrid Calle 30 podrá someter su infraestructura tecnológica y sus sistemas de información a auditorías externas realizadas por entidades especializadas y ajenas a la organización. Estas auditorías tienen por objeto analizar en profundidad el estado de los recursos IT, evaluar el nivel de seguridad de la red, identificar vulnerabilidades y determinar las medidas necesarias para reforzar la protección de los sistemas y de la información. El adjudicatario estará obligado a colaborar activamente en dichos procesos de auditoría siempre que así lo requiera el Responsable de IT de Madrid Calle 30. Dicha colaboración incluirá, entre otras actuaciones: - -La atención y suministro de la información que la entidad auditora precise dentro del ámbito contratado. - -La participación en las reuniones, aclaraciones, pruebas o verificaciones que se consideren necesarias. - -La evaluación conjunta de los resultados de la auditoría con el Responsable de IT. - -La implantación de las medidas correctoras o de mejora que se deriven del informe de auditoría y que sean competencia del adjudicatario, en los plazos y condiciones que establezca Madrid Calle 30. El adjudicatario deberá realizar estas actuaciones sin coste adicional, considerándose aplicables en el alcance del servicio contratado. ## 2.2.8 SERVICIO GESTION DE SOFTWARE \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  Durante la vigencia del contrato, el adjudicatario deberá establecer prácticas orientadas a garantizar el correcto funcionamiento, actualización, seguridad y optimización de los programas y aplicaciones que conforman la infraestructura tecnológica de la organización. El objetivo principal de estas actuaciones es minimizar fallos operativos, incrementar el rendimiento de los recursos disponibles y facilitar la eficiencia en los procesos internos de Madrid Calle30. Forman parte de la prestación del servicio, como mínimo, las siguientes actividades: - -Instalación y actualización de software: El adjudicatario será responsable de la instalación de cualquier software o aplicación debidamente licenciado que la organización requiera, así como del seguimiento y gestión de la renovación, actualización y mantenimiento del software ya existente. Asimismo, deberá garantizar que ninguna aplicación instalada suponga un riesgo para la seguridad de la organización por tratarse de software ilegítimo o no autorizado. - -Inventario actualizado y control del software, mantenimiento de un registro actualizado de las aplicaciones instaladas, verificación de licencias , documentación, versionado y fechas de vencimiento. Eliminación de software obsoleto, inseguro o no autorizado. - -Mantenimiento preventivo y correctivo: diagnóstico y resolución de incidencias relacionadas con el funcionamiento o conflicto entre aplicaciones. identificación y mitigación de incompatibilidades, así como la monitorización del software, especialmente del crítico. - -Seguridad del Software, mediante la implementación de políticas de acceso y control de uso de aplicaciones. Revisión y análisis de seguridad de aplicaciones de terceros antes de su despliegue sobre la infraestructura en producción, implementación de medidas de protección frente a software ilegítimo y vulnerabilidades conocidas. - -Monitoreo del rendimiento del software y evaluación del impacto sobre los recursos del sistema (CPU, memoria, almacenamiento, tráfico de red, etc.). Identificación de aplicaciones con consumos anómalos y aplicación de las correspondientes medidas de optimización para mejorar la eficiencia operativa. - -Automatización en la gestión del software, mediante la integración con la plataforma de monitoreo y administración IT exigible en el presente pliego. - -Documentación y trazabilidad: El adjudicatario deberá generar y mantener actualizada la documentación relativa a todas las actuaciones realizadas sobre el software (instalaciones, incidencias, actualizaciones, cambios de configuración, etc.).Esta documentación deberá estar disponible para Madrid Calle30, garantizando la trazabilidad de las intervenciones y facilitando auditorías técnicas o de seguridad. