Pliego De Prescripciones Técnicas

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Exp. 7202/16G

PLIEGO DE PRESCRIPCIONES TECNICAS QUE HABRÁ DE REGIR PARA LA CONTRATACIÓN MEDIANTE TRÁMITE ORDINARIO Y PROCEDIMIENTO ABIERTO DE LOS SERVICIOS DE SOPORTE A ESTUDIOS, PROYECTOS, GESTIÓN DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN DE LA SEGURIDAD SOCIAL Y GESTIÓN DE LA COMUNICACIÓN

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ÍNDICE

1 REQUERIMIENTOS TÉCNICOS ...... 6 1.1 Objeto ...... 6 1.2 Alcance y división en lotes ...... 6 1.3 Especificaciones Generales. Entorno Tecnológico y Funcional ...... 6 1.4 Cumplimiento de los Esquemas Nacionales de Seguridad y de Interoperabilidad y de la Ley Orgánica de Protección de Datos ...... 6 1.5 Transferencia tecnológica ...... 7 1.6 Propiedad intelectual ...... 7

2 LOTE 1 – SERVICIOS DE SOPORTE A LA INNOVACIÓN ...... 8 2.1 Alcance ...... 8 2.2 Servicio de apoyo técnico a la innovación ...... 8 2.2.1 Alcance ...... 8 2.2.2 Número de recursos por perfil ...... 9 2.2.3 Constitución del equipo de trabajo inicial ...... 10 2.2.4 Modificaciones en la composición del equipo de trabajo requeridas por la Gerencia de Informática de la Seguridad Social ...... 10 2.2.5 Modificaciones en el equipo de trabajo imputables a la empresa ...... 11 2.2.6 Horario y lugar de realización de los trabajos ...... 11 2.2.7 Organización ...... 12 2.3 Servicio de estudios y diseños ...... 12 2.3.1 Alcance ...... 12 2.3.2 Horario y lugar de prestación de los servicios ...... 13 2.3.3 Organización ...... 13 2.3.4 Modelo de servicio ...... 14 2.3.5 Modelo económico del servicio ...... 16

3 LOTE 2 – SERVICIOS DE SOPORTE A PROYECTOS ...... 18 3.1 Alcance ...... 18 3.2 Servicio de apoyo técnico a proyectos ...... 19 3.2.1 Alcance ...... 19 3.2.2 Número de recursos por perfil ...... 19 3.2.3 Constitución del equipo de trabajo inicial ...... 20 3.2.4 Modificaciones en la composición del equipo de trabajo requeridas por la Gerencia de Informática de la Seguridad Social ...... 20 3.2.5 Modificaciones en el equipo de trabajo imputables a la empresa ...... 21 3.2.6 Horario y lugar de realización de los trabajos ...... 21

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

3.2.7 Organización ...... 22 3.3 Servicio de cartera de proyectos ...... 22 3.3.1 Alcance ...... 22 3.3.2 Horario, lugar de prestación de los servicios y dimensionamiento ...... 23 3.3.3 Organización ...... 23 3.3.4 Modelo de servicio ...... 24 3.3.5 Modelo económico del servicio ...... 26

4 LOTE 3 – SERVICIOS DE SOPORTE A LA SEGURIDAD DE LA INFORMACIÓN ... 27 4.1 Alcance ...... 27 4.2 Servicio de apoyo a la gestión de la seguridad ...... 28 4.2.1 Alcance ...... 28 4.2.2 Número de recursos por perfil ...... 29 4.2.3 Constitución del equipo de trabajo inicial ...... 30 4.2.4 Modificaciones en la composición del equipo de trabajo requeridas por la Gerencia de Informática de la Seguridad Social ...... 30 4.2.5 Modificaciones en el equipo de trabajo imputables a la empresa ...... 31 4.2.6 Horario y lugar de realización de los trabajos ...... 31 4.2.7 Organización ...... 32 4.3 Servicio de gestión de incidentes de seguridad ...... 32 4.3.1 Alcance ...... 32 4.3.2 Horario, lugar de prestación de los servicios y dimensionamiento ...... 42 4.3.3 Organización ...... 42 4.3.4 Modelo de servicio ...... 43 4.3.5 Modelo económico del servicio ...... 45 4.4 Servicio para la gestión integral de los sistemas de seguridad ...... 45 4.4.1 Alcance ...... 45 4.4.2 Horario y lugar de prestación de los servicios ...... 46 4.4.3 Organización ...... 47 4.4.4 Modelo de servicio ...... 48 4.4.5 Modelo económico del servicio ...... 50

5 LOTE 4 – SERVICIO DE SOPORTE A LA GESTIÓN DE LA COMUNICACIÓN ...... 52 5.1 Alcance ...... 52 5.2 Servicio de apoyo técnico a la comunicación ...... 53 5.2.1 Alcance ...... 53 5.2.2 Número de recursos por perfil ...... 53 5.2.3 Constitución del equipo de trabajo inicial ...... 54 5.2.4 Modificaciones en la composición del equipo de trabajo requeridas por la Gerencia de Informática de la Seguridad Social ...... 54 5.2.5 Modificaciones en el equipo de trabajo imputables a la empresa ...... 55 5.2.6 Horario y lugar de realización de los trabajos ...... 55

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

5.2.7 Organización ...... 55 5.3 Servicio gestionado de la comunicación...... 56 5.3.1 Alcance ...... 56 5.3.2 Horario, lugar de prestación de los servicios y dimensionamiento ...... 56 5.3.3 Organización ...... 57 5.3.4 Modelo de servicio ...... 58 5.3.5 Modelo económico del servicio ...... 60

ANEXOS T1. LOTE 1 - SERVICIOS DE SOPORTE A LA INNOVACIÓN ...... 61 ANEXO T1.1 ENTORNO TECNOLÓGICO ...... 61 ANEXO T1.2 DESCRIPCIÓN DE PERFILES ...... 65 ANEXO T1.3 MODELO OPERATIVO DEL SERVICIO DE ESTUDIOS Y DISEÑOS ...... 74 ANEXO T1.4 MODELO DE VALORACIÓN DE LOS TRABAJOS DEL SERVICIO DE ESTUDIOS Y DISEÑOS ...... 85 ANEXO T1.5 ACUERDO DE NIVEL DE SERVICIO (ANS) DEL SERVICIO DE ESTUDIOS Y DISEÑOS ...... 87

ANEXOS T2. LOTE 2 - SERVICIOS DE SOPORTE A PROYECTOS ...... 91 ANEXO T2.1 ENTORNO TECNOLÓGICO ...... 91 ANEXO T2.2 DESCRIPCIÓN DE PERFILES ...... 91 ANEXO T2.3 MODELO OPERATIVO DEL SERVICIO DE CARTERA DE PROYECTOS ...... 92 ANEXO T2.4 VOLUMEN ACTUAL DE TRABAJO ...... 95 ANEXO T2.5 ACUERDO DE NIVEL DE SERVICIO (ANS) DEL SERVICIO DE CARTERA DE PROYECTOS ...... 97

ANEXOS T3. LOTE 3 - SERVICIOS DE SOPORTE A LA SEGURIDAD DE LA INFORMACIÓN ...... 102 ANEXO T3.1 ENTORNO TECNOLÓGICO ...... 102 ANEXO T3.2 DESCRIPCIÓN DE PERFILES PARA EL SERVICIO DE APOYO A LA GESTION DE LA SEGURIDAD...... 106 ANEXO T3.3 DESCRIPCIÓN DE PERFILES PARA EL SERVICIO DE GESTIÓN DE INCIDENTES DE SEGURIDAD ...... 113 ANEXO T3.4 MODELO OPERATIVO DEL SERVICIO DE GESTIÓN DE INCIDENTES DE SEGURIDAD ...... 114 ANEXO T3.5 MODELO OPERATIVO DEL SERVICIO PARA LA GESTIÓN INTEGRAL DE LOS SISTEMAS DE SEGURIDAD ...... 116

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T3.6 MODELO DE VALORACIÓN DE LOS TRABAJOS DEL SERVICIO PARA LA GESTIÓN INTEGRAL DE LOS SISTEMAS DE SEGURIDAD ...... 127 ANEXO T3.7 VOLUMEN ACTUAL DE TRABAJO ...... 130 ANEXO T3.8 HERRAMIENTAS PARA LA PRESTACIÓN DEL SERVICIO DE GESTIÓN DE INCIDENTES DE SEGURIDAD ...... 131 ANEXO T3.9 ACUERDO DE NIVEL DE SERVICIO (ANS) DEL SERVICIO DE GESTIÓN DE INCIDENTES DE SEGURIDAD ...... 132 ANEXO T3.10 ACUERDO DE NIVEL DE SERVICIO (ANS) DEL SERVICIO PARA LA GESTIÓN INTEGRAL DE LOS SISTEMAS DE SEGURIDAD ...... 136

ANEXOS T4. LOTE 4 - SERVICIOS DE SOPORTE A LA GESTIÓN DE LA COMUNICACIÓN ...... 140 ANEXO T4.1 ENTORNO TECNOLÓGICO ...... 140 ANEXO T4. 2 DESCRIPCIÓN DE PERFILES ...... 141 ANEXO T4.3 MODELO OPERATIVO DEL SERVICIO GESTIONADO DE LA COMUNICACIÓN...... 144 ANEXO T4.4 VOLUMEN ACTUAL DE TRABAJO ...... 145 ANEXO T4.5 ACUERDO DE NIVEL DE SERVICIO (ANS) DEL SERVICIO GESTIONADO DE LA COMUNICACIÓN ...... 146

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

1 REQUERIMIENTOS TÉCNICOS

1.1 OBJETO El presente documento tiene por objetivo describir las condiciones técnicas para la contratación de los servicios de carácter informático necesarios para dar soporte a la Gerencia de Informática de la Seguridad Social (GISS) en la realización de trabajos de innovación, proyectos, en la gestión de la seguridad de los sistemas de información de la Seguridad Social y en la gestión de la comunicación interna.

1.2 ALCANCE Y DIVISIÓN EN LOTES El alcance de este procedimiento, para el ámbito de las aplicaciones y servicios de la Seguridad Social, los servicios de carácter informático de soporte a la innovación, proyectos, soporte a infraestructuras y componentes de seguridad y a la gestión de la comunicación. Debido a la diferente naturaleza de los servicios a contratar, el presente pliego establece una división en lotes atendiendo a la tipología de servicios requeridos:  Lote 1: Servicios de soporte a la Innovación.  Lote 2: Servicios de soporte a Proyectos.  Lote 3: Servicios de soporte a la Seguridad de la Información.  Lote 4: Servicios de soporte a la Gestión de la Comunicación.

1.3 ESPECIFICACIONES GENERALES. ENTORNO TECNOLÓGICO Y FUNCIONAL En los Anexos T1.1, T2.1, T3.1 y T4.1 de este Pliego de Prescripciones Técnicas se describe el entorno tecnológico y funcional en el que se prestarán los servicios contemplados en el Lote 1, Lote 2, Lote 3 y Lote 4, respectivamente.

1.4 CUMPLIMIENTO DE LOS ESQUEMAS NACIONALES DE SEGURIDAD Y DE INTEROPERABILIDAD Y DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS Los entregables resultantes de los servicios requeridos en el presente Pliego de Prescripciones Técnicas deberán, a fin de garantizar la interoperabilidad con otros sistemas, sujetarse a lo dispuesto en los siguientes Reales Decretos:  Real Decreto 3/2010, de 8 de enero, (B.O.E. nº 25, de 29/01/2010, con corrección de errores en el B.O.E. nº61, de 11/03/2010), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y las políticas, normas y procedimientos de seguridad publicados y vigentes en la Seguridad Social.  Real Decreto 4/2010, de 8 de enero, (B.O.E. nº 25, de 29/01/2010, con corrección de errores en el B.O.E. nº61, de 11/03/2010), por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. Igualmente, se debe dar cumplimiento a la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como al Real Decreto 1720/2007, de 21 de diciembre, Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

1.5 TRANSFERENCIA TECNOLÓGICA La GISS dispone en la actualidad de una plantilla de recursos con una alta capacitación técnica y un alto nivel de conocimientos. El conocimiento y los resultados adquiridos en la realización de los trabajos objeto de este contrato residirán siempre en la Gerencia de Informática de la Seguridad Social. No obstante, durante la ejecución de los servicios objeto del contrato el adjudicatario se compromete, en todo momento, a facilitar a los Directores Técnicos de la GISS, para cada lote la información y documentación que éste solicite para disponer de un pleno conocimiento de las circunstancias en que se desarrollan los mismos, así como de los eventuales problemas que puedan plantearse y de las tecnologías, métodos y herramientas utilizados para resolverlos.

1.6 PROPIEDAD INTELECTUAL Todos los estudios y documentos, así como los productos y subproductos elaborados por el contratista y su documentación relacionada como consecuencia de la ejecución del contrato serán propiedad de la SEGURIDAD SOCIAL, sin que el adjudicatario pueda conservarla, ni obtener copia de la misma o facilitarla a terceros sin la expresa autorización de este organismo, que la daría en su caso previa petición formal del adjudicatario con expresión del fin. Por tanto, el adjudicatario renuncia expresamente a cualquier derecho que sobre los trabajos realizados como consecuencia de la ejecución del presente contrato pudiese corresponderle, y no podrá hacer ningún uso o divulgación de los estudios y documentos utilizados o elaborados en base a este Pliego de Prescripciones técnicas, bien sea en forma total o parcial, directa o extractada, original o reproducida, sin autorización expresa de la Gerencia de Informática de la Seguridad Social (GISS).

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

2 LOTE 1 – SERVICIOS DE SOPORTE A LA INNOVACIÓN

2.1 ALCANCE El alcance de este lote es la contratación de los servicios de soporte a la innovación de la Gerencia de Informática de la Seguridad Social. En la Gerencia de Informática de la Seguridad Social, dentro de las competencias encomendadas, desarrolla funciones de impulso de la innovación tecnológica en los siguientes ámbitos:  Estudios de viabilidad de las nuevas necesidades de la Seguridad Social en materia de tecnologías de la información que puedan demandar nuevas soluciones, aplicaciones o sistemas.  Diseños de arquitectura e integración en las aplicaciones y sistemas de la Seguridad Social de las nuevas soluciones y servicios detectados en el apartado anterior.  Estudios de aplicación de las directrices y normativas que en materia de tecnologías de la información se definan para la Administración General del Estado.  Validación de soluciones en entornos de prueba para la definición de los diseños propuestos para su paso a producción.  Elaboración de documentación para el paso a producción de las soluciones analizadas (guías de configuración, guías de resolución de incidencias,…).  Elaboración de documentación para usuarios finales.  Formación.  Soporte a incidencias de nivel avanzado en pruebas de concepto, pilotos y pasos a producción. Las funciones anteriores se realizan, en su vertiente estratégica y de alto nivel, con personal propio de la GISS que debe ser complementado con un servicio de apoyo que permita disponer de la asistencia técnica necesaria con el conocimiento de las distintas líneas tecnológicas del mercado y de los sistemas existentes en la GISS para definir y coordinar las acciones a realizar en el marco de las aplicaciones, servicios y sistemas de la Seguridad Social. Esta asistencia es el objeto del Servicio de Apoyo Técnico a la Innovación solicitado en el presente pliego. Por otro lado, para la realización de las funciones anteriores, existen una serie de tareas que se pueden definir en el marco de un servicio gestionado y que son objeto del Servicio de Estudios y Diseños.

2.2 SERVICIO DE APOYO TÉCNICO A LA INNOVACIÓN

2.2.1 ALCANCE El Servicio de Apoyo Técnico a la Innovación consiste en la realización de los trabajos de asistencia técnica en el ámbito de las aplicaciones, servicios y sistemas propios de la Gerencia de Informática de la Seguridad Social necesarios para dar soporte a las tareas de fomento e impulso de la innovación tecnológica.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

2.2.2 NÚMERO DE RECURSOS POR PERFIL A continuación se muestra una tabla con el número medio de recursos por perfil que se deben presentar, según lo detallado en el Anexo T1.2:

Número de Perfil recursos TSA - Técnico Superior A 6 TSB - Técnico Superior B 2 TSC - Técnico Superior C 1 Total 9

Perfil Cantidad

Técnico de Sistemas UNIX Y LINUX 1 Técnico de Sistemas de Almacenamiento y backup 1 Técnico en Sistemas de Comunicaciones y Redes 1 Técnico de Sistemas de Telefonía IP 1 Técnico de Sistemas Internet Intranet 1 Técnico de Sistemas de Gestión de Información estructurada y no estructurada 1 Técnico de Sistemas en Nuevas Tecnologías 1 Técnico de Sistemas en Movilidad 1 Técnico en Seguridad 1

Por necesidades del servicio, la GISS podrá modificar esta lista inicial de perfiles según los descritos en el Anexo T1.2 con sus costes asociados y respetando el límite económico máximo establecido en el contrato. Para las estimaciones de los distintos periodos de tiempo que se contemplan para la prestación de los servicios de apoyo citados y de sus costes, se ha partido de los supuestos siguientes:

 Jornada de prestación del servicio: 8 horas.  Días: de lunes a viernes, no se contemplan festivos.  Mes: 20 jornadas.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

No obstante, la GISS se encargará de dirigir los trabajos encargados al adjudicatario del contrato y éste será el encargado de controlar la ejecución de los mismos y los tiempos empleados en su realización (productividad asociada). En cualquier caso, las peticiones identificadas como urgentes por GISS, deberán tramitarse dentro de los plazos que se establezcan para este tipo de peticiones, pudiendo dar lugar a la necesidad de realizar trabajos fuera del horario habitual.

2.2.3 CONSTITUCIÓN DEL EQUIPO DE TRABAJO INICIAL La incorporación se realizará a instancias de la Gerencia de Informática de la Seguridad Social, una vez formalizado el contrato. El adjudicatario deberá incorporar, en un plazo máximo de 10 días hábiles desde la fecha de petición, los recursos del equipo inicial que determine la Gerencia de Informática. Por causas justificadas, la GISS podrá solicitar la sustitución del equipo inicial por otros recursos según Anexo T1.2. Los recursos incorporados inicialmente deberán satisfacer los requisitos establecidos por la Gerencia de Informática, cubriendo el número de recursos y destrezas exigidas. De no cumplirse esta condición la empresa adjudicataria deberá modificar la composición de dicho equipo inicial, considerándose, en su caso, las penalidades a que hubiere lugar, tanto por incumplimiento en la incorporación de la parte del equipo inicial, como incumplimiento en el plazo de incorporación. Una vez constituido este equipo inicial (transcurridos 2 meses desde el inicio del contrato), la incorporación del resto de recursos contará con un periodo de 80 horas sin coste, por recurso incorporado, para facilitar su adaptación al entorno y proyecto a desarrollar.

2.2.4 MODIFICACIONES EN LA COMPOSICIÓN DEL EQUIPO DE TRABAJO REQUERIDAS POR LA GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL El director técnico podrá solicitar la incorporación de uno o varios recursos cuando así lo requiera el proyecto, mediante notificación al adjudicatario. Asimismo podrá solicitar los cambios necesarios en el equipo, en caso de ser necesaria la variación del perfil de alguno de los componentes del mismo. La Gerencia de Informática no limita el número de modificaciones que puede solicitar y garantiza el trabajo simultáneo del 60% del equipo. El adjudicatario se compromete a facilitar la incorporación, del recurso o recursos requeridos según los párrafos anteriores, en un plazo máximo de 10 días hábiles. Con carácter general una vez que haya sido incorporado un recurso, su permanencia en el equipo de trabajo será de, como mínimo tres meses salvo que cause baja en la empresa. Se reservará un 2% del número total de jornadas previstas para la realización de trabajos de carácter excepcional y cuya ejecución no tendrá por qué suponer la permanencia del recurso que las realice en el proyecto en el periodo citado (3 meses).

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

En el caso de que alguno de los recursos propuestos por la empresa no se adecue a las necesidades del proyecto, a juicio del Director técnico, se considerará una modificación del equipo de trabajo imputable a la empresa.

2.2.5 MODIFICACIONES EN EL EQUIPO DE TRABAJO IMPUTABLES A LA EMPRESA La valoración de la calidad de los servicios corresponde al Director Técnico, siendo potestad suya solicitar los cambios necesarios en el equipo de trabajo. Si por causas ajenas a la misma, el adjudicatario del contrato propusiera el cambio de uno de los recursos del equipo de trabajo, se deberá solicitar por escrito con 10 días hábiles de antelación, exponiendo las razones que obligan a la propuesta e indicando la empresa en la que está dado de alta el nuevo recurso, en el caso de que se trate de recursos subcontratados. En su caso, el cambio deberá ser aprobado por el Director Técnico. En el supuesto de que se produzcan sustituciones de recursos del equipo y con objeto de evitar los inconvenientes que se puedan producir en la continuidad del servicio, se subsanará mediante un solapamiento de recursos del equipo sin coste adicional, durante un periodo mínimo de 10 días hábiles. Si esto no fuera posible, por causas imputables a la empresa, se aplicarán las penalidades indicadas en el Pliego de Cláusulas Administrativas Particulares.

2.2.6 HORARIO Y LUGAR DE REALIZACIÓN DE LOS TRABAJOS Los trabajos requeridos por la modalidad de Servicio de Apoyo Técnico a la Innovación serán realizados en locales de la Gerencia de Informática de la Seguridad Social, sitas en la provincia de Madrid, o en cualquier otro centro de trabajo que la Gerencia de Informática autorice. Los recursos de la empresa contratista ocuparán espacios de trabajo diferenciados del que ocupen los empleados públicos. El horario en el que la empresa estará a disposición para realizar el servicio, será de lunes a viernes en la franja horaria que disponga la Gerencia de Informática de la Seguridad Social. Con carácter general, salvo que explícitamente se indique otra, se estima una jornada semanal de 40 horas. Adicionalmente, en circunstancias excepcionales y cuando, a criterio de la Gerencia de Informática de la Seguridad Social, la realización efectiva de los servicios no se ajuste a la planificación, el adjudicatario deberá comprometerse a una plena disponibilidad, sin que esto tenga una consideración especial a efectos de cómputo de horas o tarifa aplicable a las mismas. Excepcionalmente, el Director Técnico podrá solicitar la prestación de los servicios fuera de la provincia de Madrid siendo todos los gastos por cuenta de la empresa adjudicataria. En estos casos excepcionales se admitirá el incremento de la tarifa correspondiente, multiplicando el valor de la misma por 1,5, sin que en ningún caso suponga un incremento del precio del contrato.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

2.2.7 ORGANIZACIÓN El adjudicatario establecerá uno o varios coordinadores que serán los interlocutores para la GISS a la hora de encargar trabajos bajo esta modalidad de servicio. Igualmente, el coordinador / coordinadores serán los encargados de las siguientes tareas:  Gestionar y controlar la ejecución de los trabajos encargados por la GISS.  Gestionar los tiempos de realización de los trabajos (productividad).  Gestionar los recursos asignados al servicio.

2.3 SERVICIO DE ESTUDIOS Y DISEÑOS El Servicio de Estudios y Diseños es un modelo de provisión de servicios de estudio, diseño, validación y proyectos necesarios para desarrollar las funciones de la Gerencia de Informática de la Seguridad Social relativas a la innovación. La gestión y realización de las actividades del Servicio de Estudios y Diseños es responsabilidad del adjudicatario del contrato y la prestación del servicio está basada en los compromisos adquiridos por éste a través de los Acuerdos de Nivel de Servicio detallados en el Anexo T1.5, cuyo incumplimiento derivará en la aplicación de las penalidades prevista en el Pliego de Cláusulas Administrativas Particulares.

2.3.1 ALCANCE En el Anexo T1.1 se detallan las características tecnológicas de los entornos sobre los que se deberán integrar los servicios prestados. El ámbito de actuación de este servicio será: • Estudios de mercado. Basándose en las nuevas necesidades que aparezcan en materia de aplicaciones, servicios o sistemas de la Seguridad Social se realizarán estudios técnicos que determinen qué productos o soluciones técnicas se ofrecen en el mercado tecnológico y la adecuación de los mismos a los requisitos técnicos y/o normativos establecidos para GISS o para el conjunto de la AGE. • Estudios de evaluación de sistemas de información y propuesta de mejora. Ante determinadas necesidades detectadas en los sistemas actuales se solicitará el análisis de la situación actual y la entrega de una propuesta de mejora. • Diseño de soluciones y arquitecturas. Incluye los diseños de la arquitectura de las soluciones a implantar de forma integrada con las aplicaciones, servicios y sistemas existentes. • Validación y pruebas de concepto. Se realizarán las evaluaciones, pilotos y pruebas de concepto necesarias para validar los diseños realizados antes de su paso a producción. • Desarrollo de acciones de divulgación de la innovación. • Proyectos de innovación. Para la ejecución del Servicio, se solicitarán al adjudicatario peticiones para la realización de los diferentes trabajos que sean necesarios, con las peculiaridades de cada uno, siendo GISS el encargado de formalizar las citadas solicitudes a través de los mecanismos establecidos en este pliego. Estas peticiones serán la base para el cálculo de la facturación del servicio.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

La estimación del volumen anual de trabajos realizados de cada tipología se adjunta en el Anexo T1.4.

2.3.2 HORARIO Y LUGAR DE PRESTACIÓN DE LOS SERVICIOS Con carácter general, la empresa adjudicataria estará a disposición del organismo contratante para dar respuesta a las actividades de seguimiento y control en las que intervengan ambas partes, así como para las solicitudes de soporte en el horario de 8:00 a 20:00, de lunes a jueves, y de 8:00 a 15:00 los viernes. Para la aplicación de este horario se tendrá en cuenta el calendario laboral aplicable a la localidad de Madrid. Para la realización del resto de actividades encomendadas al servicio, no se establece límite alguno para la realización de las mismas, aunque pueden existir condicionantes operativos derivados de las posibles paradas técnicas de los componentes tecnológicos pertenecientes a las instalaciones del organismo contratante. El Servicio de Estudios y Diseños será proporcionado en locales propios de GISS, sitos en la provincia de Madrid o en cualquier otro centro de trabajo que la Gerencia de Informática autorice. Los recursos de la empresa contratista ocuparán espacios de trabajo diferenciados del que ocupen los empleados públicos.

2.3.3 ORGANIZACIÓN La Gerencia de Informática de la Seguridad Social establecerá el modelo de organización del servicio que se ajuste a sus necesidades. Para la organización del servicio se contará con los Directores Técnicos de GISS y el/los Responsables del adjudicatario, asistidos por un equipo colaborador, cuya relación se establecerá teniendo en cuenta: • La organización y responsabilidades de GISS. • La organización y responsabilidades del adjudicatario. • El modelo de relación del Servicio de Estudios y Diseños. • El modelo operativo del Servicio de Estudios y Diseños. La planificación, dirección y seguimiento de los trabajos se efectuará a partir de las siguientes bases:

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Corresponde al adjudicatario:  Gestionar el servicio y los integrantes del mismo.  Gestionar la carga de trabajo, según las solicitudes recibidas.  Valorar y ejecutar los trabajos encomendados con la calidad exigida y en los plazos establecidos.  Una vez finalizados las peticiones, facilitar a la unidad peticionaria los entregables definidos en el Anexo T1.3 del presente pliego.  Elaborar los informes de seguimiento que se establezcan.  El adjudicatario designará uno o varios responsables del modelo de servicio cuyas funciones, además de las establecidas con carácter general en el Pliego de Cláusulas Administrativas Particulares, serán: o Ser la referencia para GISS en la resolución de problemas y gestión del servicio. o Potenciar y mejorar el modelo de servicio, estableciendo los mecanismos necesarios para la mejora continua. o Entender las necesidades de las distintas áreas de GISS con las que interaccione, para adaptarlas al servicio, proporcionando los mecanismos necesarios para dar una respuesta adecuada. o Garantizar el seguimiento de la ejecución de los servicios contratados, asegurando que éstos se completen conforme a los plazos y calidad comprometidos en ANS.

El seguimiento y control del servicio se efectuará sobre las siguientes bases:  Seguimiento continuo de la evolución de la prestación del servicio entre los directores técnicos de GISS y el/los responsables del modelo de servicio.  Los procedimientos y herramientas para llevar a cabo la planificación, seguimiento y control del servicio serán establecidos por GISS.  Reuniones de seguimiento y revisiones técnicas, de los responsables de los equipos de trabajo por parte del adjudicatario y los directores técnicos o recursos en quien este delegue.

2.3.4 MODELO DE SERVICIO El modelo de servicio se basa en las siguientes etapas de prestación del mismo que cubrirán la totalidad del contrato: • Transición. • Pleno Servicio. • Devolución / Retorno del Servicio.

Transición Se establece un periodo de tres meses máximo de duración para esta fase. Tras una primera toma de contacto en la que se definen los interlocutores, se presentan las principales características del servicio a prestar y se lleva a cabo una evaluación del entorno tecnológico y las herramientas que van a utilizarse para la prestación del servicio. El objetivo de esta etapa de transición es que el adjudicatario adquiera un conocimiento mínimo necesario para prestar el servicio con garantías de calidad. Asimismo, se revisan los ANS del modelo y sus características, y se elaboran los planes necesarios para la ejecución del mismo.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

En esta etapa no serán de aplicación los ANS.

Pleno Servicio (Servicio sujeto a ANS) En esta fase se realiza la prestación del servicio, siendo aplicables las penalidades por incumplimiento de los ANS. Durante esta etapa se incluirán los procesos y actividades necesarios para la ejecución y mejora del servicio y se elaborará, entre otros el Plan de Devolución del Servicio. La duración de esta etapa será la fijada en el contrato.

Devolución/Retorno del Servicio El objetivo de esta etapa es preparar la conclusión del Servicio y efectuar la devolución organizada al personal de GISS, de forma que no se desestabilice la organización por el impacto del cambio. La duración de esta fase se fija en tres meses.

Otras Consideraciones • Gestión del Conocimiento El adjudicatario asegurará una adecuada gestión del conocimiento, de forma que pueda ser utilizado como un recurso disponible para GISS. • Variaciones de la carga de trabajo Existirá, de común acuerdo, la posibilidad de incrementar / reducir la prestación de los servicios durante un período de tiempo determinado a fin de compensar posibles desequilibrios en la planificación prevista. • Gestión de la Demanda GISS dispone de una herramienta de Gestión de la Demanda que permite registrar las peticiones de trabajo, así como servir de referencia para el control, seguimiento y facturación del mismo. • Valoración de los Trabajos Solicitados Una vez finalizados los trabajos solicitados, GISS evaluará la calidad de los mismos de cara a dar su conformidad. Para ello se podrán llevar a cabo las comprobaciones que se considere oportunas sobre todos los entregables definidos en Anexo T1.3. • No conformidades y Cancelaciones No conformidades: GISS se reservará el derecho a rechazar un trabajo solicitado si considera que no se ajusta a los requisitos solicitados. Si esto ocurre, el trabajo solicitado volverá a la fase de ejecución, debiendo el adjudicatario revisar y, en su caso, resolver los defectos detectados. Cancelaciones: GISS también podrá cancelar la solicitud si considera que no se va a ajustar a sus necesidades. Si esta cancelación se realiza en tiempo de ejecución se deberá calcular el volumen de trabajo desarrollado a facturar en función del grado de avance de la solicitud en el momento de su cancelación. • Finalización de las peticiones de trabajo

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Cada una de las peticiones de trabajo solicitadas estará asociada a una tipología de trabajo concreta. El adjudicatario está obligado a colaborar en el traspaso de conocimiento, facilitando la documentación relacionada sobre esa actividad totalmente actualizada.

2.3.5 MODELO ECONÓMICO DEL SERVICIO El modelo económico del Servicio de Estudios y Diseños, se basa en la previsión de GISS de solicitar al adjudicatario una carga de trabajo que se corresponderá mensualmente con una ejecución de actividades, bajo los compromisos contractuales de mantenimiento de niveles de servicio adquiridos por el adjudicatario, cuyo incumplimiento implicará la aplicación de penalidades. De manera más específica, las actividades solicitadas, que se verán reflejadas en la facturación del servicio, consistirán en: • Estudios de mercado. • Estudios de evaluación de sistemas de información y propuesta de mejora. • Diseño de soluciones y arquitecturas. • Validación y pruebas de concepto. • Acciones de divulgación de la innovación. • Proyectos de innovación.

Penalidad Las penalidades aplicables en los trabajos acometidos bajo la modalidad de Servicio de Estudios y Diseños, se calcularán según se indica en el Pliego de Cláusulas Administrativas Particulares.

