NECESIDADES

Médicos del Mundo España (en adelante MdM) ha detectado la necesidad de contratar los servicios de una Auditoría en términos de Ciberseguridad.

Esto es así, ya que en los últimos años tanto la infraestructura tecnológica como el volumen de usuarios y dispositivos ha aumentado sustancialmente debido al crecimiento de la organización.

El objetivo principal del proyecto propuesto es el de realizar una evaluación objetiva, neutral y actualizada del estado de seguridad de la plataforma informática de Médicos del Mundo y todos sus dispositivos, desde el punto de vista de la seguridad de la información contenida en dicha plataforma, con una visión proactiva, que permita anticiparse a problemas futuros y con el mínimo impacto posible en la infraestructura.

El proyecto de auditorías de seguridad y hacking-ético deberá satisfacer las necesidades de la organización de medir la seguridad en los sistemas a analizar.

El objetivo general de esta consultoría debería englobar los siguientes aspectos:

DESCRIPCION DE SERVICIOS

Auditoría. Permite entender las necesidades del cliente en materia de seguridad y sistemas. El objetivo es conocer la realidad del negocio del cliente e identificar su foco de riesgo.

Planes de acción. Con la información que extraemos en la fase de auditoría se diseñan los planes de acción, estableciendo una hoja de ruta en la que acompañamos al cliente. Se priorizan los proyectos que pudieran identificarse y se cuantifican las inversiones.

Mecanismos de defensa. Se establece una planificación de los proyectos que permitirá mejorar el nivel de seguridad de la compañía.

Monitorización del servicio como aspecto clave de la seguridad. Necesidad de monitorizar de forma constante y proactiva que está ocurriendo en nuestros sistemas

IDENTIFICACIÓN DE RIESGOS

Durante el diagnóstico de ciberseguridad se llevarán a cabo las siguientes tareas:

Recopilación de información: El equipo de seguridad obtendrá el mayor número de información sobre los sistemas, dispositivos, la organización y sus usuarios a través de herramientas automatizadas, consultas a motores de búsquedas y pruebas manuales.

Identificación de Servicios: Una vez establecida la lista de activos a auditar, tanto los ofrecidos por el cliente como los nuevos descubiertos se procederá a identificar los servicios ofrecidos por los mismos. (Incluyendo redes Wifi corporativas y NO corporativas)

Consideraciones sobre el puesto de trabajo: Hay que tener en cuenta que existen usuarios que trabajan tanto en oficinas como en remoto, por lo que es necesario evaluar este aspecto, así como el uso de dispositivos móviles.

Análisis de vulnerabilidades: Una vez se han identificado todos los servicios junto con sus versiones, se procede a la búsqueda de posibles vulnerabilidades en las versiones de los servicios localizados.

Explotación de vulnerabilidades: cuando ya tenemos localizadas todas las vulnerabilidades procedemos a su explotación para evitar de que se traten falsos positivos o por el contrario se pueda obtener información sensible tras su explotación.

Post explotación: Una vez las vulnerabilidades ha sido explotada lo que se trata es de poder realizar diversas técnicas que comprometan la seguridad de la entidad, como obtener el usuario administrador, tener privilegios en el dominio, etc.

Una vez finalizada la fase de explotación comenzaremos con la elaboración del informe en el que se documentará las vulnerabilidades y las recomendaciones que permitirán elevar el nivel de seguridad perimetral e interno del cliente.

ANÁLISIS

Análisis de resultados: El equipo de seguridad encargado de realizar el hacking ético analizará la información obtenida con el objetivo de identificar el impacto que esta puede suponer para la entidad.

Análisis de impacto: en esta fase se mide el posible riesgo al cual se está expuesto, determinando el impacto de la explotación de las vulnerabilidades y su probabilidad de ser atacado por esos vectores de entrada, los cuales supondría los siguientes riesgos:

• Riesgo de perdidas: referente a la posible fuga o robo de información.
• Riesgo en los procesos: debido a posibles ataques de denegación de servicio.
• Riesgo técnico: presencia de vulnerabilidades en los activos.
• Riesgo Organizativo: a modo de métrica del nivel de riesgo global.

