Iniciar Sesión Registrarse

PPT Expte 2026U1h00004 Contrato Ciberseguridad CUMBRE Iberoamericana.pdf

Pliego Técnico Ver licitación
{# full_text keeps real newlines; whitespace-pre-wrap renders them (so no |linebreaks filter, which would double the spacing). #}
<!-- image --> DEPARTAMENTO DE COORDINACIÓN TÉCNICA Y JURÍDICA UNIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES <!-- image --> PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE SERVICIOS DE CIBERSEGURIDAD PARA LA XXX CUMBRE IBEROAMERICANA DE JEFES DE ESTADO Y DE GOBIERNO - NOVIEMBRE 2026 ## (EXPTE.) Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (LCSP) - -Procedimiento abierto - -Varios criterios de adjudicación - -No sujeto a regulación armonizada El presente Pliego de Prescripciones Técnicas ha sido elaborado y propuesto al órgano de contratación por la Unidad de Tecnologías de la Información y las Comunicaciones (UTIC) de Presidencia del Gobierno. De acuerdo con el artículo 68.3 del Real Decreto 1098/2001, de 12 de octubre, por el que se aprueba el Reglamento general de la Ley de Contratos de las Administraciones Públicas, este PPT en ningún caso contendrá declaraciones o cláusulas que deban figurar en el pliego de cláusulas administrativas particulares. ## Índice <!-- image --> | 1. Objeto del Contrato......................................................................................................................................... 3 | 1. Objeto del Contrato......................................................................................................................................... 3 | 1. Objeto del Contrato......................................................................................................................................... 3 | |---------------------------------------------------------------------------------------------------------------------------------------------------------------------|---------------------------------------------------------------------------------------------------------------------------------------------------------------------|---------------------------------------------------------------------------------------------------------------------------------------------------------------------| | 1.1 | 1.1 | Delimitación del alcance y segregación de funciones ........................................................................... 3 | | 1.2 | 1.2 | Cláusula de incompatibilidad ................................................................................................................ 3 | | 2. Características técnicas de las prestaciones..................................................................................................... 4 | 2. Características técnicas de las prestaciones..................................................................................................... 4 | 2. Características técnicas de las prestaciones..................................................................................................... 4 | | 2.1 | 2.1 | Localización y entorno operativo .......................................................................................................... 4 | | 2.2 Horarios y | 2.2 Horarios y | niveles de cobertura ............................................................................................................. 4 | | 2.3 Ejecución | 2.3 Ejecución | técnica de los servicios ......................................................................................................... 4 | | 2.3.1 Protección avanzada de endpoints y dispositivos | 2.3.1 Protección avanzada de endpoints y dispositivos | móviles (XDR) .................................................... 5 | | 2.3.2 | 2.3.2 | Plataforma centralizada de monitorización, correlación y análisis de eventos (SIEM)..................... 5 | | 2.3.3 | 2.3.3 | Contextualización de amenazas......................................................................................................... 7 | | 2.3.4 | 2.3.4 | Threat hunting ................................................................................................................................... 7 | | 2.3.5 | 2.3.5 | Respuesta a Incidentes y Forense Digital (DFIR) ............................................................................. 8 | | 2.3.6 | 2.3.6 | Auditoría continua de seguridad........................................................................................................ 8 | | 2.3.7 | 2.3.7 | Seguridad ofensiva y simulación controlada..................................................................................... 8 | | 2.3.8 | 2.3.8 | Seguridad de aplicaciones y software específico .............................................................................. 9 | | 3. Gestión técnica del contrato ............................................................................................................................ 9 | 3. Gestión técnica del contrato ............................................................................................................................ 9 | 3. Gestión técnica del contrato ............................................................................................................................ 9 | | 3.1 | Responsable del proyecto por parte de la organización......................................................................... 