Conceptos del modelo económico Se define como unidad de medida del Servicio la Unidad de Trabajo, UT, unidad básica de medida de la producción de un equipo de trabajo tipo para realizar, además de las actividades anteriores, las siguientes: • Interpretación de las necesidades requeridas. • Estudio del entorno tecnológico y funcional. • Estimación de los trabajos y su planificación. • Elaboración de los estudios y diseños solicitados. • Documentación de los trabajos realizados. • Presentación de conclusiones y transferencia de conocimiento. • Resolución de dudas y consultas sobre los entregables. • Gestión de la demanda de los trabajos. • Gestión del Servicio.

Las UT tienen dos componentes fundamentales: • Técnico, en el que se tiene en cuenta el esfuerzo técnico para ejecutar un trabajo. • Gestión, en el que se tiene en cuenta el esfuerzo adicional requerido para el control y seguimiento de la actividad, coordinación, comunicación, elaboración de informes y soporte. Las peticiones definidas previamente tendrán asociada una UT determinada en función de unos factores que se describen en el Anexo T1.3 del presente pliego. La estimación del volumen anual de trabajos realizados de cada tipología se adjunta en el Anexo T1.4.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

La UT se utilizará para el cálculo del coste del servicio de acuerdo con las especificaciones del Pliego de Cláusulas Administrativas Particulares. Se considera entrega, la puesta a disposición de GISS, por el adjudicatario, del trabajo encargado. Se considera conformidad, la aceptación por la GISS de los trabajos realizados.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

3 LOTE 2 – SERVICIOS DE SOPORTE A PROYECTOS

3.1 ALCANCE El alcance de este lote es la contratación de los servicios de la Cartera de Proyectos y las actividades de la Oficina de Proyectos de la Gerencia de Informática de la Seguridad Social. La Gerencia de Informática de la Seguridad Social, dentro de las competencias encomendadas, desarrolla funciones en los siguientes ámbitos:  Cartera de Proyectos. La gestión de la Cartera de Proyectos de la GISS abarca: o Gestión y seguimiento del portfolio de proyectos de la GISS. o Definición, elaboración y seguimiento de los indicadores de los proyectos. o Definición, elaboración y seguimiento de las métricas de los proyectos. o Gobernanza del proceso de gestión de proyectos de la GISS. o Colaboración con las diferentes oficinas de proyectos. o Análisis de nuevos proyectos dados de alta en las oficinas de proyectos. o Reporte de alto nivel sobre el conjunto de proyectos (Cuadro de Mando de Proyectos estratégicos, etc.) a la alta dirección. o Mejora de la gestión de proyectos en la GISS: desarrollo de una metodología, mejores prácticas, estándares, políticas, procedimientos y plantillas para la dirección de proyectos, así como elaboración de propuestas de mejora e impulso para la gestión de proyectos. o Solicitud de realización de auditorías de proyectos, en las que se revise el cumplimiento de las metodologías, estándares, políticas y procedimientos definidos. o Alineación de la estrategia de la organización con los proyectos en curso y futuros. o Elaboración de documentación sobre proyectos y reporte de la misma.

 Oficina de Proyectos. La gestión de la Oficina de Proyectos de la Dirección de Seguridad, Innovación y Proyectos abarca: o Apoyo a la gestión de los proyectos: . En la gestión del proyecto: planificación, indicadores, estudio de viabilidad, formularios, etc. . Capacitación, apoyo y asesoría a los directores del proyecto, tanto en el uso de herramientas como en la dirección del proyecto. . Soporte a los jefes de proyecto en el lanzamiento, implementación y finalización de proyectos. o Gestión de la información y reporte: . Recopilar la información relativa a los proyectos. . Registrar la información y publicar la documentación en la herramienta que se disponga para tal fin. . Informar del estado de los proyectos mediante la elaboración de informes. . Elaborar un informe mensual sobre el estado de los proyectos, enviándolo a la Dirección y a los jefes de proyecto involucrados. . Elaboración de documentación variada sobre proyectos y reporte de la misma. o Colaborar con la Cartera de Proyectos en la mejora de la gestión de proyectos, elaborando propuestas de mejora e impulso en diferentes ámbitos. o Reporte de información solicitada desde Cartera de Proyectos.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Las funciones anteriores se realizan, en su vertiente estratégica y de alto nivel, con personal propio de la GISS que debe ser complementado con un servicio de apoyo que permita disponer de la asistencia técnica necesaria con el conocimiento de las distintas tendencias del mercado en gestión de proyectos y de los sistemas existentes en la GISS para definir y coordinar las acciones a realizar. Esta asistencia es el objeto del Servicio de Apoyo Técnico a Proyectos solicitado en el presente pliego. Por otro lado, para la realización de las funciones anteriores, existen una serie de tareas que se definen en el marco de un servicio gestionado y que son objeto del Servicio de Cartera de Proyectos.

3.2 SERVICIO DE APOYO TÉCNICO A PROYECTOS

3.2.1 ALCANCE El Servicio de Apoyo Técnico a Proyectos consiste en la realización de los trabajos de asistencia técnica necesarios para dar soporte a las tareas de apoyo a la gestión de proyectos, gestión de la información de los mismos y reporte y elaboración de propuestas de mejora e impulso en diferentes ámbitos.

3.2.2 NÚMERO DE RECURSOS POR PERFIL A continuación se muestra una tabla con el número medio de recursos por perfil que se deben presentar, según lo detallado en el Anexo T2.2:

Número de Perfil recursos TSB - Técnico Superior B 1 TMA - Técnico Medio A 1 Total 2

Perfil Cantidad Técnico Superior en Gestión de Proyectos 1 Técnico Medio en Gestión de Proyectos 1

Por necesidades del servicio, la GISS podrá modificar esta lista inicial de perfiles según los descritos en el Anexo T2.2 con sus costes asociados y respetando el límite económico máximo establecido en el contrato. Para las estimaciones de los distintos periodos de tiempo que se contemplan para la prestación de los servicios de apoyo citados y de sus costes, se ha partido de los supuestos siguientes:

 Jornada de prestación del servicio: 8 horas.  Días: de lunes a viernes, no se contemplan festivos.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Mes: 20 jornadas.

A los exclusivos efectos de cumplimiento de las medidas de seguridad establecidas así como de la facturación de las prestaciones efectuadas por el adjudicatario, se utilizarán los sistemas de control de presencia y accesos instalados en las dependencias utilizadas para la ejecución de los servicios. No obstante, la GISS se encargará de dirigir los trabajos encargados al adjudicatario del contrato y éste será el encargado de controlar la ejecución de los mismos y los tiempos empleados en su realización (productividad asociada). En cualquier caso, las peticiones identificadas como urgentes por GISS, deberán tramitarse dentro de los plazos que se establezcan para este tipo de peticiones, pudiendo dar lugar a la necesidad de realizar trabajos fuera del horario habitual.

3.2.3 CONSTITUCIÓN DEL EQUIPO DE TRABAJO INICIAL La incorporación se realizará a instancias de la Gerencia de Informática de la Seguridad Social, una vez formalizado el contrato. El adjudicatario deberá incorporar, en un plazo máximo de 10 días hábiles desde la fecha de petición, los recursos del equipo inicial que determine la Gerencia de Informática. Por causas justificadas, la GISS podrá solicitar la sustitución del equipo inicial por otros recursos según Anexo T2.2. Los recursos incorporados inicialmente deberán satisfacer los requisitos establecidos por la Gerencia de Informática, cubriendo el número de recursos y destrezas exigidas. De no cumplirse esta condición la empresa adjudicataria deberá modificar la composición de dicho equipo inicial, considerándose, en su caso, las penalidades a que hubiere lugar, tanto por incumplimiento en la incorporación de la parte del equipo inicial, como incumplimiento en el plazo de incorporación. Una vez constituido este equipo inicial (transcurridos 2 meses desde el inicio del contrato), la incorporación del resto de recursos contará con un periodo de 80 horas sin coste, por recurso incorporado, para facilitar su adaptación al entorno y proyecto a desarrollar.

3.2.4 MODIFICACIONES EN LA COMPOSICIÓN DEL EQUIPO DE TRABAJO REQUERIDAS POR LA GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL El director técnico podrá solicitar la incorporación de uno o varios recursos cuando así lo requiera el proyecto, mediante notificación al adjudicatario. Asimismo podrá solicitar los cambios necesarios en el equipo, en caso de ser necesaria la variación del perfil del alguno de los componentes del mismo. La Gerencia de Informática no limita el número de modificaciones que puede solicitar y garantiza el trabajo simultáneo del 60% del equipo. El adjudicatario se compromete a facilitar la incorporación, del recurso o recursos requeridos según los párrafos anteriores, en un plazo máximo de 10 días hábiles.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Con carácter general una vez que haya sido incorporado un recurso, su permanencia en el equipo de trabajo será de, como mínimo tres meses, salvo que cause baja en la empresa. Se reservará un 2% del número total de jornadas previstas para la realización de trabajos de carácter excepcional y cuya ejecución no tendrá por qué suponer la permanencia del recurso que las realice en el proyecto en el periodo citado (3 meses). En el caso de que alguno de los recursos propuestos por la empresa no se adecue a las necesidades del proyecto, a juicio del Director técnico, se considerará una modificación del equipo de trabajo imputable a la empresa.

3.2.5 MODIFICACIONES EN EL EQUIPO DE TRABAJO IMPUTABLES A LA EMPRESA La valoración de la calidad de los servicios corresponde al Director Técnico, siendo potestad suya solicitar los cambios necesarios en el equipo de trabajo. Si por causas ajenas a la misma, el adjudicatario del contrato propusiera el cambio de una de los recursos del equipo de trabajo, se deberá solicitar por escrito con 10 días hábiles de antelación, exponiendo las razones que obligan a la propuesta e indicando la empresa en la que está dado de alta el nuevo recurso, en el caso de que se trate de recursos subcontratados. En su caso, el cambio deberá ser aprobado por el Director Técnico. En el supuesto de que se produzcan sustituciones de recursos del equipo y con objeto de evitar los inconvenientes que se puedan producir en la continuidad del servicio, se subsanará mediante un solapamiento de recursos del equipo sin coste adicional, durante un periodo mínimo de 10 días hábiles. Si esto no fuera posible, por causas imputables a la empresa, se aplicarán las penalidades indicadas en el Pliego de Cláusulas Administrativas Particulares.

3.2.6 HORARIO Y LUGAR DE REALIZACIÓN DE LOS TRABAJOS Los trabajos requeridos por la modalidad de Servicio de Apoyo Técnico a Proyectos serán realizados en locales de la Gerencia de Informática de la Seguridad Social, sitas en la provincia de Madrid, o en cualquier otro centro de trabajo que la Gerencia de Informática autorice. Los recursos de la empresa contratista ocuparán espacios de trabajo diferenciados del que ocupen los empleados públicos. El horario en el que la empresa estará a disposición para realizar el servicio, será de lunes a viernes en la franja horaria que disponga la Gerencia de Informática de la Seguridad Social. Con carácter general, salvo que explícitamente se indique otra, se estima una jornada semanal de 40 horas. Adicionalmente, en circunstancias excepcionales y cuando, a criterio de la Gerencia de Informática de la Seguridad Social, la realización efectiva de los servicios no se ajuste a la planificación, el adjudicatario deberá comprometerse a una plena disponibilidad, sin que esto tenga una consideración especial a efectos de cómputo de horas o tarifa aplicable a las mismas.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

3.2.7 ORGANIZACIÓN El adjudicatario establecerá uno o varios coordinadores que serán los interlocutores para la GISS a la hora de encargar trabajos bajo esta modalidad de servicio. Igualmente, el coordinador / coordinadores serán los encargados de las siguientes tareas:  Gestionar y controlar la ejecución de los trabajos encargados por la GISS.  Gestionar los tiempos de realización de los trabajos (productividad).  Gestionar los recursos asignados al servicio.

3.3 SERVICIO DE CARTERA DE PROYECTOS El Servicio de Cartera de Proyectos es un modelo de provisión de servicios continuos para desarrollar las actividades encaminadas a la elaboración, seguimiento y control, medición y divulgación del porfolio de los proyectos tecnológicos que se desarrollan en Gerencia. La gestión y realización de las actividades del Servicio de Cartera de Proyectos es responsabilidad del adjudicatario del contrato y la prestación del servicio está basada en los compromisos adquiridos por éste a través de los Acuerdos de Nivel de Servicio detallados en el Anexo T2.5, cuyo incumplimiento derivará en la aplicación de las penalidades prevista en el Pliego de Cláusulas Administrativas Particulares.

3.3.1 ALCANCE El ámbito de actuación de este servicio será la realización de los trabajos de gestión de la Cartera de Proyectos de la GISS, en concreto:  Gestión y seguimiento del portfolio de proyectos de la GISS.  Definición, elaboración y seguimiento de los indicadores de los proyectos.  Definición, elaboración y seguimiento de las métricas de los proyectos.  Gobernanza del proceso de gestión de proyectos de la GISS.  Colaboración con las diferentes oficinas de proyectos.  Análisis de nuevos proyectos dados de alta en las oficinas de proyectos.  Reporte de alto nivel sobre el conjunto de proyectos (Cuadro de Mando de Proyectos estratégicos, etc.) a la alta dirección.  Mejora de la gestión de proyectos en la GISS: desarrollo de una metodología, mejores prácticas, estándares, políticas, procedimientos y plantillas para la dirección de proyectos, así como elaborar propuestas de mejora e impulso para la gestión de proyectos.  Solicitud de realización de auditorías de proyectos, en las que se revise el cumplimiento de las metodologías, estándares, políticas y procedimientos definidos.  Alineación de la estrategia de la organización con los proyectos en curso y futuros.  Elaboración de documentación sobre proyectos y reporte de la misma.  Soporte a la elaboración de contenidos para trabajos de divulgación y formación en la GISS.  Transferencia de Conocimiento. Los entornos tecnológicos actuales implantados en la GISS se encuentran detallados en el Anexo T2.1.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

A lo largo de la ejecución del servicio y en base a necesidades surgidas durante la ejecución del contrato, se podrán incorporar a dicho detalle todos aquellos entornos o tecnologías solicitados por la GISS. El modelo operativo del Servicio de Cartera de Proyectos se recoge en el Anexo T2.3. La estimación del volumen anual de trabajos se adjunta en el Anexo T2.4.

3.3.2 HORARIO, LUGAR DE PRESTACIÓN DE LOS SERVICIOS Y DIMENSIONAMIENTO Con carácter general, la empresa adjudicataria estará a disposición del organismo contratante para dar respuesta a las actividades de seguimiento y control en las que intervengan ambas partes, así como para las solicitudes de soporte en el horario de 8:00 a 20:00, de lunes a jueves, y de 8:00 a 15:00 los viernes. Para la aplicación de este horario se tendrá en cuenta el calendario laboral aplicable a la localidad de Madrid. Para la realización del resto de actividades encomendadas al servicio, no se establece límite alguno para la realización de las mismas, aunque pueden existir condicionantes operativos derivados de las posibles paradas técnicas de los componentes tecnológicos pertenecientes a las instalaciones del organismo contratante. El Servicio de Cartera de Proyectos será proporcionado en locales propios de GISS, sitos en la provincial de Madrid o en cualquier otro centro de trabajo que la Gerencia de Informática autorice. El personal de la empresa contratista ocupará espacios de trabajo diferenciados del que ocupen los empleados públicos. Se establece una dotación mínima presencial requerida, que el adjudicatario deberá asegurar durante todo el horario de prestación del servicio. El adjudicatario deberá disponer en todo momento de una dotación presencial igual o superior a la dotación mínima, ya que es su responsabilidad disponer en cada momento de los recursos necesarios que garanticen el cumplimiento de los ANS establecidos. El equipo de trabajo aportado por el adjudicatario deberá cumplir al 100% la cobertura horaria solicitada y asegurar la dotación presencial del número de recursos mínimos establecidos para el servicio en cualquier momento dentro de la cobertura horaria exigida. La dotación mínima establecida para este servicio es de 3 recursos.

3.3.3 ORGANIZACIÓN La Gerencia de Informática de la Seguridad Social establecerá el modelo de organización del servicio que se ajuste a sus necesidades. Para la organización del servicio se contará con los Directores Técnicos de GISS y el/los Responsables del adjudicatario, asistidos por un equipo colaborador, cuya relación se establecerá teniendo en cuenta:  La organización y responsabilidades de GISS.  La organización y responsabilidades del adjudicatario.  El modelo del Servicio de Cartera de Proyectos.  El modelo operativo del Servicio de Cartera de Proyectos.

La planificación, dirección y seguimiento de los trabajos se efectuará a partir de las siguientes bases:

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Corresponde a la GISS:  El seguimiento y la supervisión de los trabajos incluidos en los servicios gestionados.  Generar las peticiones de trabajo (tareas).  Designar el Director Técnico que tendrá, además de las establecidas con carácter general en el Pliego de Cláusulas Administrativas Particulares, en relación con el objeto de la presente modalidad de servicio, las funciones siguientes: o Velar por el cumplimiento de los trabajos exigidos y que se ajusten al nivel de servicio acordado. o Realizar la aceptación o rechazo de dichos trabajos.  Revisión del modelo operativo durante la fase de transición. Corresponde al adjudicatario:  Gestionar el servicio y los integrantes del mismo.  Gestionar la carga de trabajo, según las tareas asignadas.  Valorar y ejecutar los trabajos encomendados con la calidad exigida y en los plazos establecidos.  Elaborar los informes de seguimiento que se establezcan.  El adjudicatario designará un responsable del modelo de servicio cuyas funciones, además de las establecidas con carácter general en el Pliego de Cláusulas Administrativas Particulares, serán: o Ser la referencia para GISS en la resolución de problemas y gestión del servicio. o Potenciar y mejorar el modelo de servicio, estableciendo los mecanismos necesarios para la mejora continua. o Garantizar el seguimiento de la ejecución de los servicios contratados, asegurando que éstos se completen conforme a los plazos y calidad comprometidos en ANS.

3.3.4 MODELO DE SERVICIO El modelo de servicio se basa en las siguientes etapas de prestación del mismo que cubrirán la totalidad del contrato:  Transición.  Pleno Servicio.  Devolución / Retorno del Servicio.

Transición Se establece un periodo de tres meses máximo de duración para esta fase. Tras una primera toma de contacto en la que se definen los interlocutores, se presentan las principales características del servicio a prestar y se lleva a cabo una evaluación de las herramientas que van a utilizarse para la prestación del servicio. El objetivo de esta etapa de transición es que el adjudicatario adquiera un conocimiento mínimo necesario para prestar el servicio con garantías de calidad. Asimismo, se revisan los ANS del modelo y sus características, y se elaboran los planes necesarios para la ejecución del mismo. En esta etapa no serán de aplicación los ANS.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Otras Consideraciones

 Gestión del Conocimiento El adjudicatario asegurará una adecuada gestión del conocimiento, de forma que pueda ser utilizado como un recurso disponible para GISS.

 Variaciones de la carga de trabajo Existirá, de común acuerdo, la posibilidad de incrementar / reducir la prestación de los servicios durante un período de tiempo determinado a fin de compensar posibles desequilibrios en la planificación prevista.

 Gestión de la Demanda GISS dispone de una herramienta de Gestión de la Demanda que permite registrar las peticiones de trabajo, así como servir de referencia para el control, seguimiento y facturación del mismo. El adjudicatario utilizará esta herramienta para recibir las peticiones de demanda de tareas.

 Valoración de los Trabajos Solicitados Una vez finalizados los trabajos solicitados, GISS evaluará la calidad de los mismos de cara a dar su conformidad. Para ello se podrán llevar a cabo las comprobaciones que se considere oportunas.

 Medida de los ANS. Cada parámetro del ANS acordado será medido trimestralmente, salvo que expresamente se establezca otro periodo de medición. El adjudicatario entregará un informe para dicho periodo que permita determinar si ha conseguido los niveles de servicio acordados, que será verificado y aceptado, o revisado, por el Director Técnico de la GISS.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Incorporación de herramientas tecnológicas Para toda incorporación de una herramienta tecnológica al Servicio, la GISS establecerá un período de transición dependiendo de la complejidad y volumen del mismo, y durante el cual, a efectos de exigencia de ANS, no se considerarán las penalidades derivadas de tareas relacionadas con dicha herramienta.

 Retirada de una herramienta tecnológica Si la GISS decidiese la retirada de una herramienta tecnológica del servicio gestionado, el adjudicatario estará obligado a colaborar en el traspaso de conocimiento, facilitando la documentación relacionada totalmente actualizada.

3.3.5 MODELO ECONÓMICO DEL SERVICIO El modelo económico del Servicio Gestionado se basa en la realización de cada uno de los servicios que los componen y que se describen en este pliego, por un importe máximo anual, que será facturado mensualmente en su correspondiente parte proporcional. El adjudicatario recibirá una carga de trabajo que deberá gestionar según los compromisos contractuales de mantenimiento de niveles de servicio adquiridos por el adjudicatario, y cuyo incumplimiento implicará la aplicación de penalidades sobre la facturación.

Penalidad Las penalidades aplicables en los trabajos acometidos bajo la modalidad del Servicio de Cartera de Proyectos, se calcularán según se indica en el Pliego de Cláusulas Administrativas Particulares así como en el Anexo T2.5. El seguimiento y control del servicio se efectuará sobre las siguientes bases:  Seguimiento continuo de la evolución de la prestación del servicio entre los directores técnicos de GISS y el/los responsables del modelo de servicio.  Los procedimientos y herramientas para llevar a cabo la planificación, seguimiento y control del servicio serán establecidos por GISS.  Reuniones de seguimiento y revisiones técnicas, de los responsables de los equipos de trabajo por parte del adjudicatario y los directores técnicos o personas en quien este delegue.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

4 LOTE 3 – SERVICIOS DE SOPORTE A LA SEGURIDAD DE LA INFORMACIÓN

4.1 ALCANCE La Gerencia de Informática de la Seguridad Social tiene entre sus competencias la creación, custodia y administración de los sistemas de seguridad y de confidencialidad que complementan a los sistemas de información de la Seguridad Social. Para el desarrollo de estas competencias sus principales funciones de seguridad son:  Establecer una estrategia de Seguridad.  Desarrollar y gestionar los sistemas, infraestructuras y servicios de seguridad propios.  Integrar infraestructuras de seguridad de terceros.  Administrar los sistemas de seguridad.  Definir políticas y normas para la gestión del sistema.  Establecer medidas para auditar y evaluar la seguridad de los sistemas.  Velar por el cumplimiento normativo y legal en materia de seguridad.  Desarrollar medidas de gestión de incidentes de seguridad para custodiar los activos TIC y sus empleados, ante amenazas.  Medir la seguridad del sistema. Por tanto, el alcance de este lote es la contratación de los servicios necesarios para facilitar una gestión global e integral de la seguridad de los sistemas de información que gestiona la Gerencia de Informática de la Seguridad Social. Los servicios que se desean realizar mediante este lote son los siguientes:  Servicio de apoyo a la gestión de la seguridad, que proporcione el apoyo para la administración de los recursos de seguridad, el mantenimiento de herramientas y sistemas informáticos que de soporte a la seguridad, trabajos de consultoría y asistencia técnica, así como el apoyo a los trabajos relacionados con políticas y auditorías de seguridad.  Servicio de Gestión de Incidentes de Seguridad, que proporcione los servicios necesarios para la realización de los trabajos de atención a los incidentes de seguridad.  Servicio para la gestión integral de los sistemas de seguridad, que proporcione apoyo para la realización de las funciones relativas a la gestión, revisión y adecuación de la seguridad de los sistemas de información de la Seguridad Social. Las funciones anteriores se realizan, en su vertiente estratégica y de alto nivel, con personal propio de la GISS que debe ser complementado con un servicio de apoyo que permita disponer de la asistencia técnica necesaria con el conocimiento de las distintas líneas tecnológicas del mercado y de los sistemas existentes en la GISS para definir y coordinar las acciones a realizar en el marco de las aplicaciones, servicios y sistemas de la Seguridad Social. Esta asistencia es el objeto del Servicio de Apoyo a la Gestión de la Seguridad solicitado en el presente pliego. Por otro lado, para la realización de las funciones anteriores, existen una serie de tareas que se pueden definir en el marco de un servicio gestionado y que son objeto del Servicio de Gestión de Incidentes de Seguridad, así como del servicio para la gestión integral de los sistemas de seguridad.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

4.2 SERVICIO DE APOYO A LA GESTIÓN DE LA SEGURIDAD

4.2.1 ALCANCE Este servicio de apoyo a la gestión de la Seguridad, contempla la realización del servicio en las siguientes áreas de actividad:  Administración de los recursos de seguridad: usuarios individuales y grupos de usuarios, privilegios o perfiles de acceso y operación con los sistemas de información de la Seguridad Social, por ejemplo: o Los recursos de las aplicaciones de negocio de la Seguridad Social a través del sistema de información SILCON y sus sistemas relacionados en entornos informáticos abiertos. o Los recursos de Gestión de Identidades de la Seguridad Social.  Mantenimiento de herramientas y sistemas informáticos que dan soporte a la seguridad de los sistemas de información en la Seguridad Social, como: o La tarjeta de identificación del personal de Seguridad Social para el acceso a los sistemas (tarjeta TAFU). o El componente informático de control de acceso en los puestos de trabajo (SILLOGIN). o La infraestructura para la prestación de servicios de autenticación y firma para el proyecto Cl@ve (SIAVAL SAFECERT). o La gestión de recursos de seguridad en SILCON y gestión de identidades. o La gestión de la infraestructura de seguridad para aplicaciones con infraestructura Pros@ y no Pros@ (SSAA y servicios web).  Realización de trabajos de consultoría y asistencia técnica para la gestión de la seguridad y el mantenimiento de los servicios de seguridad de la Gerencia de Informática de la Seguridad Social necesarios para dar soporte a las siguientes tareas: o Soporte técnico a la seguridad que prestan servicio a las aplicaciones de negocio de la Seguridad Social. o Mantenimiento y soporte de los servicios de seguridad (como cifrado, control de acceso, firmado, identificación de documentos, etc.). o La integración de aplicaciones con la infraestructura de seguridad existente.  Apoyo a los trabajos relacionados con la gestión de seguridad: o Análisis de riesgos generales de seguridad. o Gestión de riesgos generales y resolución de no conformidades de las auditorías. o Generación y mantenimiento de documentos de seguridad y de normativa interna de seguridad. o Mantenimiento de indicadores y cuadro de mando de gestión de la seguridad.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

4.2.2 NÚMERO DE RECURSOS POR PERFIL A continuación se muestra una tabla con el número medio de recursos por perfil que se deben presentar, según lo detallado en el Anexo T3.2:

Número de Perfil recursos TSA – Técnico Superior A 1 TSB - Técnico Superior B 3 TSC – Técnico Superior C 4 TMA - Técnico Medio A 1 TMC - Técnico Medio C 4 Total 13

Perfil Cantidad

Técnico en seguridad 1 Consultor de seguridad 1 Técnico superior de seguridad para entorno Pros@ 1 Técnico medio de seguridad para entorno Pros@ 1 Técnico superior de seguridad para entorno host 1 Técnico medio de seguridad para entorno host 1 Técnico superior de seguridad para entorno PC 1 Técnico medio de seguridad para entorno PC 1 Técnico superior de seguridad para sistemas de gestión de identidades 1 Técnico medio de seguridad para sistemas de gestión de identidades 1 Técnico superior de seguridad en infraestructuras y servicios de seguridad para 1 Internet/intranet y firma electrónica Técnico superior de seguridad para el sistema Cl@ve 1 Técnico medio de seguridad para el sistema Cl@ve 1

Por necesidades del servicio, la GISS podrá modificar esta lista inicial de perfiles según los descritos en el Anexo T3.2 con sus costes asociados y respetando el límite económico máximo establecido en el contrato. Para las estimaciones de los distintos periodos de tiempo que se contemplan para la prestación de los servicios de apoyo citados y de sus costes, se ha partido de los supuestos siguientes:

 Jornada de prestación del servicio: 8 horas.  Días: de lunes a viernes, no se contemplan festivos.  Mes: 20 jornadas.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

4.2.3 CONSTITUCIÓN DEL EQUIPO DE TRABAJO INICIAL La incorporación se realizará a instancias de la Gerencia de Informática de la Seguridad Social, una vez formalizado el contrato. El adjudicatario deberá incorporar, en un plazo máximo de 10 días hábiles desde la fecha de petición, los recursos del equipo inicial que determine la Gerencia de Informática. Por causas justificadas, la GISS podrá solicitar la sustitución del equipo inicial por otros recursos según el Anexo T3.2. Los recursos incorporados inicialmente deberán satisfacer los requisitos establecidos por la Gerencia de Informática, cubriendo el número de recursos y destrezas exigidas. De no cumplirse esta condición la empresa adjudicataria deberá modificar la composición de dicho equipo inicial, considerándose, en su caso, las penalidades a que hubiere lugar, tanto por incumplimiento en la incorporación de la parte del equipo inicial, como incumplimiento en el plazo de incorporación. Una vez constituido este equipo inicial (transcurridos 2 meses desde el inicio del contrato), la incorporación del resto de recursos contará con un periodo de 80 horas sin coste, por recurso incorporado, para facilitar su adaptación al entorno y proyecto a desarrollar.

4.2.4 MODIFICACIONES EN LA COMPOSICIÓN DEL EQUIPO DE TRABAJO REQUERIDAS POR LA GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL El director técnico podrá solicitar la incorporación de uno o varios recursos cuando así lo requiera el proyecto, mediante notificación al adjudicatario. Asimismo podrá solicitar los cambios necesarios en el equipo, en caso de ser necesaria la variación del perfil del alguno de los componentes del mismo. La Gerencia de Informática no limita el número de modificaciones que puede solicitar y garantiza el trabajo simultáneo del 60% del equipo. El adjudicatario se compromete a facilitar la incorporación, del recurso o recursos requeridos según los párrafos anteriores, en un plazo máximo de 10 días hábiles. Con carácter general una vez que haya sido incorporado un recurso, su permanencia en el equipo de trabajo será de, como mínimo tres meses, salvo que cause baja en la empresa.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Se reservará un 2% del número total de jornadas previstas para la realización de trabajos de carácter excepcional y cuya ejecución no tendrá por qué suponer la permanencia del recurso que las realice en el proyecto en el periodo citado (3 meses). En el caso de que alguno de los recursos propuestos por la empresa no se adecue a las necesidades del proyecto, a juicio del Director técnico, se considerará una modificación del equipo de trabajo imputable a la empresa.

4.2.5 MODIFICACIONES EN EL EQUIPO DE TRABAJO IMPUTABLES A LA EMPRESA La valoración de la calidad de los servicios corresponde al Director Técnico, siendo potestad suya solicitar los cambios necesarios en el equipo de trabajo. Si por causas ajenas a la misma, el adjudicatario del contrato propusiera el cambio de uno de los recursos del equipo de trabajo, se deberá solicitar por escrito con 10 días hábiles de antelación, exponiendo las razones que obligan a la propuesta e indicando la empresa en la que está dado de alta el nuevo recurso, en el caso de que se trate de recursos subcontratados. En su caso, el cambio deberá ser aprobado por el Director Técnico. En el supuesto de que se produzcan sustituciones de recursos del equipo y con objeto de evitar los inconvenientes que se puedan producir en la continuidad del servicio, se subsanará mediante un solapamiento de recursos del equipo sin coste adicional, durante un periodo mínimo de 10 días hábiles. Si esto no fuera posible, por causas imputables a la empresa, se aplicarán las penalidades indicadas en el Pliego de Cláusulas Administrativas Particulares.

4.2.6 HORARIO Y LUGAR DE REALIZACIÓN DE LOS TRABAJOS Los trabajos requeridos por la modalidad de Servicio de Apoyo a la Gestión de la Seguridad serán realizados en locales de la Gerencia de Informática de la Seguridad Social, sitas en la provincia de Madrid, o en cualquier otro centro de trabajo que la Gerencia de Informática autorice. Los recursos de la empresa contratista ocuparán espacios de trabajo diferenciados del que ocupen los empleados públicos. El horario en el que la empresa estará a disposición para realizar el servicio, será de lunes a viernes en la franja horaria que disponga la Gerencia de Informática de la Seguridad Social. Con carácter general, salvo que explícitamente se indique otra, se estima una jornada semanal de 40 horas. Adicionalmente, en circunstancias excepcionales y cuando, a criterio de la Gerencia de Informática de la Seguridad Social, la realización efectiva de los servicios no se ajuste a la planificación, el adjudicatario deberá comprometerse a una plena disponibilidad, sin que esto tenga una consideración especial a efectos de cómputo de horas o tarifa aplicable a las mismas.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Excepcionalmente, el Director Técnico podrá solicitar la prestación de los servicios fuera de la provincia de Madrid siendo todos los gastos por cuenta de la empresa adjudicataria. En estos casos excepcionales se admitirá el incremento de la tarifa correspondiente, multiplicando el valor de la misma por 1.5, sin que en ningún caso suponga un incremento del precio del contrato.