La finalidad del diagnóstico es poner a prueba la capacidad de detección/resistencia de la organización ante un ataque externo. Por cada una de las vulnerabilidades encontradas durante el análisis de hacking ético.

ACCIONES

Mejoras inmediatas: un atacante puede hacerse con el control del sistema o puede obtener información altamente sensible. Las vulnerabilidades de este nivel pueden incluir el acceso completo de lectura de archivos, potenciales puertas traseras o listas de usuarios y contraseñas.

Mejoras a corto plazo: el atacante puede obtener información específica almacenada en el activo, incluyendo la configuración de seguridad. Las vulnerabilidades de este nivel pueden incluir la divulgación parcial del contenido de los archivos, el acceso a ciertos archivos en el equipo, la explotación de directorios, ataques de denegación de servicio o el uso no autorizado de servicios.

Mejoras a medio plazo: el atacante puede obtener información del activo, como la versión exacta del software instalado. Con esta información un atacante puede explorar fácilmente vulnerabilidades conocidas específicas para la versión localizada.

Mejoras a largo plazo: presencia de vulnerabilidades o problemas que puedan degradar considerablemente la seguridad a largo plazo.

ENTREGABLES

A la finalización del proyecto se entregará a Médicos del Mundo la siguiente documentación:

• Informe técnico de auditoría: Documento donde se expondrán de forma detallada cada una de las vulnerabilidades detectadas clasificándolas en función de distintos parámetros: criticidad, impacto, tipo, servicio afectado, nivel de riesgo técnico y ejecutivo, descripción y recomendación para su mitigación. Este informe estará acompañado de métricas de riesgo técnico y ejecutivo, así como de categorización de vulnerabilidades.

• Plan de remediación: Hoja de ruta, que será proporcionada a Médicos del Mundo, con el objetivo de facilitar la clarificar las medidas técnicas a tomar por los departamentos involucrados en la corrección de las vulnerabilidades o debilidades detectadas.

PROPUESTA TÉCNICA Y ECONÓMICA

La propuesta técnica contendrá:

• Solución (o soluciones) propuesta(s)
• Cobertura en los aspectos indicados anteriormente.
• Una propuesta de proyecto en Fases.
• Equipo de trabajo.
• Experiencia de la organización en trabajos similares y referencias.
• Fecha tentativa de inicio y plazos estimados de ejecución del proyecto.

La propuesta económica contendrá:

• Coste de cada solución propuesta.

Desglose de los costes por cada conce

1. Referencia de publicación: LC01_2023_00331

CONTRATACIÓN DE SERVICIOS DE AUDITORÍA EN CIBERSEGURIDAD.

2. Procedimiento:

Licitación Local Abierta según “procedimiento de Autorización de Adquisición de Compromisos Económico-Financieros” de Médicos del Mundo

3. Proyecto/Programa:

“SOPORTE A LA ORGANIZACIÓN”

4. Financiación:

Fondos propios

5. Órgano de Contratación-Decisión:

Comité de Evaluación Interno de Médicos del Mundo según procedimiento.

La composición del comité de evaluación de las ofertas se conformará por:

1 presidencia (sin derecho a voto)

1 secretaría (sin derecho a voto)

3 miembros con derecho Voto.

Quienes integran el comité de evaluación tendrán que entender y firmar una Declaración de Neutralidad y Confidencialidad, así como una Declaración de Imparcialidad e Confidencialidad y habrán firmado la Aceptación de la Política de Conflicto de Interés de MdM en el momento de la firma del contrato de trabajo.

La decisión Final de Comité de Evaluación deberá ser ratificada por al menos 2 firmas mancomunadas de las Junta Directiva de Médicos del Mundo

6. Descripción del contrato:

CONTRATO DE SERVICIOS

7. Número y nombre de los ítems:

Una descripción detallada y de lo que se espera del servicio, para los lotes indicados a continuación, está descrito en el documento: TdR_CIBER.docx

8. Elegibilidad y norma aplicable al origen:

Empresas que cumplan con ISO 9001 e ISO 14001

9. Motivos de exclusión:

• Que se encuentren en situación de concurso de acreedores, liquidación o cierre, intervención judicial o situaciones análogas.
• Que hayan sido condenados judicialmente por delitos que afecten la moralidad de su trabajo.
• Que no se encuentren al corriente de pago con la Seguridad Social y con Hacienda.
• Que hayan sido condenados judicialmente por fraude, corrupción u otras actividades ilegales
• Que hayan sido condenados judicialmente por falta grave de no cumplimiento de sus obligaciones contractuales.

