1.- Justificação e situação atual

Tendo em vista a crescente sofisticação das ameaças cibernéticas, é crucial para a Secretaria-Geral da ALADI (doravante, “a SG-ALADI”) proteger sua informação e tecnologia. Uma consultoria em cibersegurança permitirá avaliar de maneira objetiva a infraestrutura atual, identificar vulnerabilidades e riscos, além de alinhar-se com os princípios da ISO/IEC 27001. Isto fortalecerá a situação de segurança, implementará práticas de Hardening em sistemas críticos e reduzirá a exposição a ciberataques.

A infraestrutura tecnológica da SG-ALADI conta com medidas básicas de segurança que não foram avaliadas exaustivamente. O aumento de ameaças e a necessidade de cumprir normas internacionais na matéria requerem efetuar uma revisão profunda para detectar brechas de segurança e definir ações corretivas.

Diante dessa realidade, com base no mandato emanado do Conselho de Ministros (ALADI/CM.XIX/Resolução 87), resulta necessário que a ALADI, em particular a SG-ALADI, adote medidas proativas para proteger sua infraestrutura tecnológica e assegurar que esta integração tecnológica seja desenvolvida de forma segura.

2.- Objetivo:

O objetivo da contratação junto com estes Termos de Referência é contratar uma consultoria em cibersegurança que avalie o estado atual da infraestrutura tecnológica da SG-ALADI, identifique vulnerabilidades, riscos e brechas na segurança e que proponha, ainda, recomendações concretas para aperfeiçoar a postura de segurança da Organização.

A análise deverá estar focada na proteção da informação em consonância com normas e padrões internacionais (ISO/IEC 27001). Ademais, o consultor deverá elaborar um plano de ação que contemple medidas corretivas e preventivas para mitigar os riscos identificados e fortalecer a prevenção de ciberataques.

3. Requisitos excludentes (Composição da Equipe de Trabalho)

A equipe de trabalho que realizará a consultoria deverá cumprir os seguintes requisitos mínimos:
o Experiência comprovável de pelo menos 5 anos em auditorias de cibersegurança a organizações.

o Experiência mínima de 10 anos em avaliação de infraestruturas de rede e configuração de dispositivos de segurança (firewalls, IDS/IPS, etc.).

o Experiência prévia na avaliação de cumprimento normativo e gestão de riscos.

o Serão valorizadas as certificações em padrões internacionais de segurança, como:

§ CRISC (Certified in Risk and Information Systems Control)
§ CISM (Certified Information Security Manager)
§ CISA (Certified Information Systems Auditor)
§ CCNP Security (Cisco Certified Network Professional Security)

4.- Perfil:

A equipe de trabalho encarregada deverá ter um perfil técnico e analítico, com sólidos conhecimentos em segurança da informação, manejo de ferramentas de auditoria e análise forense, bem como experiência na identificação de vulnerabilidades e a implementação de soluções. Espera-se que contem com a capacidade de avaliar tanto aspectos técnicos quanto de procedimento da cibersegurança da Organização, além de estar em condições de propor melhoras práticas e aplicáveis.

5.- Metodologia

A metodologia deverá contemplar, pelo menos, as seguintes fases bem como aquelas requeridas pela SG-ALADI:

a) Reunião inicial (definição do alcance).

b) Planejamento do projeto.

c) Fase de execução.

d) Fase de provas.

e) Encerramento de projeto.

f) Capacitação e documentação.

g) Acompanhamento e manutenção.

Espera-se que o contratado possa propor uma metodologia opcional, adicional ou complementar para levar adiante o desenvolvimento.

6.- Atividades

O serviço de auditoria compreenderá as seguintes atividades:

- Analisar a Infraestrutura: Revisão e avaliação dos componentes tecnológicos da rede, servidores, sistemas de armazenamento e dispositivos de segurança.

- Avaliar Políticas de Segurança: Verificação das políticas de segurança existentes e seu alinhamento com as melhores práticas internacionais.

- Redigir o Plano Diretor de Segurança da Informação (PDSI): Elaborar o documento estratégico que estabeleça as políticas, procedimentos e ações necessárias para proteger a informação de uma organização.

- Realizar Provas de Vulnerabilidade: Realização de análise de vulnerabilidades e provas de penetração controladas para identificar possíveis brechas nos sistemas.

- Revisar Acessos: Auditoria dos mecanismos de controle de acesso, tanto físicos quanto lógicos, para assegurar que somente pessoas autorizadas possam ter acesso aos sistemas críticos.