9 | Responsable del proyecto por parte de la organización......................................................................... 9 | | 3.2 | Responsable del proyecto por parte de la empresa. ..............................................................................10 | Responsable del proyecto por parte de la empresa. ..............................................................................10 | | 4. Condiciones de prestación del servicio ......................................................................................................... 10 | 4. Condiciones de prestación del servicio ......................................................................................................... 10 | 4. Condiciones de prestación del servicio ......................................................................................................... 10 | | 4.1 | 4.1 | Instalaciones y despliegue operativo (NOC/SOC físico)......................................................................10 | | 4.2 | 4.2 | Fase de arranque y plan director...........................................................................................................10 | | 4.3 | 4.3 | Gobernanza, seguimiento y niveles de servicio....................................................................................11 | | 4.4 | 4.4 | Informes de seguimiento, operación y análisis .....................................................................................11 | | 5. Medios humanos para la prestación del servicio........................................................................................... 12 | 5. Medios humanos para la prestación del servicio........................................................................................... 12 | 5. Medios humanos para la prestación del servicio........................................................................................... 12 | | 5.1 | 5.1 | Responsable del proyecto .....................................................................................................................12 | | 5.2 | 5.2 | Experto DFIR y cibervigilancia............................................................................................................13 | | 5.3 | 5.3 | Arquitecto de seguridad experto en SIEM............................................................................................13 | | 5.4 | 5.4 | Ingeniero de Seguridad Ofensiva (Red Team) .....................................................................................14 | | 5.5 | 5.5 | Analista SOC........................................................................................................................................14 | | 5.6 | 5.6 | Dedicación............................................................................................................................................15 | | 5.7 | 5.7 | Garantía de Continuidad del Servicio...................................................................................................15 | | 6. | Medios materiales para la prestación del servicio......................................................................................... 15 | Medios materiales para la prestación del servicio......................................................................................... 15 | | 7. | Duración del contrato.................................................................................................................................... 16 | Duración del contrato.................................................................................................................................... 16 | | 8. | Cronograma del servicio ............................................................................................................................... 16 | Cronograma del servicio ............................................................................................................................... 16 | <!-- image --> ## 1. Objeto del Contrato <!-- image --> El presente pliego tiene por objeto establecer los requisitos técnicos y el modelo de prestación para la ejecución integral de los servicios de ciberseguridad con motivo de la XXX Cumbre Iberoamericana de Jefes de Estado y de Gobierno, prevista para los días 4 y 5 de noviembre de 2026 en Madrid. El objetivo principal del contrato es garantizar la confidencialidad, integridad, trazabilidad y disponibilidad de las infraestructuras tecnológicas y de comunicaciones del evento, asegurando la resiliencia operativa frente a posibles ciberincidentes. El servicio se diseñará para garantizar el máximo nivel de protección, vigilancia y capacidad de respuesta ante cualquier incidente de ciberseguridad. A tal efecto, la prestación se basará en el despliegue, equipamiento y operación de un NOC/SOC ( Network Operations Center / Security Operations Center - Centro de Operaciones de Redes y Ciberseguridad) físico y dedicado en la propia sede de la Cumbre, desde el cual se llevará a cabo la monitorización, detección y respuesta en tiempo real ante cualquier amenaza. ## 1.1 Delimitación del alcance y segregación de funciones El adjudicatario del presente contrato será el responsable de supervisar desde el NOC/SOC la seguridad global de todas las infraestructuras tecnológicas del evento, independientemente del contrato responsable de su despliegue a través de la monitorización, detección y respuesta ante incidentes de ciberseguridad. Dicho centro constituirá el elemento principal