Los candidatos deberán aportar la documentación que demuestre que no se encuentran en ninguna de estas situaciones.

10. Reunión informativa, resolucion de dudas y/o visita:

A coordinar previamente con Médicos del Mundo a través del correo: informatica@medicosdelmundo.org

14. Periodo de ejecución operativa de los servicios:

El inicio estará a partir de la resolución de esta licitación.

Costes de preparación de las ofertas

Los costes en que incurra el licitador para preparar y presentar su oferta no serán reembolsables y correrán a su cargo.

16. Plazo de presentación de las ofertas

El plazo máximo para la presentación de la oferta es las 23:59 h del día 9 de junio de 2023.

Se enviarán en Sobres cerrados, por correo postal certificado o mensajería a la siguiente dirección:

Médicos del Mundo – España

Calle Conde de Vilches 15

28028 Madrid

O en Digital enviándolo a la dirección mail informatica@medicosdelmundo.org

No se tendrá en cuenta ninguna oferta recibida después del plazo citado.

17      Propiedad de las ofertas

Todas las ofertas recibidas en virtud de esta licitación pasan a ser propiedad de Médicos del Mundo. Por consiguiente, los licitadores no tienen derecho a la devolución de sus ofertas.

18      Modificación o retirada de las ofertas

Las Empresa o personas físicas que participen a la licitación, pueden modificar o retirar sus ofertas mediante notificación escrita antes de que venza el plazo de presentación de ofertas mencionado en el punto 16 de la presente notificación. Después de este plazo no se podrán modificar las ofertas. Las retiradas se harán sin condiciones y pondrán fin a la participación en la licitación. El sobre exterior o el asunto del mail debe llevar la mención «Modificación» o «Retirada», según proceda.

19         Apertura de plicas

19.1  La sesión de apertura y análisis de las ofertas tiene por objeto comprobar si las ofertas están completas, y si en términos generales, las ofertas se han presentado conforme a lo establecido.

19.2  Las ofertas se abrirán en sesión pública el 13/06/2023 a las 12:00 horas CEST en REMOTO VIA TEAMS (el enlace se comunicará oportunamente) por el Comité nombrado a tal efecto. El Comité levantará acta de la reunión, que estará disponible previa solicitud.

19.3  En la sesión de apertura de plicas deberán anunciarse los nombres de los licitadores, los precios de las ofertas, los descuentos ofrecidos, las notificaciones escritas de modificación y de retirada y cualesquiera otros pormenores que Médicos del Mundo considere conveniente comunicar.

19.4  Tras la apertura pública de las ofertas no podrá revelarse hasta la adjudicación del contrato ningún dato relativo al análisis, a la aclaración, a la evaluación o a la comparación de las ofertas, ni recomendación alguna relativa a la adjudicación del contrato.

19.5  Cualquier intento por parte de un licitador de influir en el Comité de Evaluación durante el examen, la aclaración, la evaluación y la comparación de las ofertas, de obtener información acerca del desarrollo del procedimiento o de influir en la decisión del Órgano de Contratación relativa a la adjudicación del contrato tendrá como consecuencia la inmediata desestimación de su oferta.

20         Evaluación de las ofertas

20.1  Evaluación financiera:

1. Deberá comprobarse la posible existencia de errores aritméticos en los cálculos y en los totales de las ofertas que se hayan considerado técnicamente conformes. El Comité de Evaluación corregirá dichos errores de la manera siguiente:
   • cuando exista una discrepancia entre las cantidades expresadas en cifras y las expresadas en letras, prevalecerán estas últimas;
   • cuando haya una discrepancia entre el precio unitario y el precio total resultante de la multiplicación del precio unitario por la cantidad de unidades, prevalecerá el precio unitario indicado.
2. Los importes resultantes de esta corrección serán vinculantes para el licitador. En caso de que el licitador no los acepte, su oferta será rechazada.