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  ## 2.2.9 GESTIÓN DE ACTUALIZACIONES SOFTWARE El servicio de gestión de actualizaciones e implementación de parches será responsabilidad del adjudicatario, sin que ello suponga incremento económico alguno sobre el importe del contrato. Será necesario que presente a Madrid Calle30 un plan de gestión de actualizaciones, en el que se describa la operativa prevista para la aplicación de parches, actualizaciones y revisiones de seguridad en los sistemas incluidos en el alcance. El servicio deberá contemplar, como mínimo, los siguientes elementos, sin perjuicio de otras funcionalidades adicionales que puedan aportar valor en el proceso de actualización : - -Herramienta centralizada para la gestión de actualizaciones: La solución utilizada deberá permitir la administración global y unificada del ciclo de actualizaciones de todos los sistemas incluidos en el contrato. - -Gestión individualizada por equipo: la herramienta deberá permitir consultar las actualizaciones pendientes, programar su instalación, ejecutar despliegues bajo demanda y obtener información detallada por equipo, servidor o componente de red. - -La herramienta deberá actualizar de forma automática y en ventanas programada las actualizaciones tanto de los servidores, componentes de red, así como de los puestos de trabajo. - -Aplicación periódica de parches y actualizaciones: Se deberán aplicar de forma periódica los parches, revisiones y actualizaciones necesarias para asegurar el correcto funcionamiento de los sistemas. En el caso de parches críticos de seguridad, estos deberán aplicarse con prioridad tan pronto como sean publicados y validados. - -Plan de contingencia ante fallos derivados de actualizaciones. El adjudicatario deberá disponer de procedimientos definidos que permitan revertir cambios o mitigar fallos derivados de actualizaciones, garantizando la continuidad operativa. - -Se remitirá un informe mensual que detalle el estado de las actualizaciones, las tareas realizadas, los parches aplicados y las incidencias detectadas, en caso de existir. - -Ventanas de mantenimiento y coordinación: deberá coordinar con el responsable IT de Madrid Calle 30 las ventanas de mantenimiento necesarias para la ejecución de actualizaciones que puedan impactar en la disponibilidad de los servicios. Asimismo, al inicio del contrato, el adjudicatario deberá comunicar al responsable IT de Madrid Calle 30 la herramienta que se utilizará para la gestión del servicio. Se recomienda que dicha herramienta sea la misma empleada para los servicios de monitorización y ticketing exigidos en el presente pliego, a fin de asegurar una gestión integrada y eficiente. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  ## 2.2.10 GESTION DE COPIAS DE SEGURIDAD Se requiere de la gestión integral de las copias de seguridad (Backus) de la organización, Dicho servicio debe asegurar en todo momento la protección, disponibilidad, integridad y recuperación de los datos, constituyendo un elemento crítico para la continuidad operativa de Madrid Calle30. Como mínimo el servicio, deberá de comprender las siguientes actividades: - -Administración del servicio de copias de seguridad. Revisión de la política actual de copias de seguridad y propuesta y aplicación de mejoras orientadas a minimizar el impacto ante incidentes o desastres. - -Revisión diaria de las copias de Seguridad: Supervisión, verificación y control del correcto funcionamiento de las copias realizadas. Detección y resolución de fallos o incidencias que impidan la correcta ejecución de los Backus. - -Alojamiento de las copias de seguridad en varios medios o ubicaciones, para disponer de la información en caso de fallo sobre alguno de los sistemas implicados, aplicando las mejores prácticas que aseguren la integridad de la información almacenada. - -Recuperación de Backups o máquinas virtuales : Ejecución de procesos de restauración parcial o total de datos, carpetas, sistemas o máquinas virtuales cuando resulte necesario. - -Elaboración y mantenimiento de procedimientos de restauración rápida ante fallos o incidentes. Estos deben de ser actualizados y revisados durante la vigencia del presente contrato. - -Presentar un plan anual de recuperación, para poner en práctica los procedimientos, verificar la eficiencia y mejorar los tiempos de recuperación ante un incidente real. - -Definición de ventanas de ejecución y coordinación operativa junto con el responsable IT de Madrid Calle 30 para la ejecución de copias completas y tareas que puedan afectar al rendimiento de los sistemas. - -Documentación y trazabilidad del ciclo de vida de los Backus: Generación y conservación de registros de ejecución, incidencias, restauraciones realizadas y estado de los repositorios de Backus. Esta documentación deberá estar