para la monitorización, análisis, coordinación y respuesta ante incidentes de ciberseguridad. No obstante, las labores desarrolladas fuera de los periodos de máxima actividad podrán apoyarse, con carácter auxiliar, en el NOC/SOC remoto del adjudicatario, siempre que ello no suponga merma alguna en la continuidad del servicio ni en los niveles de exigencia, seguridad y confidencialidad requeridos. La ejecución de dichas funciones de supervisión no supondrá la modificación directa de configuraciones sobre infraestructuras gestionadas por otros adjudicatarios. La ejecución de cualquier medida de mitigación o cambio técnico corresponderá exclusivamente al proveedor responsable de cada sistema, requiriéndose en todo caso la aprobación previa de la dirección técnica del evento para su implementación. El dimensionamiento tecnológico y operativo de la prestación deberá alinearse y dar cumplimiento a lo establecido en el Esquema Nacional de Seguridad (ENS), así como a sus principios, requisitos y medidas de seguridad aplicables, además de a los estándares, marcos de referencia y mejores prácticas internacionales en materia de ciberseguridad. ## 1.2 Cláusula de incompatibilidad Con el fin de garantizar la independencia operativa, la objetividad en las labores de auditoría y el cumplimiento del principio de segregación de funciones, la empresa adjudicataria del presente contrato no podrá resultar adjudicataria de ningún otro contrato vinculado a la organización de la Cumbre. <!-- image --> <!-- image --> En caso de que una misma entidad resultase adjudicataria del presente contrato y de cualquier otro contrato vinculado a la organización de la Cumbre, deberá renunciar formalmente a uno de ellos antes de su formalización. ## 2. Características técnicas de las prestaciones ## 2.1 Localización y entorno operativo La prestación de los servicios tendrá lugar en la ciudad de Madrid, en las instalaciones que se determinen para la celebración de la Cumbre Iberoamericana 2026. El adjudicatario deberá desplegar y operar el NOC/SOC físico principal en el espacio que determine la organización, dentro del perímetro de seguridad de la sede. ## 2.2 Horarios y niveles de cobertura Durante los días previos de montaje, integración, pruebas y puesta en servicio de las infraestructuras tecnológicas, así como durante los días de celebración de la Cumbre, el servicio deberá garantizar una cobertura adaptada al desarrollo de la actividad oficial, técnica y operativa del evento, con capacidad de monitorización, análisis y respuesta ante incidentes de ciberseguridad. A tal efecto, el adjudicatario deberá asegurar la presencia física en sede del personal técnico necesario durante las franjas horarias de mayor actividad, especialmente en las fases de montaje, pruebas, ensayos y celebración del evento, así como la disponibilidad y localización inmediata de los perfiles especializados que resulten precisos para la atención, escalado y resolución de incidentes. Fuera de dichas franjas, el servicio podrá prestarse en modalidad de disponibilidad localizada o apoyo remoto, siempre que se garantice en todo momento una respuesta adecuada a la criticidad del evento y a los niveles de servicio exigidos. ## 2.3 Ejecución técnica de los servicios El adjudicatario deberá proveer, configurar, licenciar y operar de forma integral las siguientes capacidades tecnológicas, garantizando su correcta integración, interoperabilidad y operación centralizada desde el NOC/SOC del evento, así como una visibilidad unificada del estado de seguridad, la superficie de exposición y la postura de riesgo global. La existencia de este centro de operaciones se entenderá sin perjuicio de que otros adjudicatarios responsables de distintos ámbitos del evento (telecomunicaciones, servicios audiovisuales, etc.) dispongan de sus propios centros de control remoto para la gestión técnica de sus servicios. <!-- image --> <!-- image --> ## 2.3.1 Protección avanzada de endpoints y dispositivos móviles (XDR) -  Despliegue de agentes de protección avanzada y coordinación operativa: Provisión, licenciamiento y despliegue de una solución XDR basada en agente único, soportada por una arquitectura nativa y una consola centralizada, con capacidades integradas de prevención, detección, correlación y respuesta sobre endpoints y dispositivos móviles, sin dependencia de integraciones externas ni de la agregación de múltiples productos independientes. El alcance del servicio incluye unos 222 activos tecnológicos, desglosados en aproximadamente 100 endpoints con sistema operativo Windows y unos 122 dispositivos móviles con sistema operativo Android o iOS. El adjudicatario deberá coordinar el proceso de onboarding , instalación y registro de los agentes desde la fase de provisionamiento de los dispositivos, en colaboración con el adjudicatario responsable del suministro y preparación de los equipos, con el fin de garantizar su correcta configuración, integración y puesta en servicio. -  Capacidades de prevención y detección basada en comportamiento: La solución deberá incorporar capacidades avanzadas de detección basadas en comportamiento, incluyendo análisis heurístico, modelos de aprendizaje automático y técnicas de detección de anomalías, permitiendo la identificación de patrones de ataque y comportamientos asociados a amenazas avanzadas. -  Respuesta automatizada y capacidades de respuesta en tiempo real: La plataforma deberá permitir