1.- Justificación y situación actual

Dada la creciente sofisticación de las amenazas cibernéticas, es crucial para la Secretaría General de la ALADI (en adelante “la SG-ALADI”) proteger su información y tecnología. Una consultoría en ciberseguridad permitirá evaluar de manera objetiva la infraestructura actual, identificar vulnerabilidades y riesgos, además alinearse con los principios de la ISO/IEC 27001. Esto fortalecerá la situación de seguridad, implementará prácticas de Hardening en sistemas críticos y reducirá la exposición a ciberataques.

La infraestructura tecnológica de la SG-ALADI cuenta con medidas básicas de seguridad que no han sido evaluadas exhaustivamente. El aumento de amenazas y la necesidad de cumplir con normativas internacionales en la materia demandan efectuar una revisión profunda para detectar brechas de seguridad y definir acciones correctivas.

Ante esta realidad, y con base en el mandato emanado del Consejo de Ministros (ALADI/CM.XIX/Resolución 87), resulta necesario que la ALADI, en particular la SG-ALADI adopte medidas proactivas para proteger su infraestructura tecnológica y asegurar que esta integración tecnológica se desarrolle de forma segura.

2.- Objetivo:

El objetivo de la contratación junto con estos Términos de Referencia es la contratar una consultoría en ciberseguridad que evalúe el estado actual de la infraestructura tecnológica de la SG-ALADI, identifique vulnerabilidades, riesgos y brechas en la seguridad. Asimismo, proponga recomendaciones concretas para perfeccionar la postura de seguridad de la Organización.

El análisis deberá centrarse en la protección de la información, alineados con normativas y estándares internacionales (ISO/IEC 27001). Además, el consultor deberá elaborar un plan de acción que contemple medidas correctivas y preventivas para mitigar los riesgos identificados y fortalecer la prevención de ciberataques.

3. Requisitos Excluyentes (Composición del Equipo de Trabajo)

El equipo de trabajo que realizará la consultoría deberá cumplir con los siguientes requisitos mínimos:
o Experiencia comprobable de al menos 5 años en auditorías de ciberseguridad a organizaciones.

o Experiencia mínima de 10 años en evaluación de infraestructuras de red y configuración de dispositivos de seguridad (firewalls, IDS/IPS, etc.).

o Experiencia previa en la evaluación de cumplimiento normativo y gestión de riesgos.

o Se valorarán las certificaciones en estándares internacionales de seguridad, como:

§ CRISC (Certified in Risk and Information Systems Control)
§ CISM (Certified Information Security Manager)
§ CISA (Certified Information Systems Auditor)
§ CCNP Security (Cisco Certified Network Professional Security)

4.- Perfil:

El equipo de trabajo encargado deberá tener un perfil técnico y analítico, con sólidos conocimientos en seguridad de la información, manejo de herramientas de auditoría y análisis forense, así como experiencia en la identificación de vulnerabilidades y la implementación de soluciones. Se espera que cuenten con la capacidad de evaluar tanto aspectos técnicos como procedimentales de la ciberseguridad de la Organización, además de estar en condiciones de proponer mejoras prácticas y aplicables.

5.- Metodología

La metodologia deberá contemplar, al menos, las siguientes fases así como aquellas requeridas por la SG-ALADI:

a) Reunion inicial (Definición del Alcance).

b) Planificación del proyecto.

c) Fase de Ejecución.

d) Fase de Pruebas.

e) Cierre de Proyecto.

f) Capacitación y Documentación.

g) Seguimiento y Mantenimiento.

Se espera que el contratado pueda proponer una metodología opcional, adicional y/o complementaria para llevar a cabo el desarrollo.

6.- Actividades

El servicio de auditoría comprenderá las siguientes actividades:

- Analizar la Infraestructura: Revisión y evaluación de los componentes tecnológicos de la red, servidores, sistemas de almacenamiento y dispositivos de seguridad.

- Evaluar Políticas de Seguridad: Verificación de las políticas de seguridad existentes y su alineación con las mejores prácticas internacionales.

- Redactar el Plan Director de Seguridad de la Información (PDSI): Elaborar el documento estratégico que establezca las políticas, procedimientos y acciones necesarias para proteger la información de una organización.

- Realizar Pruebas de Vulnerabilidad: Realización de análisis de vulnerabilidades y pruebas de penetración controladas para identificar posibles brechas en los sistemas.

- Revisar Accesos: Auditoría de los mecanismos de control de acceso, tanto físicos como lógicos, para asegurar que solo personas autorizadas puedan acceder a los sistemas críticos.