disponible para auditorías, revisiones de seguridad y controles periódicos de la organización. Actualmente el software que se utiliza para realizar copias de seguridad es Veem Backup. ## 2.2.11 FORMACION \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  El adjudicatario deberá realizar, de forma periódica y siguiendo las directrices establecidas por el Responsable del contrato de Madrid Calle 30, acciones de formación continua en materia de tecnologías de la información y seguridad dirigidas a los empleados de la organización. El objetivo de estas acciones es fomentar un uso eficiente y responsable de los recursos tecnológicos, así como promover buenas prácticas basadas en la concienciación en ciberseguridad y herramientas tecnológicas emergentes. Durante la vigencia del contrato, el adjudicatario elaborará un Programa Global de Formación destinado a todos los integrantes de la organización, con contenidos orientados a la Seguridad de la Información y al uso adecuado de los sistemas y herramientas tecnológicas. ## El programa de formación deberá contar con: - -Planificación anual. - -Calendario de sesiones, consensuado con el Responsable de Madrid Calle 30. - -Contenidos formativos mínimos, además de aquellos que se identifiquen como necesarios o de interés durante la ejecución del contrato. ## Contenidos mínimos del programa formativo: - -Buenas prácticas en el uso de equipos, aplicaciones corporativas y recursos digitales. - -Buenas prácticas en el uso de nuevas tecnologías emergentes, tecnologías en Cloud y las medidas de seguridad que las gobiernan. - -Correcta gestión de contraseñas, contraseñas seguras, accesos y uso responsable de credenciales. - -Concienciación en ciberseguridad, incluyendo la identificación de amenazas habituales y de reciente creación (phishing, ingeniería social, malware, etc.). - -Internet de las cosas IoT e internet profunda ( Deep Web). Navegación segura. - -Buenas prácticas en el manejo de las herramientas IT de la organización. Politicas de uso aceptable y normativa de aplicación. - -Recomendaciones sobre protección de datos y privacidad en el ámbito corporativo. - -Formación en seguridad Cibernética, tema crucial para conocer como trabajar de manera segura, realizar un buen manejo de la información que se maneja y saber los riesgos actuales. - -Gestión de crisis, para saber identificar el problema y actuar con diligencia ante una situación de emergencia. - -Normativa actual aplicable a entornos IT de la administración pública. El adjudicatario se compromete durante el periodo de vigencia del contrato a llevar un registro y trazabilidad de la formación impartida, con las sesiones impartidas, asistentes y evaluaciones realizadas, para su entrega a Madrid Calle 30 cuando sea requerido. Del mismo modo debe de realizar una actualización continua del contenido formativo, revisando \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  periódicamente los materiales para adaptarse a nuevas amenazas, cambios normativos o procedimientos internos. ## 2.2.12 BOLSA DE HORAS Se establece una bolsa de horas destinada a la atención de necesidades excepcionales no contempladas en el alcance ordinario del contrato. Estas horas permitirán cubrir requerimientos puntuales que, por su naturaleza o urgencia, requieran una dedicación adicional durante un periodo corto o medio, tales como incidencias críticas o actuaciones extraordinarias. ## Destino de la bolsa de horas - -Atención de incidencias de alta criticidad, cuyos tiempos de resolución excedan a los expuestos en el apartado 2.2.2 Soporte Especializado. - -Desarrollos o adaptaciones puntuales no incluidas en el servicio base y necesarias para la operatividad de la organización. - -Asistencia en situaciones de emergencia tecnológica o de ciberseguridad, especialmente aquellas que comprometan la disponibilidad o integridad de los sistemas. - -Configuraciones especiales, migraciones, pruebas o integraciones urgentes que surjan de manera sobrevenida y requieran una dedicación adicional. - -Cualquier otra situación excepcional que, a criterio de Madrid Calle 30, deba ser atendida mediante esta bolsa. ## Condiciones de uso - -La bolsa de horas tendrá un máximo de 140 horas durante toda la vigencia del contrato. - -Su consumo deberá realizarse previa autorización expresa de Madrid Calle 30 o con su conocimiento y validación explícita, según el procedimiento acordado. - -El adjudicatario deberá registrar todas las actuaciones excepcionales en la herramienta de HelpDesk y ticketing utilizada por la organización. - -Mensualmente, se entregará un informe detallado con: - -Horas ordinarias y extraordinarias empleadas. - -Trabajos realizados y resultado de las actuaciones - -Fechas y tiempos de dedicación. - -Personal técnico que intervino. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  La bolsa de horas será facturada el mes posterior a su consumo, y se facturará únicamente por las horas efectivamente utilizadas. Se debe de incluir en la facturación el detalle que incluya: intervenciones realizadas, número de horas imputadas, y saldo restante de la bolsa. En caso de no utilizarse la bolsa durante la vigencia del contrato, no se procederá a su facturación. ## 2.2.13 SEGUIMIENTO DEL PROYECTO El adjudicatario debe de indicar al comienzo del contrato, cómo va a realizar el seguimiento del servicio, para validación y aprobación por parte del director del contrato de Madrid Calle30. Se mantendrán reuniones periódicas de seguimiento entre el Jefe del Proyecto y el responsable de IT de Madrid Calle30, con el objetivo principal de llevar un seguimiento sobre las incidencias reportadas y resueltas, incidencias pendientes de resolución, estado actual de la infraestructura, potenciales riesgos detectados, adecuación o actualización de políticas, cumplimiento del plan de p reventivo/proactivo aprobado… Con una periodicidad mensual y durante la vigencia del contrato el adjudicatario deberá de presentar al responsable de Madrid Calle30 los siguientes informes, sin menos cabo de otros a realizar bajo demanda cuando el cliente así lo solicite: - -Informes de Estado de la instalación. - -Informes sobre incidencias críticas. - -Informes sobre incidencias reportadas, resueltas y pendientes. - -Informes de Seguridad. - -Informes de Actualizaciones. - -Informes de Auditorias de sistema. - -Informes de evolución y seguimiento de trabajos planificados a medio plazo. ## 2.2.14 DOCUMENTACIÓN DE TRABAJO Durante el periodo de vigencia del contrato, se mantendrán en un alojamiento compartido de Madrid Calle30, toda la documentación derivada del proyecto, manteniéndose siempre actualizada y con control de cambios. Se deberá de tener como mínimo la siguiente información: - -Informe inicial de Auditoría. - -Mapa topológico de la infraestructura IT y de red. - -Inventario de hardware. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  - -Inventario de software instalado a nivel de sistema operativo, copias de seguridad y réplicas, administración de sistemas, software de virtualización, software de seguridad. Relación de licencias software existentes, seguimiento sobre renovaciones de las mismas. - -Plan de actuación paso a paso de encendido y apagado ordenado del CPD. - -Plan de política de Backup y restore. - -Procedimientos de recuperación ante desastres. - -Plantillas con las configuraciones de los sistemas y elementos de red : Running config, etc.. - -Plan de Mantenimiento Preventivo/Proactivo. - -Aplicación de gestión de contraseñas. - -Evaluación y programa para adaptación ENS. - -Listado de contactos necesarios para la prestación de servicios, contratos externos, fabricantes de producto, etc. - -Documento de garantías. - -Registro accesible de la bolsa de horas con el consumo acumulado y horas pendientes. - -Cualquier informe técnico o de gestión que se genere durante el contrato. - -Plan de Formación anual, planificación y contenidos. En caso de no existir dichos documentos el adjudicatario deberá crearlos y ponerlos a disposición del responsable de Madrid Calle30 para su aprobación. ## 3. MEDIOS A DISPOSICION DEL CONTRATO ## 3.1.1 MEDIOS HUMANOS La empresa adjudicataria asignará a la prestación del servicio los medios humanos suficientes y necesarios para la ejecución del alcance del presente contrato, los cuales se exigirán durante todo el periodo de prestación del servicio. El equipo de trabajo debe de contar con al menos los siguientes perfiles, para dar soporte continuo a la gestión, mantenimiento y supervisión de la arquitectura tecnológica: - Jefe de Proyecto: Perfil con titulación de Ingeniero Informático o similar, con al menos 15 años de experiencia en proyectos de características semejantes, que sirva de interlocutor principal para este proyecto, con los conocimientos y la experiencia suficiente para garantizar el nivel de calidad exigido en el presente pliego. Además, será el encargado de coordinar todos los servicios incluidos en el