la ejecución de acciones de respuesta automatizada y manual, incluyendo el aislamiento de red del dispositivo afectado, la finalización de procesos maliciosos, la puesta en cuarentena de archivos, la eliminación de mecanismos de persistencia y la reversión de cambios no autorizados. -  Telemetría avanzada y gestión de la exposición: El agente deberá generar telemetría detallada a nivel de proceso, kernel, red y usuario, permitiendo una visibilidad completa y la reconstrucción de la cadena de ataque. En dispositivos móviles, se deberán cubrir escenarios de compromiso del dispositivo, ataques a nivel de red y presencia de aplicaciones maliciosas. ## 2.3.2 Plataforma centralizada de monitorización, correlación y análisis de eventos (SIEM) -  Plataforma de análisis masivo y visibilidad unificada: El adjudicatario deberá desplegar una plataforma de análisis de seguridad de alta capacidad, diseñada para la ingesta, indexación y análisis de grandes volúmenes de datos en tiempo casi real, proporcionando una visión centralizada del estado de seguridad, operación y exposición de todo el entorno tecnológico del evento, permitiendo la explotación directa de la telemetría sin necesidad de procesos intermedios de transformación, replicación o normalización mediante herramientas externas. <!-- image --> <!-- image --> -  Integración nativa con la protección de endpoints y dispositivos móviles: La plataforma deberá estar totalmente integrada de forma nativa con la solución de protección de dispositivos (XDR) descrita anteriormente. Esta integración debe ser directa, permitiendo que toda la telemetría detallada de los ordenadores portátiles y dispositivos móviles se encuentre disponible de forma automática en el sistema de análisis, facilitando la correlación de alertas sin necesidad de procesos de integración externos o conversiones de datos. -  Integración de fuentes de información de terceros: La plataforma permitirá la ingesta y normalización de múltiples fuentes de datos distribuidas, incluyendo de forma no limitativa: -  Infraestructuras de red (Firewalls, WAF, balanceadores). -  Sistemas de autenticación e identidad (Active Directory, gestores de identidad). -  Aplicaciones específicas del evento y microservicios. -  Sistemas de telecomunicaciones y servicios de infraestructura. -  Cualquier otra fuente de información que la Organización considere de interés para la seguridad, el mantenimiento operativo o la obtención de datos estadísticos sobre el desarrollo y celebración del evento. En caso de ser necesario el despliegue de equipamiento, sondas o componentes adicionales para la correcta ingesta de la información, estos serán suministrados, instalados y gestionados por el adjudicatario -  Capacidades de análisis de alto rendimiento y automatización: La solución deberá permitir búsquedas sobre datos históricos y en tiempo real, utilizando motores de correlación avanzada para la identificación de amenazas complejas. Asimismo, debe incorporar capacidades de orquestación y respuesta automatizada, permitiendo definir flujos de trabajo que ejecuten acciones de mitigación de forma autónoma ante la detección de incidentes confirmados. -  Almacenamiento, integridad y custodia de la información: El adjudicatario deberá garantizar la adecuada retención, integridad y disponibilidad de toda la información y registros (logs) generados y procesados por la plataforma de seguridad durante la prestación del servicio. A tal efecto: <!-- image --> <!-- image --> -  Todos los registros deberán conservarse de forma segura durante un periodo mínimo de (3) meses desde la finalización de la Cumbre, garantizando su disponibilidad para labores de auditoría, análisis o investigación en caso necesario. El coste derivado de esta retención prolongada deberá estar íntegramente incluido en la oferta económica del contrato. -  Durante dicho periodo, el adjudicatario garantizará el acceso inmediato a la información ante cualquier requerimiento de la Organización, realizando las consultas, extracciones de datos o informes técnicos que le sean solicitados para labores de auditoría o investigación, sin coste adicional. -  La información deberá mantenerse protegida frente a accesos no autorizados, alteraciones o pérdidas, asegurando en todo momento su integridad y trazabilidad. -  La eliminación de los registros solo podrá realizarse una vez transcurrido el periodo de conservación establecido, salvo que medie instrucción expresa y por escrito de la Organización solicitando su eliminación anticipada. ## 2.3.3 Contextualización de amenazas -  Servicios de amenazas: El adjudicatario deberá contar con servicios que proporcionen información actualizada sobre riesgos en Internet, como infraestructuras maliciosas, posibles atacantes, indicadores de compromiso, campañas activas y nuevas formas de ataque. -  Contextualización de actividad maliciosa en Internet: La solución deberá permitir analizar y clasificar grandes volúmenes de tráfico de Internet, apoyándose en fuentes externas que ayuden a distinguir entre actividad automática general, escaneos masivos, redes de bots o comportamientos oportunistas, frente a posibles ataques dirigidos a las infraestructuras del evento. Asimismo, deberá facilitar el aporte de contexto a direcciones IP, dominios y otros indicadores mediante información general de su comportamiento en Internet, ayudando a identificar actividad poco relevante y a centrarse en las amenazas reales. -  Apoyo a la priorización de alertas: Este servicio debe integrarse en las herramientas de monitorización del SOC, permitiendo enriquecer los eventos detectados y facilitar la priorización de las alertas más importantes frente al ruido operativo. ## 2.3.4 Threat hunting -  Caza proactiva de amenazas: El adjudicatario deberá realizar actividades periódicas de búsqueda proactiva de amenazas dentro de las infraestructuras tecnológicas del evento, analizando la telemetría disponible para identificar indicios de compromiso que puedan haber pasado inadvertidos para los mecanismos automáticos de detección. <!