4.2.7 ORGANIZACIÓN El adjudicatario establecerá uno o varios coordinadores que serán los interlocutores para la GISS a la hora de encargar trabajos bajo esta modalidad de servicio. Igualmente, el coordinador / coordinadores serán los encargados de las siguientes tareas:  Gestionar y controlar la ejecución de los trabajos encargados por la GISS.  Gestionar los tiempos de realización de los trabajos (productividad).  Gestionar los recursos asignados al servicio.

4.3 SERVICIO DE GESTIÓN DE INCIDENTES DE SEGURIDAD El Servicio de Gestión de Incidentes de Seguridad se desarrolla en un modelo de provisión de servicios necesarios para desarrollar las funciones de la Gerencia de Informática de la Seguridad Social relativas a la gestión de la atención de los incidentes de seguridad. La gestión y realización de las actividades de este servicio es responsabilidad del adjudicatario del contrato y la prestación del servicio está basada en los compromisos adquiridos por éste a través de los Acuerdos de Nivel de Servicio detallados en el Anexo T3.9, cuyo incumplimiento derivará en la aplicación de penalidades.

4.3.1 ALCANCE La GISS dispone de infraestructuras de seguridad descritas en el Anexo T3.1 que permiten proporcionar servicios de seguridad informática a las Entidades Gestoras y Servicios Comunes de la Seguridad Social. El ámbito de actuación de este servicio será la realización de los trabajos de gestión de los incidentes de seguridad, en concreto a través de los siguientes servicios: 1. Seguridad perimetral. Elementos de conectividad entre las redes internas y de conexión con las redes externas. Se compone de: a. Triple barrera de cortafuegos en la conectividad a Internet. b. Barrera de cortafuegos en la conectividad a la red de Conexiones Externas (esta red establece conectividad entre la GISS y entidades colaboradoras). c. Área de conexión a Red Sara. d. IDS/IPS (Intrusion Detection System / Intrusion Prevention System) en la conexión a Internet. e. Sonda SAT (Sistema de Alerta Temprana) del CCN-CERT en la conexión a Internet y en la conexión a Red Sara. 2. Navegación segura. Consiste en los elementos que permiten establecer políticas de seguridad para la navegación de los usuarios de la Seguridad Social (proxies de navegación).

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

3. Correo seguro. Conformado por una plataforma de anti-virus y anti-spam que hace las funciones de pasarela SMTP para el correo. 4. Servicio VPN (Virtual Private Network). Este servicio se basa en concentradores de túneles VPN que permiten establecer una conexión segura a los sistemas de la GISS desde redes externas. 5. Seguridad del puesto. En este servicio se engloba la solución de anti-virus instalada en los puestos de trabajo de la Seguridad Social y administrada desde una consola central. 6. Seguridad del CPD. Consistente en los cortafuegos internos que permiten aplicar políticas de segmentación en el acceso de los usuarios internos al CPD y que incluyen servicios de IDS/IPS, anti-virus y anti-spyware. 7. Gestión de vulnerabilidades. Comprende la detección, análisis y propuesta de resolución de posibles vulnerabilidades mediante herramientas automáticas o de manera proactiva a través del acceso a los distintos foros y sitios que tratan estos temas. 8. Vigilancia digital. Consiste en analizar la actividad en internet que pudiera suponer un perjuicio de cualquier tipo para la Seguridad Social y sus entidades, incluyendo: fugas de información, hacktivismo, uso no autorizado de la marca, difamaciones, etc. 9. Oficina técnica de atención a los incidentes. Su objetivo es la gestión de los procedimientos de detección, análisis y reacción de incidentes de seguridad. 10. Peritajes técnicos de seguridad. Necesarios para investigar a fondo los incidentes de seguridad (qué ha sucedido, cómo…), tanto si el origen es externo (ataques, malware…) como interno (mal uso por parte de los usuarios). También para poder responder a eventuales requerimientos de la autoridad judicial pertinente.

El alcance del servicio aquí solicitado se encargará del soporte a la gestión de los incidentes de la seguridad, entendiendo como tal las siguientes tareas:  A través de la monitorización de los sistemas que conforman los servicios anteriormente descritos, el adjudicatario realizará la detección reactiva de los incidentes y propondrá las medidas correctoras para su mitigación. La monitorización de los sistemas será pasiva; esto es, el adjudicatario no dispondrá de permisos para modificar la configuración.  Adicionalmente, el adjudicatario realizará una monitorización proactiva y análisis predictivo de los sistemas en busca de indicios de incidentes de seguridad. Basándose en ellos, el adjudicatario propondrá medidas correctoras para su investigación y mitigación. Esta actividad incluirá al menos aspectos como: o La elaboración de procedimientos de trabajo y propuestas para la mejora del servicio, mediante la elaboración de estudios y propuestas que podrán concretarse mediante la realización de pruebas en laboratorio. o La propuesta de indicadores de cumplimiento y de desempeño.

En el Anexo T3.8 se incluye el detalle de las herramientas a utilizar por el adjudicatario para la prestación del servicio. Los requisitos de los recursos a utilizar para la prestación del servicio se detallan en el anexo T3.3 y el volumen actual de trabajo en el T3.7. A continuación se detallan los servicios incluidos:

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

GESTIÓN DE INCIDENTES DE SEGURIDAD Este servicio debe proporcionar la inteligencia a las operaciones de gestión de incidentes de seguridad. Será la base principal de las operaciones de seguridad integrando, en función de la vulnerabilidad e importancia de los recursos, los servicios de respuesta a incidentes, detección proactiva y definición de procedimientos y pautas de actuación ante incidentes. Se pretende así crear un tratamiento de incidentes para obtener una operativa real de seguridad, desligada totalmente de las operaciones de implementación de los sistemas. Este servicio se prestará de forma presencial mediante personal destacado en las instalaciones de la GISS en horario laboral (modalidad 8x5) de, al menos, 2 técnicos. Adicionalmente se requiere que el servicio se extienda hasta una cobertura 24x7x365, pudiendo realizarse mediante la incorporación de recursos en las instalaciones de GISS y también podrá ser cubierta de forma remota mediante personal destacado en las oficinas del adjudicatario. Esta extensión del servicio será previamente acordada. Las funciones serán las relacionadas a continuación:  Monitorizar los sistemas y gestionar los incidentes de seguridad detectados mediante las herramientas y procedimientos de gestión de incidentes de la GISS.  Analizar los incidentes de seguridad y emitir los informes y recomendaciones de actuación.  Elaborar procedimientos de actuación ante incidentes conocidos (ej. ransomware, campaña de spam, campaña de phising, etc.).  Establecer las directrices técnicas de aplicación de las políticas de seguridad definidas por la GISS.  Revisar la configuración de las políticas de seguridad aplicadas en los sistemas proponiendo mejoras (ej. reglas en cortafuegos, categorías de filtrado de navegación, dominios de spam bloqueados, etc.). A partir de la detección de un incidente de seguridad, se deben analizar las evidencias iniciales para confirmar si realmente se trata de un incidente y para clasificarlo. En las siguientes tablas se muestran las clasificaciones de los incidentes de seguridad y el nivel de criticidad asociado a los mismos, como información adicional al Anexo T3.9, de cara a poder determinar si se cumplen los plazos establecidos para la gestión de incidentes de seguridad según su tipología:

Tabla 1 Clasificación de incidentes de seguridad

Tipo de Incidente Descripción Ejemplos Contenido abusivo Ataques dirigidos a dañar la Spam imagen de la organización o a utilizar sus medios electrónicos Acoso/extorsión/mensajes para otros usos ilícitos (tales ofensivos, etc. como la publicidad, la extorsión o, en general la ciberdelincuencia) Pederastia/violencia/delito Código dañino Software cuyo objetivo es Virus infiltrarse o dañar un ordenador, Gusanos servidor u otro dispositivo de red, sin el conocimiento de su Troyanos responsable o usuario y con finalidades muy diversas. Spyware Rootkit

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Tipo de Incidente Descripción Ejemplos Ransomware Recogida de información Ataques dirigidos a recabar Identificación de vulnerabilidades información fundamental que permita avanzar en ataques más Sniffing sofisticados, a través de ingeniería social o de Ingeniería social identificación de vulnerabilidades. Amenazas Avanzadas persistentes Intrusiones Ataques dirigidos a la explotación Compromiso de cuenta de de vulnerabilidades de diseño, de usuario operación o de configuración de Defacement diferentes tecnologías, al objeto de introducirse de forma Cross-Site Scripting (XSS) fraudulenta en los sistemas de una organización. Cross-Site Request Forgery (CSRF) Inyección SQL Spear Phishing Pharming Ataque de fuerza bruta Inyección de Ficheros Remota Explotación de vulnerabilidad software Explotación de vulnerabilidad hardware Disponibilidad Ataques dirigidos a poner fuera DoS / DDoS de servicio los sistemas, al objeto Fallo (hw/sw) de causar daños en la productividad y/o la imagen de las Error humano instituciones atacadas. Sabotaje Política de seguridad Incidentes relacionados con violaciones de las políticas de seguridad aprobadas por la organización. Confidencialidad, exfiltración, Incidentes relacionados con el Acceso no autorizado a integridad o compromiso. acceso, modificación o fuga de información información no pública Modificación no autorizada de información. Publicación no autorizada de información. Exfiltración de información. Violaciones de Derechos de Propiedad Intelectual o Industrial. Fraude, suplantación Incidentes relacionados con Suplantación / Spoofing acciones fraudulentas derivadas Phishing

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Tipo de Incidente Descripción Ejemplos de suplantación de identidad, en Uso de recursos no autorizado todas sus variantes. Uso ilegítimo de credenciales Otros Otros incidentes no incluidos en los anteriores

Tabla 2 Nivel de criticidad de un incidente de seguridad

Nivel Amenaza Vector de ataque Características Máximo Espionaje APT, campañas de Capacidad para exfiltrar malware, interrupción de información muy valiosa, Manipulación de servicios, incidentes en cantidad considerable información. especiales, etc. y en poco tiempo. Borrado de información. Capacidad para borrar o Cifrado de información. modificar información Muy alto Interrupción de los Códigos dañinos Capacidad para exfiltrar servicios / Exfiltración de confirmados de alto información valiosa, en datos / Compromiso de impacto (RAT, troyanos cantidad apreciable. servicios bancarios, rootkits, etc.). Capacidad para tomar el Ataques externos con control de los sistemas éxito sensibles, en cantidad considerable. Alto Toma de control de los Códigos dañinos de Capacidad para exfiltrar sistemas / Robo y medio impacto (virus, información valiosa. publicación o venta de gusanos, troyanos). Capacidad para tomar el información sustraída / Ataques externos - control de ciertos Ciberdelito / compromiso de servicios sistemas. Suplantación no esenciales (DoS / DDoS). Tráfico DNS con dominios relacionados con APT o campañas de malware. Accesos no autorizados / Suplantación / Sabotaje. XSS /SQLi Spear phishing / pharming

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Nivel Amenaza Vector de ataque Características Medio Logro o incremento Descargas de archivos Capacidad para exfiltrar significativo de sospechosos. un volumen apreciable capacidades ofensivas. de información. Contactos con dominios Defacement / o direcciones IP Capacidad para tomar el Manipulación de la sospechosas. control de algún sistema. información Escaneo de vulnerabilidades. Códigos dañinos de bajo impacto (adware, spyware, etc.) Sniffing, ingeniería social. Bajo Ataques a la imagen / Políticas. Escasa capacidad para Menosprecio / Errores y exfiltrar un volumen Spam sin adjuntos. fallos apreciable de Software información. desactualizado. Nula o escasa Acoso / coacción / capacidad para tomar el comentarios ofensivos. control de sistemas. Error humano / Fallo HW-SW

ANÁLISIS DE VULNERABILIDADES El adjudicatario deberá prestar un servicio de auditoría de vulnerabilidades con dos componentes: hacking ético y análisis de vulnerabilidades interno.

Hacking ético Los servicios previstos para ser auditados serán los descritos y aquellos otros que durante la ejecución del contrato ponga en servicio la GISS, se detallan los existentes:  Sitio web de la Seguridad Social.  Sede electrónica de la Seguridad Social.  Portal TuSS (Tu Seguridad Social).  Sistema RED.  Sistemas internos, incluyendo componentes como bases de datos, servidores de aplicaciones o de presentación. Estas auditorías se realizarán con conocimiento previo de la GISS que deberá aprobar explícitamente el procedimiento, herramientas, horario, personal y cualquier otro elemento del servicio. Para ello, el adjudicatario presentará un documento de descripción previa donde se detalle al menos:  Alcance y objeto de la auditoría.  Medios técnicos y humanos a emplear.  Horario y duración prevista.  Sistemas y servicios involucrados.  Riesgos de la prueba para la Gerencia de Informática.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Plan de contingencia ante incidencias durante la prueba.  Plan de comunicación y coordinación con las unidades de la GISS afectadas. El hacking ético incluirá tres fases: 1. Test de superficie: descubrimiento de información disponible a través de los servicios de la GISS. 2. Caja negra: revisión de la seguridad sin información suministrada por la GISS. 3. Caja blanca: revisión de la seguridad con información suministrada por la GISS sobre sus sistemas de información. Se realizarán al menos 4 pruebas al año (2 de caja blanca y 2 de caja negra), aunque también este servicio puede prestarse de forma continuada previo acuerdo con la GISS. Las pruebas se realizarán en horarios o condiciones donde se minimice el riesgo de afectación de los servicios habituales prestados por la Gerencia de Informática. El resultado de las auditorías será un informe donde se recojan al menos los siguientes elementos:  Descripción del alcance y objeto de la auditoría.  Descripción de las pruebas realizadas así como de las herramientas utilizadas.  Resultado de las pruebas.  Incidencias encontradas y acciones tomadas.  Propuestas de mejora y corrección de las vulnerabilidades encontradas. El servicio se podrá prestar de forma remota salvo en los casos y situaciones en los que la GISS requiera que, por seguridad, el personal esté ubicado en oficinas de la GISS durante las pruebas.

Análisis de vulnerabilidades interno El adjudicatario realizará un análisis de vulnerabilidades continuo de los sistemas informáticos de la GISS. Para ello, utilizará la herramienta de análisis de vulnerabilidades proporcionada por la GISS. El alcance de este análisis abarcará al menos los servidores web, servidores de aplicaciones y servidores de bases de datos de la plataforma de Internet de la Seguridad Social. El análisis de vulnerabilidades interno será planificado y realizado por el adjudicatario previa autorización de la GISS que deberá aprobar explícitamente la realización de la prueba en base a un documento previo realizado por el adjudicatario que incluya:  Alcance y objeto del análisis.  Identificación de los equipos a analizar.  Medios técnicos y humanos a emplear.  Horario y duración prevista.  Sistemas y servicios involucrados.  Plan de contingencia ante incidencias durante la prueba.  Plan de comunicación y coordinación con las unidades de la GISS afectadas. El resultado del análisis se recogerá en un informe que contendrá al menos los siguientes aspectos:  Descripción del alcance y objeto del análisis.  Resultado detallado del análisis.  Incidencias encontradas y acciones tomadas.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Resultado del análisis con listado de los sistemas analizados, versiones de software y resultados.  Propuestas de mejora y corrección de las vulnerabilidades encontradas. Basándose en la experiencia previa de la GISS en el análisis de vulnerabilidades interno, requiere al menos 1 técnico de forma presencial. Este técnico podrá compaginar esta actividad con otras relacionadas en el Servicio de Gestión de Incidentes de Seguridad. El adjudicatario realizará y mostrará a la GISS un seguimiento de la resolución de las vulnerabilidades detectadas y proporcionara un informe mensual en el que conste al menos:  Las vulnerabilidades detectadas.  Las vulnerabilidades resueltas.  El tiempo de resolución de las vulnerabilidades.  La clasificación de las vulnerabilidades por gravedad.  La propuesta de resolución para cada vulnerabilidad. Se estima el siguiente volumen de trabajo anual:  100 análisis iniciales (Cada uno de 20 activos, equipo de producción)  2 informes globales (a la finalización de cada ronda o revisión global de los equipos).

VIGILANCIA DIGITAL En este servicio se enmarcan las actividades a realizar por el adjudicatario obteniendo información externa y analizándola para determinar:  Campañas de malware genéricas que puedan afectar a la Seguridad Social.  Campañas específicas orientadas contra la Seguridad Social y que puedan afectar a la seguridad de sus sistemas o a su imagen. A modo de ejemplo se incluyen en este punto: o Campañas de phising suplantando a la Seguridad Social. o Campañas de spam suplantando la imagen de la Seguridad Social. o Campañas de hacktivismo que puedan afectar a la Seguridad Social mediante ataques de Denegación de Servicio u otros modos. En este caso se requiere un servicio de vigilancia digital a proporcionar por el adjudicatario para detectar al menos, en base al análisis de información de dominio público, informes de empresas de seguridad, organizaciones CERT, etc., las siguientes situaciones:  La suplantación de la identidad digital de cualquiera de las Entidades Gestoras y Servicios Comunes de la Seguridad Social (dominios, aplicaciones, cuentas de correo, etc.).  Inteligencia de seguridad, estudiando el estado del arte en relación al malware: amenazas existentes, campañas vulnerabilidades detectadas y agentes (ciberdelincuencia, hacktivismo, etc.).  Fugas de información y robo de credenciales.

Identidad digital Resulta cada vez más frecuente el despliegue malintencionado para la comisión de fraude online, de páginas webs falsas, perfiles en redes sociales, envío de correos, etc., que usan copias de imágenes oficiales o direcciones de sitios web similares al oficial y en todo caso se presentan como si se tratara del Organismo suplantado.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Estas actividades generan graves perjuicios a los usuarios finales, económicos o de robo de datos, por lo que deberán ser comunicadas a la GISS que realizará los trámites, siguiendo los cauces legalmente establecidos, para el cierre de las páginas, perfiles, bloqueo de remitentes, etc., usados en la comisión del fraude. Este servicio se prestará de forma continua y no se requiere personal destacado en las oficinas de la GISS. Al menos se monitorizarán en internet:  El uso del nombre, logotipo, imágenes y cualquier información que identifique a la seguridad Social.  La identidad de 20 personas relevantes, previamente asignadas por la GISS.

Inteligencia de seguridad La capacidad de respuesta a incidentes requiere de un conocimiento actualizado del estado de las amenazas existentes así como de los posibles agentes que las utilizan, existiendo numerosas fuentes públicas y privadas que proveen información sobre vulnerabilidades detectadas, nuevo malware, etc. Se requiere que el adjudicatario recopile la información de fuentes públicas y privadas a las que tenga acceso (y que deberá detallar en su oferta) para elaborar un informe con periodicidad mensual que contenga al menos:  Situación de las ciberamenazas en el ámbito nacional (nuevo malware detectado, vulnerabilidades publicadas, campañas de phising y spam, etc.).  Análisis de riesgos aplicado a la Seguridad Social indicando la probabilidad de ocurrencia y el impacto de estas ciberamenazas en los sistemas y servicios de la GISS.  Propuesta de medidas a aplicar en la GISS para prevenir estas amenazas (actualizaciones, configuraciones, etc.).  Phishing, pharming, suplantación (Spoofing) de cuentas de correo o dominios.  Aplicaciones móviles sospechosas de suplantar la identidad de la organización.

PERITAJES TÉCNICOS DE SEGURIDAD El adjudicatario prestará un servicio de peritajes técnicos de seguridad de equipos informáticos o en sus componentes para los casos que la GISS determine. El objeto de este servicio será la obtención de evidencias e información necesaria para una mejor comprensión del incidente. Se establece un volumen anual estimado de 4 incidentes de seguridad para los que se solicitará el peritaje técnico de seguridad a realizar por parte del adjudicatario. El peritaje técnico no sólo podrá ser requerido ante infecciones o amenazas externas, también podrá ser solicitado para esclarecer incidentes internos tales como: accesos no autorizados, manipulación indebida, etc. La GISS determinará previamente mediante una petición específica para cada caso el alcance esperado del peritaje técnico. El resultado de dicho peritaje será, al menos:  Unas conclusiones del peritaje en base a la petición realizada por la GISS.  Las evidencias y muestras recogidas.  Copia sellada (con marca de tiempo) de los datos obtenidos.  Asesoría en seguridad.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

La empresa debe garantizar desde su primera intervención hasta su entrega a la GISS que garantiza la integridad y la confidencialidad de la información manteniéndose en todo momento la cadena de custodia.

GESTIÓN DE INDICADORES DE CUMPLIMIENTO DE SERVICIO El adjudicatario debe proporcionar a la GISS un cuadro de mando donde se muestren los indicadores de la actividad realizada en el Servicio de Gestión de Incidentes de Seguridad en aspectos como: La actividad realizada, con métricas como las siguientes:  Número de intervenciones (incidentes gestionados, análisis realizados, equipos examinados, etc.).  Tiempo de respuesta. Resultados obtenidos, con métricas como la siguiente:  Nivel de seguridad de equipos, software de base, etc. El adjudicatario debe plantear a la Gerencia de Informática unos objetivos (niveles o umbrales de satisfacción y saciedad) para las métricas anteriores y unos pesos para las mismas. La Gerencia acordará la información a obtener con el adjudicatario. El adjudicatario se compromete a mostrar información actualizada a la Gerencia de Informática. La Gerencia puede requerir los datos de los indicadores si así lo estima oportuno. La frecuencia mínima de actualización de los datos es mensual.

SEGURIDAD PERIMETRAL Este apartado consiste en el soporte a las acciones de operación y administración de los siguientes servicios de seguridad perimetral.  Firewalls.  Correo seguro.  Navegación segura.  Firewalls de aplicaciones web (Web Applications Firewalls).  Sistemas de prevención de intrusiones (IDS / IPS).  Herramienta SIEM. Las actividades mínimas a realizar son:  El análisis de los registros de actividad de estos servicios.  La propuesta de corrección de los incidentes detectados.  La confección de reglas de detección.

OFICINA TÉCNICA DE ATENCIÓN A LOS INCIDENTES DE SEGURIDAD Las acciones anteriores deben estar coordinadas en un grupo de trabajo que ordene y cuantifique el esfuerzo realizado y los resultados obtenidos. Esta oficina debe tener las siguientes funciones:  Recopilar, documentar y mantener los procedimientos de trabajo.  Definir indicadores y obtener mediciones periódicas que midan el esfuerzo y el nivel de desempeño realizado con ellos.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Controlar la ejecución periódica de los procedimientos anteriores y sugerir mejoras en los mismos.  Establecer un procedimiento de mejora continua basándose en la actividad realizada.

4.3.2 HORARIO, LUGAR DE PRESTACIÓN DE LOS SERVICIOS Y DIMENSIONAMIENTO Con carácter general, la empresa adjudicataria estará a disposición del organismo contratante para dar respuesta a las actividades de seguimiento y control desde las 8:00 hasta las 20:00 los días laborables. De forma remota los festivos en la ciudad de Madrid y los fines de semana. Para la realización del resto de actividades encomendadas al servicio, no se establece límite alguno para la realización de las mismas, aunque pueden existir condicionantes operativos derivados de las posibles paradas técnicas de los componentes tecnológicos pertenecientes a las instalaciones del organismo contratante. El Servicio de Gestión de incidentes de Seguridad será proporcionado en locales propios de GISS, sitos en la provincial de Madrid o en cualquier otro centro de trabajo que la Gerencia de Informática autorice. No obstante, se establece la posibilidad de prestación de uno o más de estos servicios desde las instalaciones de la empresa adjudicataria, siempre con autorización previa de la GISS, e implicará en cualquier caso la contratación del enlace de comunicación por parte del adjudicatario. El personal de la empresa contratista ocupará espacios de trabajo diferenciados del que ocupen los empleados públicos. El equipo de trabajo aportado por el adjudicatario deberá cumplir al 100% la cobertura horaria solicitada y asegurar la dotación presencial del número de recursos mínimos establecidos para el servicio en cualquier momento dentro de la cobertura horaria exigida.

4.3.3 ORGANIZACIÓN La Gerencia de Informática de la Seguridad Social establecerá el modelo de organización del servicio que se ajuste a sus necesidades. Para la organización del servicio se contará con los Directores Técnicos de GISS y el/los Responsables del adjudicatario, asistidos por un equipo colaborador, cuya relación se establecerá teniendo en cuenta: • La organización y responsabilidades de GISS. • La organización y responsabilidades del adjudicatario. • El modelo operativo. La planificación, dirección y seguimiento de los trabajos se efectuará a partir de las siguientes bases: Corresponde a la GISS:  El seguimiento y la supervisión de los trabajos incluidos en los servicios gestionados. Proponer las modificaciones que sea conveniente introducir o, en su caso, proponer la suspensión de los trabajos si existiese causa suficientemente motivada.  Generar las peticiones generales de trabajo.  Canalizar los requerimientos necesarios para la ejecución de los trabajos.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Designar los Directores Técnicos que tendrán, además de las establecidas con carácter general en el Pliego de Cláusulas Administrativas Particulares, en relación con el objeto de la presente modalidad de servicio, las funciones siguientes: o Velar por el cumplimiento de los trabajos exigidos y que se ajusten al nivel de servicio acordado. o Realizar la aceptación o rechazo de dichos trabajos.  La revisión del modelo operativo durante la fase de transición. Corresponde al adjudicatario:  Gestionar el servicio y los integrantes del mismo.  Gestionar la carga de trabajo, según las tareas asignadas.  Valorar y ejecutar los trabajos encomendados con la calidad exigida y en los plazos establecidos.  Elaborar los informes de seguimiento que se establezcan.  Designar uno o varios responsables del modelo de servicio cuyas funciones, además de las establecidas con carácter general en el Pliego de Cláusulas Administrativas Particulares, serán: o Potenciar y mejorar el modelo de servicio, estableciendo los mecanismos necesarios para la mejora continua. o Entender las necesidades de las distintas áreas de GISS con las que interaccione, para adaptarlas al servicio, proporcionando los mecanismos necesarios para dar una respuesta adecuada. o Garantizar el seguimiento de la ejecución de los servicios contratados, asegurando que éstos se completen conforme a los plazos y calidad comprometidos en ANS. El seguimiento y control del servicio se efectuará sobre las siguientes bases:  Seguimiento continuo de la evolución de la prestación del servicio entre los directores técnicos de GISS y el/los responsables del modelo de servicio.  Los procedimientos y herramientas para llevar a cabo la planificación, seguimiento y control del servicio serán establecidos por GISS.  Reuniones de seguimiento y técnicas de los responsables de los equipos de trabajo por parte del adjudicatario y los directores técnicos o personas en quien este delegue.

4.3.4 MODELO DE SERVICIO El modelo de servicio se basa en las siguientes etapas de prestación del mismo que cubrirán la totalidad del contrato:  Transición.  Pleno Servicio.  Devolución / Retorno del Servicio.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Asimismo, se revisan los ANS del modelo y sus características, y se elaboran los planes necesarios para la ejecución del mismo. En esta etapa no serán de aplicación los ANS.

Pleno Servicio (Servicio sujeto a ANS) En esta fase se realiza la prestación del servicio, siendo aplicables las penalidades por incumplimiento de los ANS. Durante esta etapa se incluirán los procedimientos y actividades necesarios para la ejecución y mejora del servicio y se elaborará, entre otros el Plan de Devolución del Servicio. La duración de esta etapa será la fijada en el contrato.

Otras Consideraciones

 Gestión del Conocimiento El adjudicatario asegurará una adecuada gestión del conocimiento, de forma que pueda ser utilizado como un recurso disponible para GISS.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

4.3.5 MODELO ECONÓMICO DEL SERVICIO El modelo económico del servicio de gestión de incidentes de seguridad se basa en la realización de cada uno de los servicios que los componen y que se describen en este pliego, por un importe máximo anual, que será facturado mensualmente en su correspondiente parte proporcional. El adjudicatario deberá asumir una carga de trabajo estimada según el volumen de los servicios realizados por la GISS incluido en el anexo T3.7 y los acuerdos de nivel de servicio del anexo T3.9. Para ello, debe crear una Oficina Técnica de atención a los incidentes de Seguridad, en la que se fijará el funcionamiento de este servicio y el seguimiento de la prestación del mismo. Penalidad Las penalidades aplicables en los trabajos acometidos bajo la modalidad de este servicio, se calcularán según se indica en el anexo T3.9.

4.4 SERVICIO PARA LA GESTIÓN INTEGRAL DE LOS SISTEMAS DE SEGURIDAD Este servicio es un modelo de provisión de apoyo para la realización de las funciones de la Gerencia de Informática de la Seguridad Social relativas a la gestión, revisión y adecuación de la seguridad de los sistemas de información de la Seguridad Social. La gestión y realización de las actividades de este servicio son responsabilidad del adjudicatario del contrato y la prestación del servicio está basada en los compromisos adquiridos por éste a través de los Acuerdos de Nivel de Servicio detallados en el Anexo T3.10, cuyo incumplimiento derivará en la aplicación de las penalidades prevista en el Pliego de Cláusulas Administrativas Particulares.

4.4.1 ALCANCE En el Anexo T3.1 se detallan las características tecnológicas de los entornos sobre los que se deberán integrar los servicios prestados. El ámbito de actuación de este servicio será:

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Revisiones de seguridad. Auditorías y autoevaluaciones de los sistemas de información (se excluyen los análisis de riesgos).  Proyectos de mejora de la seguridad. Sobre sistemas de información particulares, se trata del impulso de proyectos de análisis y cumplimiento de los requisitos que impone la normativa legal en materia de seguridad.  Análisis inteligente de rastros. Análisis básico y avanzado de rastros de acceso a las bases de datos generados por las aplicaciones y los sistemas informáticos de la Seguridad Social buscando patrones de comportamiento de usuarios y señalando los casos que no cumplen esos patrones y la calidad de los rastros.  Actuaciones de mejora de la seguridad. Sobre sistemas de información concretos, se trata de acciones de análisis de aspectos particulares relacionados con el estado de seguridad. Estas actuaciones obedecen a necesidades puntuales planteadas.  Gestión, mantenimiento y soporte de las infraestructuras de seguridad en general y más en particular en aspectos tales como: o Gestión de la plataforma de seguridad de Internet. o Gestión de las infraestructuras de certificación y firma electrónica (PKI y SIAVAL). o Gestión de la Administración de Seguridad del host (RACF). o Gestión de las incidencias de Infraestructuras de Seguridad. o Análisis y pruebas de la compatibilidad tecnológica de los servicios y aplicaciones de la seguridad social en aquellos aspectos que competen a la seguridad (control de acceso, confidencialidad de las comunicaciones, permisos de ejecución, etc.).  Integración de servicios de seguridad en otros desarrollos: o El análisis, prototipado y pruebas funcionales de aceptación de aplicaciones de seguridad Pros@, Sistemas Abiertos y host. o Proyectos de seguridad. Apoyo al Plan Director de Seguridad. Para la ejecución del Servicio, se solicitarán al adjudicatario peticiones para la realización de los diferentes trabajos que sea necesario con las peculiaridades de cada uno, siendo la GISS la encargada de formalizar las citadas solicitudes a través de los mecanismos establecidos en este pliego. Estas peticiones serán la base para el cálculo de la facturación del servicio. La estimación del volumen anual de trabajos realizados de cada tipología se adjunta en el Anexo T3.6.

4.4.2 HORARIO Y LUGAR DE PRESTACIÓN DE LOS SERVICIOS Con carácter general, la empresa adjudicataria estará a disposición del organismo contratante para dar respuesta a las actividades de seguimiento y control en las que intervengan ambas partes, así como para las solicitudes de soporte en el horario de 8:00 a 20:00, de lunes a jueves, y de 8:00 a 15:00 los viernes. Para la aplicación de este horario se tendrá en cuenta el calendario laboral aplicable a la localidad de Madrid. El adjudicatario garantizará la continuidad del servicio en la franja horaria señalada. Fuera de la franja horaria, las peticiones que se consideren urgentes y así lo señale la GISS se facturarán en un 30% más. Para la realización del resto de actividades encomendadas al servicio, no se establece límite alguno para la realización de las mismas, aunque pueden existir condicionantes operativos derivados de las posibles paradas técnicas de los componentes tecnológicos pertenecientes a las instalaciones del organismo contratante.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Con carácter general, el servicio será proporcionado en locales propios de GISS, sitos en la provincial de Madrid. No obstante, algunos servicios pueden realizarse de manera remota desde un centro de operaciones de seguridad, si así lo propone la empresa y previa autorización del director técnico de la Gerencia. En este caso el coste de la instalación y mantenimiento de la línea de comunicaciones entre la Gerencia de Informática y este centro de operaciones corre a cargo de la empresa contratista. En el caso de ejercer su actividad en la oficina de la Gerencia de Informática, el personal de la empresa contratista ocupará espacios de trabajo diferenciados del que ocupen los empleados públicos.