alcance, reuniones periódicas con los responsables IT de Madrid Calle30, presentación de informes y resultados que se soliciten, asesor principal sobre la tecnología existente o nuevos proyectos que pudieran surgir, elaboración de presupuestos, facturas. Debe de tener al menos la siguiente experiencia acreditada: \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  - -Entornos Microsoft Windows Server. - -Entornos de Virtualización VMware. - -Especialista en Microsoft Office 365 y herramientas colaborativas. - -Especialista en redes. - -Especialista en Veem. - -Conocimientos demostrables en ciberseguridad. El Jefe de Proyecto designado por la empresa adjudicataria deberá asistir presencialmente a las oficinas de Madrid Calle 30 al menos un día a la semana, o con la frecuencia adicional que requieran las condiciones del servicio o determine el Responsable del contrato de Madrid Calle 30. Estas asistencias presenciales estarán orientadas, entre otras, a las siguientes funciones: - -Labores de gestión y coordinación del contrato. - -Comunicación de novedades del servicio y evolución operativa. - -Reuniones de seguimiento periódicas. - -Revisión, entrega o validación de documentación técnica o administrativa. - -Atención a auditorías internas o externas que impliquen a los servicios contratados. - -Gestión de incidencias graves o críticas que requieran su presencia. Asimismo, el Jefe de Proyecto deberá garantizar disponibilidad telefónica permanente, dentro del horario operativo del servicio, para atender requerimientos urgentes de Madrid Calle 30 y coordinar adecuadamente cualquier acción necesaria. - Técnico Especialista : Con titulación mínima de FP en informática o equivalente, con al menos 10 años de experiencia en la gestión de entornos IT similares, que puedan desarrollar todas las tareas que se detallan en el alcance del presente contrato (2.2 Alcance del Proyecto), con las funciones principales de atención a usuarios personalizada, tareas que permitan la gestión y mantenimiento de todo el entorno tecnológico implementado en Calle30 y con experiencia acreditada en: - -Entornos Microsoft Windows Server. - -Entornos de Virtualización VMWare. - -Especialista en Microsoft Office 365 y herramientas colaborativas. - -Especialista en redes. - -Especialista en Veem. - -Conocimientos demostrables en ciberseguridad. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  El técnico Especialista será la persona que esté de manera presencial semanalmente en las oficinas de Madrid Calle30 en los términos descritos en el apartado 2. Mantenimiento Sistemas Informáticos y de Red, con una presencialidad de dos días laborales a la semana a definir durante el contrato entre las partes, con un horario pactado previamente desde las 8:30 h hasta las 14:30 h y con atenciones puntuales en remoto para situaciones especiales por requerimiento de necesidades del servicio. Los requisitos del personal y/o de la empresa adjudicataria para la ejecución del Servicio de Auditoría General y adaptación a ENS recogido en el apartado 2.2.1 Auditoria Inicial y adaptación a ENS, deberá de contar con personal cualificado, especializado y con experiencia demostrable en materia de seguridad avanzada, habiendo realizado servicios de igual naturaleza al menos durante 10 años, y debiendo acreditar como mínimo: - -Titulación Universitaria requerida con perfil de Ingeniero informático y/o en Ciberseguridad. Con experiencia demostrable en proyectos de similar naturaleza. - -Experiencia profesional demostrable en auditorias de sistemas, seguridad TI, cumplimiento ENS y revisión de infraestructuras y análisis de riesgos. - -Formación técnica específica en tecnologías de la información, ciberseguridad, comunicaciones e infraestructuras informáticas. ## Certificaciones profesionales reconocidas entre las que podrán incluirse (no limitativo): - -CISA (Certified Information Systems Auditor) - -CISM (Certified Information Security Manager) - -CISSP (Certified Information Systems Security Professional) - -ISO 27001 Auditor / Lead Auditor - -ENS Auditor / Especialista ENS - -ITIL Foundation v3 / v4., COBIT o certificaciones de gestión de TI aplicables - -PMP (Project Management Professional) para la gestión integral y coordinación del proyecto, aportando capacidad demostrada en metodologías avanzadas de gestión de proyectos - -Conocimiento actualizado del Real Decreto 311/2022, ENS( Esquema Nacional de Seguridad) y marcos reguladores de protección