El Congrés treu a concurs un contracte per protegir-se quatre anys d'atacs cibernètics per gairebé 3 milions d'euros

El Congrés dels Diputats vol blindar-se davant de possibles atacs cibernètics i ha convocat un concurs per contractar a una empresa que s’ocupi de la seua protecció durant quatre anys per 2.757.755,43 euros, IVA inclòs.

La finalitat del contracte és garantir la seguretat de tots els actius d’informació del Congrés i dels sistemes que els donen suport i establir un marc per a la millora contínua de tots els processos relacionats amb la gestió de la seguretat de la informació.

"El Congrés dels Diputats és plenament conscient de la rellevància de la protecció de seguretat de la informació per al correcte acompliment de les seues funcions i com a fonament essencial per a la prestació de serveis TIC fiables i de qualitat", indiquen els plecs del concurs.

Inicialment el contracte comprendrà de l’1 d’agost d’aquest any al 31 de juliol de 2025, tot i que podrà prorrogar-se un any més. El valor estimat del contracte fins llavors, sense incloure impostos, ascendiria a 3,30 milions d’euros.

L’empresa adjudicatària haurà de proporcionar a la Cambra serveis integrals de ciberseguretat durant 24 hores els 365 dies de l’any, que hauran de comprendre el hardware i o software necessaris, així com l’operació, configuració, administració i suport de tots els dispositius i software associats.

De la mateixa manera, també haurà d’ocupar-se de la gestió davant d’incidents de seguretat, de la tecnologia associada, i de l’assistència per a la implantació d’un sistema de gestió de la seguretat de la informació per al compliment normatiu relatiu a l’Esquema Nacional de Seguretat (ENS), al Reglament General de Protecció de Dades i la Llei Orgànica de Protecció de Dades i Garantia de Drets Digitals i a qualsevol altra norma aplicable.

ACTUALITZACIÓ CONSTANT

A través de la prèvia firma d’un acord de confidencialitat, la Cambra proporcionarà als licitadors un document detallat amb tots els sistemes preexistents, la seua arquitectura els efectes de la seua integració amb la tecnologia que ells ofereixin.

En principi, s’estableix un termini màxim de tres mesos per a l’aprovisionament de la infraestructura, instal·lació i configuració, previ a l’inici de la prestació del servei.

Atesa la naturalesa evolutiva de les amenaces a la seguretat de la informació i del propi Sistema Informàtic de la Cambra, l’adjudicatari s’ha de comprometre a col·laborar, durant la durada del contracte, en totes les integracions i reconfiguracions necessàries del sistema ofert.

Per aquest motiu, les empreses que competeixin per fer-se amb el contracte hauran d’oferir un sistema de tallafocs perimetrals de xarxa de nova generació (next generation firewall) compost per dos capes separades (externes i internes) amb diferent fabricant i tecnologia de protecció cada una d’elles.

A més, s’haurà d’implantar un sistema de gestió d’esdeveniments d’informació de seguretat (Security Information and Event Management), que permeti el monitoratge i la correlació d'esdeveniments de seguretat, integrant les fonts de dades que generin tots els dispositius i sistemes de xarxa oferts així com els sistemes preexistents en la institució, per tal de detectar anomalies de seguretat i generar alertes que permetin l’adequada classificació del nivell d’amenaça de qualsevol dels incidents de seguretat detectats.

Altra de les coses que hauran d’oferir els qui vulguin fer-se amb el contracte és un servei de gestió i configuració de seguretat i resposta davant d’incidents, així com un sistema de classificació i priorització de les alertes generades, tractament dels incidents de seguretat que no hagin estat continguts mitjançant les configuracions preestablertes en el sistema, i la implantació d’un model de millora contínua d’acord amb l’evolució de les amenaces i vulnerabilitats que poguessin anar sorgint durant la durada del contracte.

També es contemplarà la disponibilitat d’un servei de vigilància digital que rastregi en xarxes socials, internet profunda, fòrums i la resta de possibles amenaces dirigides contra el Congrés dels Diputats, tals com la coordinació d’atacs de denegació de servei, l’exposició de credencials d’usuari, la revelació de vulnerabilitats en sistemes i aplicacions, així com altres de naturalesa similar, havent de contemplar un mínim de 200 identitats digitals.

FORMACIÓ PER A PERSONAL I DIPUTATS

Finalment, el servei preveurà l’assistència per a recollida in situ d’evidències forenses relatives a incidents de seguretat i la seua custòdia i preservació a efectes legals i/o processals per un mínim de dos jornades anuals.

El contracte també preveu serveis de formació i d’avaluació per millorar la conscienciació en ciberseguretat per part dels diputats i el personal de la Cambra, amb atenció específica a la protecció de dades.