4.4.3 ORGANIZACIÓN La Gerencia de Informática de la Seguridad Social establecerá el modelo de organización del servicio que se ajuste a sus necesidades. Para la organización del servicio se contará con los Directores Técnicos de GISS y los Responsables del adjudicatario, asistidos por un equipo colaborador, cuya relación se establecerá teniendo en cuenta:  La organización y responsabilidades de GISS.  La organización y responsabilidades del adjudicatario.  El modelo de relación del servicio para la gestión integral de los sistemas de seguridad.  El modelo operativo del servicio para la gestión integral de los sistemas de seguridad. La planificación, dirección y seguimiento de los trabajos se efectuará a partir de las siguientes bases:

Corresponde a la GISS:  Elaborar la cartera de peticiones de trabajo a solicitar al adjudicatario, con las peculiaridades propias de cada tipología de trabajo.  Canalizar los requerimientos necesarios para la ejecución de los trabajos.  El seguimiento y la validación de los trabajos incluidos en las diferentes peticiones.  Proponer las modificaciones oportunas a los mismos o, en su caso, proponer la suspensión de los trabajos si existiese causa suficientemente motivada.  Designar los Directores Técnicos que tendrán, además de las establecidas con carácter general en el Pliego de Cláusulas Administrativas Particulares, en relación con el objeto de la presente modalidad de servicio, las funciones siguientes: o Velar por el cumplimiento de los trabajos exigidos y que se ajusten al nivel de servicio acordado. o Realizar la aceptación o rechazo de dichos trabajos.  Revisión del modelo operativo durante la fase de transición y la final. Corresponde al adjudicatario:  Gestionar el servicio y los integrantes del mismo.  Gestionar la carga de trabajo, según las solicitudes recibidas.  Valorar y ejecutar los trabajos encomendados con la calidad exigida y en los plazos establecidos.  Una vez finalizados las peticiones, facilitar a la unidad peticionaria los entregables definidos en el Anexo T3.5 del presente pliego.  Elaborar los informes de seguimiento que se establezcan.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 El adjudicatario designará uno o varios responsables del modelo de servicio cuyas funciones, además de las establecidas con carácter general en el Pliego de Cláusulas Administrativas Particulares, serán: o Ser la referencia para GISS en la resolución de problemas y gestión del servicio. o Potenciar y mejorar el modelo de servicio, estableciendo los mecanismos necesarios para la mejora continua. o Entender las necesidades de las distintas áreas de GISS con las que interaccione, para adaptarlas al servicio, proporcionando los mecanismos necesarios para dar una respuesta adecuada. o Garantizar el seguimiento de la ejecución de los servicios contratados, asegurando que éstos se completen conforme a los plazos y calidad comprometidos en el ANS. El seguimiento y control del servicio se efectuará sobre las siguientes bases:  Seguimiento continuo de la evolución de la prestación del servicio entre los directores técnicos de GISS y el/los responsables del modelo de servicio.  Los procedimientos y herramientas para llevar a cabo la planificación, seguimiento y control del servicio serán establecidos por GISS.  Reuniones de seguimiento y revisiones técnicas, de los responsables de los equipos de trabajo por parte del adjudicatario y los directores técnicos o personas en quien este delegue.

4.4.4 MODELO DE SERVICIO El modelo de servicio se basa en las siguientes etapas de prestación del mismo que cubrirán la totalidad del contrato: • Transición. • Pleno Servicio. • Devolución / Retorno del Servicio.

Pleno Servicio (Servicio sujeto a ANS) En esta fase se realiza la prestación del servicio, siendo aplicables las penalidades por incumplimiento de los ANS.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Durante esta etapa se incluirán los procedimientos y actividades necesarios para la ejecución y mejora del servicio y se elaborará, entre otros el Plan de Devolución del Servicio. La duración de esta etapa será la fijada en el contrato.

Otras Consideraciones • Gestión del Conocimiento El adjudicatario asegurará una adecuada gestión del conocimiento, de forma que pueda ser utilizado como un recurso disponible para GISS.

• Variaciones de la carga de trabajo Existirá, de común acuerdo, la posibilidad de incrementar / reducir la prestación de los servicios durante un período de tiempo determinado a fin de compensar posibles desequilibrios en la planificación prevista.

• Gestión de la Demanda GISS dispone de una herramienta de Gestión de la Demanda que permite registrar las peticiones de trabajo, así como servir de referencia para el control, seguimiento y facturación del mismo.

• Valoración de los Trabajos Solicitados Una vez finalizados los trabajos solicitados, GISS evaluará la calidad de los mismos de cara a dar su conformidad. Para ello se podrán llevar a cabo las comprobaciones que se considere oportunas sobre todos los entregables definidos en Anexo T3.5.

• No conformidades y Cancelaciones No conformidades: GISS se reservará el derecho a rechazar un trabajo solicitado si considera que no se ajusta a los requisitos solicitados. Si esto ocurre, el trabajo solicitado volverá a la fase de ejecución, debiendo el adjudicatario revisar y, en su caso, resolver los defectos detectados. Cancelaciones: GISS también podrá cancelar la solicitud si considera que no se va a ajustar a sus necesidades. Si esta cancelación se realiza en tiempo de ejecución se deberá calcular el volumen de trabajo desarrollado a facturar en función del grado de avance de la solicitud en el momento de su cancelación.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

• Finalización de las peticiones de trabajo Cada una de las peticiones de trabajo solicitadas estará asociada a una tipología de trabajo concreta. El adjudicatario está obligado a colaborar en el traspaso de conocimiento, facilitando la documentación relacionada sobre esa actividad totalmente actualizada.

4.4.5 MODELO ECONÓMICO DEL SERVICIO El modelo económico de este servicio se basa en la previsión de GISS de solicitar al adjudicatario una carga de trabajo que se corresponderá mensualmente con una ejecución de actividades, bajo los compromisos contractuales de mantenimiento de niveles de servicio adquiridos por el adjudicatario, cuyo incumplimiento implicará la aplicación de penalidades.

Penalidad Las penalidades aplicables en los trabajos acometidos bajo este servicio, se calcularán según se indica en el Pliego de Cláusulas Administrativas Particulares.

Conceptos del modelo económico Se define como unidad de medida del Servicio la Unidad de Trabajo, UT, unidad básica de medida de la producción de un equipo de trabajo tipo para realizar, además de las actividades anteriores, las siguientes: • Interpretación de las necesidades requeridas. • Estimación de los trabajos y su planificación. • Elaboración de los estudios y diseños solicitados. • Documentación de los trabajos realizados. • Presentación de conclusiones y transferencia de conocimiento. • Resolución de dudas y consultas sobre los entregables. • Gestión de la demanda de los trabajos. • Gestión del Servicio.

Las UT tienen dos componentes fundamentales: • Técnico, en el que se tiene en cuenta el esfuerzo técnico para ejecutar un trabajo, • Gestión, en el que se tiene en cuenta el esfuerzo adicional requerido para el control y seguimiento de la actividad, coordinación, comunicación, elaboración de informes y soporte. Dentro de esta actividad de gestión, se incluye: o Documentación de procedimientos El adjudicatario documentará las actividades repetitivas (o procedimientos) que realice, de forma que al menos cada dos meses se compromete a entregar documentación sobre los procedimientos que se realicen:  Una relación de las tareas realizadas con descripción, responsable, plazo límite y detalles o explicaciones.  Una relación detallada de los entregables de cada actividad.  Una descripción de al menos un indicador que se pueden aplicar para medir el trabajo desarrollado por la actividad. Los indicadores incluyen la fórmula de medida, las unidades, el procedimiento de medida, el umbral mínimo y el máximo.  Una relación resumida de las funcionalidades requeridas de las herramientas usadas.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

En el caso de que la GISS ya tuviera esta documentación, el adjudicatario se compromete a actualizarla. o Mejora continua.  El adjudicatario se compromete cada tres meses a proponer medidas de optimización de los procedimientos anteriores (reduciendo los costes o el tiempo o bien aumentando el ámbito o el alcance de los mismos). También se compromete a aplicarlas en el caso de que se acuerde con la GISS. Las peticiones definidas previamente tendrán asociada un número de UTs determinado en función de unos factores que se describen en el Anexo T3.6 del presente pliego. La estimación del volumen anual de trabajos realizados de cada tipología se adjunta en el Anexo T3.6. La UT se utilizará para el cálculo del coste del servicio de acuerdo con las especificaciones del Pliego de Cláusulas Administrativas Particulares. Se considera entrega, la puesta a disposición de GISS, por parte del adjudicatario, del trabajo encargado. Se considera conformidad, la aceptación por parte de GISS de los trabajos realizados.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

5 LOTE 4 – SERVICIO DE SOPORTE A LA GESTIÓN DE LA COMUNICACIÓN

5.1 ALCANCE El alcance de este lote es la contratación de los servicios de soporte a la Gestión de la Comunicación de la Gerencia Informática de la Seguridad Social. En la Gerencia Informática de la Seguridad Social, dentro de las competencias encomendadas, la Oficina de Asistencia Ejecutiva y Comunicación desarrolla funciones de comunicación en los siguientes ámbitos:  Análisis funcional de herramientas de comunicación utilizadas en GISS.  Gestión de canales colaborativos, de difusión y dinamización del conocimiento.  Publicación periódica de contenidos Intranet.  Definición de públicos internos y externos.  Dinamización de redes sociales corporativas.  Diseño y auditoría de acciones de comunicación externa.  Adecuación de la imagen corporativa al marco de la administración pública.  Auditoría de la identidad corporativa  Divulgación interna de la labor de la GISS  Planes de comunicación.  Definición de KPIs.  Explotación de las estadísticas de acceso a la Intranet.  Las funciones anteriores se realizan, en su vertiente estratégica y de alto nivel, con personal propio de la GISS que debe ser complementado con un servicio de apoyo que permita disponer de la asistencia técnica necesaria con el conocimiento de las distintas tendencias del mercado en materia de comunicación, imagen corporativa y redes sociales y de los sistemas existentes en la GISS para definir y coordinar las acciones a realizar. Esta asistencia es el objeto del Servicio de apoyo técnico a la comunicación solicitado en el presente pliego. Por otro lado, para la realización de las funciones anteriores, existen una serie de tareas que se pueden definir en el marco de servicios gestionados y que son los siguientes:  Servicio gestionado de la Comunicación.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

5.2 SERVICIO DE APOYO TÉCNICO A LA COMUNICACIÓN

5.2.1 ALCANCE El Servicio de apoyo técnico a la Comunicación consiste en la realización de los trabajos de asistencia técnica necesarios para dar soporte a las tareas de fomento e impulso de la comunicación interna y externa.

5.2.2 NÚMERO DE RECURSOS POR PERFIL A continuación se muestra una tabla con el número medio de recursos por perfil que se deben presentar, según lo detallado en el Anexo T4.2:

Número de Perfil recursos TSA - Técnico Superior A 1 TSB - Técnico Superior B 1 Total 2

Perfil Cantidad

Técnico Superior de Comunicación A : Consultor de negocio 1 Técnico Superior de Comunicación B: Especialista en administración de 1 contenidos

Por necesidades del servicio, la GISS podrá modificar esta lista inicial de perfiles según los descritos en el Anexo T4.2 con sus costes asociados y respetando el límite económico máximo establecido en el contrato. Para las estimaciones de los distintos periodos de tiempo que se contemplan para la prestación de los servicios de apoyo citados y de sus costes, se ha partido de los supuestos siguientes:

 Jornada de prestación del servicio: 8 horas.  Días: de lunes a viernes, no se contemplan festivos.  Mes: 20 jornadas.

A los exclusivos efectos de cumplimiento de las medidas de seguridad establecidas así como de la facturación de las prestaciones efectuadas por el adjudicatario, se utilizaran los sistemas de control de presencia y accesos instalados en las dependencias utilizadas para la ejecución de los servicios. No obstante, la GISS se encargará de dirigir los trabajos encargados al adjudicatario del contrato y éste será el encargado de controlar la ejecución de los mismos y los tiempos empleados en su realización (productividad asociada).

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

En cualquier caso, las peticiones identificadas como urgentes por GISS, deberán tramitarse dentro de los plazos que se establezcan para este tipo de peticiones, pudiendo dar lugar a la necesidad de realizar trabajos fuera del horario habitual.

5.2.3 CONSTITUCIÓN DEL EQUIPO DE TRABAJO INICIAL La incorporación se realizará a instancias de la Gerencia de Informática de la Seguridad Social, una vez formalizado el contrato. El adjudicatario deberá incorporar, en un plazo máximo de 10 días hábiles desde la fecha de petición, los recursos del equipo inicial que determine la Gerencia de Informática. Por causas justificadas, la GISS podrá solicitar la sustitución del equipo inicial por otros recursos según Anexo T4.2. Los recursos incorporados inicialmente deberán satisfacer los requisitos establecidos por la Gerencia de Informática, cubriendo el número de recursos y destrezas exigidas. De no cumplirse esta condición la empresa adjudicataria deberá modificar la composición de dicho equipo inicial, considerándose, en su caso, las penalidades a que hubiere lugar, tanto por incumplimiento en la incorporación de la parte del equipo inicial, como incumplimiento en el plazo de incorporación. Una vez constituido este equipo inicial (transcurridos 2 meses desde el inicio del contrato), la incorporación del resto de recursos contará con un periodo de 80 horas sin coste, por recurso incorporado, para facilitar su adaptación al entorno y proyecto a desarrollar.

5.2.4 MODIFICACIONES EN LA COMPOSICIÓN DEL EQUIPO DE TRABAJO REQUERIDAS POR LA GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL El director técnico podrá solicitar la incorporación de uno o varios recursos cuando así lo requiera el proyecto, mediante notificación al adjudicatario. Asimismo podrá solicitar los cambios necesarios en el equipo, en caso de ser necesaria la variación del perfil de alguno de los componentes del mismo. La Gerencia de Informática no limita el número de modificaciones que puede solicitar y garantiza el trabajo simultáneo del 60% del equipo. El adjudicatario se compromete a facilitar la incorporación, del recurso o recursos requeridos según los párrafos anteriores, en un plazo máximo de 10 días hábiles. Con carácter general una vez que haya sido incorporado un recurso, su permanencia en el equipo de trabajo será de, como mínimo tres meses salvo que cause baja en la empresa. Se reservará un 2% del número total de jornadas previstas para la realización de trabajos de carácter excepcional y cuya ejecución no tendrá por qué suponer la permanencia del recurso que las realice en el proyecto en el periodo citado (3 meses). En el caso de que alguno de los recursos propuestos por la empresa no se adecue a las necesidades del proyecto, a juicio del Director técnico, se considerará una modificación del equipo de trabajo imputable a la empresa.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

5.2.5 MODIFICACIONES EN EL EQUIPO DE TRABAJO IMPUTABLES A LA EMPRESA La valoración de la calidad de los servicios corresponde al Director Técnico, siendo potestad suya solicitar los cambios necesarios en el equipo de trabajo. Si por causas ajenas a la misma, el adjudicatario del contrato propusiera el cambio de uno de los recursos del equipo de trabajo, se deberá solicitar por escrito con 10 días hábiles de antelación, exponiendo las razones que obligan a la propuesta e indicando la empresa en la que está dado de alta el nuevo recurso, en el caso de que se trate de recursos subcontratados. En su caso, el cambio deberá ser aprobado por el Director Técnico. En el supuesto de que se produzcan sustituciones de recursos del equipo y con objeto de evitar los inconvenientes que se puedan producir en la continuidad del servicio, se subsanará mediante un solapamiento de recursos del equipo sin coste adicional, durante un periodo mínimo de 10 días hábiles. Si esto no fuera posible, por causas imputables a la empresa, se aplicarán las penalidades indicadas en el Pliego de Cláusulas Administrativas Particulares.

5.2.6 HORARIO Y LUGAR DE REALIZACIÓN DE LOS TRABAJOS Los trabajos requeridos por la modalidad de Servicio de apoyo técnico a la Comunicación serán realizados en locales de la Gerencia de Informática de la Seguridad Social, sitas en la provincia de Madrid, o en cualquier otro centro de trabajo que la Gerencia de Informática autorice. Los recursos de la empresa contratista ocuparán espacios de trabajo diferenciados del que ocupen los empleados públicos. El horario en el que la empresa estará a disposición para realizar el servicio, será de lunes a viernes en la franja horaria que disponga la Gerencia de Informática de la Seguridad Social. Con carácter general, salvo que explícitamente se indique otra, se estima una jornada semanal de 40 horas. Adicionalmente, en circunstancias excepcionales y cuando, a criterio de la Gerencia de Informática de la Seguridad Social, la realización efectiva de los servicios no se ajuste a la planificación, el adjudicatario deberá comprometerse a una plena disponibilidad, sin que esto tenga una consideración especial a efectos de cómputo de horas o tarifa aplicable a las mismas. Excepcionalmente, el Director Técnico podrá solicitar la prestación de los servicios fuera de la provincia de Madrid siendo todos los gastos por cuenta de la empresa adjudicataria. En estos casos excepcionales se admitirá el incremento de la tarifa correspondiente, multiplicando el valor de la misma por 1,5, sin que en ningún caso suponga un incremento del precio del contrato.

5.2.7 ORGANIZACIÓN El adjudicatario establecerá uno o varios coordinadores que serán los interlocutores para la GISS a la hora de encargar trabajos bajo esta modalidad de servicio. Igualmente, el coordinador / coordinadores serán los encargados de las siguientes tareas:

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Gestionar y controlar la ejecución de los trabajos encargados por la GISS.  Gestionar los tiempos de realización de los trabajos (productividad).  Gestionar los recursos asignados al servicio.

5.3 SERVICIO GESTIONADO DE LA COMUNICACIÓN El Servicio gestionado de la Comunicación es un modelo de provisión de servicios continuos para desarrollar las actividades encaminadas a la elaboración, medición y divulgación de la comunicación interna y externa de GISS. La gestión y realización de las actividades de este servicios es responsabilidad del adjudicatario del contrato y la prestación del servicio está basada en los compromisos adquiridos por éste a través de los Acuerdos de Nivel de Servicio detallados en el Anexo T4.7, cuyo incumplimiento derivará en la aplicación de las penalidades prevista en el Pliego de Cláusulas Administrativas Particulares

5.3.1 ALCANCE El ámbito de actuación de este servicio será la realización de siguientes trabajos de comunicación, en concreto:  Estudios de diseño gráficos avanzados  Estudios de la marca y su supervisión.  Estudio de los medios de comunicación.  Estudios de gestión de conocimiento.  Estudios de usabilidad y accesibilidad.  Desarrollo de acciones de comunicación.  Soporte a la elaboración de contenidos para trabajos de divulgación y formación. Los entornos tecnológicos actuales implantados en la GISS se encuentran detallados en el Anexo T4.1. A lo largo de la ejecución del servicio y en base a necesidades surgidas durante la ejecución del contrato, se podrán incorporar a dicho detalle todos aquellos entornos o tecnologías solicitados por la GISS. El modelo operativo del Servicio gestionado de comunicación se recoge en el Anexo T4.3. La estimación del volumen anual de trabajos se adjunta en el Anexo T4.4.

5.3.2 HORARIO, LUGAR DE PRESTACIÓN DE LOS SERVICIOS Y DIMENSIONAMIENTO Con carácter general, la empresa adjudicataria estará a disposición del organismo contratante para dar respuesta a las actividades de seguimiento y control en las que intervengan ambas partes, así como para las solicitudes de soporte en el horario de 8:00 a 20:00, de lunes a jueves, y de 8:00 a 15:00 los viernes. Para la aplicación de este horario se tendrá en cuenta el calendario laboral aplicable a la localidad de Madrid. Para la realización del resto de actividades encomendadas al servicio, no se establece límite alguno para la realización de las mismas, aunque pueden existir condicionantes operativos derivados de las posibles paradas técnicas de los componentes tecnológicos pertenecientes a las instalaciones del organismo contratante.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

El servicio gestionado de la Comunicación será proporcionado en locales propios de GISS, sitos en la provincial de Madrid o en cualquier otro centro de trabajo que la Gerencia de Informática autorice. El personal de la empresa contratista ocupará espacios de trabajo diferenciados del que ocupen los empleados públicos. Se establece una dotación mínima presencial requerida, que el adjudicatario deberá asegurar durante todo el horario de prestación del servicio. El adjudicatario deberá disponer en todo momento de una dotación presencial igual o superior a la dotación mínima, ya que es su responsabilidad disponer en cada momento de los recursos necesarios que garanticen el cumplimiento de los ANS establecidos. El equipo de trabajo aportado por el adjudicatario deberá cumplir al 100% la cobertura horaria solicitada y asegurar la dotación presencial del número de recursos mínimos establecidos para el servicio en cualquier momento dentro de la cobertura horaria exigida. La dotación mínima establecida para este servicio es de 2 recursos.

5.3.3 ORGANIZACIÓN La Gerencia de Informática de la Seguridad Social establecerá el modelo de organización del servicio que se ajuste a sus necesidades. Para la organización del servicio se contará con los Directores Técnicos de GISS y el/los Responsables del adjudicatario, asistidos por un equipo colaborador, cuya relación se establecerá teniendo en cuenta:  La organización y responsabilidades de GISS.  La organización y responsabilidades del adjudicatario.  El modelo del Servicio gestionado de Comunicación.  El modelo operativo del Servicio gestionado de Comunicación. La planificación, dirección y seguimiento de los trabajos se efectuará a partir de las siguientes bases:

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

o Ser la referencia para GISS en la resolución de problemas y gestión del servicio. o Potenciar y mejorar el modelo de servicio, estableciendo los mecanismos necesarios para la mejora continua. o Garantizar el seguimiento de la ejecución de los servicios contratados, asegurando que éstos se completen conforme a los plazos y calidad comprometidos en ANS. El seguimiento y control del servicio se efectuará sobre las siguientes bases:  Seguimiento continuo de la evolución de la prestación del servicio entre los directores técnicos de GISS y el/los responsables del modelo de servicio.  Los procedimientos y herramientas para llevar a cabo la planificación, seguimiento y control del servicio serán establecidos por GISS.  Reuniones de seguimiento y revisiones técnicas, de los responsables de los equipos de trabajo por parte del adjudicatario y los directores técnicos o personas en quien este delegue.

5.3.4 MODELO DE SERVICIO El modelo de servicio se basa en las siguientes etapas de prestación del mismo que cubrirán la totalidad del contrato:  Transición.  Pleno Servicio.  Devolución / Retorno del Servicio.

Transición Se establece un periodo de tres meses máximo de duración para esta fase. Tras una primera toma de contacto en la que se definen los interlocutores, se presentan las principales características del servicio a prestar y se lleva a cabo una evaluación de las herramientas que van a utilizarse para la prestación del servicio. El objetivo de esta etapa de transición es que el adjudicatario adquiera un conocimiento mínimo necesario para prestar el servicio con garantías de calidad. Asimismo, se revisan los ANS del modelo y sus características, y se elaboran los planes necesarios para la ejecución del mismo. En esta etapa no serán de aplicación los ANS.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Otras Consideraciones  Gestión del Conocimiento El adjudicatario asegurará una adecuada gestión del conocimiento, de forma que pueda ser utilizado como un recurso disponible para GISS.

MINISTERIO SECRETARIA DE ESTADO DE LA SEGURIDAD SOCIAT DE EMPLEO

Y SEGURIDAD SOCIAL cERENCTA DÉ'i¡FOR¡!|ÁTICA DE tA SEGURIDAD SOC'AL

5.3.5 MoDELo EcoNÓMIco DEL SERVIGIo El modelo económico del Servicio Gestionado se basa en la realización de cada uno de los servicios que los componen y que se describen en este pliego, por un importe máximo anual, que será facturado mensualmente en su correspondiente parte proporcional. El adjudicatario recibirá una carga de trabajo que deberá gestionar según los compromisos contractuales de mantenimiento de niveles de servicio adquiridos por el adjudicatario, y cuyo incumplimiento implicará la aplicación de penalidades sobre la facturación.

Penalidad Las penalidades aplicables en los trabajos acometidos bajo la modalidad del Servicio de Cartera de Proyectos, se calcularán según se indica en el Pliego de Cláusulas Administrativas Particulares así como en el Anexo T2.5. El seguimiento y control del servicio se efectuará sobre las siguientes bases: . Seguimiento continuo de la evolución de la prestación del servicio entre los directores técnicos de GISS y el/los responsables del modelo de serv¡c¡o. . Los procedimientos y herramientas para llevar a cabo la planificación, seguimiento y control del servicio serán establecidos por GISS. . Reuniones de segu¡m¡ento y revisiones técnicas, de los responsables de los equipos de trabajo por parte del adjudicatario y los directores técnicos o personas en quien este delegue. 1/. ¡QF ?¡1Á Madrid. ' EL GERENTE, P.A. LA DIRECTORA DE RR.HH, Y RÉGIMEN INTERIOR, (Resoluc¡ón SESS de 8/6/12)

lsabel Plaza García

60 MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXOS T1. LOTE 1 - SERVICIOS DE SOPORTE A LA INNOVACIÓN

ANEXO T1.1 ENTORNO TECNOLÓGICO El entorno tecnológico en el que se desarrollarán los trabajos objetos de este proceso de contratación no está predefinido, dada la naturaleza cambiante de las tecnologías de la información. En este sentido, podrá requerirse cualquier trabajo relacionado con las diferentes tecnologías de la información y las comunicaciones. Dada la necesidad de integrar las diferentes tecnologías y soluciones que sean objeto de estos trabajos con las existentes en la organización, se relacionan a continuación los principales entornos tecnológicos, físicos y lógicos que conforman los sistemas de información actuales de la Seguridad Social.

Entorno Tecnológico

ENTORNO FÍSICO: Entorno Central Host SERVIDORES: IBM zEC12 en paralell sysplex, con procesadores: CP, zIIP, IFL, ICF. COMUNICACIONES: CTC, Placas OSA, tarjetas Infiniband. Red SAN: Directores de Fibra de Brocade DCX-8510. ALMACENAMIENTO: Cabinas de HDS (VSP). ARCHIVADO Y BACKUP: Sistema de Oracle: VSM5 + VLE. Fibra Oscura interconectando los centros de producción y respaldo a través de equipos AVDA FSP.

Entorno Sistemas Abiertos Servidores basados en procesadores SPARC: SUN VX90, SUN Vx80, SUN Ex50, SUN Blade- T6320 y T4-1B, SUN-T2, SUN-T4, SUN-T5, SUN-T5240, SUN-M4000, SUN-M5000, Fujitsu PrimePower (M1000, 2500, 900), SUN Fire E15K y SF25K, Servidores Windows, Servidores Juniper, Servidores HTTP y HTTPS, LDAP, Servidor FTP/Pasarela SMTP y SEND MAIL, Servidor de DNS, Servidores X86. Sistema operativo Unix SUN Solaris, Foundation Suite de Veritas software de Symantec, Servidores Unix con tecnología Intel (Unixware, Suse Linux, RedHat). Red SAN: Directores de Fibra de CISCO-9513. ALMACENAMIENTO: Cabinas de HDS (VSP, VSP-G1000, HUS-VM). Cabinas de EMC (VNX5600 y VNX7600) bajo appliances de VPLEX. ARCHIVADO Y BACKUP: Appliances de DataDomain y sistema de archivado Centera. Fibra Oscura interconectando los centros de producción y respaldo a través de equipos AVDA FSP. Comunicaciones Equipamiento WAN CISCO routers, Equipamiento LAN Cisco Catalyst, Nexus 7000 con OTV, 5000 y FabricExtender, Balanceadores RADWARE GSLB, Centralitas, MX-One, Equipos de WebCaching Cisco Content Engine, Redes inalámbricas Cisco (APs y WLCs), NAC Cisco ISE, Plataforma de ToIP de Cisco CUCM y Contact Center, Fax over IP Cisco RightFax, Monitorización de red VoIP con NetIQ, LDAP eDirectory, LDAP RACF, ADVA – nodos DWDM, Sistemas de Videoconferencia Cisco.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Entorno Tecnológico Seguridad Firewalls Checkpoint, Firewalls Cisco ASA, NAC Cisco ISE, Concentradores VPN Juniper, RADIUS, Módulos Checkpoint: IPS, URL Filtering y Control Application, McAfee Vulnerability Manager, Sophos anti-virus, proxy Bluecoat.

Movilidad Equipos Ipad, Iphone, Tabletas Android, Tabletas Windows 8 y10, MDM MobileIron.

ENTORNO LÓGICO: Entorno Central Host SO z/OS, IBM (TSO,RACF,VTAM,DB2,CICS, UNIX System Services, WebSphere Application Server, WebSphere MQ, IBM Tivoli Netview for z/OS, IBM Tivoli Sys Automation, IBM Tivoli Decision Support). Shadow Direct SAG ( Adabas/Natural: Adabas Manager Package, Natural Development Server, Natural Engineer, Adabas SOA Gateway, NaturalONE for Eclipse, webMethods Integration Platform Processors, Entire-X). Transferencia de ficheros EDITRAN, Monitores del Sistema: IBM Tivoli OMEGAMON, Planificador de BMC: Control-M, Gestión de la producción: CA-1, CA-Dispatch, CA-Disk, CA-Allocate, CA- Vantage, Gestión del Almacenamiento de HDS: True Copy, HUR, BCM, zHPF, HyperPAV.

Entorno Sistemas Abiertos Sistemas Operativos: S.O. Solaris / Linux, SUSE, Debian, Red Hat, Netware Novell OES, Windows. Aplicaciones de Internet/Intranet: PROS@, protocolos de seguridad, certificados y software PKI, Rational Software Arquitect, Rochade, Aplicaciones Remedy, Sistemas de soporte microinformático y ofimático y herramientas de CRM.

Virtualización: SPARC: Oracle VM for SPARC, Solaris Containers. X86: VMware vSphere, Hyper V, Xen, y gestores de plataformas de virtualización, vCenter, VMware Horizon Suite, vCenter Site Recovery Manager, Virtualización de escritorios y aplicaciones, Sistemas de orquestación de nubes.

Gestión: Symantec Veritas Storage Foundation (DMP, VxFS y Veritas Cluster), Oracle Enterprise Manager Ops Center. Sistemas de gestión de plataformas Blades, RDP, Insight Manager, IBM Flex System Manager, ZenWorks, sistemas de gestión del puesto de trabajo y sistemas de gestión de impresión.

Monitorización: Plataforma de Monitorización: IBM Tivoli Monitoring, TEC, Omnibus, Netview 6000, ITNM, Patrol, y cualquier otro producto necesario para llevar el control y monitorización de los sistemas.

Bases de datos Abiertas/Gestor de contenidos/Gestor Documental: Familia productos Oracle (BBDD Oracle, RAC de Oracle, Warehouse Builder, Oracle Portal, Oracle iAS, Oracle Reports, ESSbase), Servidor de Información TAMINO, Lenguaje SQL / PL – SQL, Microsoft SQL, Oracle

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Entorno Tecnológico UCM, EMC Documentum, IBM Informix, Websphere Content Manager, Teradata, SPSS.

Servidores de aplicaciones y Middleware: Servidores de aplicación IBM WebSphere Application Server, Oracle Internet Application Server, Oracle Weblogic, Apache Tomcat, JRUN, Microsoft Internet Information Server. Servidores web: Oracle Iplanet. Apache HTTP Server. LDAPs, eDirectory, Oracle Virtual Directory. IBM WebSphere Portal Server, IBM WebSphere Connections, Microsoft SNA Server y Microsoft Host Integration Server, Derdack, Vordel, Software AG Service Orchestrator, CentraSite, WebMethods,Juniper Stell Belted Radius.

Comunicaciones TCP/IP, tecnologías LAN/MAN/WAN, seguridad en comunicaciones (VPN, IPsec), Web Caching, DWDM, Tecnologías de integración de voz y datos: VoIP, Telefonía IP (Cisco Call Manager) y Contact Center IP.

Movilidad Aplicaciones IOS, Android, Windows, AirPlay, AirPrint, Novell FILR, Ctera, servidores SCEP.

Microinformática Paquetes ofimáticos, compresores de archivos, lectores de PDF, herramientas de gestión de proyectos, conversores, herramientas de gestión de microinformática.

Todos los entornos

Herramientas de Intercambio de Información: IFI, IFIweb, Servicios Web.

Backup: Symantec Veritas NetBackup con OST y Ops Center, Backup Exec, EMC Data Domain, EMC Centera.