de datos (GDPR, LOPDGDD). - -Conocimientos avanzados y experiencia práctica comprobable en el uso de metodologías de análisis de riesgo así como qué posee las acreditaciones o certificaciones que avalen su competencia en estas metodologías o herramientas: - MAGERIT \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  - ISO/IEC 27005 - NIST SP 800-30 - Otras metodologías aceptadas por Madrid Calle 30 El adjudicatario deberá aportar, cuando se le solicite, la documentación probatoria, como certificados, diplomas, curriculum vitae o acreditaciones emitidas por los organismos correspondientes. Madrid Calle 30 se reserva el derecho de solicitar validación de la competencia técnica, así como de aprobar o rechazar profesionales cuya capacitación no se ajuste a los requisitos definidos en este pliego El equipo de trabajo debe estar formado por las mismas personas durante la duración del contrato, salvo circunstancias excepcionales que pudieran surgir y que motiven a la sustitución de algunos de los componentes. El adjudicatario debe de presentar al cliente la motivación del cambio, mantenimiento los mismos perfiles y acreditaciones y justificándolas debidamente. Será responsabilidad del adjudicatario la propuesta de un equipo de trabajo que tenga capacidad de absorber la totalidad de los trabajos asociados a la ejecución del contrato. Madrid Calle30 hace una propuesta de organización a nivel de la dirección del proyecto, el adjudicatario deberá dedicar al proyecto los recursos necesarios para el logro de todos los objetivos incluidos en este documento. ## 3.1.2 MEDIOS MATERIALES El adjudicatario deberá disponer de todos los medios materiales, equipos necesarios para garantizar la correcta ejecución del servicio que se detalla en el presente Pliego de Prescripciones Técnicas. Dichos medios deberán ser suficientes, adecuados y encontrarse en perfecto estado de operatividad para permitir la realización de todas las actividades previstas ## Medios de transporte El adjudicatario deberá contar con los medios de transporte necesarios para el desplazamiento del personal técnico a las instalaciones de Madrid Calle 30 ubicadas en Méndez Álvaro 95, al centro de datos principal o a cualquier otra localización requerida para la prestación del servicio. Dichos medios deberán: - -Estar disponibles durante toda la duración de los trabajos. - -Permitir el traslado seguro de equipos, material y documentación técnica. - -No suponer ningún coste adicional para Madrid Calle 30. ## Medios auxiliares \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  El adjudicatario deberá disponer, asimismo, de los medios auxiliares necesarios para la correcta ejecución de los trabajos donde se deberá incluir, sin ser limitativo: - -Accesorios y elementos de soporte para las pruebas y revisiones técnicas. - -Medios de comunicación que garanticen la coordinación operativa durante el servicio. - -Cualquier otro componente que requiera el personal que ponga a disposición del contrato. ## 3.1.3 MEDIOS INFORMÁTICOS Los medios informáticos necesarios a nivel hardware y software de todo el personal por parte del adjudicatario para el desempeño de su labor, será responsabilidad de este, tales como equipos informáticos portátiles, periféricos, dispositivos móviles, así como el software asociado a estos. ## 4. FIN DEL CONTRATO Antes de la fecha de finalización de contrato, con un tiempo de antelación de 3 meses, se realizará una reunión entre el Responsable del proyecto y el Responsable de Madrid Calle30, para que se presente un ' Plan de Devolución o Entrega ' del servicio que garantice una correcta y eficaz transferencia. Durante el último mes de contrato, Madrid Calle30 establecerá el periodo transitorio de ejecución en condiciones especiales, de modo que se garantice la prestación del servicio de forma ininterrumpida, comprometiéndose el adjudicatario a colaborar con el nuevo adjudicatario en aquellas actividades necesarias, encaminadas a la planificación y ejecución del cambio. El adjudicatario deberá facilitar toda la documentación generada a lo largo del contrato, todos los registros de actividad del servicio, y configuraciones almacenadas en medios digitales. Al finalizar la prestación, el adjudicatario deberá destruir toda la información que posea como consecuencia de los servicios prestados a Madrid Calle30. Ni el servicio, ni las obligaciones del adjudicatario se darán por concluidas hasta que esta fase haya sido completada. ## 5. PLAZO