-- image --> <!-- image --> -  Investigación avanzada de actividad sospechosa: Estas actividades deberán apoyarse en el servicio de amenazas, análisis de comportamiento y consultas avanzadas sobre la telemetría recopilada por las plataformas de seguridad. ## 2.3.5 Respuesta a Incidentes y Forense Digital (DFIR) -  Gestión de incidentes de seguridad: El adjudicatario deberá disponer de personal especializado para la contención y gestión inmediata de incidentes de seguridad que puedan afectar a los sistemas tecnológicos de la Cumbre. -  Análisis forense digital: Se deberán realizar labores de adquisición, preservación y análisis de evidencias digitales (memoria, discos, registros de actividad y tráfico de red) conforme a buenas prácticas internacionales, garantizando la integridad de las evidencias y la cadena de custodia en caso necesario. ## 2.3.6 Auditoría continua de seguridad -  Supervisión de configuraciones críticas: En cumplimiento del principio de segregación de funciones descrito en el apartado 1.1, el adjudicatario deberá supervisar de forma continua las configuraciones y políticas de seguridad aplicadas sobre las infraestructuras tecnológicas del evento. -  Detección de configuraciones de riesgo: Cualquier configuración anómala o política de seguridad que pueda suponer un riesgo para la infraestructura tecnológica deberá ser comunicada de forma inmediata a la organización. ## 2.3.7 Seguridad ofensiva y simulación controlada -  Evaluaciones de seguridad: Realización de análisis de vulnerabilidades y pruebas de seguridad sobre los sistemas y aplicaciones expuestas del evento antes de su puesta en producción. -  Ejercicios de simulación: Desarrollo de ejercicios controlados de simulación de incidentes con el objetivo de validar los procedimientos de detección y respuesta del NOC/SOC y mejorar la capacidad operativa del equipo de seguridad. <!-- image --> ## 2.3.8 Seguridad de aplicaciones y software específico -  Análisis de seguridad de aplicaciones y desarrollos a medida El adjudicatario será responsable de realizar el análisis técnico y la auditoría de seguridad de las aplicaciones, desarrollos y software que, en el marco de la Cumbre, se encuentren expuestos a Internet o sean accesibles desde redes externas. Este alcance incluye aplicaciones móviles, portales web, plataformas de gestión y cualquier otro software a medida o de terceros cuya exposición pública pueda suponer un riesgo. La función del adjudicatario será la identificación, clasificación y reporte inmediato de vulnerabilidades explotables, debilidades en la lógica de negocio, fallos de integración o errores de configuración que comprometan la seguridad del evento. -  Verificación de la robustez y cumplimiento del software El adjudicatario deberá asegurar que todo el software incluido en el alcance sea sometido a pruebas de seguridad. En caso de detectarse riesgos, el adjudicatario emitirá un informe técnico detallado con las recomendaciones de subsanación. La responsabilidad de la corrección del código o la reconfiguración del sistema corresponderá exclusivamente al proveedor responsable de dicho software. El adjudicatario del presente contrato actuará como autoridad técnica de validación, verificando que las medidas correctoras aplicadas por terceros eliminan efectivamente el riesgo identificado. ## 3. Gestión técnica del contrato La gobernanza del presente contrato exige una coordinación ágil y segura entre la Organización de la Cumbre Iberoamericana y la empresa adjudicataria, garantizando en todo momento la correcta trazabilidad de las decisiones críticas. ## 3.1 Responsable del proyecto por parte de la organización La organización del evento designará a una persona como responsable del proyecto. Esta figura ejercerá como la máxima autoridad técnica y operativa en la supervisión y control de la ejecución del contrato. - a) Ejercer de interlocutor con el responsable del proyecto de la empresa adjudicataria. - b) Revisar y aprobar los procedimientos operativos de seguridad, los planes de respuesta ante incidentes, los planes de contingencia y el modelo de seguridad propuesto. - c) Autorizar y coordinar con el adjudicatario la aplicación de medidas críticas de contención, tales como el aislamiento de redes, la interrupción preventiva de servicios o la desconexión de sistemas esenciales. <!-- image --> <!-- image --> <!