Otras tecnologías: Orchestrator Cross Vision, SIEBEL, ARTEMIS, CAST, COBOL, VISUAL BASIC, C/C++, Entire X, Rational Software Arquitect (RSA) / Rational Application Developer (RDA), Novell extend, SAS, SIAVAL, LDAP,UDDI.

Componentes de Seguridad: Firewall (CISCO ASA, Checkpoint), balanceadores de carga (ALTEON), gestión de claves y de certificados (PKI). NetIQ Identity Manager, SIAVAL, Sistema de Alerta Temprana CCN.

Componentes de Control: Control de accesos interno (Herramienta propietaria SILLOGIN), Control de accesos remotos (JUNIPER, certificados con PKI de nombre ‘SGI’ propia y RADIUS, GetAcces), Servidores de directorios LDAP, pasarelas de correo electrónico, herramientas de detección de intrusos, antivirus y otros sistemas para disminuir amenazas de seguridad. Componentes de control de los servicios de acceso web (Vordel). Herramientas de Desarrollo: Natural, Natural Predict, Natural Predict Case, Entire Network, Cobol, JCL, REXX, JAVA, J2EE, Javascript, JSP, EJB, HTML, XML, XHTML, XSL, XSLT, X-

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Entorno Tecnológico FORMS, SPY, JDBC, Progress Data Direct, Plataforma ECLIPSE, JACADA, JUNIT, Rational Requisite Pro, Rational Software Arquitect, InfoSphere Data Arquitect, Quick Test Pro, BIRT Designer, Desarrollo Sistemas SIEBEL, Software AG Orchestrator, Entire X, Comunicator, Workbench, Artemis, Saint-Report, Saint-Form, Suite Websphere. WSAD/RSA, RDA, Crossvision, Exchange, Herramientas HS (MSD), INVESICRES. Visual Studio .NET, SAS scripting language.

BI y Análisis de datos: Microstrategy, Oracle Siebel Analytics, IBM Cognos Power-play, SAP Business Objects, Oracle Balanced ScoreCard, SAS. Software de aplicación: WebSphere Site Analyzer, WebSphere Edge Server, eDirectory, Changeman, Serena Dimensions, Entornos de impresión con Saint Sid y Saint Form, Entornos de impresión con Actuate y BIRT, Control del consumo de tóner con PretonSaver, Sartido, Sistemas EESSI (Intercambio Electrónico de información de Seguridad Social), Interact ES, MS Exchange directorio activo, Novell ZAV.

Otras Herramientas: Herramientas de control y gestión de proyectos (MS Project, Artemis, etc.).

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T1.2 DESCRIPCIÓN DE PERFILES Requerimientos generales exigidos a las diferentes categorías definidas:

Categoría Requerimientos Pliego TSA Titulado universitario superior en especialidades de las Tecnologías de la Información y de las Comunicaciones (TIC) o Máster en especialidades TIC. Con, al menos, 8 años de experiencia. TSB Titulado universitario superior, medio o de Grado en especialidades de las Tecnologías de la Información y de las Comunicaciones. Con, al menos, 6 años de experiencia. TSC Titulado universitario superior, medio o de Grado en especialidades de las Tecnologías de la Información y de las Comunicaciones. Con, al menos, 4 años de experiencia. TMA Titulado Medio, de Grado o Formación Profesional Superior en especialidades de las Tecnologías de la Información y de las Comunicaciones. Con, al menos, 3 años experiencia. TMB Titulado Medio, de Grado o Formación Profesional Superior en especialidades de las Tecnologías de la Información y de las Comunicaciones. Con, al menos, 2 años experiencia. TMC Titulado Medio, de Grado o Formación Profesional Superior en especialidades de las Tecnologías de la Información y de las Comunicaciones. Con, al menos, 1 año experiencia.

Cualificación específica. Se detallan a continuación los perfiles profesionales que se podrán solicitar así como los conocimientos que éstos deben aportar:

Técnicos de sistemas. Conocimientos genéricos:  Gestión Proyectos.  Definición y Diseño Arquitecturas.  Metodologías de pruebas y técnicas de optimización de aplicaciones y sistemas.  Visión global de las soluciones tecnológicas.  Capacidad para elaboración de documentación escrita de carácter tecnológico.  Habilidades de Comunicación, Negociación, Orientación a Resultados, Planificación, Trabajo en Equipo, redacción y elaboración de informes.  Normas series ISO 9.000, ISO 20.000 e ISO 27.000.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos

Técnico de Sistemas en Nuevas Definición y diseño de arquitecturas de sistemas en Tecnologías Cloud Privada. Definición y diseño de servicios adquiridos mediante el modelo de Cloud Público. Definición y diseño de tecnologías de virtualización de escritorios y aplicaciones. Estudio y análisis de tendencias de mercado tecnológico (movilidad, IoT, firma en la nube..). Estudio y análisis de integración en los sistemas de las nuevas tendencias de mercado tecnológico.

Técnico de Sistemas en Movilidad Definición y diseño de soluciones basadas en tecnologías de movilidad (iOS, Android, Windows 8/10, HTML5,…). Definición y diseño de soluciones basadas en dispositivos móviles (tablets, smartphones, phablets,..). Estudio y análisis de aplicaciones para dispositivos móviles. Estudio y análisis de tendencias en movilidad (BYOD, COPE, Personal Cloud,…). Estudio y análisis de últimas tecnologías aplicadas a la movilidad. Definición y diseño de la gestión de dispositivos móviles. Conocimientos generales en últimas tendencias tecnológicas .

Técnico en Sistemas de Comunicaciones y Definición Estándares y Políticas T.I. Redes Diseño Arquitecturas LAN (Cableadas y Wi-Fi). Diseño de arquitecturas de redes WAN. Diseño de arquitecturas de VPNs. Diseño de arquitecturas de balanceo de carga y tolerancia a fallos. Diseño de arquitecturas CPDs Activo-Activo. Diseño de arquitecturas de firewalls. Diseño de arquitecturas de Telefonía IP. Cisco Prime. Conmutadores Cisco Catalyst/Nexus y Routers Cisco. Concentradores VPN Juniper. Balanceadores Radware. Diseño técnico de ToIP con Cisco CUCM. Diseño técnico de soluciones de Videoconferencia.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos

MPLS. Comunicaciones Unificadas. IP Contact Center. TCP/IP. IPv6.

Técnico en Sistemas de Telefonía IP Definición Estándares y Políticas T.I. Diseño Arquitecturas LAN (Cableadas y Wi-Fi). Diseño de arquitecturas de redes WAN. Diseño de arquitecturas de balanceo de carga y tolerancia a fallos. Diseño de arquitecturas de Telefonía IP. Cisco Prime. Conmutadores Cisco Catalyst/Nexus y Routers Cisco. Diseño técnico de ToIP con Cisco CUCM. Diseño técnico de soluciones de Videoconferencia. MPLS. Comunicaciones Unificadas. IP Contact Center. TCP/IP. IPv6.

Definición y diseño de arquitecturas en tecnología web Técnico de Sistemas Internet Intranet (J2EE, SOA, WEB2.0,...). Experiencia en implantación de aplicaciones de Administración Electrónica. Integración de arquitecturas de sistemas web con arquitecturas de Sistemas Centralizados. Arquitectura de Servidores Web (Iplanet, Apache,...). Arquitectura de Servidores de Aplicaciones (WebSphere, TOMCAT,...). Arquitectura de Gestor de Contenidos (WebSphere Content Manager, Alfresco). Arquitectura de Gestor Documental (Documentum). Integración de sistemas de cacheo de información web. Arquitectura de portales web (WebSphere Portal Server). Arquitectura de PKI y firma electrónica (Corestreet, SIAVAL, SAFECERT).

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos Arquitectura de sistemas de autenticación y autorización de usuarios (getacces, entrust). Arquitectura de sistemas de detección de intrusos. XML, XSL y familia de lenguajes y recomendaciones relacionadas. Monitorización de sistemas y aplicaciones con tecnologías web. Administración y configuración de concentradores de conexiones para el soporte a sistemas de conexiones externas (Juniper).

Definición y diseño de arquitectura de datos. Técnico de Sistemas de Gestión de Información Estructurada y no Estructurada Tecnologías de minería de datos y aplicación de modelos estadísticos para identificación de patrones. Definición y diseño de tecnologías de acceso a datos no SQL. Definición y diseño de tecnologías de Big Data (Hadoop,…) Definición y diseño de arquitecturas de sistemas de soporte a la generación de informes. Conocimiento de sistemas de ETL y ELT (SAS Data Management). Conocimiento de sistemas de Datawarehouse (Teradata) y tratamiento datos MPP. Conocimiento de herramientas de Business Intelligence (Microstrategy). Arquitectura de modelos de analítica y experiencia web. Definición y diseño de arquitectura de gestión de Técnico en Gestión Documental y en contenidos, de conocimiento y documental. Gestión de Contenidos Conocimientos en implantación de herramientas de definición y soporte de flujos de trabajo. Arquitectura de Gestor de Contenidos (WebSphere Content Manager, Alfresco). Arquitectura de Gestor Documental (Documentum) Implantación de gestores de contenidos, de conocimiento y documentales. Integración de los gestores de contenidos con otros sistemas. Modelos de elaboración, contribución y publicación de contenidos de cualquier tipo. Modelos de seguridad asociados a gestores de

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos contenidos y documental.

Experiencia en la definición y diseño de estrategias y Técnico de Normalización de Arquitecturas políticas de divulgación TI. Experiencia en la definición de políticas de normalización y estandarización de productos tecnológicos. Capacidad de analizar y diseñar arquitecturas tecnológicas de soporte a los sistemas de información. Desarrollo de material de las acciones divulgativas: elaboración de newsletters, presentaciones,... Experiencia en definición de procedimientos de estandarización de productos tecnológicos. Experiencia en diseño de Arquitectura de tecnología web (J2EE,SOA , WEB2.0). Experiencia en definición y diseño de Arquitecturas de integración de Sistemas Distribuidos y/o Centralizados, Comunicaciones y Seguridad.

Técnico de Sistemas ZOS Definición y diseño de arquitecturas de la infraestructura hardware sobre el siguiente entorno físico:  Servidores: IBM z/Series zEC12 con procesadores especializados ICF, ZIIP e IFL.  Equipos SAN:, BROCADE DCX 8510. Detallados conocimientos técnicos, de Capacity Planning y Assessment sobre la plataforma mainframe con el siguiente entorno lógico:  Sistema Operativo: z/OS, Parallel Sysplex, RACF, XCF, JES2, HMC, HCD, STP, USS, WLM y zCOST ASC.  Almacenamiento: DFHSMS, DFSMSdfp, DFSMSdss, CA-Disk, CA-1, CA-Allocate, ISMF, ELS, HSC, VTCS, Hitachi TrueCopy, Hitachi Universal Replicator, Hitachi Business Continuity Manager.  Automatización: Netview, System Automation.  Comunicaciones: VTAM, TCP/IP.  Monitorización: RMF, Omegamon y Ca-Vantage.  Planificador: Control-M.

Técnico de Sistemas UNIX Y WINDOWS Arquitectura Sistemas distribuidos. Administración Servidores centralizados. Administración Servidores distribuidos. Tecnologías de virtualización. Operaciones y Administración de Sistemas.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos

Administración de productos de SYMANTEC. Planificador Control-M. Diseño de sistemas de almacenamiento tipo SAN - Storage Area Network. Productos de copia remota para Sistemas Abiertos. Procedimientos de consolidación de aplicaciones. Administración de sistemas de gestión de incidencias (REMEDY). Netbackup Data Center. GetAccess. Windows. Linux, Solaris, Unix, AIX, HP-UX. Volumen Manager Storage Administrador. TIVOLI. Single Sign On.

Técnico de Sistemas UNIX Y LINUX Conocimientos detallados de sistemas operativos distribuidos Solaris y Linux (SuSE, RedHat). Conocimientos detallados de plataformas de virtualización Oracle VM for SPARC, Solaris Containers, VMWare. Conocimientos detallados de software de Cluster Veritas Storage Foundation y SUSE Linux Enterprise High Availability. Diseño de arquitecturas físicas y lógicas de entornos basados en hardware SPARC y X86 y para sistemas operativos Solaris y Linux. Conocimientos detallados de Configuración de herramientas de gestión de sistemas Oracle Enterprise Manager OpsCenter y SuSE Manager. Experiencia en procedimientos de consolidación, renovación y migración de entornos. Gestión y optimización de licencias software. Conocimientos de nuevas tendencias tecnológicas: redes convergentes, sistemas integrados,… Conocimiento de herramientas generación de carga: IOmeter, Filebench,… Conocimiento de administración de BD Oracle 11g, WAS 6.1 y 8.0, Iplanet, Apache y otros servicios de red DNS, NFS,…

Técnico de Sistemas Microinformáticos Arquitecturas Sistemas Distribuidos. Arquitectura Servidores.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos

Tecnologías de gestión remota. Tecnologías de virtualización. Arquitectura de Redes y de Seguridad. Administración Servidores centralizados. Administración Servidores distribuidos. Software PC. Sistemas Windows y sus módulos de seguridad. Netware/OES2. Merlin. .net. GetAccess. Microsoft SO y Microsoft Office. TCP/IP. Funciones @. Exchange. Single Sign On.

Técnico en Tecnologías de Desarrollo Definición y Diseño de Arquitecturas de Desarrollo. Estudio de soluciones tecnológicas. Tecnologías de desarrollo Java y .NET. Sistemas de Gestión de Base de Datos. Monitorización de sistemas y aplicaciones. Definición y Diseño de Arquitecturas para la generación de informes.

Técnico de Sistemas de Almacenamiento y Tendencias tecnológicas en almacenamiento y backup backup/archivado.

Diseño e implementación de arquitecturas de alta disponibilidad, continuidad de negocio, recuperación ante desastres, tecnologías de replicación, copias instantáneas de datos y backup tradicional.

Evolución y migración de infraestructuras de almacenamiento y backup/archivado.

Sistemas de almacenamiento y backup/archivado: Cabinas de almacenamiento de alta gama: HDS VSP, HUS-VM y serie G (400, 600, 800 y 1000). Cabinas de almacenamiento de gama media: HDS AMS, EMC Clariion. Cabinas de archivado: EMC Centera, HDS HCP.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos Tecnologías de backup por SAN y LAN: Veritas NetBackup y OST, EMC DataDomain, Symantec Appliances 52xx, 50xx.

Redes de almacenamiento y backup/archivado o Topología de Redes SAN (FC, FCoE). o Directores FC: Brocade DCX y CISCO MDS. o Topología de Redes LAN de backup. o DWDM. ADVA.

Infraestructuras NAS: HDS HNAS.

Tecnologías de virtualización de almacenamiento: IBM SVC, EMC VPLEX, HDS VSP-G1000.

Software Defined Storage.

Tecnología Flash. All Flash Arrays (AFA).

Técnico de Sistemas de RED de Área Arquitecturas Sistemas Centralizados. Local: Administración Servidores centralizados.

Tecnologías de gestión remota. Gestión y Arquitectura Redes LAN. Administración Redes LAN. Operaciones y Administración de Sistemas. Productos Comunicaciones y Redes. Metodología Seguridad (análisis vulnerabilidades y riesgos). Antivirus. Conmutadores y Routers. Concentrador VPN. TCP / IP. VoIP y ToIP. Monitorización. Firewalls. Netware. Single Sign On. Microsoft Exchange. ZenWorks.

Técnico en seguridad Next Generation Firewalls – Checkpoint, Cisco IDS/IPS (Intrusion Detection System/Intrusion Prevention System). WAF (Web Applications Firewalls).

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos

VPN (Concentradores de redes privadas virtuales) – Juniper. Navegación segura (Proxies) – Bluecoat. Correo seguro (Mail Secure Gateways). Seguridad del puesto ESP (Endpoint Security Platforms). Soluciones anti-APT (Advanced Persistent Threats). SIEM (Security Information and Event Management).

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T1.3 MODELO OPERATIVO DEL SERVICIO DE ESTUDIOS Y DISEÑOS El Servicio de Estudios y Diseños cubre un conjunto de tareas necesarias para la labor de innovación en la Gerencia de Informática de la Seguridad Social. Las tareas que podrán ser requeridas en el marco de este servicio son:  Estudios de mercado. Basándose en las nuevas necesidades que aparezcan en materia de aplicaciones, servicios o sistemas de la Seguridad Social se realizarán estudios técnicos que determinen qué productos o soluciones técnicas se ofrecen en el mercado tecnológico y la adecuación de los mismos a los requisitos técnicos y/o normativos establecidos para GISS o para el conjunto de la AGE.  Estudios de evaluación de sistemas de información y propuesta de mejora. Ante determinadas necesidades detectadas en los sistemas actuales se solicitará el análisis de la situación actual y la entrega de una propuesta de mejora.  Diseño de soluciones y arquitecturas. Incluye los diseños de la arquitectura de las soluciones a implantar de forma integrada con las aplicaciones, servicios y sistemas existentes.  Validación y pruebas de concepto. Se realizarán las evaluaciones, pilotos y pruebas de concepto necesarias para validar los diseños realizados antes de su paso a producción.  Desarrollo de acciones de divulgación de la innovación.  Proyectos de innovación. Independientemente del tipo de tarea requerida en el marco del presente servicio, se define un flujo de trabajo entre la empresa prestadora del servicio y la GISS con los siguientes pasos:  La GISS realizará una petición de inicio de trabajo con los elementos definidos para cada una de los tipos de peticiones a través de los procedimientos y herramientas establecidos en cada caso (herramienta Gedeón, correo electrónico u otros medios habilitados por la GISS).  La empresa prestadora del servicio, llevará a cabo una planificación de la tarea solicitada, que en cualquier caso no podrá exceder los plazos establecidos en el Anexo T4.  La GISS validará y aceptará o rechazará la planificación establecida en función de las fechas propuestas.  Una vez aceptada la planificación, la empresa prestadora del servicio llevará a cabo los trabajos requeridos, según los plazos establecidos.  Durante la realización de los trabajos, se seguirán los protocolos de seguimiento establecidos por la GISS.  Una vez finalizados los trabajos, la empresa prestadora del servicio, facilitará a la GISS todos los entregables definidos en este anexo para la tarea solicitada.  El trabajo realizado será validado por la GISS, siendo éste el mecanismo de aceptación del trabajo. La no aceptación de la actividad, así como el retraso en la entrega de la misma, pueden dar lugar a la imposición de penalidades a la empresa prestadora del servicio, tal y como se establece en el Anexo T4.  Las comunicaciones entre la GISS y la empresa prestadora del servicio se realizarán entre los Directores Técnicos de GISS y los responsables del adjudicatario o personas en quienes deleguen.  Todas las dudas que surjan a lo largo de la realización de la tarea, deberán ser reportadas a la GISS para su aclaración. En los siguientes apartados se especifican las características propias a nivel de entradas y entregables de cada una de las tareas que componen el Servicio de Estudios y Diseños.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

T1.3.1. ESTUDIOS DE MERCADO Descripción La GISS, basándose en las nuevas necesidades o requerimientos que se demanden en la Seguridad Social en materia de tecnologías, aplicaciones, servicios o sistemas propios solicitará la realización de estudios técnicos de las soluciones y tecnologías existentes en el mercado. En el marco de estos estudios también se podrán solicitar análisis de soluciones y aplicativos que permitan identificar los distintos elementos de infraestructura tecnológica que componen su arquitectura.

Entradas/peticiones: La GISS elaborará una petición de estudio que recogerá los siguientes apartados:  Antecedentes. Descripción de la necesidad detectada.  Prospección previa. Opcionalmente, se podrá remitir un resumen de los estudios previos realizados para determinar los productos y soluciones del mercado que pueden dar respuesta a las necesidades detectadas. Este resumen contendrá un listado de productos o soluciones a estudiar por el adjudicatario.  Requisitos funcionales y tecnológicos. Descripción de los condicionantes funcionales o de integración a tener en cuenta en el estudio para el análisis de viabilidad.  Fecha. Fecha necesaria para la recepción del estudio.

Entregables: La empresa adjudicataria, una vez recibida la petición, deberá responder con una planificación de tiempos detallada y del alcance del estudio a realizar. Esta planificación deberá tener en cuenta los plazos definidos en el Anexo T4 de este pliego. Se establecerán reuniones de seguimiento de los trabajos con entregas parciales de los avances realizados. Antes de la finalización del plazo de entrega del estudio, la empresa adjudicataria deberá entregar un informe que contendrá, con carácter general y salvo que en la petición se defina otro alcance, los siguientes aspectos:  Resumen ejecutivo.  Estudio general del posicionamiento en mercado de las soluciones similares a las analizadas y volumen de instalaciones de cada solución.  Estudio de mercado de cada solución incluyendo: o Descripción general de las empresas fabricantes de los componentes del producto, solución que incluya al menos: . Nacionalidad y sedes. . Número de empleados y facturación en los últimos cinco años. . Descripción de las líneas de negocio de las compañías y de los productos de cada línea. o Descripción de la solución incluyendo: . Descripción general y encaje en la línea de negocio concreta de las compañías fabricantes de la misma.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

. Descripción funcional considerando especialmente los requisitos funcionales establecidos por la GISS en su petición. . Relación de componentes identificados y detalle técnico de cada elemento de la solución identificado. . Descripción de los requisitos técnicos (hardware, software base y servicios de integración necesarios). . Análisis de compatibilidad e impacto con los requisitos tecnológicos establecidos por la GISS en su petición. . Estudio de costes incluyendo:  Costes de las plataformas hardware necesarias.  Modo de licenciamiento software y costes de las licencias.  Estudio TCO a cinco años de la solución.  Comparativa de las distintas soluciones estudiadas: o Análisis DAFO de cada uno de los productos o soluciones estudiados desde la perspectiva de los requisitos funcionales y tecnológicos establecidos por la GISS en su petición. o Comparativa económica de los TCO de los distintos productos o soluciones estudiados. o Conclusiones y recomendaciones.  Fuentes utilizadas en el estudio con referencia a los documentos y fuentes utilizados. Las fuentes deberá ser al menos 3 diferentes para cada producto o solución y al menos dos de ellas deberán ser independientes del fabricante. Adicionalmente al informe descrito y tras su entrega, la empresa prestataria del servicio deberá entregar una presentación del estudio realizado y sus conclusiones que expondrá en dependencias de la GISS. La fecha de esta presentación será acordada entre la GISS y la empresa prestataria del servicio y podrá realizarse desde el día siguiente a la entrega del informe. Este plazo sólo podrá ampliarse bajo petición de la GISS. Como parte del servicio, la empresa prestataria deberá atender las consultas que la GISS realice en lo relativo al estudio realizado.

Tipología Las tareas de estudios técnicos englobadas en el presente servicio se tipificarán de forma general de la siguiente forma:  Estudios de mercado básicos. Serán considerados estudios básicos aquellos que incluyan el análisis de mercado de hasta un máximo de 3 soluciones a analizar.  Estudios de mercado medios. Serán considerados estudios avanzados aquellos que incluyan el análisis de mercado de 4 o 5 soluciones a analizar.  Estudios de mercado avanzados. Serán considerados estudios avanzados aquellos que incluyan el análisis de mercado de 6 a o más soluciones a analizar. Particularmente, la GISS podrá determinar en base a ciertos parámetros, la necesidad de clasificar un trabajo con una tipología distinta a la que le correspondería en base a los criterios anteriores. Esta clasificación podrá estar determinada por los siguientes parámetros:  Grado de madurez de la tecnología.  Complejidad de las soluciones a estudiar.  Grado de conocimiento previo ya existente en la GISS sobre las soluciones estudiadas.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

T1.3.2. ESTUDIOS DE EVALUACIÓN Y MEJORA Descripción En base a la detección de aspectos de mejora, cambios normativos, posibilidades de optimización, etc., la GISS podrá solicitar estudios que evalúen una solución o arquitectura tecnológica para proponer su mejora y optimización.

Entradas/peticiones: La GISS elaborará una petición de estudio que recogerá los siguientes apartados:  Antecedentes. Descripción general de las necesidades de mejora identificadas.  Entorno. Descripción general del entorno tecnológico de las aplicaciones, servicios y sistemas de la GISS en donde se deben realizar los estudios de evaluación y mejora.  Fecha. Fecha necesaria para la recepción del estudio.

Entregables: La empresa adjudicataria, una vez recibida la petición, deberá responder con una planificación de tiempos detallada y del alcance del estudio a realizar. Esta planificación deberá tener en cuenta los plazos definidos en Anexo T4 de este pliego. Se establecerán reuniones de seguimiento de los trabajos con entregas parciales de los avances realizados. Antes de la finalización del plazo de entrega del estudio, la empresa adjudicataria deberá entregar un informe que contendrá, con carácter general y salvo que en la petición se defina otro alcance, los siguientes aspectos:  Resumen ejecutivo.  Estudio de las necesidades o aspectos de mejora identificados así como de otros que puedan detectarse a lo largo del estudio.  Análisis de la situación actual en base a las arquitecturas y soluciones existentes.  Propuestas de mejora incluyendo arquitectura a alto nivel, requisitos funcionales y de sistemas y viabilidad técnica y/o económica.  Fuentes utilizadas en el estudio con referencia a los documentos y fuentes utilizados.  Estimación de costes de la mejora propuesta. Adicionalmente al informe descrito y tras su entrega, la empresa prestataria del servicio deberá entregar una presentación del estudio realizado y sus conclusiones que expondrá en dependencias de la GISS. La fecha de esta presentación será acordada entre la GISS y la empresa prestataria del servicio y podrá realizarse desde el día siguiente a la entrega del informe. Este plazo sólo podrá ampliarse bajo petición de la GISS. Como parte del servicio, la empresa prestataria deberá atender las consultas que la GISS realice en lo relativo al estudio realizado.

Tipología Las tareas de estudios técnicos englobadas en el presente servicio se tipificarán de la siguiente forma:

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Estudios de evaluación y mejora básicos. Aquellos estudios que requieren analizar la integración en un máximo de tres entornos.  Estudios de evaluación y mejora intermedios. Aquellos estudios que requieren analizar la integración cuatro o cinco entornos.  Estudios de evaluación y mejora avanzados. Aquellos estudios que requieren analizar la integración en seis o más entornos. A los efectos de determinar el número de entornos implicados en la solución se considerarán los siguientes:  Sistemas mainframe (Host) incluyendo sistemas de almacenamiento y back-up asociados.  Sistemas abiertos Solaris.  Sistemas abiertos Linux o Windows.  Almacenamiento y back-up.  Redes de comunicaciones (LAN, WAN y WiFi).  Acceso remoto (VPN…).  Entornos web Internet.  Entornos web Intranet.  Microinformática (puestos de trabajo, windows, movilidad…).  Sistemas de gestión y monitorización.  Seguridad perimetral. Particularmente, la GISS podrá determinar en base a ciertos parámetros, la necesidad de clasificar un trabajo con una tipología distinta a la que le correspondería en base a los criterios anteriores. Esta clasificación podrá estar determinada por los siguientes parámetros:  Grado de madurez de la tecnología.  Complejidad de las soluciones a estudiar.  Grado de conocimiento previo ya existente en la GISS sobre las soluciones estudiadas.

T1.3.3. DISEÑOS Descripción De los estudios técnicos de tecnologías, productos o soluciones se podrá concluir una primera selección de interés para su aplicación en el ámbito de la Gerencia de Informática de la Seguridad Social. De cara a profundizar en el estudio de la aplicabilidad de estas tecnologías, soluciones o productos es necesario realizar una primera propuesta de diseño a alto nivel que incorpore los requisitos funcionales y los condicionantes tecnológicos propios de la Gerencia de Informática de la Seguridad Social.

Entradas/peticiones: La GISS elaborará una petición de propuesta de diseño que contendrá:  Antecedentes. Descripción de la necesidad detectada, de la prospección de soluciones y productos realizada por la GISS si la hubiera y del estudio técnico detallado generado si lo hubiere.  Requisitos de alto nivel para la propuesta de diseño que podrá incluir: o Requisitos funcionales a cubrir. o Requisitos técnicos de integración con los sistemas de la GISS.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

o Requisitos de normalización a cumplir por la propuesta de diseño. o Requisitos de capacidad y dimensionado.  Descripción de los entornos implicados por la solución.  Fecha. Fecha necesaria para la recepción del diseño.

Entregables: La empresa prestadora del servicio, una vez recibida la petición, deberá responder con una planificación de tiempos detallada de la propuesta de diseño a realizar. Esta planificación deberá tener en cuenta los plazos definidos en el Anexo T4 de este pliego. Se establecerán reuniones de seguimiento de los trabajos con entregas parciales de los avances realizados. Antes de la finalización del plazo de entrega del estudio, la empresa adjudicataria deberá entregar un informe de la propuesta de diseño que contendrá, con carácter general y salvo que en la petición se defina otro alcance, los siguientes aspectos:  Resumen ejecutivo.  Arquitectura de alto nivel de la solución incluyendo: o Descripción de los elementos que la conforman (describiendo hardware y software). o Descripciones de las interfaces entre los distintos elementos (protocolos y mensajes). o Descripción del funcionamiento de los distintos casos de uso.  Detalle del cumplimiento de los requisitos con el diseño propuesto: o Funcionales. o Tecnológicos. o De Integración. o De normalización. o De capacidad.  Análisis de impacto en las arquitecturas y plataformas existentes en la GISS desglosando el impacto y nuevas necesidades que se deriven en: o Sistemas mainframe. o Sistemas abiertos. o Almacenamiento. o Comunicaciones. o Estándares normalizados.  Propuesta de pilotos para evaluar el diseño desarrollado, incluyendo: o Descripción del entorno. o Plan de pruebas funcionales, de sistema y de integración. Adicionalmente al informe descrito y tras su entrega, la empresa prestataria del servicio deberá entregar una presentación del trabajo realizado y sus conclusiones que expondrá en dependencias de la GISS. La fecha de esta presentación será acordada entre la GISS y la empresa prestataria del servicio y podrá realizarse desde el día siguiente a la entrega del informe. Este plazo sólo podrá ampliarse bajo petición de la GISS. Como parte del servicio, la empresa prestataria deberá atender las consultas que la GISS realice en lo relativo al diseño realizado.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Tipología Las tareas de diseños englobadas en este servicio se tipificarán de la siguiente forma:  Diseños básicos. Aquellos que incluyan un máximo de tres entornos.  Diseños medios. Aquellos que incluyan más de cuatro o cinco entornos.  Diseños avanzados. Aquellos que incluyan seis o más entornos. A los efectos de determinar el número de entornos implicados en la solución se considerarán los siguientes:  Sistemas mainframe (Host) incluyendo sistemas de almacenamiento y back-up asociados.  Sistemas abiertos Solaris.  Sistemas abiertos Linux o Windows.  Almacenamiento y back-up.  Redes de comunicaciones (LAN, WAN y WiFi).  Acceso remoto (VPN…).  Entornos web Internet.  Entornos web Intranet.  Microinformática (puestos de trabajo, windows, movilidad…).  Sistemas de gestión y monitorización.  Seguridad perimetral. Particularmente, la GISS podrá determinar en base a ciertos parámetros, la necesidad de clasificar un trabajo con una tipología distinta a la que le correspondería en base a los criterios anteriores. Esta clasificación podrá estar determinada por los siguientes parámetros:  Grado de madurez de la tecnología.  Complejidad de las soluciones a estudiar.  Grado de conocimiento previo ya existente en la GISS sobre las soluciones estudiadas.

T1.3.4 VALIDACIONES TÉCNICAS Descripción Los diseños y estudios realizados podrán requerir la evaluación en entornos de prueba (pilotos, pruebas de concepto, etc.) que serán prestados en el marco del servicio aquí descrito.

Entradas/peticiones: La GISS elaborará una petición de validación técnica que incluirá:  Antecedentes. Descripción de la necesidad detectada y de los estudios realizados.  Elementos que se desean probar, diseño descriptivo a alto nivel de la solución o funcionalidades e integraciones a validar.  Fechas. Fechas necesaria para la recepción del informe de validación.