20.2  En aras de la transparencia y la igualdad de trato, y a fin de facilitar el examen y la evaluación de las ofertas, el Comité de Evaluación podrá solicitar a cada licitador aclaraciones relativas a su oferta incluido el desglose de los precios unitarios, en un plazo razonable que será fijado por el Comité de Evaluación. La solicitud de aclaración y la respuesta se formularán por escrito, pero no se podrá pretender, ofrecer ni admitir cambio alguno en el precio o en el contenido de la oferta, salvo los que sean necesarios para confirmar la corrección de errores aritméticos descubiertos durante la evaluación de las ofertas en aplicación del punto 20.1. Ninguna solicitud de aclaración deberá falsear la competencia. Las decisiones que tengan como efecto declarar no conforme una oferta deben justificarse debidamente en las actas de evaluación.

20.3  Criterios de adjudicación

El criterio de adjudicación será la oferta técnica más completa, con mayor calidad y que ofrezca el precio más bajo y el impacto ambiental menor.

21         Firma del contrato y garantía de ejecución

21.1  El adjudicatario será informado por escrito de que su oferta ha sido seleccionada (notificación de la adjudicación del contrato). Antes de la firma del contrato, Médicos del Mundo podrá solicitar al licitador, la presentación de los documentos o declaraciones exigidos por la legislación del país en el que la sociedad (o cada una de las sociedades en caso de consorcio) esté establecida, como prueba de que no se halla en ninguna situación de irregularidad administrativa.

21.2  En un plazo de 15 días desde la recepción del contrato ya firmado por Médicos del Mundo, el adjudicatario debe firmarlo, fecharlo y devolverlo. Al firmar el contrato, el licitador seleccionado pasará a ser el Contratista y el contrato entrará en vigor.

21.3  Si el licitador seleccionado no firma el contrato ni lo devuelve en el plazo indicado, Médicos del Mundo podrá considerar nula la aceptación de la oferta.

22         Anulación de la licitación

En el supuesto de que se anule una licitación, Médicos del Mundo debe notificárselo a los licitadores. Si la licitación se anula antes de la sesión de apertura de plicas, se devolverán a los licitadores las plicas cerradas y precintadas.

La anulación puede producirse en los siguientes casos:

• cuando la licitación haya quedado desierta, es decir, cuando no se haya recibido ninguna oferta o ninguna de las recibidas merezca ser seleccionada desde el punto de vista cualitativo o económico;
• cuando los elementos técnicos o económicos del proyecto se hayan modificado de manera fundamental;
• cuando circunstancias excepcionales o de fuerza mayor hagan imposible la ejecución normal del proyecto;
• cuando todas las ofertas que cumplan los criterios técnicos excedan de los recursos financieros disponibles;
• cuando se hayan producido irregularidades en el procedimiento, en particular si han entorpecido su desarrollo en condiciones de competencia leal.

En ningún caso podrá serle atribuida a Médicos del Mundo responsabilidad por cualquier daño, incluidos, sin carácter restrictivo, los daños por lucro cesante o relacionados en cualquier modo con la anulación de una licitación, incluso en el caso en que Médicos del Mundo hubiese sido advertido de la posibilidad de la interposición de una reclamación por daños y perjuicios. La publicación de un anuncio de licitación no supone que Médicos del Mundo contraiga obligación legal alguna de aplicar el programa o ejecutar el proyecto anunciado.

23. Cómo resolver dudas en el expediente de licitación

Los proveedores que tengan preguntas a propósito de esta licitación deben enviarlas por escrito a la dirección de correo electrónico: informatica@medicosdelmundo.org, al menos 10 días antes del plazo límite para la presentación de las ofertas indicado en el punto 19, indicando en el asunto el código de esta licitación: LC01_2023_00331

Médicos del Mundo deberá comunicar sus respuestas a las preguntas al menos 7 días antes del vencimiento del plazo de presentación de las ofertas. Las posibles clarificaciones o cambios menores sobre el expediente de licitación se harán extensivas a todos los licitadores invitados.

24. Resolución

Médicos del Mundo dispondrá de 30 días naturales, a partir de la fecha indicada en el punto 16 de la presente notificación, para resolver este expediente; Los licitadores no ganadores serán informados por escrito entre los 15 primeros naturales a la fecha definitiva de adjudicación.