-- image --> - d) Realizar el seguimiento continuo del servicio y verificar el cumplimiento de los niveles de servicio establecidos, así como la calidad de las prestaciones y los tiempos de respuesta. - e) Gestionar las incidencias contractuales y exigir, de forma motivada e inmediata, la sustitución de cualquier miembro del personal del adjudicatario cuyo comportamiento o rendimiento no resulte adecuado a las exigencias del evento. ## 3.2 Responsable del proyecto por parte de la empresa. La empresa adjudicataria designará un responsable del proyecto, integrado de forma directa en su propia plantilla. Este responsable deberá operar físicamente desde el NOC/SOC de la sede durante las fases críticas y tendrá las siguientes obligaciones: - a) Garantizar la asignación ininterrumpida de los recursos humanos y técnicos exigidos, asegurando la cobertura 24/7 y la plena disponibilidad del equipo en el ámbito geográfico descrito en el pliego (NOC/SOC in situ). - b) Actuar como mando operativo directo sobre el equipo de analistas, investigadores DFIR y Threat Hunters, canalizando todas las comunicaciones técnicas y tácticas con el responsable del proyecto por parte de la organización. - c) Coordinar en caso de materializarse un ciberincidente, orquestando las labores de contención, erradicación y preservación forense. - d) Asistir a las reuniones de coordinación que pudieran existir para la organización del evento siempre que sea invitado por el responsable del proyecto por parte de la organización. - e) Velar por que los técnicos asignados se adecúen en cualificación a las demandas del servicio, garantizando que cumplen con las normativas de seguridad física y lógica aplicables (control de accesos, políticas anti-fuga de información, etc.). - f) Vigilar que el personal ejecute el servicio respetando el principio de segregación de funciones, sin extralimitarse en sus competencias, y manteniendo el más absoluto secreto profesional. ## 4. Condiciones de prestación del servicio ## 4.1 Instalaciones y despliegue operativo (NOC/SOC físico) La criticidad de la Cumbre Iberoamericana exige presencialidad durante su fase de ejecución. La empresa adjudicataria operará desde un espacio físico de (NOC/SOC) cedido por la Organización en la propia sede del evento. ## 4.2 Fase de arranque y plan director En un plazo máximo de cinco (5) días hábiles desde la formalización del contrato, se celebrará la reunión de inicio, en la que el adjudicatario deberá presentar para su aprobación por parte del responsable del proyecto de la organización: <!-- image --> <!-- image --> -  El plan director de ciberseguridad específico para la Cumbre, en el que se describa el modelo de seguridad propuesto y la metodología de implantación. -  El conjunto de procedimientos de respuesta ante incidentes, incluyendo las actuaciones de contención automatizada y los procesos de escalado y gestión manual. -  La presentación formal del responsable del proyecto, así como la relación del personal técnico que accederá a las instalaciones, junto con sus correspondientes acreditaciones. -  El cronograma detallado de integración de fuentes de registro, el despliegue de herramientas de monitorización y la realización de auditorías iniciales. ## 4.3 Gobernanza, seguimiento y niveles de servicio La prestación del servicio se basará en un modelo de supervisión continua, orientado a garantizar la correcta ejecución de los trabajos, la calidad del servicio y una adecuada capacidad de respuesta ante incidencias. A tal efecto, se establecen los siguientes mecanismos de coordinación y seguimiento: -  Seguimiento del servicio y tiempos de respuesta: el adjudicatario deberá garantizar una atención ágil y eficaz de las incidencias de seguridad, asegurando su correcta identificación, análisis y resolución conforme a los niveles de servicio establecidos. -  Reuniones de coordinación durante la fase de preparación: durante la fase previa al evento se celebrarán reuniones periódicas de seguimiento, en las que se revisará el estado de los sistemas, la integración de fuentes de información, la detección de posibles vulnerabilidades y la adecuación de las medidas de seguridad. El adjudicatario deberá documentar dichas reuniones y aportar los informes técnicos correspondientes. -  Reuniones operativas durante el evento: durante la celebración de la Cumbre se llevarán a cabo reuniones de coordinación, en las que se analizará la situación de seguridad, las incidencias detectadas y las actuaciones realizadas, así como las posibles medidas preventivas a adoptar. Estas reuniones permitirán mantener una visión actualizada del estado de las infraestructuras y facilitar la coordinación con los organismos implicados. ## 4.4 Informes de seguimiento, operación y análisis El adjudicatario deberá proporcionar a la Organización información clara, útil y actualizada sobre el estado de la seguridad y el funcionamiento de los sistemas, superando el enfoque tradicional basado únicamente en registros técnicos. A tal efecto, se entregarán los siguientes informes: -  Cuadros de seguimiento en tiempo real: visualización en la sala de operaciones del estado de los sistemas, incluyendo eventos de seguridad, incidencias detectadas, medidas de protección aplicadas y estado general de la red. <!-- image --> <!