Entregables: La empresa adjudicataria, una vez recibida la petición, deberá responder con una planificación de tiempos detallada de los trabajos a realizar. Esta planificación deberá tener en cuenta los plazos definidos en el Anexo T4 de este pliego.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Se establecerán reuniones de seguimiento de los trabajos con entregas parciales de los avances realizados. Los trabajos incluirán:  Redacción de un plan de pruebas detallado con: o Descripción del entorno. o Plan general de pruebas funcionales, de sistema y de integración.  Inventario de las necesidades: hardware en su caso, software en forma de licencia (de prueba, temporal,…), conectividad, etc. Este inventario se entregará en la primera reunión de seguimiento y la GISS realizará las gestiones con los fabricantes para su suministro o puesta a disposición. El entorno de pruebas se podrá crear en el laboratorio de la GISS. El plazo de creación de este entorno por parte de la GISS no se contabilizará a la hora de determinar el plazo de ejecución del trabajo por parte de la empresa prestataria del servicio.  Realización del plan de pruebas con supervisión directa de la GISS. Estas pruebas podrán realizarse con la colaboración de fabricantes, integradores, etc., siempre bajo supervisión y aprobación previa por parte de la GISS.  Elaboración de un informe final de pruebas que incluya: o Resumen ejecutivo. o Descripción técnica del entorno de pruebas finalmente implantado. o Detalle de los resultados del plan de pruebas efectuado. . Funcionales. . Tecnológicos. . De Integración. o Detalle de las pruebas cuyo resultado haya sido negativo con explicación justificada de las dificultades encontradas y alternativas propuestas. o Modificaciones al diseño de bajo nivel propuestas como consecuencia de las pruebas realizadas. o Anexo con las configuraciones de todos los elementos utilizados en las pruebas. Adicionalmente al informe descrito y tras su entrega, la empresa prestataria del servicio deberá entregar una presentación del trabajo realizado y sus conclusiones que expondrá en dependencias de la GISS. La fecha de esta presentación será acordada entre la GISS y la empresa prestataria del servicio y podrá realizarse desde el día siguiente a la entrega del informe. Este plazo sólo podrá ampliarse bajo petición de la GISS. Como parte del servicio, la empresa prestataria deberá atender las consultas que la GISS realice en lo relativo a la petición.

Tipología: Las tareas englobadas en este servicio se tipificarán de la siguiente forma:  Validaciones básicas. Aquellas que incluyan un máximo de tres entornos.  Validaciones medias. Aquellas que incluyan cuatro o cinco entornos.  Validaciones avanzadas. Aquellas que incluyan más de cinco entornos A los efectos de determinar el número de entornos implicados en la solución se considerarán los siguientes:  Sistemas mainframe (Host) incluyendo sistemas de almacenamiento y back-up asociados.  Sistemas abiertos Solaris.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Sistemas abiertos Linux o Windows.  Almacenamiento y back-up.  Redes de comunicaciones (LAN, WAN y WiFi).  Acceso remoto (VPN…).  Entornos web Internet.  Entornos web Intranet.  Microinformática (puestos de trabajo, windows, movilidad…).  Sistemas de gestión y monitorización.  Seguridad perimetral. Particularmente, la GISS podrá determinar en base a ciertos parámetros, la necesidad de clasificar un trabajo con una tipología distinta a la que le correspondería en base a los criterios anteriores. Esta clasificación podrá estar determinada por los siguientes parámetros:  Grado de madurez de la tecnología.  Complejidad de las soluciones a estudiar.  Grado de conocimiento previo ya existente en la GISS sobre las soluciones estudiadas.

T1.3.5. DESARROLLO DE ACCIONES DE DIVULGACIÓN DE LA INNOVACIÓN Descripción La GISS dentro de su estrategia de divulgación y fomento de la innovación podrá solicitar la colaboración de servicios externos para el desarrollo de actividades de fomento, divulgación y comunicación de la innovación. Estas tareas podrán englobar:  Elaboración de presentaciones de estudios y trabajos enfocadas a objetivos y audiencias concretos.  Boletines y publicaciones sobre líneas de trabajo, estudios, proyectos, etc.  Consultoría sobre metodologías y tecnologías para la divulgación de líneas de innovación.

Entradas/peticiones La GISS elaborará una petición que contendrá:  Antecedentes. Descripción de la necesidad detectada y contexto de la solicitud.  Requisitos de la acción de divulgación.  Fechas. Fechas necesaria para la recepción de los trabajos.

Propuesta de la empresa adjudicataria: La empresa adjudicataria, una vez recibida la petición por parte de la GISS, deberá responder con una planificación de tiempos detallada de los trabajos a realizar. Esta planificación deberá tener en cuenta los plazos definidos en el Anexo T4 de este pliego. Se establecerán reuniones de seguimiento de los trabajos con entregas parciales de los avances realizados. Los trabajos incluirán todos los conceptos solicitados por la GISS en el apartado “requisitos de la acción” de la solicitud.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Tipología de los trabajos Sólo se considerará una tipología para estas peticiones: Acción de divulgación.

T1.3.6. DESARROLLO DE PROYECTOS DE INNOVACIÓN La constante evolución tecnológica y de negocio hace que a lo largo de la vigencia del contrato aparezcan necesidades que puedan no estar incluidas en el tipo de peticiones identificadas. Este tipo de necesidades no identificadas se abordarán como proyectos de innovación ad-hoc y podrán cubrir diversos aspectos innovadores y podrán incluir desde estudios teóricos hasta implantaciones prácticas. Los proyectos deberán tener un alcance delimitado y el conjunto de tareas englobadas en el mismo deberán poder considerarse como una unidad coherente.

Entradas/peticiones La GISS elaborará una petición de propuesta de proyecto que incluya:  Antecedentes.  Descripción de la necesidad y objetivos identificados.  Descripción de los entornos de negocio y/o tecnológicos existentes que se puedan incluir en el ámbito del proyecto.  Requisitos funcionales, de sistema, de integración, etc.  Alcance del proyecto incluyendo fases, tareas y/o actividades identificadas que se deben cubrir.  Fecha. Fecha necesaria para la realización del trabajo.

Entregables: Antes de la finalización del plazo de entrega, la empresa adjudicataria deberá realizar todas las fases, tareas y actividades identificadas en la petición de la GISS. Adicionalmente a los trabajos realizados y tras su finalización, la empresa prestataria del servicio deberá entregar una presentación del proyecto que expondrá en una sesión en dependencias de la GISS donde se describan los trabajos realizados y las conclusiones. La fecha de esta presentación será acordada entre la GISS y la empresa prestataria del servicio. Como parte del servicio, la empresa prestataria deberá atender las consultas que la GISS realice en lo relativo a la petición.

Tipología Para este tipo de peticiones sólo se identificará un tipo: Proyectos de innovación. El presupuesto de este tipo de trabajos se determinará en unidades de trabajo y según los parámetros que se detallan a continuación. La petición será evaluada a priori por la GISS en base a los siguientes parámetros.  Complejidad: o Un proyecto será de complejidad alta cuando requiera integraciones con sistemas existentes y la solución técnica conste de varios componentes a nivel funcional.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

o Un proyecto será de complejidad media cuando requiera integraciones con sistemas existentes o la solución técnica conste de varios componentes a nivel funcional. o Un proyecto será de complejidad baja cuando no requiera integraciones con sistemas existentes y la solución técnica conste de un único componente a nivel funcional.  Grado de innovación tecnológica o Un proyecto será de innovación tecnológica alta cuando las tecnologías necesarias están en una fase incipiente del estado del arte. o Un proyecto será de innovación tecnológica media cuando las tecnologías necesarias están en una fase inicial de madurez. o Un proyecto será de innovación tecnológica baja cuando las tecnologías necesarias hayan alcanzado un estado de madurez tecnológica.  Plazo de ejecución estimado o Un proyecto será de plazo de ejecución bajo cuando se estime su finalización en un período igual o menor a dos meses. o Un proyecto será de plazo de ejecución medio cuando se estime su finalización en un período de entre dos y cuatro meses. o Un proyecto será de plazo de ejecución alto cuando se estime su finalización en un período de entre cinco y seis meses. Conforme a la evaluación previa de la petición realizada conforme a los parámetros descritos, el presupuesto en unidades de trabajo se obtendrá aplicando la siguiente tabla:

PARÁMETRO BAJO MEDIO ALTO Complejidad 100 U.T. 250 U.T. 400 U.T. Grado de innovación tecnológica 100 U.T. 200 U.T. 400 U.T. Plazo de ejecución 350 U.T. 700 U.T. 1.000 U.T. A continuación se muestran dos ejemplos a título ilustrativo para la mejor comprensión del modelo:  Un proyecto calificado como de complejidad media (250 U.T.), grado de innovación tecnológica bajo (100 U.T.) y plazo de ejecución bajo (350 U.T.) tendría un presupuesto total de: 700 U.T.  Un proyecto calificado como de complejidad baja (100 U.T.), grado de innovación tecnológica alto (400 U.T.) y plazo de ejecución alto (1.000 U.T.) tendría un presupuesto total de: 1.500 U.T.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T1.4 MODELO DE VALORACIÓN DE LOS TRABAJOS DEL SERVICIO DE ESTUDIOS Y DISEÑOS Un modelo de valoración permite establecer un punto de referencia respecto al que comparar el rendimiento y la productividad de los diferentes trabajos o productos en curso con el fin de medir el alcance de los mismos y aplicar acciones que mejoren progresivamente la calidad de las actividades. Se define como unidad de medida del Servicio la Unidad de Trabajo, UT, unidad básica de medida de la producción de un equipo de trabajo tipo para realizar las siguientes actividades: • Interpretación de las necesidades requeridas. • Estudio del entorno tecnológico y funcional. • Estimación de los trabajos y su planificación. • Elaboración de la propuesta. • Elaboración de los estudios y diseños solicitados. • Ejecución de los trabajos comprometidos en la propuesta. • Documentación de los trabajos realizados. • Presentación de conclusiones y transferencia de conocimiento. • Resolución de dudas y consultas sobre los entregables. • Gestión de la demanda de los trabajos. • Gestión del Servicio. Las UT tienen dos componentes fundamentales: • Técnico, en el que se tiene en cuenta el esfuerzo técnico para ejecutar un trabajo, • Gestión, en el que se tiene en cuenta el esfuerzo adicional requerido para el control y seguimiento de la actividad, coordinación, comunicación, elaboración de informes y soporte. Para las peticiones de estudios y diseños definidas en el Servicio de Estudios y Diseños, se define la Unidad de Trabajo (UT) en función de las tipologías de trabajos establecidas en la definición del servicio y que se puede ver en la tabla posterior. En la misma tabla también se muestra una estimación del volumen anual de trabajos realizados de cada tipología:

PETICIONES U.T. POR U.T. TIPO DE PETICIÓN AL AÑO PETICIÓN TOTALES Estudio de mercado básico 7 200 1.400 Estudio de mercado medio 6 400 2.400 Estudio de mercado avanzado 2 600 1.200 Estudio de evaluación y mejora básico 2 175 350 Estudio de evaluación y mejora medio 1 300 300 Estudio de evaluación y mejora avanzado 1 450 450 Diseño básico 2 275 550 Diseño medio 4 550 2.200 Diseño avanzado 2 825 1.650 Validación técnica básica 2 185 370 Validación técnica media 1 320 320 Validación técnica avanzada 2 480 960 Acción de divulgación 10 50 500 Proyecto de innovación Nota 1 2.125 TOTAL 14.775

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Nota 1.- Dado el carácter de la tipología de trabajo “Proyecto de Innovación” se ha estimado un volumen total de unidades de trabajo a solicitar para este tipo, sin poder determinarse a priori el número de peticiones ni las unidades de trabajo que supondrá cada petición. El coste en unidades de trabajo para este tipo de peticiones se definirá en cada caso según lo establecido en el Anexo T1.3 (apartado T1.3.6).

Los datos anteriores sobre el volumen de trabajos son orientativos y, en cualquier caso, la GISS podrá solicitar los trabajos necesarios de cualquiera de las tipologías, siempre dentro del límite presupuestario máximo establecido en el contrato.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T1.5 ACUERDO DE NIVEL DE SERVICIO (ANS) DEL SERVICIO DE ESTUDIOS Y DISEÑOS Los Acuerdos de Nivel de Servicio (ANS) definen los indicadores y compromisos del servicio y determinan la calidad del trabajo efectuado. Para una mejor comprensión de los ANS ser realizan a continuación una serie de definiciones básicas.

T1.5.1 DEFINICIONES A continuación, se definen brevemente los parámetros más relevantes en relación a los tiempos de estimación/presentación de la propuesta y la ejecución de trabajos:  Tiempo de estimación/presentación de la propuesta: tiempo desde que se tramita una petición hasta que el adjudicatario comunica la estimación y planificación (fecha de inicio y fecha de fin previstas) para su revisión o presenta una propuesta de servicio y su aprobación o rechazo por parte de GISS. La petición pasa de “Tramitada” a “Estimada”.  Tiempo de resolución: Tiempo desde la fecha de inicio prevista en la planificación aprobada hasta que el trabajo se finaliza. La petición pasa a estado “Trabajo finalizado” Es importante resaltar el hecho de que, en caso de una no conformidad por parte de la GISS a una petición resuelta, la petición volverá al estado “En ejecución” y el plazo adicional que el prestador del servicio necesite hasta que dicha petición alcance el estado “Trabajo finalizado” se computará a efectos de cálculo del tiempo de resolución. Esto es aplicable igualmente a las posibles no conformidades sucesivas.

T1.5.2. PLAZOS El tiempo de estimación/presentación de la propuesta es el máximo período de tiempo que puede transcurrir desde que una petición se tramita hasta que se comunica la estimación y planificación del trabajo. Se trata de un valor fijo en función del tipo de petición. Marca el tiempo de respuesta para la estimación y planificación de la tarea. El tiempo de resolución es el máximo período de tiempo que puede transcurrir desde la fecha de inicio prevista, de una petición cuya planificación ha sido aprobada por la GISS hasta que el equipo de la empresa prestataria del servicio finaliza el trabajo, plazos recogidos en la tabla que se muestra a continuación.

Los valores prefijados se muestran a continuación:

TIPO DE PETICIÓN Tiempo de estimación Tiempo de resolución Estudio de mercado básico 1 semana 4 semanas Estudio de mercado medio 1 semana 8 semanas Estudio de mercado avanzado 2 semanas 12 semanas Estudio de evaluación y mejora básico 1 semana 3 semanas Estudio de evaluación y mejora medio 1 semana 6 semanas Estudio de evaluación y mejora avanzado 2 semanas 9 semanas

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Diseño básico 1 semana 4 semanas Diseño medio 1 semana 8 semanas Diseño avanzado 2 semanas 12 semanas Validación técnica básica 1 semana 3 semanas Validación técnica media 1 semana 6 semanas Validación técnica avanzada 2 semanas 9 semanas Acción de divulgación 1 semana 2 semanas Proyecto de innovación con plazo de 2 semanas 2 meses ejecución bajo Proyecto de innovación con plazo de 2 semanas 4 meses ejecución medio Proyecto de innovación con plazo de 2 semanas 6 meses ejecución alto

Los plazos indicados en la tabla anterior se consideran plazos estándar a aplicar a todas las peticiones estándar. La GISS podrá determinar que una tarea es urgente por motivos de importancia, criticidad u otros. Para las tareas que se tipifiquen como urgentes, la GISS podrá exigir una reducción en los plazos estándar de hasta el 50%. En cualquier caso el número de peticiones urgentes no podrá exceder el 20% del total de peticiones en el periodo de un año. Un trabajo se considerará finalizado, cuando la GISS determine que los entregables satisfacen los requisitos establecidos en la definición del servicio para la tipología de trabajo realizada.

T1.5.3. DEFINICIÓN DEL ANS Los ANS son indicadores que miden el nivel de servicio prestado por el contratista frente al compromiso adquirido contractualmente con GISS. En caso de que estos indicadores no alcancen los requerimientos acordados, el contratista incurrirá en una penalidad, que se calculará y aplicará de acuerdo al procedimiento y condiciones descritos más adelante. El valor de cada ANS se calcula en función del porcentaje de cumplimiento o incumplimiento del indicador. Cada ANS tiene asignado un peso, y cada rango de porcentaje de cumplimiento o incumplimiento tiene asignado un ratio. La combinación de ambos establece el valor del ANS según las tablas asignadas a cada uno y que se detallan a continuación.

T1.5.4. CÁLCULO DEL ANS Y PENALIDADES En este apartado, se introducen los conceptos que, posteriormente, se utilizarán cuando se describan en detalle los ANS incluidos en este servicio. En primer lugar, se define el coeficiente de penalidad “P”, de la siguiente forma:

P = Σ Pi*Wi = Σ (Rci(v))*Wi Donde:  Pi es el coeficiente de penalidad asociado a cada ANS.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 “Rci(v)” es el ratio de cumplimiento, que informa del grado de valor alcanzado en relación con el objetivo inicialmente fijado en el ANS. Si, por ejemplo, su valor fuera menor o igual que cero, indicaría que la métrica se ha ajustado a los ANS, al encontrarse entre los límites aceptados, indicando los valores negativos unos resultados óptimos. Para el cálculo del ratio de cumplimiento se tienen en cuenta las tablas de ANS propias de cada indicador, dónde el valor “v” se calcula como v=(A/B)*100. Siendo “A” el total de peticiones del tipo al que se refiera el ANS que lo cumplen, y “B” el total de peticiones del tipo considerado en el ANS.  “Wi” es el peso de cada ANS, valor que refleja la importancia relativa que damos a cada ANS con respecto a los demás. Una vez obtenido el coeficiente de penalidad “P”, se aplicará la penalidad sobre el total facturado en el periodo de medición de los ANS, descontándose en la certificación que el Director Técnico determine. Los valores de los ANS son acumulativos en el trimestre de medición, desde el inicio hasta el fin del mismo. En caso de que haya un valor de “Pi” negativo, éste podría compensar los valores positivos de otros, pero no implicará la existencia de una bonificación en ningún caso. En la siguiente lista, se muestran los ANS del servicio:  ANS1: Peticiones de estudios de mercado.  ANS2 Peticiones de estudios de evaluación y mejora.  ANS3: Peticiones de diseño.  ANS4: Peticiones de validaciones técnicas.  ANS5: Peticiones de acciones de divulgación.  ANS6: Peticiones de proyectos de innovación.

La formulación de los ANS es igual en los seis casos y se detalla a continuación:

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ACUERDO DE NIVEL DE SERVICIO: PETICIONES FINALIZADAS EN PLAZO

OBJETIVO Porcentaje de Peticiones finalizadas en plazo, del total de las tramitadas para el servicio.

FÓRMULA DE CÁLCULO Pi = Rci(v), donde

“Pi” es el coeficiente de penalidad resultante.

“Rci” es el ratio de cumplimiento.

Para el cálculo del ratio de cumplimiento se tiene en cuenta la tabla indicada, calculándose el valor v = (A/B)*100, donde:

“A” es el total de peticiones aceptadas por la GISS durante el periodo de medición que han sido finalizadas en plazo por la empresa prestataria. “B” es el total de peticiones que han sido aceptadas por la GISS durante el periodo de medición.

UNIDAD DE MEDIDA Porcentaje (%).

PESO DEL ANS (Wi) 10/6

RATIO DE CUMPLIMIENTO

- Si 95 < v ≤ 100, Rc1 = - 0,5

- Si 90 < v ≤ 95, Rc1 = 0

- Si 70 ≤ v ≤ 90, Rc1 = +0,5

- Si v < 70, Rc1 = +1

PERIODICIDAD Trimestral.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXOS T2. LOTE 2 - SERVICIOS DE SOPORTE A PROYECTOS

ANEXO T2.1 ENTORNO TECNOLÓGICO El entorno tecnológico en el que se desarrollarán los trabajos objeto de este proceso de contratación está predefinido, siendo de utilización las siguientes herramientas informáticas:  Suite ofimática de Microsoft.  Herramientas de control y gestión de proyectos: o Microsoft Project. o Artemis 7. La GISS podrá modificar en cualquier momento las herramientas informáticas a utilizar, así como añadir nuevas. El adjudicatario deberá emprender las acciones que estime oportunas para formar al equipo de trabajo en las nuevas herramientas.

ANEXO T2.2 DESCRIPCIÓN DE PERFILES Requerimientos generales exigidos a las diferentes categorías definidas:

Categoría Requerimientos Pliego TSA Titulado universitario superior o Máster con, al menos, 8 años de experiencia TSB Titulado universitario superior, medio o de Grado con, al menos, 6 años de experiencia TSC Titulado universitario superior, medio o de Grado con, al menos, 4 años de experiencia TMA Titulado medio, de Grado o Formación Profesional Superior con, al menos, 3 años de experiencia TMB Titulado medio, de Grado o Formación Profesional Superior con, al menos, 2 años de experiencia TMC Titulado medio, de Grado o Formación Profesional Superior con, al menos, 1 año de experiencia

Cualificación específica. Se detallan a continuación los perfiles profesionales que se podrán solicitar así como los conocimientos que éstos deben aportar:

Conocimientos genéricos:  Gestión Proyectos.  Habilidades de Comunicación, Negociación, Trabajo en Equipo, Orientación a Resultados.  Capacidad de síntesis.  Redacción y elaboración de documentación.  Normas series ISO 9000.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos

Técnico Superior en Gestión de Proyectos Metodologías de gestión de proyectos (certificación PMP o Prince2, deseable PMP). Metodología ITIL. Metodología MÉTRICA. Gestión de proyectos TIC. Gestión de riesgos en proyectos. Herramientas de gestión de proyectos:  Artemis y Project View.  Microsoft Project Server.  Microsoft Project (nivel avanzado). Ofimática a nivel avanzado (Word, Excel y PowerPoint). Inglés avanzado. Elaboración de documentación y diseño gráfico. Desarrollo de informes de nivel ejecutivo y presentaciones a la alta dirección.

Técnico Medio en Gestión de Proyectos Gestión de proyectos TIC. Herramientas de gestión de proyectos:  Artemis y Project View.  Microsoft Project Server.  Microsoft Project (nivel avanzado). Ofimática a nivel avanzado (Word, Excel y PowerPoint). Inglés avanzado. Elaboración de documentación y diseño gráfico. Desarrollo de informes de nivel ejecutivo y presentaciones a la alta dirección.

ANEXO T2.3 MODELO OPERATIVO DEL SERVICIO DE CARTERA DE PROYECTOS El Servicio de Cartera de Proyectos cubre un conjunto de tareas necesarias para la labor de gestión de proyectos de la Gerencia de Informática de la Seguridad Social. Las tareas que podrán ser requeridas en el marco de este servicio son:  Gestión y seguimiento del portfolio de proyectos de la GISS.  Definición, elaboración y seguimiento de los indicadores de los proyectos.  Definición, elaboración y seguimiento de las métricas de los proyectos.  Gobernanza del proceso de gestión de proyectos de la GISS.  Colaboración con las diferentes oficinas de proyectos.  Análisis de nuevos proyectos dados de alta en las oficinas de proyectos.  Reporte de alto nivel sobre el conjunto de proyectos (Cuadro de Mando de Proyectos estratégicos, etc.) a la alta dirección.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Mejora de la gestión de proyectos en la GISS: desarrollo de una metodología, mejores prácticas, estándares, políticas, procedimientos y plantillas para la dirección de proyectos, así como elaborar propuestas de mejora e impulso para la gestión de proyectos.  Solicitud de realización de auditorías de proyectos, en las que se revise el cumplimiento de las metodologías, estándares, políticas y procedimientos definidos.  Alineación de la estrategia de la organización con los proyectos en curso y futuros.  Elaboración de documentación sobre proyectos y reporte de la misma.  Soporte a la elaboración de contenidos para trabajos de divulgación en la GISS.  Transferencia de conocimiento.

Se define el siguiente flujo de trabajo entre la empresa prestadora del servicio y la GISS:  La GISS realizará una petición de trabajo (la tarea a realizar pertenecerá a la lista de tareas recogidas en los párrafos anteriores) a través de los procedimientos y herramientas establecidos en cada caso (herramienta Gedeon, correo electrónico u otros medios habilitados por la GISS). En la petición se indicará la fecha de fin del trabajo (fecha de necesidad del trabajo), el plazo de ejecución de la tarea y la información detallada del tipo de trabajo a realizar.  La empresa prestadora del servicio llevará a cabo una planificación de la tarea solicitada, que en cualquier caso no podrá exceder la fecha de necesidad indicada por la GISS.  La GISS validará y aceptará o rechazará la planificación establecida por la empresa prestadora del servicio.  Una vez aceptada la planificación, la empresa prestadora del servicio llevará a cabo los trabajos requeridos.  El trabajo realizado será validado por la GISS, siendo éste el mecanismo de aceptación del trabajo. El incumplimiento en los plazos (incumplimiento de fechas indicadas en la planificación, exceso de tiempos de ejecución de la tarea, etc.) pueden dar lugar a la imposición de penalidades a la empresa prestadora del servicio, tal y como se establece en el Anexo T2.5.  Las comunicaciones entre la GISS y la empresa prestadora del servicio se realizarán entre los Directores Técnicos de GISS y los responsables del adjudicatario o personas en quienes deleguen. A continuación se detallan las funciones a realizar dentro del servicio de Cartera de Proyectos:  Tareas de gestión y seguimiento del portfolio de proyectos de la GISS. Consiste en realizar un seguimiento de todos los proyectos dados de alta en la cartera: control de desviaciones, revisión de cumplimiento de objetivos, revisión de cumplimiento de fechas, etc.  Definición, elaboración y seguimiento de los indicadores de los proyectos. Es necesario definir y proponer de forma periódica nuevos indicadores de los proyectos, así como realizar el seguimiento de los mismos. Igualmente, es necesario reportar los indicadores de los proyectos de forma mensual.  Definición, elaboración y seguimiento de las métricas de los proyectos. Es necesario definir y proponer de forma periódica nuevas métricas de los proyectos, así como realizar el seguimiento de las mismas. Igualmente, es necesario reportar las métricas de los proyectos de forma mensual.  Gobernanza del proceso de gestión de proyectos de la GISS. Esta función consiste en realizar una supervisión del proceso de gestión de proyectos alineada con el modelo de gobierno de la GISS, abarcando el ciclo de vida del proyecto. El marco de gobernabilidad proporciona al director del proyecto los procesos y herramientas para dirigir el proyecto, a la vez que apoya y controla el proyecto para lograr una entrega exitosa. Por tanto, es necesario supervisar la utilización y seguimiento de dichos procesos y herramientas.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Colaboración con las diferentes oficinas de proyectos. Las oficinas de proyectos trabajan en estrecha colaboración con los jefes de proyecto y disponen de la información de los mismos. Esta función consiste en trabajar de forma conjunta con las mismas, para obtener la información de los proyectos así como indicar las directrices a seguir en materia de gestión de proyectos.  Análisis de nuevos proyectos dados de alta en las oficinas de proyectos. Consiste en realizar un análisis exhaustivo de los proyectos dados de alta, con el fin de determinar sinergias con proyectos ya existentes, detectar posibles conflictos en el uso de los recursos, etc.  Reporte de alto nivel sobre el conjunto de proyectos (Cuadro de Mando de Proyectos estratégicos, etc.) a la alta dirección. Consiste en elaborar toda la documentación que requiera la alta dirección (u otros actores) en materia de gestión de proyectos. En concreto, mensualmente se elaborará un cuadro de mando con los proyectos estratégicos de la organización que se reporta a la dirección. No obstante, se puede requerir cualquier otro reporte en esta materia.  Mejora de la gestión de proyectos en la GISS. La Cartera de Proyectos tiene que estar inmersa en un proceso continuo de mejora, por tanto, esta función consiste en revisar y proponer una metodología, mejores prácticas, estándares, políticas, procedimientos y plantillas para la dirección de proyectos. Igualmente, también se deben elaborar propuestas de mejora e impulso para la gestión de proyectos.  Solicitud de realización de auditorías de proyectos. Consiste en preparar la documentación y llevar a cabo los trámites necesarios para solicitar que se realice la auditoría de un proyecto, con el fin de revisar el cumplimiento de las metodologías, estándares, políticas y procedimientos definidos.  Alineación de la estrategia de la organización con los proyectos en curso y futuros. Los proyectos dados de alta en la cartera deben estar alineados con la estrategia de la GISS, por tanto, esta función consiste en, por un lado, identificar la estrategia de la organización y, por otro, analizar los nuevos proyectos a realizar con el fin de detectar si están alineados con la misma.  Elaboración de documentación sobre proyectos y reporte de la misma. Consiste en la elaboración de cualquier tipo de documentación que sea necesaria en materia de proyectos, así como el reporte de la misma.  Tareas no planificadas Por diversos motivos (exigencias legales, cambios de estrategia de la GISS, Entidades Gestoras, Ministerio etc., cambios de tecnología o asuntos contractuales que impliquen adaptar / cambiar herramientas, etc.) pueden surgir tareas a realizar en materia de gestión de proyectos inicialmente no previstas. Será necesario realizar igualmente dichas tareas, siempre y cuando no se exceda de forma sustancial el volumen de trabajo inicialmente previsto.  Soporte a la elaboración de contenidos para trabajos de divulgación en la GISS. Consiste en la preparación y elaboración de los contenidos necesarios para realizar tareas de divulgación dentro de la organización, con el fin de dar a conocer los trabajos realizados en el ámbito de las competencias del servicio.

Las tareas anteriores (a excepción de las tareas de Definición, elaboración y seguimiento de los indicadores de los proyectos y Definición, elaboración y seguimiento de las métricas de los proyectos que son periódicas) se pueden clasificar en base a su plazo de ejecución estimado:  Una tarea será sencilla cuando se estime su finalización en un período igual o menor a cinco días hábiles.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Una tarea será media cuando se estime su finalización en un período de entre 15 días y un mes.  Una tarea será compleja cuando se estime su finalización en un período de entre dos y cuatro meses. El plazo de ejecución lo indicará la GISS al realizar la petición de trabajo.

ANEXO T2.4 VOLUMEN ACTUAL DE TRABAJO Como datos de referencia al adjudicatario, a continuación se incluye información acerca del volumen medio de trabajo en materia de proyectos:  Información sobre proyectos:

Número de proyectos en cartera 62 (a lo largo de un periodo de 12 meses) Promedio de meses que un 22 proyecto está en cartera

 Información sobre métricas, indicadores y cuadro de mando (a lo largo de un periodo de 12 meses):

Peticiones

anuales Elaboración de métricas de proyectos / proceso de gestión de 12 proyectos Elaboración de Indicadores de 12 eficiencia de proyectos Elaboración del cuadro de mando 12 de los proyectos estratégicos Definición y revisión de nuevos indicadores de eficiencia de 2 proyectos Definición y revisión de nuevas métricas de proyectos / proceso de 2 gestión de proyectos

 Información sobre tareas a realizar en la herramienta de gestión de la cartera de proyectos (a lo largo de un periodo de 12 meses):

Peticiones

anuales

Altas de nuevos proyectos 20

Altas de planificaciones de nuevos 20 proyectos

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Elaboración de documentos de altas y cambios en la cartera de 12 proyectos

Avances de proyectos 14

Cambios de estado de proyectos 16

Los datos indicados anteriormente son orientativos y se muestran de cara a servir de referencia al adjudicatario. En cualquier caso, pueden variar y el adjudicatario deberá prestar el servicio con las mismas condiciones.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T2.5 ACUERDO DE NIVEL DE SERVICIO (ANS) DEL SERVICIO DE CARTERA DE PROYECTOS Los Acuerdos de Nivel de Servicio (ANS) definen los indicadores y compromisos del servicio y determinan la calidad del trabajo efectuado. Para una mejor comprensión de los ANS se realizan a continuación una serie de definiciones básicas.

T.2.5.1 DEFINICIONES A continuación, se definen brevemente los parámetros más relevantes en relación a los tiempos de estimación y ejecución de trabajos:  Tiempo de estimación: tiempo desde que se tramita una petición hasta que el adjudicatario comunica la estimación y planificación (fecha de inicio y fecha de fin previstas) para su revisión o presenta una propuesta de servicio y su aprobación o rechazo por parte de GISS. La petición pasa de “Tramitada” a “Estimada”.  Tiempo de resolución: Tiempo desde la fecha de inicio prevista en la planificación aprobada hasta que el trabajo se finaliza. La petición pasa a estado “Trabajo finalizado”. Es importante resaltar el hecho de que, en caso de una no conformidad a una petición resuelta, la diferencia de tiempo entre el momento en que se establece el estado “Trabajo finalizado” y la fecha de fin prevista, se le acumulará a la fecha de no conformidad para calcular la nueva fecha de resolución. Esto es aplicable igualmente a las posibles no conformidades sucesivas.

