El Congrés es blinda davant els ciberatacs durant quatre anys per 2,7 milions d'euros

El Congrés dels Diputats vol blindar-se davant possibles ciberatacs i ha convocat un concurs per contractar una empresa que s'ocupi de la seva protecció durant quatre anys per 2.757.755,43 euros, IVA inclòs.

EUROPAPRESS

La finalitat del contracte és garantir la seguretat de tots els actius d'informació de Congrés i dels sistemes que els donen suport i establir un marc per a la millora contínua de tots els processos relacionats amb la gestió de la seguretat de la informació.

"El Congrés dels Diputats és plenament conscient de la rellevància de la protecció de seguretat de la informació per al correcte exercici de les seves funcions i com a fonament essencial per a la prestació de serveis TIC fiables i de qualitat", resen els plecs del concurs.

Inicialment el contracte abastarà de l'1 d'agost d'aquest any al 31 de juliol de 2025, tot i que podrà prorrogar-se un any més. El valor estimat del contracte fins llavors, sense incloure impostos, ascendiria a 3,30 milions d'euros.

L'empresa adjudicatària haurà de proporcionar a la Cambra serveis integrals de ciberseguretat durant 24 hores els 365 dies de l'any, que han de comprendre el maquinari jo programari necessaris, així com l'operació, configuració, administració i suport de tots els dispositius i programari associats.

També hi haurà d'ocupar de la gestió davant incidents de seguretat, de la tecnologia associada, i de l'assistència per a la implantació d'un sistema de gestió de la seguretat de la informació per al compliment normatiu relatiu a l'Esquema Nacional de Seguretat (ENS), a l' Reglament General de Protecció de Dades i la Llei Orgànica de Protecció de Dades i Garantia de Drets Digitals ia qualsevol altra norma aplicable.

ACTUALITZACIÓ CONSTANT

Prèvia signatura d'un acord de confidencialitat, la Cambra proporcionarà als licitadors un document detallat amb tots els sistemes preexistents, la seva arquitectura i els nivells de criticitat a l'efecte de la seva integració amb la tecnologia que ells oferisquen.

En principi, s'estableix un termini màxim de tres mesos per a l'aprovisionament de la infraestructura, instal·lació i configuració, previ a l'inici de la prestació de servei.

Donada la naturalesa evolutiva de les amenaces a la seguretat de la informació i del propi sistema informàtic de la Cambra, l'adjudicatari s'ha de comprometre a col·laborar, durant la durada del contracte, en totes les integracions i reconfiguracions necessàries de sistema ofert.

Les empreses que competeixin per fer-se amb el contracte hauran d'oferir un sistema de tallafocs perimetrals de xarxa de nova generació (next generation tallafocs) compost per dues capes separades (externa i interna) amb diferent fabricant i tecnologia de protecció cadascuna d'elles.

A més, s'haurà d'implantar un sistema de gestió d'esdeveniments d'informació de seguretat (Security Information and Event Management), que permeti el monitoratge i la correlació de

esdeveniments de seguretat, integrant les fonts de dades que generin tots els dispositius i sistemes de xarxa oferts així com els sistemes preexistents en la institució, amb l'objecte de detectar anomalies de seguretat i generar alertes que permetin l'adequada classificació del nivell d'amenaça de qualsevol dels incidents de seguretat detectats.

Una altra de les coses que hauran d'oferir els que vulguin fer-se amb el contracte és un servei de gestió i configuració de seguretat i resposta davant incidents, així com un sistema de classificació i priorització de les alertes generades, tractament dels incidents de seguretat que no hagin estat continguts mitjançant les configuracions preestablertes en el sistema, i la implantació d'un model de millora contínua d'acord amb l'evolució de les amenaces i vulnerabilitats que puguin anar sorgint durant la durada del contracte.

També es contemplarà la disponibilitat d'un servei de vigilància digital que rastregi en xarxes socials, internet profunda, fòrums, etc. possibles amenaces dirigides contra el Congrés dels Diputats com ara la coordinació d'atacs de denegació de servei, l'exposició de credencials d'usuari, la revelació de vulnerabilitats en sistemes i aplicacions, així com altres de naturalesa similar, havent de contemplar un mínim de 200 identitats digitals.

FORMACIÓ PER A PERSONAL I DIPUTATS

Finalment, el servei contemplarà l'assistència per a recollida in situ d'evidències forenses relatives a incidents de seguretat i la seva custòdia i preservació a efectes legals i / o processals per un mínim de dues jornades anuals.

El contracte també preveu serveis de formació i d'avaluació per millorar la conscienciació en ciberseguretat per part dels diputats i el personal de la Cambra, amb atenció específica a la protecció de dades.