-- image --> -  Informes periódicos de seguimiento: durante los meses previos al evento, se elaborarán informes que recojan el estado de la seguridad, posibles vulnerabilidades detectadas, riesgos identificados y medidas adoptadas. -  Informes diarios durante el evento: durante la celebración de la Cumbre, se emitirán informes diarios que resuman las incidencias gestionadas, las actuaciones realizadas y la situación general de los sistemas. -  Informes de gestión de incidentes: en caso de producirse un incidente de seguridad relevante, se elaborará un informe detallado que incluya el análisis de lo ocurrido, las actuaciones realizadas y las medidas adoptadas para su resolución. -  Informes de revisión de seguridad: tras la realización de pruebas de seguridad o revisiones técnicas, se entregarán informes que recojan las debilidades detectadas y las medidas necesarias para su corrección. -  Informe final del servicio: al finalizar el evento, se entregará un informe de cierre que incluya un resumen de las actuaciones realizadas, los principales indicadores del servicio y las recomendaciones para futuras actuaciones. ## 5. Medios humanos para la prestación del servicio Para garantizar la excelencia y la resiliencia técnica de la XXX Cumbre Iberoamericana de Jefes de Estado y de Gobierno, la empresa adjudicataria deberá adscribir al proyecto un equipo humano de máxima especialización y probada solvencia en la gestión de ciberincidentes en entornos críticos gubernamentales o infraestructuras críticas. Todo el personal clave operará físicamente desde el NOC/SOC desplegado en la sede de Madrid durante la fase crítica del evento. Asimismo, el personal propuesto deberá contar con los acuerdos de confidencialidad pertinentes. El licitador presentará un equipo de trabajo con el siguiente desglose mínimo de perfiles, cualificación y experiencia: ## 5.1 Responsable del proyecto ##  Personal asignado 1 profesional. ##  Titulación Formación en informática, telecomunicaciones o equivalente. En el caso de titulaciones extranjeras, deberán estar homologadas u objeto de reconocimiento por el Ministerio de Educación, Formación Profesional y Deportes con carácter previo a la presentación de la oferta, acreditando un nivel equivalente al MECES 1 o superior. <!-- image --> ## Experiencia <!-- image --> Mínimo de 5 años de experiencia en dirección o coordinación de servicios de ciberseguridad, gestión de equipos técnicos y participación en la gestión de incidentes de seguridad ##  Funciones Interlocutor directo con el responsable del proyecto por parte de la organización. Responsable de la coordinación general del servicio y de la correcta ejecución del contrato. Supervisión del funcionamiento del NOC/SOC y coordinación de la respuesta ante incidentes de seguridad. ## 5.2 Experto DFIR y cibervigilancia ##  Personal asignado 1 profesional. ##  Titulación Formación en informática, telecomunicaciones o equivalente. En el caso de titulaciones extranjeras, deberán estar homologadas u objeto de reconocimiento por el Ministerio de Educación, Formación Profesional y Deportes con carácter previo a la presentación de la oferta, acreditando un nivel equivalente al MECES 1 o superior. ## Experiencia Mínimo de 3 años de experiencia en análisis de incidentes de seguridad, análisis de malware y gestión de evidencias digitales. ##  Funciones Actuar como primer interviniente en incidentes de seguridad. Análisis de actividad maliciosa, apoyo en la investigación de incidentes y elaboración de informes técnicos. ## 5.3 Arquitecto de seguridad experto en SIEM ##  Personal asignado 1 profesional. ##  Titulación Formación en informática, telecomunicaciones o equivalente. En el caso de titulaciones extranjeras, deberán estar homologadas u objeto de reconocimiento por el Ministerio de Educación, Formación Profesional y Deportes con carácter previo a la presentación de la oferta, acreditando un nivel equivalente al MECES 1 o superior. <!-- image --> ##  Experiencia <!-- image --> Mínimo de 4 años de experiencia en implantación u operación de soluciones de seguridad, especialmente SIEM, EDR o XDR. ##  Funciones Integración de fuentes de log, afinamiento algorítmico del SIEM, monitorización del estado de salud de la red y auditoría continua de las políticas de los equipos de telecomunicaciones. ## 5.4 Ingeniero de Seguridad Ofensiva (Red Team) ##  Personal asignado 1 profesional. ##  Titulación Formación en informática, telecomunicaciones o equivalente. En el caso de titulaciones extranjeras, deberán estar homologadas u objeto de reconocimiento por el Ministerio de Educación, Formación Profesional y Deportes con carácter previo a la presentación de la oferta, acreditando un nivel equivalente al MECES 1 o superior. ##  Experiencia Mínimo de 3 años de experiencia en análisis de vulnerabilidades, pruebas de seguridad o test de intrusión. ##  Funciones Pentesting continuo de las aplicaciones del evento, validación de la robustez de la infraestructura y estrés del equipo defensivo del NOC/SOC. ## 5.5 Analista SOC ##  Personal asignado 2 profesionales. ##  Titulación Formación en informática, telecomunicaciones o equivalente. En el caso de titulaciones extranjeras, deberán estar homologadas u objeto de reconocimiento por el Ministerio de Educación, Formación Profesional y Deportes con carácter previo a la presentación de la oferta, acreditando un nivel equivalente al MECES 1 o superior. ##  Experiencia Mínimo de 2 años de experiencia en funciones de monitorización, soporte técnico o seguridad. <!-- image --> ##  Funciones <!