T.2.5.2 PLAZOS El tiempo de estimación es el máximo período de tiempo que puede transcurrir desde que una petición se tramita hasta que se comunica la estimación y planificación del trabajo. Se trata de un valor fijo en función del tipo de petición. Marca el tiempo de respuesta para la estimación y planificación de la tarea. El tiempo de resolución es el máximo período de tiempo que puede transcurrir desde la fecha de inicio prevista de una petición cuya planificación ha sido aprobada por la GISS, hasta que la empresa prestataria del servicio finaliza el trabajo, plazos recogidos en la tabla que se muestra a continuación. Los valores prefijados se muestran a continuación:

TIPO DE PETICIÓN Tiempo de estimación Tiempo de resolución Elaboración de Métricas de proyectos / 2 días 5 días proceso de gestión de proyectos Elaboración de Indicadores de Eficiencia 2 días 5 días de Proyectos Elaboración del Cuadro de Mando de los 2 días 5 días Proyectos Estratégicos Tareas de gestión y seguimiento del portfolio de proyectos de la GISS.  Sencilla 2 días 5 días

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Media 4 días 1 mes  Compleja 5 días 4 meses Gobernanza del proceso de gestión de proyectos de la GISS.  Sencilla 2 días 5 días  Media 4 días 1 mes  Compleja 5 días 4 meses Colaboración con las diferentes oficinas de proyectos.  Sencilla 2 días 5 días  Media 4 días 1 mes Análisis de nuevos proyectos dados de alta en las oficinas de proyectos  Sencilla 2 días 5 días  Media 4 días 1 mes Reporte de alto nivel sobre el conjunto de proyectos a la alta dirección.  Sencilla 2 días 5 días  Media 4 días 1 mes  Compleja 5 días 4 meses Mejora de la gestión de proyectos en la GISS  Sencilla 2 días 5 días  Media 4 días 1 mes  Compleja 5 días 4 meses Solicitud de realización de auditorías de proyectos  Sencilla 2 días 5 días  Media 4 días 1 mes  Compleja 5 días 4 meses Alineación de la estrategia de la organización con los proyectos en curso y futuros  Sencilla 2 días 5 días  Media 4 días 1 mes  Compleja 5 días 4 meses Elaboración de documentación sobre proyectos y reporte de la misma  Sencilla 2 días 5 días  Media 4 días 1 mes

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Compleja 5 días 4 meses Soporte a la elaboración de contenidos para trabajos de divulgación  Sencilla 2 días 5 días  Media 4 días 1 mes  Compleja 5 días 4 meses

T.2.5.3 DEFINICIÓN DEL ANS Los ANS son indicadores que miden el nivel de servicio prestado por el contratista frente al compromiso adquirido contractualmente con GISS. En caso de que estos indicadores no alcancen los requerimientos acordados, el contratista incurrirá en una penalidad, que se calculará y aplicará de acuerdo al procedimiento y condiciones descritos más adelante. El valor de cada ANS se calcula en función del porcentaje de cumplimiento o incumplimiento del indicador. Cada ANS tiene asignado un peso, y cada rango de porcentaje de cumplimiento o incumplimiento tiene asignado un ratio. La combinación de ambos establece el valor del ANS según las tablas asignadas a cada uno y que se detallan a continuación.

T.2.5.4 CÁLCULO DEL ANS Y PENALIDADES En este apartado, se introducen los conceptos que, posteriormente, se utilizarán cuando se describan en detalle los ANS incluidos en este servicio. En primer lugar, se define el coeficiente de penalidad “P”, de la siguiente forma:

P = Σ Pi*Wi = Σ (Rci(v))*Wi

Donde:  Pi es el coeficiente de penalidad asociado a cada ANS.  “Rci(v)” es el ratio de cumplimiento, que informa del grado de valor alcanzado en relación con el objetivo inicialmente fijado en el ANS. Si, por ejemplo, su valor fuera menor o igual que cero, indicaría que la métrica se ha ajustado a los ANS, al encontrarse entre los límites aceptados, indicando los valores negativos unos resultados óptimos. Para el cálculo del ratio de cumplimiento se tienen en cuenta las tablas de ANS propias de cada indicador, dónde el valor “v” se calcula como v=(A/B)*100. Siendo “A” el total de peticiones del tipo al que se refiera el ANS que lo cumplen, y “B” el total de peticiones del tipo considerado en el ANS.

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 “Wi” es el peso de cada ANS, valor que refleja la importancia relativa que damos a cada ANS con respecto a los demás. Una vez obtenido el coeficiente de penalidad “P”, se aplicará la penalidad sobre el total facturado en el periodo de medición de los ANS, descontándose en la certificación que el Director Técnico determine. Los valores de los ANS son acumulativos en el trimestre de medición, desde el inicio hasta el fin del mismo. En caso de que haya un valor de “Pi” negativo, éste podría compensar los valores positivos de otros, pero no implicará la existencia de una bonificación en ningún caso. En la siguiente lista, se muestran los ANS del servicio:  ANS1: Peticiones de elaboración de métricas, elaboración de indicadores de eficiencia de proyectos y elaboración del cuadro de mando de los proyectos estratégicos. PESO DEL ANS (W1) = 5.  ANS2: Peticiones de tareas de gestión y seguimiento del portfolio de proyectos de la GISS, peticiones de colaboración con las diferentes oficinas de proyectos, peticiones de análisis de nuevos proyectos dados de alta en las oficinas de proyectos y peticiones de reporte de alto nivel sobre el conjunto de proyectos a la alta dirección. PESO DEL ANS (W1) = 3.  ANS3: Peticiones de gobernanza del proceso de gestión de proyectos de la GISS, peticiones de mejora de la gestión de proyectos en la GISS, peticiones de alineación de la estrategia de la organización con los proyectos en curso y futuros, peticiones de elaboración de documentación sobre proyectos y reporte de la misma y peticiones de soporte a la elaboración de contenidos para trabajos de divulgación. PESO DEL ANS (W1) = 2. La formulación de los ANS es igual en los tres casos y se detalla a continuación:

100

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANS DE LA CARTERA DE PROYECTOS: PETICIONES FINALIZADAS EN PLAZO

OBJETIVO Porcentaje de trabajos de la cartera de proyectos finalizados en plazo, del total de los aceptados y validados por la GISS para el servicio.

FÓRMULA DE CÁLCULO P1 = Rc1(v), donde

“P1” es el coeficiente de penalidad resultante.

“Rc1” es el ratio de cumplimiento.

Para el cálculo del ratio de cumplimiento se tiene en cuenta la tabla indicada, calculándose el valor v = (A/B)*100, donde:

UNIDAD DE MEDIDA Porcentaje (%).

PESO DEL ANS (W1) Indicado en los párrafos anteriores el correspondiente a cada ANS

RATIO DE CUMPLIMIENTO

- Si 95 < v ≤ 100, Rc1 = - 0,5

- Si 90 < v ≤ 95, Rc1 = 0

- Si 70 ≤ v ≤ 90, Rc1 = +0,5

- Si v < 70, Rc1 = +1

PERIODICIDAD Trimestral.

101

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXOS T3. LOTE 3 - SERVICIOS DE SOPORTE A LA SEGURIDAD DE LA INFORMACIÓN

ANEXO T3.1 ENTORNO TECNOLÓGICO El entorno tecnológico en el que se desarrollarán los trabajos objetos de este proceso de contratación no está predefinido, dada la naturaleza cambiante de las tecnologías de la información. En este sentido, podrá requerirse cualquier trabajo relacionado con las diferentes tecnologías de la información y las comunicaciones. Dada la necesidad de integrar las diferentes tecnologías y soluciones que sean objeto de estos trabajos con las existentes en la organización, se relacionan a continuación los principales entornos tecnológicos, físicos y lógicos que conforman los sistemas de información actuales de la Seguridad Social.

Entorno Tecnológico

102

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Movilidad Equipos Ipad, Iphone, Tabletas Android, Tabletas Windows 8 y 10, MDM MobileIron.

ENTORNO LÓGICO: Entorno Central Host SO z/OS, IBM (TSO, RACF, VTAM, DB2, CICS, UNIX System Services, WebSphere Application Server, WebSphere MQ, IBM Tivoli Netview for z/OS, IBM Tivoli Sys Automation, IBM Tivoli Decision Support). Shadow Direct SAG (Adabas/Natural: Adabas Manager Package, Natural Development Server, Natural Engineer, Adabas SOA Gateway, NaturalONE for Eclipse, webMethods Integration Platform Processors, Entire-X). Transferencia de ficheros EDITRAN, Monitores del Sistema: IBM Tivoli OMEGAMON, Planificador de BMC: Control-M, Gestión de la producción: CA-1, CA-Dispatch, CA-Disk, CA-Allocate, CA- Vantage, Gestión del Almacenamiento de HDS: True Copy, HUR, BCM, zHPF, HyperPAV.

103

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Entorno Tecnológico UCM, EMC Documentum, IBM Informix, Websphere Content Manager, Teradata, SPSS.

Movilidad Aplicaciones IOS, Android, Windows, AirPlay, AirPrint, Novell FILR, Ctera, servidores SCEP.

Microinformática Paquetes ofimáticos, compresores de archivos, lectores de PDF, herramientas de gestión de proyectos, conversores, herramientas de gestión de microinformática.

Todos los entornos

Herramientas de Intercambio de Información: IFI, IFIweb, Servicios Web.

Backup: Symantec Veritas NetBackup con OST y Ops Center, Backup Exec, EMC Data Domain, EMC Centera.

Componentes de Seguridad: Firewall (CISCO ASA, Checkpoint), balanceadores de carga (ALTEON), gestión de claves y de certificados (PKI). NetIQ Identity Manager, SIAVAL, SIAVAL Safecert, Sistema de Alerta Temprana CCN.

Herramientas de Desarrollo: Natural, Natural Predict, Natural Predict Case, Entire Network,

104

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Entorno Tecnológico Cobol, JCL, REXX, JAVA, J2EE, Javascript, JSP, EJB, HTML, XML, XHTML, XSL, XSLT, X- FORMS, SPY, JDBC, Progress Data Direct, Plataforma ECLIPSE, JACADA, JUNIT, Rational Requisite Pro, Rational Software Arquitect, InfoSphere Data Arquitect, Quick Test Pro, BIRT Designer, Desarrollo Sistemas SIEBEL, Software AG Orchestrator, Entire X, Comunicator, Workbench, Artemis, Saint-Report, Saint-Form, Suite Websphere. WSAD/RSA, RDA, Crossvision, Exchange, Herramientas HS (MSD), INVESICRES. Visual Studio .NET, SAS scripting language.

Otras Herramientas: Herramientas de control y gestión de proyectos (MS Project, Artemis, etc.).

105

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T3.2 DESCRIPCIÓN DE PERFILES PARA EL SERVICIO DE APOYO A LA GESTION DE LA SEGURIDAD

Categoría Requerimientos Pliego TSA Titulado universitario superior en especialidades de las Tecnologías de la Información y de las Comunicaciones (TIC) o Máster en especialidades TIC. Con, al menos, 8 años de experiencia. TSB Titulado universitario superior, medio o de Grado en especialidades de las Tecnologías de la Información y de las Comunicaciones. En el caso del consultor de análisis de rastros, la titulación debe ser en estadística. Al menos, 6 años de experiencia. TSC Titulado universitario superior, medio o de Grado en especialidades de las Tecnologías de la Información y de las Comunicaciones. Al menos, 4 años de experiencia. TMA Titulado Medio, de Grado o Formación Profesional Superior en especialidades de las Tecnologías de la Información y de las Comunicaciones. Al menos, 3 años experiencia. TMB Titulado Medio, de Grado o Formación Profesional Superior en especialidades de las Tecnologías de la Información y de las Comunicaciones. Al menos, 2 años experiencia TMC Titulado Medio, de Grado o Formación Profesional Superior en especialidades de las Tecnologías de la Información y de las Comunicaciones. Al menos, 1 año experiencia.

Cualificación específica. Se detallan a continuación los perfiles profesionales que se solicitan así como los conocimientos que éstos deben aportar:

Técnicos superiores de seguridad. Conocimientos genéricos:  Habilidades de Comunicación, Negociación, Orientación a Resultados, Planificación, Trabajo en Equipo.  Gestión Proyectos.  Análisis de nuevas tecnologías.  Definición y Diseño Arquitecturas. Pruebas de concepto.  Metodologías de pruebas y técnicas de optimización de aplicaciones y sistemas.

Técnicos medios de seguridad. Conocimientos genéricos:  Negociación.  Orientación a resultados.  Planificación.  Toma de decisiones.  Trabajo en equipo.  Orientación al cliente.  Habilidad para las relaciones con clientes y colaboradores.

106

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Dotes de comunicación, oral y escrita.  Resolución de conflictos y gestión de quejas.  Iniciativa.

Los requisitos y la descripción de los perfiles de soporte técnico es la siguiente.

Perfil Conocimientos Experiencia en arquitecturas de PKI y Plataforma de firma Técnico superior de electrónica SIAVAL. seguridad para entorno Experiencia y conocimientos en gestión de incidencias Pros@ relativos a certificados y firma electrónica (applets de firma, etc.). Conocimientos en seguridad de aplicaciones Web, diseño de arquitecturas de tecnología Web J2EE, SOA, WEB 2.0, etc., así como gestión de vulnerabilidades (OWASP). Experiencia y conocimientos de tecnología J2EE (JavaScript, HTML, XML). Experiencia en Rational Software Architecture, así como UML. Conocimiento del API de seguridad Java (JCE, experiencia en integración de componentes de autorización corporativos con la plataforma de seguridad en servicios web VORDEL. Conocimientos de Single Sign-On (SSO) y federación de identidades. Experiencia y conocimientos del subsistema de seguridad de la arquitectura Pros@. Experiencia en la integración de la plataforma de firma SIAVAL en frameworks de desarrollo (framework Pros@). Experiencia en incorporación de soluciones de cifrado en frameworks de desarrollo (framework Pros@). Experiencia y conocimientos en integrar sistemas de autenticación (usuario-contraseña, certificado, SMS) en frameworks de desarrollo (framework Pros@). Experiencia en la integración de rastros corporativos en frameworks de desarrollo (framework Pros@). Experiencia y conocimientos de integración del sistema de autorización corporativo (SILCON) con frameworks de desarrollo (framework Pros@). Experiencia y conocimientos en análisis de requisitos (uso de herramienta RequisitePro). Experiencia en manejo de Metodología Desarrollo PREF (Adaptación de Métrica v3 a Pros@). Experiencia y conocimientos de patrones de Java. Conocimientos sobre apoderamientos y su gestión. Experiencia en SQL y PLSQL en entorno Oracle. Conocimientos de arquitectura J2EE. Técnico medio de Conocimientos de la metodología Orientación a Objetos.

107

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos seguridad para entorno UML, Html, Xml, Xsl y familias de lenguajes asociados. Pros@ Experiencia en uso Rational Software Architecture. Experiencia en el análisis de requisitos (uso de herramienta RequisitePro). Conocimientos en técnicas de optimización de aplicaciones, así como experiencia en realización de pruebas funcionales con UFT. Experiencia en desarrollos con framework Pros@. Se valorará especialmente análisis y diseño de procesos batch. Experiencia en el desarrollo de APIs de rastros Pros@ y Sistemas Abiertos Conocimientos de metodología Desarrollo PREF (Adaptación de Métrica v3 a Pros@). Conocimientos de Rational Application Server. Conocimientos de Patrones de Java. Conocimientos Oracle y SQL. Experiencia en gestión de procesos concurrentes Java (gestión multihilo). Experiencia en el Diseño, Normalización e infraestructuras Técnico superior de necesarias para la grabación de rastros de acceso a las seguridad para entorno BBDD corporativas con fines auditores y estadísticos de host gestión. Conocimientos y experiencia en Natural, ADABAS y componentes asociados como Natural Security, Entire X y funcionamiento de los sistemas de recuperación/auditorias (PLOG/ADASEL). Experiencia en la implantación de las normativas de Seguridad en las aplicaciones, productos e infraestructuras relacionadas con el sistema de confidencialidad y control de acceso en la SESS. Experiencia en la integración de SILCON con el Gestor de identidades y SILLOGIN. Experiencia en la adecuación de usuarios, perfiles y aplicaciones en la intranet corporativa, extranet e internet. Experiencia en sistemas de réplica de datos ADABAS/ORACLE para y su utilización por SSAA. Experiencia en el diseño de vistas Oracle que permitan mantener la confidencialidad de aplicaciones corporativas como Pros@ y todos aquellos productos que así lo requieren. Experiencia en la definición y diseño de estrategias relacionadas con la confidencialidad y control de acceso. Experiencia en la gestión de usuarios y perfiles de acceso a aplicaciones RACF/LDAP. Conocimientos RACF, CICS, Netview ACCESS, REDES NOVEL, Ldap, bases de datos Oracle suficientes para dar soporte al sistema de confidencialidad. Experiencia en evolución y la migración del sistema de confidencialidad a nuevos entornos con finalidades específicas como la formación, la pre explotación, integración o desarrollos. Experiencia en el estudio y análisis de integración en los sistemas de confidencialidad y control de acceso de las nuevas tendencias del mercado. Experiencia en el estudio de soluciones de seguridad en

108

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos los sistemas como apoyo para la toma de decisiones. Experiencia en el análisis y diseño de aplicaciones en Técnico medio de entorno Natural /adabas. seguridad para entorno Conocimiento y experiencia en desarrollos relacionados host con la confidencialidad, control de acceso, generación de rastros Host y auditorías. Experiencia en la realización de pruebas funcionales y de aceptación así como de calidad de los desarrollos. Experiencia en el manejo de las herramientas corporativas para la gestión de incidencias y peticiones de trabajo así como de los protocolos establecidos de gestión y resolución. Experiencia en Investigación de los incidentes producidos en el sistema de confidencialidad y control de acceso y auditorias. Soporte a su resolución. Experiencia en el seguimiento y diseño de cadenas batch y jcl que permiten la sincronización de datos o dan soporte a procesos masivos o cargas iniciales de aplicativos o productos. Experiencia en el estudio y diseño de integración de la confidencialidad de aplicaciones ajenas en el sistema de confidencialidad corporativo. Experiencia en Análisis y Diseño de proyectos de Técnico superior de Seguridad en entorno Local. seguridad para entorno Experiencia y profundos conocimientos en arquitectura de PC seguridad de Sistemas Operativos, especialmente Windows y Unix. Experiencia y profundos conocimientos en arquitectura de seguridad de redes, especialmente en redes Novell y Windows, dominios, directorio activo, etc. Experiencia y conocimientos en componentes y equipos de seguridad de acceso: servidores Radius, proxies, routers, firewalls. Experiencia en SILLOGIN y SILFirewall, herramientas para control de acceso en el puesto de trabajo. Conocimiento protocolo LDAP: eDirectory, Active Directory, etc. Experiencia en el diseño y análisis de programación orientada a objetos. Conocimiento de herramientas de programación en C y C++. Experiencia en programación en C y C++. Técnico medio de Experiencia en programación en Java. seguridad para entorno Experiencia en el diseño y análisis de programación PC orientada a objetos. Experiencia en el manejo del entorno Microsof Visual Studio 2010 y superiores. Conocimientos API Microsoft: GDI (graphics device interface), seguridad, redes, procesos y threads, etc. Conocimientos de Redes Microsoft y dominios Active Directory. Conocimientos de Redes Novell: nivel de administrador. Conocimientos de Domino/Lotus Notes: nivel de administrador. Conocimientos de redes TCP/IP, WIFI, y redes móviles (UMTS/GPRS).

109

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos Conocimientos del sistema operativo Windows: nivel de administrador. Conocimientos y experiencia en desarrollos relacionados con seguridad criptográfica: uso de certificados, firma electrónica, cifrado, etc. Experiencia en el desarrollo de aplicaciones de acceso a Tarjetas Inteligentes (PKCS11). Conocimiento protocolo LDAP: eDirectory, Active Directory, etc. Experiencia en Análisis y Diseño en proyectos de Gestión Técnico superior de de Usuarios. seguridad para sistemas Conocimientos en Redes Novell. de Gestión de Conocimientos en Base de Datos: Oracle, Sql Server, etc. Identidades Conocimientos en protocolo LDAP: eDirectory, Active Directory, etc. Conocimientos en Gestión de Identidades, especialmente IDM (Identity Manager) de Novell. Conocimientos en protocolo LDAP: eDirectory, Active Técnico medio de Directory, etc. seguridad para sistemas Conocimientos en Base de Datos. de Gestión de Conocimientos en Redes Novell. Identidades Conocimientos en Base de Datos: Oracle, Sql Server, etc Administración UNIX. Experiencia en programación XML/XSLT. Experiencia en programación Javascript. Experiencia en programación Java. Experiencia en programación Phynton. Conocimientos en seguridad de aplicaciones Web, diseño Técnico superior de de arquitecturas de tecnología Web J2EE, SOA, WEB 2.0, seguridad para etc., así como gestión de vulnerabilidades (OWASP). infraestructuras y Conocimientos y dominio de las técnicas más habituales servicios de seguridad de de gestión de sistemas web (SSL, TSL, gestión de internet/intranet, y firma cookies, etc.). electrónica Conocimiento de arquitecturas y sistemas de Seguridad de acceso Internet/intranet. Experiencia en la integración de arquitecturas de sistemas web con arquitecturas de Sistemas Centralizados. Gestión de módulos de seguridad en Servidores Web (NSAPI, ISAPI, APACHEAPI). Conocimientos en arquitectura de Servidores Web (Iplanet, Apache). Conocimientos en arquitectura de Servidores de Aplicaciones (Websphere, TOMCAT). Conocimientos en arquitectura de Gestor de Contenidos (Oracle UCM). Experiencia en arquitecturas de PKI y Plataforma de firma electrónica (Corestreet, SIAVAL), así como adaptación de componentes de seguridad atendiendo a prácticas de certificación de nuevas Autoridades de Certificación. Experiencia en la preexplotación Sistemas y Aplicaciones CP/IP (UFT). Experiencia en integración de Sedes Web, tanto públicas como privadas, con el sistema de autorizaciones de GetAcces. Experiencia en integración de la plataforma de autorización de GetAccess con otros sistemas

110

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos centralizados de autorizaciones. Experiencia y conocimientos en componentes de autenticación de la plataforma WebSphere Portal Server mediante mecanismos de portlets, gestión de certificados y SMS. Experiencia y conocimientos en componentes de autorización de Websphere Portal Server y su integración con sistemas de autorización corporativos (realización de CUR, LDAP, etc.). Conocimientos en tarjetas criptográficas (TAFU), así como diseño de módulos de seguridad asociados a las mismas. Técnico superior de Conocimientos de seguridad en servicios web seguridad para sistema concretamente en la plataforma VORDEL. Cl@ve Conocimientos de la arquitectura de Cl@ve Permanente y su integración con la plataforma de certificados centralizados SAFECERT. Experiencia en integración de la plataforma de Cl@ve Permanente con las plataformas web basadas en usuario y contraseña de la Seguridad Social. Experiencia en Proveedores de Identidades (IDP) Cl@ve, así como su integración con la plataforma de autenticación de Cl@ve Permanente. Experiencia en Proveedores de Servicio (SP) Cl@ve así como su integración con la plataforma de autenticación de Cl@ve Permanente. Experiencia en integración de mecanismos de Single Sign On (SSO) de la Pasarela Cl@ve a la plataforma de Cl@ve Permanente. Experiencia en componentes de integración de la réplica de Registro Cl@ve con Seguridad Social y plataforma SAFECERT. Experiencia en arquitecturas de PKI y Plataforma de firma electrónica SIAVAL así como su adaptación para poder realizar firma centralizada con la plataforma de certificados centralizados (SAFECERT). Experiencia en integrar soluciones de firma centralizada basadas en SAFECERT y SIAVAL en frameworks de desarrollo (framework pros@). Experiencia en gestión y adaptación de servicios de gestión de usuario y contraseña a la plataforma SAFECERT. Técnico medio de Experiencia en desarrollo e integración de servicios de seguridad para sistema gestión de usuario y contraseña a la plataforma de Cl@ve Cl@ve Permanente y de certificados centralizados (SAFECERT). Experiencia en arquitecturas de PKI y Plataforma de firma electrónica SIAVAL así como su adaptación para poder realizar firma centralizada con la plataforma SAFECERT. Conocimientos en seguridad de aplicaciones Web, diseño de arquitecturas de tecnología Web J2EE, SOA, WEB 2.0, etc. así como gestión de vulnerabilidades (OWASP). Experiencia y conocimientos en gestión de incidencias relativos a certificados y firma electrónica (applets de firma, firma centralizada). Experiencia en metodología Orientación a Objetos. UML, Html, Xml, Xsl y familias de lenguajes asociados. Experiencia en realización de pruebas funcionales con

111

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos UFT. Experiencia en manejo de plataforma de certificados centralizados SAFECERT para la creación de usuarios y casos de prueba. Consultor de seguridad Conocimientos de normativa de seguridad (física, lógica, PKI, comunicaciones, control de acceso, cifrado, eAdministración, etc.). Experiencia en auditorías de cumplimiento (LOPD, ENS, ISO 27001, etc.). Experiencia en planes de adecuación a la normativa de seguridad de la información. Conocimientos de:  Sistemas de gestión de seguridad de la información.  Análisis de riesgos de seguridad.  Seguridad física.  Seguridad lógica.  Seguridad de las comunicaciones.  Mecanismos de garantía de integridad de la información.  Seguridad en las aplicaciones informáticas.  Planes de continuidad de negocio.  Indicadores de seguridad y cuadro de mando. Experiencia en la aplicación de la metodología de riesgos Magerit y la herramienta PILAR. Certificaciones de seguridad: CISA, CISM o CISSP. Técnico de seguridad Conocimientos sobre gestión de normativa de seguridad. Conocimientos sobre legislación de seguridad. Conocimientos de:  Sistemas de gestión de seguridad de la información.  Análisis de riesgos de seguridad.  Seguridad física.  Seguridad lógica.  Seguridad de las comunicaciones.  Mecanismos de garantía de integridad de la información.  Seguridad en las aplicaciones informáticas.  Planes de continuidad de negocio.  Indicadores de seguridad y cuadro de mando. Experiencia en la aplicación de la metodología de riesgos Magerit y la herramienta PILAR. Consultor de análisis de Conocimientos de métodos estadísticos de detección de rastros patrones. Experiencia en análisis de datamining. Experiencia en el uso de la herramienta SAS Fraud Framework.

112

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T3.3 DESCRIPCIÓN DE PERFILES PARA EL SERVICIO DE GESTIÓN DE INCIDENTES DE SEGURIDAD Los recursos técnicos utilizados por el adjudicatario para proporcionar el servicio deberán tener las siguientes características:  Recursos técnicos dedicados a la GISS, con el objeto de disponer de un alto grado de conocimiento de sus servicios.  Profundos conocimientos técnicos y experiencia en el ámbito de la seguridad informática y de la gestión de incidentes de seguridad.  El adjudicatario deberá proveer a sus recursos técnicos de un plan de formación adecuado para renovar sus conocimientos incluyendo las nuevas tecnologías que vayan apareciendo en el sector de la seguridad informática relacionados con el servicio que se presta incluida la formación en las herramientas utilizadas en la GISS. Los periodos de formación se deben planificar y consensuar entre la GISS y el adjudicatario, de tal manera que no deben afectar a la calidad del servicio prestado, ni impactar sobre los horarios de trabajo de los técnicos de soporte. Esta formación deberá renovarse o ampliarse al menos una vez al año, a través de unos ciclos formativos de, como mínimo, 40 horas.  Los períodos de vacaciones se deben cubrir con la misma calidad de servicio que en periodos no vacacionales. Para aquellos servicios que se presten mediante recursos destacados en las oficinas de la GISS, se requiere que dichos recursos dispongan del siguiente perfil:  Titulación Universitaria de Ingeniero técnico o superior o Licenciado, Grado o Máster universitario en el ámbito de las TIC.  Experiencia laboral de al menos 5 años de experiencia en el sector de la seguridad informática.  Experiencia laboral de al menos 2 años en Redes IP.  Experiencia laboral de al menos 2 años en un Centro de Operaciones de Seguridad (COS).  Certificaciones de seguridad de prestigio en el sector (al menos una de las indicadas a continuación), como CEH v8, CHFI, CISSP, CISA, CISM, CRISC, ECSA, GCED, GCIA, GCIH, GMON, GSEC, etc. así como de los fabricantes presentes en la plataforma.

113

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T3.4 MODELO OPERATIVO DEL SERVICIO DE GESTIÓN DE INCIDENTES DE SEGURIDAD El modelo económico de este servicio se basa en la realización de cada uno de los servicios que lo componen y que se describen en este pliego, por un importe máximo anual, que será facturado mensualmente en su correspondiente parte proporcional. La empresa adjudicataria tiene flexibilidad de gestionar sus propios recursos con las siguientes limitaciones:  Cumplir con los acuerdos de nivel de servicio especificados en este pliego (Anexo T3.9).  Cumplir con los requisitos especificados en este pliego.

Planificación y previsión de trabajos Cada mes la GISS, de acuerdo con la empresa, planificarán los trabajos al menos para los tres meses siguientes (no se incluye en este punto, naturalmente, los incidentes no planificados que se reciban).

Gestión por procedimientos Las tareas realizadas por la empresa adjudicataria se materializarán en procedimientos periódicos, entendidos como tales un conjunto de tareas repetitivas. Los procedimientos de deben documentar y revisar de manera continua a fin de tenerlos adecuadamente actualizados. El formato de la documentación será acordado previamente por la GISS. Sobre los procedimientos la GISS, en colaboración con la empresa adjudicataria, definirá métricas de medida de:  Recursos (económicos, etc.) consumidos.  De tiempo de ejecución de tareas (análisis, resolución, respuesta, etc.).  Del estado de la seguridad (nivel de riesgo, cumplimiento legal, grado de actualización de software de base, grado de formación, etc.). La empresa colaborará con la GISS en la implementación de los mismos.

Gestión de la información relacionada con el servicio prestado En general, la información relacionada con el servicio debe residir en espacios bajo el control de la GISS:  La información no estructurada (documentación) sobre definición de procedimientos, su ejecución, peticiones a otros departamentos, estudios e informes, correos enviados o recibidos u otra relacionada debe quedar residente en las unidades de red de área local de la GISS.  La información estructurada (como bases de datos) debe residir en repositorios de la GISS. No obstante, si la empresa considera necesario para la prestación de su servicio que una copia de los datos o bien los datos originales residan en sus instalaciones puede solicitarlo a la GISS, quien puede dar su autorización respetando en todo caso al menos las siguientes condiciones:  Debe ser expresa y por escrito por parte del Director Técnico de la GISS.

114

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Dicha información debe residir en centros de procesos de datos residentes en territorio español. Estas sedes deben tener las medidas de seguridad físicas equivalentes a datos de nivel de confidencialidad medio, integridad alta y disponibilidad alta según los requisitos recogidos en el Esquema Nacional de Seguridad (RD 3 / 2010).  La información debe ser borrada una vez finalice el servicio con la GISS.  La información no puede ser divulgada a otras empresas, departamentos o subcontratas sin la autorización expresa y por escrito de la GISS.  La información debe ser protegida con mecanismos de control de acceso físico y lógico contra accesos no autorizados.  Las comunicaciones entre la GISS y la sede de la empresa corren por cuenta de la empresa. Los datos deben ser protegidos contra interceptaciones al menos con mecanismos de cifrado y de autenticación mutua entre los nodos de comunicación.  Al menos trimestralmente la Empresa debe enviar una copia de toda la información en un formato abierto y legible por la GISS.

Ciclo continuo de mejora La empresa propondrá a la GISS ciclos de mejora continua por los que al menos trimestralmente realizará actividades de control con el objetivo de aumentar la eficiencia de los procedimientos. Al menos se revisarán los siguientes puntos:  El trabajo realizado en términos de productos y entregables. Se cuantificarán y revisarán los indicadores establecidos.  Los problemas surgidos y la manera de resolverlos.  El cumplimiento de los acuerdos de nivel de servicio (Anexo T3.9). Como resultado de esta actividad, los trabajos realizados pueden ser mejorados en el aumento de sus prestaciones o en la reducción de los recursos necesarios.