- Resolver as Incidências Encontradas: Avaliação dos procedimentos e protocolos de resposta a incidentes de segurança.

Recomendações: Apresentação de medidas corretivas e recomendações para mitigar as vulnerabilidades e melhorar a segurança.

Os seguintes aspectos são específicos e devem ser cumpridos para a execução do Contrato:

- Uso de ferramentas de auditoria e análise de vulnerabilidades reconhecidas internacionalmente.
- A equipe deve cumprir as normas locais referentes à proteção de dados pessoais e manejo de informação confidencial.
- A equipe deverá contar com experiência demonstrada em auditorias de organizações com estruturas tecnológicas similares.

6.Entregáveis

No âmbito do Contrato a ser assinado, a equipe deverá ministrar os seguintes documentos:

Produto 1 - Plano de Trabalho: com um cronograma e incluindo as principais atividades a serem realizadas durante o desenvolvimento da consultoria.

Produto 2 – Relatório Inicial de Infraestrutura: documento que fornece um estado situação da infraestrutura informática.

Produto 3 – Relatório Preliminar de Políticas de Segurança: resumo detalhado dos resultados iniciais, entregado ao concluir a fase de execução (avaliação da infraestrutura).

Produto 4 – Relatório de Vulnerabilidades: documento que detalha o progresso alcançado durante a fase de provas (processo de auditoria), incluindo tarefas finalizadas e próximas ações.

Produto 5 - Plano Diretor de Segurança da Informação (PDSI).

Produto 6 – Relatório Final: documento detalhando os resultados da auditoria, identificando riscos, vulnerabilidades e brechas, bem como recomendações específicas para mitigá-los.

O Relatório Final deverá incluir:

o Resumo executivo.
o Análise de infraestrutura e políticas.
o Detalhes das vulnerabilidades detectadas.
o Ações corretivas mais relevantes para a organização, adaptadas a seu contexto e operações específicas.
o Propostas de medidas concretas a implementar, alinhadas com os recursos e as capacidades do organismo, identificando claramente responsáveis para sua execução.


8. Cronograma de Execução e Pagamentos

O cronograma de pagamentos para a execução do trabalho a ser desenvolvido será o seguinte:

1° Pagamento: USD 3200 - 20% Contra a entrega e aprovação do produto 1.
2° Pagamento: USD 3200 - 20% Contra a entrega e aprovação do produto 2.
3° Pagamento: USD 3200 - 20% Contra a entrega e aprovação do produto 3.
4° Pagamento: USD 3200 - 20% Contra a entrega e aprovação do produto 4.
5° Pagamento: USD 3200 - 20% Contra a entrega e aprovação do produto 5 e 6.

A duração total dos trabalhos acima assinalados não deverão exceder os 10 meses, contados a partir da assinatura do contrato. A aprovação de cada produto será efetuada por parte da SG-ALADI.

9. Modalidade de Trabalho

O trabalho será efetuado em formato híbrido. A Fase de Execução (avaliação de infraestrutura e coleta de dados), na medida do possível, será realizada de forma presencial. As atividades de análise e a elaboração de relatórios poderão ser realizadas de forma remota. A equipe deverá estar disponível para reuniões de acompanhamento e esclarecimentos durante todo o processo.

10. Direito de Propriedade e Confidencialidade da Informação

Os direitos de autor dos materiais produzidos serão propriedade da ALADI, que poderá dispor dos materiais resultantes da contratação efetuada para os fins que considere pertinentes.

O contrato de obra a ser assinado incluirá cláusulas sobre o direito de propriedade e confidencialidade dos dados.

A SG-ALADI terá o direito de propriedade total sobre o trabalho, documentação e relatórios resultantes das tarefas efetuadas no âmbito do contrato a ser assinado.

11.- Condições gerais

Tipo de instrumento: Contrato de Pessoal Temporário de Obra.

Prazo de recebimento das propostas: 22 de novembro de 2024, às 17h00 UYT (GMT - 3).

Enviar correio eletrônico com o assunto: “Proposta – ref: cibersegurança”, ao endereço: RRHH@aladi.org com cópia a: die@aladi.org

Solicita-se que as consultas que surjam sobre os Termos de Referência sejam enviadas por correio eletrônico aos endereços RRHH@aladi.org, die@aladi.org até 15 de novembro de 2024, às 17h00 UYT (GMT - 3) inclusive, indicando no assunto o título do presente edital e detalhando nome completo, cargo que desempenha, documento de identidade, empresa à que pertence e domicílio, a fim de coordenar uma reunião virtual para seu atendimento.