DE EJECUCIÓN La duración del 'CONTRATO DE GESTIÓN Y MANTENIMIENTO DE LOS SERVICIOS DE INFORMÁTICA (IT) Y DE COMUNICACIONES DE MADRID CALLE30 ' tendrá una duración de VEINTI CUATRO (24) MESES, con 2 años prorrogables. ## 6. PRESUPUESTO El contrato abarca la supervisión y mantenimiento completo de todos los elementos hardware y software que forman la infraestructura de red de Madrid Calle30. Esto implica una \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  dedicación técnica continua y especializada para garantizar la operatividad, disponibilidad y seguridad del entorno. Además, se incluye un servicio especializado de consultoría en ciberseguridad orientado a la adecuación al Esquema Nacional de Seguridad (ENS). Este trabajo requiere perfiles altamente cualificados y la realización de análisis, documentación, implementación de medidas y auditorías internas, lo que incrementa el valor del servicio aportando eficiencia y calidad. Para la valoración económica del contrato se ha realizado un estudio de los precios actuales de mercado consultando a varias empresas especializadas en el objeto de este contrato, incluyendo todos los costes directos e indirectos que se pudieran derivar de la ejecución, gastos generales de estructura y el beneficio industrial, tratándose a criterio de Madrid Calle 30 los precios de mercado que aseguran tanto el cumplimiento del contrato como la suficiente concurrencia a la licitación. El presupuesto incorpora el coste de licencias anuales del software imprescindible para la prestación de los servicios descritos. Estas licencias garantizan el correcto funcionamiento de las herramientas de monitorización, seguridad, gestión y mantenimiento de la red. Para el cálculo de servicio técnico cualificado para las labores de mantenimiento de la red IT y de comunicaciones se ha tenido en cuenta el Cuadro de Precios de 2023 del Ayuntamiento de Madrid. El presupuesto para el ' CONTRATO DE GESTIÓN Y MANTENIMIENTO DE LOS SERVICIOS DE INFORMÁTICA (IT) Y DE COMUNICACIONES DE MADRID CALLE 30' es de CIENTO CUATRO MIL SETECIENTOS SESENTA Y UN EUROS CON OCHENTA Y TRES CENTIMOS DE EURO ( 104.761,83 € ) , sin IVA. \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_  ## Expediente Nº202600010 | PERSONAL ESPECIALIZADO - SERVICIO DE MANTENIMIENTO | PERSONAL ESPECIALIZADO - SERVICIO DE MANTENIMIENTO | PERSONAL ESPECIALIZADO - SERVICIO DE MANTENIMIENTO | PERSONAL ESPECIALIZADO - SERVICIO DE MANTENIMIENTO | PERSONAL ESPECIALIZADO - SERVICIO DE MANTENIMIENTO | PERSONAL ESPECIALIZADO - SERVICIO DE MANTENIMIENTO | |---------------------------------------------------------------------------------------|------------------------------------------------------|------------------------------------------------------|------------------------------------------------------|------------------------------------------------------|------------------------------------------------------| | | Ud | | Año 1 | Año 2 | TOTAL CONTRATO | | JEFE PROYECTO | 2 | año | 2.889,64 € | 2.889,64 € | 5.779,28 € | | TÉCNICO ESPECIALIZADO | 2 | año | 21.243,04 € | 21.243,04 € | 42.486,08 € | | | | | 24.132,68 € | 24.132,68 € | 48.265,36 € | | SERVICIOS DE CONSULTORIA - SOFTWARE | SERVICIOS DE CONSULTORIA - SOFTWARE | SERVICIOS DE CONSULTORIA - SOFTWARE | SERVICIOS DE CONSULTORIA - SOFTWARE | SERVICIOS DE CONSULTORIA - SOFTWARE | SERVICIOS DE CONSULTORIA - SOFTWARE | | | Ud | | Año 1 | Año 2 | TOTAL CONTRATO | | AUDITORIA INICIAL ( Adecuación Esquema Nacional Seguridad - ENS) | 1 | ud | 24.666,67 € | | 24.666,67 € | | SOPORTE ESPECIALIZADO (Servicio Garantía Reposición) | 2 | ud | 1.000,00 € | 1.000,00 € | 2.000,00 € | | MONITORIZACION SISTEMAS E INFRAESTRUCTURA ( Software Herramienta - Suscripción anual) | 2 | ud | 3.200,00 € | 3.200,00 € | 6.400,00 € | | SERVICIO DE DESPLIEGUE Y CONFIGURACIÓN 2.2.3 - Pago Único | 1 | ud | 3.000,00 € | | 3.000,00 € | | MONITORIZACION DE SEGURIDAD (Herramienta SIEM - Suscripción anual) | 2 | ud | 4.950,00 € | 4.950,00 € | 9.900,00 € | | SERVICIO DE DESPLIEGUE Y CONFIGURACIÓN Siem2.2.4 - Pago Único | 1 | ud | 2.750,00 € | | 2.750,00 € | | BOLSADE HORAS ( Ademanda) | 140 | hora | 3.889,90€ | 3.889,90€ | 7.779,80 € | | | | | 43.456,57€ | 13.039,90€ | 56.496,47€ | | TOTAL AÑO | 67.589,25 € | 37.172,58 € | 104.761,83 € | |-------------|---------------|---------------|----------------| | IVA %21 | | | 21.999,98 € | | TOTAL IVA | | | 126.761,81 € | \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_