- Resolver las Incidencias Encontradas: Evaluación de los procedimientos y protocolos de respuesta a incidentes de seguridad.

Recomendaciones: Presentación de medidas correctivas y recomendaciones para mitigar las vulnerabilidades y mejorar la seguridad.

Los siguientes aspectos son específicos y deben cumplirse para la ejecución del Contrato:

- Uso de herramientas de auditoría y análisis de vulnerabilidades reconocidas internacionalmente.
- El equipo debe cumplir con las normativas locales en cuanto a protección de datos personales y manejo de información confidencial.
- El equipo deberá contar con experiencia demostrada en auditorías de organizaciones con estructuras tecnológicas similares.

6.Entregables

En el marco del Contrato a ser suscrito, el equipo deberá proporcionar los siguientes documentos:

Producto 1 - Plan de Trabajo: con un cronograma e incluyendo lasprincipales actividades a ser realizadas durante el desarrollo de la consultoría.

Producto 2 - Informe Inicial de Infraestructura: documento que proporciona un estado situación de la infraestructura informática.

Producto 3 - Informe Preliminar de Políticas de Seguridad: resumen detallado de los hallazgos iniciales, entregado al concluir la fase de Ejecución (evaluación de la infraestructura).

Producto 4 - Informe de Vulnerabilidades: documento que detalla el progreso realizado durante la fase de pruebas (proceso de auditoría), incluyendo tareas completadas y próximas acciones.

Producto 5 - Plan Director de Seguridad de la Información (PDSI).

Producto 6 - Informe Final: documento detallando los resultados de la auditoría, identificando riesgos, vulnerabilidades y brechas, así como recomendaciones específicas para mitigarlas.

El Informe Final deberá incluir:

o Resumen ejecutivo.
o Análisis de infraestructura y políticas.
o Detalles de las vulnerabilidades detectadas.
o Acciones correctivas más relevantes para la organización, adaptadas a su contexto y operaciones específicas.
o Propuestas de medidas concretas a implementar, alineadas con los recursos y capacidades del organismo, identificando claramente responsables para su ejecución.


8. Cronograma de Ejecución y Pagos

El cronograma de pagos para para la ejecución del trabajo a ser desarrollado será el siguiente:

1° Pago: USD 3200 - 20% Contra la entrega y aprobacion del producto 1.
2° Pago: USD 3200 - 20% Contra la entrega y aprobacion del producto 2.
3° Pago: USD 3200 - 20% Contra la entrega y aprobacion del producto 3.
4° Pago: USD 3200 - 20% Contra la entrega y aprobacion del producto 4.
5° Pago: USD 3200 - 20% Contra la entrega y aprobacion del producto 5 y 6.

La duración total de los trabajos arriba señalados, no deberán exceder los 10 meses, contados a partir de la firma del contrato. La aprobación de cada producto será realizada por parte de la SG-ALADI.

9. Modalidad de Trabajo

El trabajo de desarrollará en formato híbrido. La Fase de Ejecución (evaluación de infraestructura y recolección de datos), en la medida de lo posible, se llevará a cabo en forma presencial. Las actividades de análisis y elaboración de informes podrán realizarse de forma remota. El equipo deberá estar disponible para reuniones de seguimiento y aclaraciones durante todo el proceso.

10. Derecho de Propiedad y Confidencialidad de la Información

Los derechos de autor de los materiales producidos serán propiedad de la ALADI, que podrá disponer de los materiales resultantes de la contratación que se realice para los fines que considere pertinentes.

El contrato de obra a ser firmado, incluirá cláusulas sobre el derecho de propiedad y confidencialidad de los datos.

La SG-ALADI ALADI tendrá el derecho de propiedad total sobre el trabajo, documentación e informes resultantes de las tareas realizadas en el marco del contrato a ser firmado.

11.- Condiciones generales

Tipo de instrumento: Contrato de Personal Temporario de Obra.

Plazo de recepción de las propuestas: 22 de noviembre de 2024 a las 17 horas UYT (GMT - 3).

Enviar correo electrónico con asunto: “Propuesta – ref: ciberseguridad”, a la dirección: RRHH@aladi.org con copia a: die@aladi.org

Se solicita que las consultas que puedan surgir sobre los Términos de Referencia, sean enviadas por correo electrónico a las direcciones RRHH@aladi.org, die@aladi.org hasta el 15 de noviembre de 2024 a las 17 horas UYT (GMT - 3) inclusive, indicando en el asunto el título del presente llamado, y detallando nombre completo, cargo que desempeña, documento de identidad, empresa a la que pertenece y domicilio, a efectos de coordinar una reunión virtual para su atención.