-- image --> Monitorización de eventos de seguridad, análisis inicial de alertas, escalado de incidencias y apoyo en la respuesta. ## 5.6 Dedicación El servicio se ha dimensionado bajo un modelo de alta intensidad puntual, concentrando la disponibilidad máxima y la presencia física 24x7 exclusivamente en los días de celebración de la Cumbre y las jornadas inmediatamente anteriores de ensayos y validación final. | Categoría Profesional | Duración total en meses de dedicación | |--------------------------------------------|-----------------------------------------| | Responsable del proyecto | 2,53 | | Experto DFIR Y Cibervigilancia | 2,53 | | Arquitecto seguridad experto en SIEM | 1,53 | | Ingeniero de seguridad ofensiva (Red Team) | 2,53 | | Analista SOC | 0,87 | | TOTAL | 9,99 | ## 5.7 Garantía de Continuidad del Servicio Para dar estricta continuidad al conocimiento adquirido sobre la infraestructura de la Cumbre y no comprometer la seguridad operativa, cualquier cambio de personal propuesto por la empresa (sea cual fuere el motivo) deberá ser previamente autorizado por el responsable del proyecto de la organización. Dicho reemplazo deberá realizarse garantizando un solapamiento efectivo y presencial entre el técnico saliente y el entrante de, al menos, cinco (5) días hábiles. ## 6. Medios materiales para la prestación del servicio Dada la exigencia de operar un Centro de Operaciones de Ciberseguridad (NOC/SOC) de forma presencial en la sede de la Cumbre, la Organización facilitará el espacio físico (sala securizada), así como los suministros básicos (climatización, red eléctrica general y mobiliario técnico asociado, incluyendo mesas, sillas, pantallas y sistemas de visualización). Asimismo, la provisión, instalación y mantenimiento de los elementos de visualización, videowall y equipamiento general de sala corresponderá al adjudicatario responsable del contrato de infraestructura tecnológica y/o audiovisual del evento. <!-- image --> <!-- image --> La empresa adjudicataria del presente contrato será responsable exclusivamente de proveer, instalar y operar los medios tecnológicos específicos de ciberseguridad necesarios para la prestación del servicio, incluyendo, como mínimo: -  Equipos de análisis y estaciones de trabajo especializadas para el personal del SOC. -  Licenciamiento de la solución XDR según especificación del apartado 2.3.1 -  Herramientas y plataformas de ciberseguridad (SIEM, XDR, Threat Intelligence, etc.). -  Sistemas de almacenamiento seguro de logs y evidencias. -  Equipamiento específico para análisis forense digital. -  Soluciones de comunicaciones seguras necesarias para la operación del servicio. En ningún caso será responsabilidad del adjudicatario la provisión de mobiliario, elementos audiovisuales, videowall o equipamiento general de sala, sin perjuicio de su utilización para la operación del servicio. ## 7. Duración del contrato La duración del contrato se extenderá desde el 15 de septiembre o desde la fecha que indique el contrato si este se firma posteriormente hasta el 30-11-2026, incluyendo todas las actuaciones necesarias para la correcta ejecución del servicio, la retirada de los medios materiales empleados y, con carácter posterior, la entrega de los informes finales. Adicionalmente, como todos los logs generados deben ser conservados un periodo de 3 meses como mínimo desde la finalización de la cumbre, la duración del contrato se extenderá con este fin hasta el 28 de febrero de 2027. ## 8. Cronograma del servicio La ejecución técnica y operativa de los trabajos se organizará en cinco fases consecutivas, que estarán sujetas a la supervisión y validación continua por parte de la Organización. -  Fase 1: Preparación inicial (fechas aproximadas: septiembre de 2026) - o Definición del modelo de seguridad y validación de los procedimientos de actuación. - o Inicio de las actividades de análisis del entorno digital para la identificación de posibles riesgos. - o Realización de las primeras auditorías y pruebas de seguridad sobre los sistemas e infraestructuras de la Organización. -  Fase 2: Despliegue y configuración (fechas aproximadas: octubre de 2026) - o Adecuación del espacio destinado al centro de operaciones en la sede del evento. <!-- image --> <!-- image --> - o Instalación de las herramientas de seguridad en los equipos y sistemas, así como integración de las distintas fuentes de información. - o Realización de pruebas y simulaciones para verificar la capacidad de detección y respuesta del equipo. -  Fase 3: Operación durante el evento (fechas aproximadas: primeros de noviembre de 2026) - o Puesta en funcionamiento del centro de operaciones en régimen de máxima disponibilidad. - o Cobertura presencial de las fases clave del evento, incluyendo los trabajos previos, su celebración y la finalización de las actividades. - o Seguimiento continuo de la seguridad y respuesta inmediata ante cualquier incidencia. -  Fase 4: Cierre del servicio (fechas aproximadas: noviembre de 2026) - o Desmontaje de los equipos y retirada de los medios desplegados. - o Elaboración de los informes finales del servicio, incluyendo el análisis de las actuaciones realizadas y las recomendaciones para el futuro. -  Fase 5: Fin periodo retención logs (28 febrero 2027) - o Todos los registros deberán conservarse de forma segura durante un periodo mínimo de (3) meses desde la finalización de la Cumbre, garantizando su disponibilidad para labores de auditoría, análisis o investigación en caso necesario. - o La eliminación de los registros solo podrá realizarse una vez transcurrido el periodo de conservación establecido, salvo que medie instrucción expresa y por escrito de la Organización solicitando su eliminación anticipada. En Madrid, en la fecha de su firma electrónica Eduardo Martín García Subdirector General de la Unidad de Tecnologías de la Información y las Comunicaciones <!-- image -->