115

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T3.5 MODELO OPERATIVO DEL SERVICIO PARA LA GESTIÓN INTEGRAL DE LOS SISTEMAS DE SEGURIDAD El servicio para la gestión integral de los sistemas de seguridad cubre un conjunto de tareas necesarias para la gestión de la seguridad de la información y el mantenimiento de los servicios de arquitecturas de seguridad en la Seguridad Social. Las tareas que podrán ser requeridas en el marco de este servicio son las siguientes:  Gestión, mantenimiento y soporte de las infraestructuras de seguridad en general y más en particular en aspectos tales como: o Gestión de la plataforma de seguridad de Internet. o Gestión de la Administración de Seguridad del host (RACF). o Gestión de las incidencias de Infraestructuras de Seguridad. o Análisis y pruebas de la compatibilidad tecnológica de los servicios y aplicaciones de la seguridad social en aquellos aspectos que competen a la seguridad (control de acceso, confidencialidad de las comunicaciones, permisos de ejecución, etc.).  Integración de servicios de seguridad en otros desarrollos: o El análisis, prototipado y pruebas funcionales de aceptación de aplicaciones de seguridad Pros@, Sistemas Abiertos y host.  Proyectos de seguridad. Apoyo al plan director de seguridad.  Revisiones de seguridad. Auditorías y autoevaluaciones de los sistemas de información (se excluyen los análisis de riesgos).  Proyectos de mejora de la seguridad. Sobre sistemas de información particulares, se trata del impulso de proyectos de análisis y cumplimiento de los requisitos que impone la normativa legal en materia de seguridad.  Análisis inteligente de rastros. Análisis básico y avanzado de rastros de acceso a las bases de datos generados por las aplicaciones y los sistemas informáticos de la Seguridad Social buscando patrones de comportamiento de usuarios y señalando los casos que no cumplen esos patrones y la calidad de los rastros.  Actuaciones de mejora de la seguridad. Sobre sistemas de información concretos, se trata de acciones de análisis de aspectos particulares relacionados con el estado de seguridad. Estas actuaciones obedecen a necesidades puntuales planteadas.  Consultoría de seguridad, formación y acciones de divulgación. Independientemente del tipo de tarea requerida en el marco del presente servicio, se define un flujo de trabajo entre la empresa prestadora del servicio y la GISS con los siguientes pasos:  La GISS realizará una petición de inicio de trabajo con los elementos definidos para cada una de los tipos de peticiones a través de los procedimientos y herramientas establecidos para el caso (Gedeón u otros).  La empresa prestadora del servicio llevará a cabo una planificación de la tarea solicitada, que en cualquier caso no podrá exceder los plazos establecidos en el Anexo T3.10.  La GISS validará y aceptará o rechazará la planificación establecida en función de las fechas propuestas.  Una vez aceptada la planificación, la empresa prestadora del servicio llevará a cabo los trabajos requeridos, según los plazos establecidos.  Durante la realización de los trabajos, se seguirán los protocolos de seguimiento establecidos por la GISS.  Una vez finalizados los trabajos, la empresa prestadora del servicio facilitará a la GISS todos los entregables definidos en este anexo para la tarea solicitada.  El trabajo realizado será validado por la GISS, siendo éste el mecanismo de aceptación del trabajo. La no aceptación de la actividad, así como el retraso en la entrega de la misma, pueden dar lugar a la imposición de penalidades a la empresa prestadora del servicio, tal y como se establece en el Anexo T3.10.

116

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Las comunicaciones entre la GISS y la empresa prestadora del servicio se realizarán entre Directores Técnicos nombrados por la GISS y los responsables del adjudicatario o personas en quienes deleguen.  Todas las dudas que surjan a lo largo de la realización de la tarea, deberán ser reportadas a la GISS para su aclaración. En los siguientes apartados se especifican las características propias a nivel de entradas y entregables de cada una de las tareas que componen los servicios gestionados en seguridad.

SERVICIO DE GESTIÓN DE LA PLATAFORMA DE SEGURIDAD DE INTERNET Descripción La GISS debe administrar los recursos de seguridad (usuarios y sus grupos, autorizaciones y sus perfiles de acceso, etc.), para que el acceso a los servicios informáticos a través de Internet sea el necesario para facilitar la operación de las personas que los utilizan, pero preservando a la vez la necesaria confidencialidad, integridad y disponibilidad de la información. Esta administración es un trabajo circunstancial pero que requiere la prestación de un servicio de respuesta dentro de unos plazos establecidos en función de la urgencia de las necesidades que se presenten.

Entradas/peticiones: Las peticiones provienen de los usuarios del sistema de información de la Seguridad Social, perteneciente a Entidades Gestoras y Servicios Comunes y a organismos externos con los que establece esa relación. Las peticiones se canalizan a través de herramientas establecidas (Gedeon, correo electrónico u otros medios), con al menos la siguiente información:  Descripción de la petición en sí.  Ámbito al que afecta (sistemas informáticos, usuarios, etc.).  Si es urgente.

Entregables: Las respuestas a las peticiones se canalizarán por los mismos medios en los que se reciben. Con la confirmación de su realización o la resolución de dudas u otras consideraciones. Mensualmente la empresa enviará al departamento responsable de la GISS un informe con:  El número de peticiones pendientes y resueltas.  El tiempo de atención y de resolución de las peticiones (al menos la media y el percentil 80%). La GISS podrá cotejar los datos entregados con evidencias en sus herramientas de gestión de peticiones.

Tipología Las tareas de administración de seguridad son las siguientes:  Administración de la herramienta getAccess

117

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Administración de la infraestructura de PKI y de la plataforma de servicios de seguridad SIAVAL.

Requerimientos específicos de dominios de conocimiento:  Gestión y administración de la herramienta GetAccess.  Modelo de gestión de autorizaciones basado en roles (RBAC).  Gestión y administración de la infraestructura de PKI de Entrust.  Gestión y administración de la herramienta SIAVAL.  Certificación digital y de la base legal de la Firma Electrónica (Ley 59/2003 de Firma Electrónica), Esquema Nacional de Interoperabilidad (ENI) y Esquema Nacional de Seguridad (ENS).  Gestión y administración de la plataforma TruePass.

SERVICIO DE GESTIÓN DE LA ADMINISTRACIÓN DE SEGURIDAD DEL HOST (RACF) Descripción La GISS debe administrar el sistema de seguridad del host (RACF) para definir dentro de él los usuarios y sus grupos, autorizaciones y perfiles de acceso, etc., con objeto de que el acceso a los aplicativos y recursos informáticos que residen en el host sea el estrictamente necesario para facilitar el trabajo de las personas y programas que operan con ellos, pero preservando la necesaria confidencialidad, integridad y disponibilidad de la información. Esta administración es un trabajo continuo en el tiempo y requiere la prestación de un servicio de respuesta dentro de unos plazos establecidos en función de la urgencia de las necesidades que se presenten.

Entradas/peticiones: Las peticiones provienen de los usuarios del sistema de información de la Seguridad Social, perteneciente a Entidades Gestoras y Servicios Comunes. Las peticiones se canalizan a través de herramientas establecidas (Gedeon, correo electrónico u otros medios), con al menos la siguiente información:  Descripción de la petición en sí.  Ámbito al que afecta (sistemas informáticos, usuarios, etc.).  Si es urgente.

118

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Tipología Las tareas de administración de seguridad son las siguientes:  Administración de RACF. Dentro de estas tareas se distinguirán dos tipos atendiendo a su complejidad:  Tareas de complejidad baja: o Actualizaciones puntuales automáticas. o Actualizaciones puntuales por petición. o Supervisión de la configuración.  Tareas de complejidad alta: o Cambio de versión de software de base. o Optimización de recursos de seguridad.

Requerimientos específicos de dominios de conocimiento  Sistema Operativo z/OS.  Entorno transaccional CICS con interface ADABAS/NATURAL.  Administración y configuración de RACF y LDAP.  Manejo de monitores del sistema, planificadores de trabajo y base de datos DB2.  Conocimientos de la interface TSO/E con RACF y CICS/RACF.  Conocimientos de los lenguajes de programación de ensamblador, COBOL, COBOL/CICS, SQL-DB2, REXX.  Soluciones de seguridad del mercado en entorno z/OS. - Administración de recursos, grupos, aplicaciones y usuarios de RACF y Netview/Access.

SERVICIO DE GESTIÓN DE INCIDENCIAS DE LAS INFRAESTRUCTURAS DE SEGURIDAD Descripción La operación y uso de las infraestructuras de seguridad de la GISS produce en muchas ocasiones la recepción de incidencias procedentes tanto de ciudadanos como de usuarios internos y externos de los servicios que proporciona la organización. Cuando estas incidencias se producen es preciso analizarlas y, en función de la experiencia ya adquirida, determinar si se trata de una incidencia conocida y cuya resolución está ya procedimentada o si, por el contrario, se trata de una incidencia con causa desconocida y que es preciso derivar a un nivel superior para su investigación y búsqueda de la posible solución. Esta gestión de incidencias es un trabajo continuo en el tiempo y requiere respuesta dentro de unos plazos establecidos en función de la complejidad y de la urgencia necesaria para su resolución.

Entradas/peticiones: Las peticiones provienen de usuarios del sistema de información de la Seguridad Social, pertenecientes a Entidades Gestoras y Servicios Comunes y a organismos externos con lo que establece relación. Las peticiones se canalizan a través de herramientas establecidas (Remedy, Gedeon, buzón de soporte de Internet, correo electrónico u otros medios), con al menos la siguiente información.  Descripción de la incidencia en sí.  Datos de contacto (email, teléfono,..) de la persona que ha sufrido el problema.

119

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Si es urgente.

Entregables: Hay dos tipos de incidencias:  Incidencias de las que se tiene experiencia dentro de la organización y su forma de resolución es conocida. Esta resolución puede implicar, por una parte, operaciones normalmente de administración sobre las infraestructuras de seguridad de la GISS, en cuyo caso se deberán abrir las tareas correspondientes a los departamentos implicados, y por otra parte, pueden necesitar también de acciones por parte del usuario sobre su equipo o dispositivo de trabajo. En tal caso, en la respuesta al usuario deberán incluirse las instrucciones que sean necesarias. Esta respuesta se canalizará a través del mismo medio por el que se recibió la incidencia. Todas estas acciones deberán estar procedimentadas para cada tipo de incidencia. En caso de no estarlo o de necesitar su actualización o cualquier tipo de corrección, será responsabilidad del adjudicatario entregar una versión actualizada del documento que describe el procedimiento correspondiente.  Incidencias con causa desconocida y que precisan de una labor de análisis e investigación para su resolución. Si esta labor supera los conocimientos y recursos del servicio de resolución de incidencias, se deberá elevar la misma a través de los cauces previstos (Gedeon, Remedy, correo electrónico, etc.) para que se resuelva por parte del departamento afectado. Una vez se reciba la respuesta de este departamento, el servicio de resolución de incidencias la remitirá a su vez al usuario y documentará el procedimiento correspondiente. Las plantillas de elaboración de los documentos serán proporcionadas por la GISS. Mensualmente la empresa enviará al departamento responsable de la GISS un informe con:  El número de incidencias pendientes y resueltas.  El tiempo de atención y de resolución de las incidencias (al menos la media y el percentil 80%).  Número de procedimientos nuevos o actualizados durante este periodo y documentación asociada. La GISS podrá cotejar los datos entregados con evidencias en sus herramientas de gestión de peticiones.

Tipología Se considerarán las incidencias asociadas a las siguientes infraestructuras:  Plataforma de acceso por Internet: getAccess, Truepass, módulos de seguridad de control de acceso, etc.  Plataforma de acceso por Intranet: plug-ins de seguridad, módulos de seguridad de control de acceso, etc.  Infraestructura de clave pública (PKI).  Plataforma de servicios de seguridad SIAVAL.  Plataforma de autenticación y firma electrónica centralizada SIAVAL Safecert.  Tarjeta de funcionario TAFU para acceso al puesto de trabajo.

120

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Requerimientos específicos de dominios de conocimiento  Infraestructuras de seguridad de la GISS: getAccess, PKI de Entrust, SIAVAL, Safecert, etc.  Arquitectura de seguridad de Internet e Intranet.  Configuración de seguridad de los equipos de usuario (PCs, navegadores, dispositivos móviles, etc.

SERVICIO DE ANÁLISIS Y PRUEBAS DE COMPATIBILIDAD TECNOLÓGICA Descripción La rápida evolución de las tecnologías relacionadas con la informática, con la constante aparición de nuevas versiones de sistemas operativos, navegadores, máquinas virtuales Java, herramientas de edición y lectura de documentos, etc., provoca que servicios ya existentes ofrecidos por la Seguridad Social a través de Internet, puedan dejar de funcionar correctamente en los equipos de aquellos usuarios que hayan actualizado alguno de estos elementos software de sus equipos. En muchos casos lo que se ve afectado concierne a las condiciones de seguridad de acceso del usuario, por lo que se convierte en una fuente permanente de incidencias de seguridad. El objetivo de este servicio es el análisis tanto preventivo como correctivo de los problemas que puedan provocar las nuevas versiones de software de los sistemas y herramientas que puedan utilizar los ciudadanos al acceder a los servicios de la Seguridad Social en Internet y que sean debidos a incompatibilidades de estas nuevas versiones con los componentes y servicios de seguridad de nuestras infraestructuras que se utilizan en estos accesos.

Entradas/peticiones: Las peticiones de análisis se canalizarán a través de Gedeon con al menos la siguiente información:  Descripción de la petición en sí, indicando la nueva versión de software cuyo análisis de compatibilidad se solicita.  Servicios y componentes de seguridad objeto del análisis. Entregables: Las respuestas a las peticiones se canalizarán por los mismos medios por los que se reciben. Se entregará un documento que describa las acciones a tomar para garantizar la compatibilidad entre la nueva versión del software objeto del análisis y los servicios de seguridad que se hayan indicado en la petición. En los casos en que sea pertinente, se entregará también el documento con el procedimiento para la resolución de las incidencias que puedan surgir debido a estas incompatibilidades. Las plantillas de elaboración de los documentos serán proporcionadas por la GISS.

Tipología Los análisis de compatibilidad podrán solicitarse para las nuevas versiones de:  Sistemas operativos de PC: Windows, Apple, Linux.  Sistemas operativos de dispositivos móviles: IOS y Android.  Navegadores: Internet Explorer, Mozilla, Chrome, Safari, etc.  Máquinas virtuales Java.

121

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Cualquier otro componente o herramienta software que pueda interaccionar con los sistemas de seguridad de nuestros servicios en Internet. y podrán abarcar sistemas y servicios de seguridad tales como:  Control de acceso por Internet con o sin certificado digital.  Servicios de firma electrónica y cualquier otro servicio o componente de seguridad de la GISS que pueda interaccionar con el componente software actualizado por el usuario.

Requerimientos específicos de dominios de conocimiento Para la realización de este servicio son necesarios conocimientos de:  Sistemas operativos de PC y de dispositivos móviles.  Arquitectura de seguridad de Internet de la GISS.  Infraestructuras de seguridad de la GISS.  Firma electrónica.  Uso de certificados digitales.

SERVICIO DE ANÁLISIS, PROTOTIPADO Y PRUEBAS FUNCIONALES DE ACEPTACIÓN DE APLICACIONES DE SEGURIDAD PROS@, SSAA Y HOST Descripción Este servicio irá orientado a proporcionar soporte en la siguiente tipología de tareas  Análisis, prototipado y pruebas funcionales y de aceptación de aplicaciones de seguridad Pros@, SSAA y Host.  Gestión de la infraestructura de rastros. Atendiendo al tipo de necesidad se realizará una propuesta a alto nivel que incorpore los requisitos, y los condicionantes tecnológicos propios de la Gerencia de Informática de la Seguridad Social.

Entradas/peticiones: La GISS elaborará una petición de propuesta que contendrá:  Antecedentes. Descripción de la necesidad detectada, indicando si se trata de un desarrollo específico de infraestructura de Seguridad o un trabajo de análisis y pruebas para la elaboración de un software para desarrollo gestionado.  Requisitos de alto nivel para la propuesta de diseño que podrá incluir: o Requisitos funcionales a cubrir. o Requisitos técnicos de integración con los sistemas de la GISS. o Requisitos de normalización. o Requisitos de capacidad y dimensionado.  Descripción de los entornos implicados por la solución.  En los casos de análisis se indicará si es necesario realizar un prototipo.  Herramientas corporativas para desarrollo de la solución.  Fecha. Fecha necesaria para la recepción del desarrollo o análisis.

122

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Entregables: La empresa prestadora del servicio, una vez recibida la petición por parte de la GISS, deberá responder con una planificación de tiempos detallada de la propuesta de solución a realizar. Esta planificación deberá tener en cuenta los plazos definidos en el Anexo T3.10. Al finalizar el plazo, la empresa adjudicataria deberá presentar a la GISS una serie de entregables entre los que se considerarán como fundamentales los siguientes, atendiendo al tipo de tarea ejecutada:  Resumen ejecutivo.  Tareas de análisis, diseño y modelización de requisitos funcionales: o Modelo de requisitos representado en la herramienta corporativa de la GISS. o Modelo de análisis mediante herramienta corporativa y metodología específica de la GISS, que contendrá los casos de usos necesarios y la trazabilidad entre éstos y los requisitos. Además se proporcionarán los diagramas de Interacción de los casos de uso. o Análisis del ciclo de vida de los datos. o En su caso, elaboración de prototipos necesarios para concretar el análisis y el diseño. o Plan de pruebas funcionales. Todos estos entregables vendrán acompañados de su correspondiente documentación adjunta, indicando el funcionamiento de los modelos. Tanto las plantillas de elaboración de los documentos como la normalización de la presentación en caso de prototipos serán proporcionadas por la GISS.  Tareas de Desarrollo Además en el caso de desarrollos propios los entregables serán: o Desarrollos fuente en el lenguaje de programación especificado en los requisitos. o Documentación del desarrollo: o El código fuente estará perfectamente documentado acorde a la metodología que determine la GISS. o Será necesario un diagrama de flujo del código elaborado. o Descripción de los interfaces entre los distintos elementos. o Descripción del funcionamiento de los distintos casos de uso. En el caso de peticiones que lleven involucradas desarrollo software, no se dará por finalizada la entrega hasta que el código pase por las pruebas funcionales, así como de calidad, vulnerabilidad y accesibilidad que se llevan a cabo mediante las herramientas corporativas de la GISS y de las que será informada la empresa prestataria al inicio del proceso (se informará sobre el tipo de pruebas de calidad de software que se realiza y así mismo del tipo de pruebas de vulnerabilidades y accesibilidad)

SERVICIO DE PROYECTOS DE SEGURIDAD La constante evolución tecnológica y de negocio hace que a lo largo de la vigencia del contrato aparezcan necesidades que demanden el análisis de las soluciones de seguridad más adecuadas para hacer frente a las mismas.

123

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Este tipo de necesidades se abordarán como proyectos de seguridad ad-hoc y podrán abarcar desde estudios teóricos hasta implantaciones prácticas de experiencias piloto que permitan valorar mejor una solución tecnológica. Los proyectos deberán tener un alcance delimitado y el conjunto de tareas englobadas en el mismo deberán poder considerarse como una unidad coherente. Por otra parte, esta misma evolución tecnológica puede inducir también cambios en las estrategias de seguridad y, consiguientemente, en el plan director de seguridad de la organización. Por ello, dentro de este servicio se contempla también el apoyo a la elaboración y mantenimiento de este plan. En tal caso, la petición correspondiente se tratará de forma análoga a las peticiones que se hagan para la realización de proyectos de seguridad.

Entradas/peticiones La GISS elaborará una petición de propuesta de informe/proyecto que incluya:  Antecedentes.  Descripción de la necesidad y objetivos identificados.  Descripción de los entornos de negocio y/o tecnológicos existentes que se puedan incluir en el ámbito del informe o proyecto.  Requisitos funcionales, de sistema, de integración, etc.  Alcance del informe o proyecto incluyendo en su caso fases, tareas y/o actividades identificadas que se deben valorar o cubrir.  Fecha. Fecha necesaria para la realización del trabajo.

Entregables: Antes de la finalización del plazo de entrega, la empresa adjudicataria deberá realizar todas las fases, tareas y actividades identificadas en la petición de la GISS. Adicionalmente para algunos de los trabajos realizados y tras su finalización, la empresa prestataria del servicio podrá entregar una presentación del proyecto que expondrá en una sesión en dependencias de la GISS donde se describan los trabajos realizados y las conclusiones. En caso de que se haya llevado a cabo una experiencia piloto de algún tipo, se deberá realizar una demostración práctica de su funcionamiento. Los proyectos que requieran esta presentación serán acordados por la GISS en el momento de la solicitud. Como parte del servicio, la empresa prestataria deberá atender las consultas que la GISS realice en lo relativo a la petición.

Tipología Para este tipo de peticiones sólo se identificará un tipo: Proyectos de seguridad. El presupuesto de este tipo de trabajos se determinará en unidades de trabajo y según los parámetros que se detallan a continuación. La petición será evaluada a priori por la GISS en base a los siguientes parámetros.  Complejidad: o Un proyecto será de complejidad alta cuando requiera análisis de la integración de la seguridad con sistemas nuevos o ya existentes y la solución técnica conste de varios componentes a nivel funcional. o Un proyecto será de complejidad media cuando requiera un análisis de la integración de la seguridad con sistemas nuevos o ya existentes o la solución técnica conste de varios componentes a nivel funcional.

124

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

o Un proyecto será de complejidad baja cuando no requiera análisis de la integración de la seguridad con sistemas nuevos o ya existentes y la solución técnica conste de un único componente a nivel funcional. o Un proyecto será de complejidad muy baja cuando no requiera análisis y se trate de un trabajo con finalidad divulgativa o de formación.  Plazo de ejecución estimado o Un proyecto será de plazo de ejecución muy bajo cuando se estime su finalización en un período igual o menor a dos semanas. o Un proyecto será de plazo de ejecución bajo cuando se estime su finalización en un período igual o menor a dos meses. o Un proyecto será de plazo de ejecución medio cuando se estime su finalización en un período de entre dos y cuatro meses. o Un proyecto será de plazo de ejecución alto cuando se estime su finalización en un período de entre cinco y seis meses. Conforme a la evaluación previa de la petición realizada conforme a los parámetros descritos, el presupuesto en unidades de trabajo se obtendrá aplicando la siguiente tabla:

MUY PARÁMETRO BAJO MEDIO ALTO BAJO Complejidad 10 U.T. 50 U.T. 100 U.T. 200 U.T. Plazo de ejecución 50 U.T. 200 U.T. 400 U.T. 600 U.T.

A continuación se muestran dos ejemplos a título ilustrativo para la mejor comprensión del modelo:  Un proyecto calificado como de complejidad media (100 U.T.) y plazo de ejecución bajo (200 U.T.) tendría un presupuesto total de: 300 U.T.  Un proyecto calificado como de complejidad baja (50 U.T.) y plazo de ejecución alto (600 U.T.) tendría un presupuesto total de: 650 U.T.

SERVICIO DE ANÁLISIS Y MEJORA DE LA SEGURIDAD Descripción En este caso se trata de peticiones de revisión de la seguridad y de planes de mejora de la misma teniendo en cuenta las políticas de seguridad vigentes y la legislación a aplicar. En concreto se trata de:  Actuaciones de mejora de la seguridad. Sobre sistemas de información concretos, se trata de acciones de análisis de aspectos particulares relacionados con el estado de seguridad. Estas actuaciones obedecen a necesidades puntuales planteadas.  Proyectos de mejora de la seguridad. Sobre sistemas de información particulares, se trata del impulso de proyectos de análisis y cumplimiento de los requisitos que impone la normativa legal en materia de seguridad.  Revisiones de seguridad, mediante la realización de auditorías o autoevaluaciones de seguridad sobre el sistema de información conjunto o bien de ciertos proyectos informáticos, aplicaciones informáticas o tecnologías (se excluyen los análisis de riesgos).

125

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

 Análisis inteligente de rastros. Análisis básico y avanzado de rastros de acceso a las bases de datos generados por las aplicaciones y los sistemas informáticos de la Seguridad Social buscando patrones de comportamiento de usuarios y señalando los casos que no cumplen esos patrones y la calidad de los rastros.

Entradas/peticiones: Las peticiones se canalizan a través de herramientas establecidas (Gedeón, correo electrónico u otros medios), con al menos la siguiente información:  Objetivo de la petición (valor para el departamento que la ha solicitado).  Ámbito (a qué sistemas de información afecta).  Alcance (acciones a realizar sobre el objetivo y el ámbito).  Estimación de coste de UTs.  Riesgos de la ejecución de la petición.

Entregables: El adjudicatario debe depositar los entregables en la herramienta acordada por la GISS en el plazo especificado y con los contenidos mínimos especificados en este apartado. En el caso de que la GISS considere que la información es confidencial se acordará el medio de entrega y almacenamiento.

126

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T3.6 MODELO DE VALORACIÓN DE LOS TRABAJOS DEL SERVICIO PARA LA GESTIÓN INTEGRAL DE LOS SISTEMAS DE SEGURIDAD Un modelo de valoración permite establecer un punto de referencia respecto al que comparar el rendimiento y la productividad de los diferentes trabajos o productos en curso con el fin de medir el alcance de los mismos y aplicar acciones que mejoren progresivamente la calidad de las actividades. Se define como unidad de medida del Servicio la Unidad de Trabajo, UT, unidad básica de medida de la producción de un equipo de trabajo tipo para realizar las siguientes actividades: • Interpretación de las necesidades requeridas. • Estudio del entorno tecnológico y funcional. • Estimación de los trabajos y su planificación. • Elaboración de la propuesta. • Elaboración de los estudios y diseños solicitados. • Ejecución de los trabajos comprometidos en la propuesta. • Documentación de los trabajos realizados. • Presentación de conclusiones y transferencia de conocimiento. • Resolución de dudas y consultas sobre los entregables. • Gestión de la demanda de los trabajos. • Gestión del Servicio.

127

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Para las peticiones de trabajo definidas en el servicio para la gestión integral de los sistemas de seguridad, se define la Unidad de Trabajo (UT) en función de las tipologías de trabajos establecidas en la definición del servicio y que se puede ver en la tabla posterior. En la misma tabla también se muestra una estimación del volumen anual de trabajos realizados de cada tipología.

PETICIONES U.T. POR U.T. TIPO DE PETICIÓN AL AÑO PETICIÓN TOTALES Gestión de la plataforma de seguridad de

Internet Peticiones no urgentes 300 3 900 Peticiones urgentes 50 6 300 Administración de Seguridad del Host Peticiones de complejidad alta 15 50 750 Peticiones de complejidad baja 2500 1 2500 Gestión de incidencias de las

Infraestructuras de Seguridad Incidencias procedimentadas 400 2 800 Incidencias no procedimentadas 50 20 1000 Análisis y Pruebas de Compatibilidad

Tecnológica Nueva versión de Sistema Operativo 2 200 400 Nueva versión de Navegador 4 100 400 Nueva versión de Máquina Virtual java 2 50 100 Nueva versión de otras herramientas 4 SW 50 200 Servicio de Análisis, prototipado y pruebas funcionales de aceptación de aplicaciones Prosa, SSAA y Host Análisis y prototipos de nuevos requisitos sobre una aplicación 7 350 2450 existente Análisis y prototipos de nuevos 3 requisitos sobre una aplicación nueva 500 1500 Pruebas funcionales y de aceptación de una aplicación existente 8 100 800 Pruebas funcionales y de aceptación de una aplicación nueva 4 150 600 Servicio de Proyectos de Seguridad Nota 1 2500 Análisis y mejora de la seguridad

Revisiones de seguridad 2 400 800 Proyectos de mejora de la seguridad 3 400 1.200 Análisis inteligente de rastros 4 550 2.200 Actuaciones de mejora de la seguridad 10 40 400 TOTAL 19.800

Nota 1.- Dado el carácter de la tipología de trabajo “Servicio de Proyectos de Seguridad” se ha estimado un volumen total de unidades de trabajo a solicitar para este tipo, sin poder determinarse a priori el número de peticiones ni las unidades de trabajo que supondrá cada petición. El coste en unidades de trabajo para este tipo de peticiones se definirá en cada caso según lo establecido en el Anexo T3.5

128

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Los datos anteriores sobre el volumen de trabajos son orientativos y, en cualquier caso, la GISS podrá solicitar los trabajos necesarios de cualquiera de las tipologías, siempre que el volumen total de unidades de trabajo se mantenga de dentro del límite máximo establecido en el contrato.

129

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T3.7 VOLUMEN ACTUAL DE TRABAJO La Gerencia de Informática de la Seguridad Social, en su condición de servicio común responsable de la infraestructura informática de la Seguridad Social debe dar soporte a un número significativo de activos de este sistema. Entre otros, en términos estimados:  Unos 2.500 servidores.  Unos 39.000 ordenadores personales de sobremesa.  Unos 1.400 ordenadores portátiles.  Unos 1.000 routers y 2.000 switches.  Unos 230.000 programas informáticos. En la Seguridad Social trabajan un total de usuarios distribuidos en unos 33.000 internos y 9.000 externos (Comunidades Autónomas y Mutuas de Accidentes de Trabajo y Enfermedades Profesionales). En términos diarios, el uso de los servicios informáticos es de:  Unos 900.000 accesos web a través de la Sede Electrónica y otros servicios.  Unos 13.000.000 de peticiones on-line en esos medios.  Unos 800.000 correos enviados o recibidos.  Unos 80.000 SMS enviados.  Unos 135.000 ficheros intercambiados en el Sistema RED.  Unos 3.500.000.000 accesos a bases de datos.

130

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T3.8 HERRAMIENTAS PARA LA PRESTACIÓN DEL SERVICIO DE GESTIÓN DE INCIDENTES DE SEGURIDAD Con carácter general las herramientas a utilizar en este servicio deben integrarse en el entorno tecnológico especificado en el anexo T3.1. Además, la GISS dispone en algunos casos de sus propias herramientas; sin embargo, en los casos siguientes se da la posibilidad a la empresa adjudicataria de suministrar las suyas propias bajo el marco de trabajo de este servicio:  Gestión de vulnerabilidades.  Vigilancia digital.  Hácking ético.  Seguridad de puesto.  Peritajes técnicos de seguridad.  Gestión de incidentes de seguridad. El uso de herramientas propias del adjudicatario se realizará bajo las siguientes condiciones (salvo acuerdo expreso entre la GISS y el adjudicatario):  No otorga a la GISS derechos de propiedad o de uso de las herramientas una vez finalizado el contrato.  Los datos manejados por las herramientas son propiedad de la GISS y debe residir en repositorios situados en las instalaciones de la GISS. A requerimiento de la GISS (y al menos también al finalizar el servicio) el adjudicatario debe eliminarlos de sus instalaciones.

131

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T3.9 ACUERDO DE NIVEL DE SERVICIO (ANS) DEL SERVICIO DE GESTIÓN DE INCIDENTES DE SEGURIDAD Los Acuerdos de Nivel de Servicio (ANS) definen los indicadores y compromisos del servicio y determinan la calidad del trabajo efectuado. Para una mejor comprensión de los ANS ser realizan a continuación una serie de definiciones básicas.

T3.9.1 DEFINICIONES A continuación, se define brevemente el parámetro más relevante en relación a los tiempos de ejecución de trabajos: Tiempo de resolución: Tiempo desde la fecha de inicio prevista en la planificación aprobada hasta que el trabajo se finaliza. La petición pasa a estado “Trabajo finalizado”. Es importante resaltar el hecho de que, en caso de una no conformidad por parte de la GISS a una petición resuelta, la petición volverá al estado “En ejecución” y el plazo adicional que el prestador del servicio necesite hasta que dicha petición alcance el estado “Trabajo finalizado” se computará a efectos de cálculo del tiempo de resolución. Esto es aplicable igualmente a las posibles no conformidades sucesivas.

T3.9.2. PLAZOS El tiempo de resolución es el máximo período de tiempo que puede transcurrir desde la fecha de inicio prevista, de una petición cuya planificación ha sido aprobada por la GISS hasta que el equipo de la empresa prestataria del servicio finaliza el trabajo, plazos recogidos en la tabla que se muestra a continuación. Los valores prefijados se muestran a continuación:

TIPO DE PETICIÓN TIEMPO DE RESOLUCIÓN Gestión de Incidentes de criticidad máxima 1 día natural Gestión de Incidentes de criticidad muy 2 días naturales alta Gestión de Incidentes de criticidad media 6 días naturales Gestión de Incidentes de criticidad baja 15 días naturales Gestión de Incidentes de criticidad muy 30 días naturales baja Hácking ético (test de superficie) 2 semanas Hácking ético (caja negra) 2 meses Hácking ético (caja blanca) 2 meses Análisis de vulnerabilidades interno 1 mes (análisis inicial) Análisis de vulnerabilidades interno 2 meses (análisis global por ronda) Identidad digital 10 días naturales

132

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Inteligencia de ciberseguridad 1 mes Peritajes técnicos de seguridad 2 meses

Los plazos indicados en la tabla anterior se consideran plazos estándar a aplicar a todas las peticiones estándar. Un trabajo se considerará finalizado, cuando la GISS determine que los entregables satisfacen los requisitos establecidos en la definición del servicio para la tipología de trabajo realizada.

T3.9.3. DEFINICIÓN DEL ANS Los ANS son indicadores que miden el nivel de servicio prestado por el contratista frente al compromiso adquirido contractualmente con GISS. En caso de que estos indicadores no alcancen los requerimientos acordados, el contratista incurrirá en una penalidad, que se calculará y aplicará de acuerdo al procedimiento y condiciones descritos más adelante. El valor de cada ANS se calcula en función del porcentaje de cumplimiento o incumplimiento del indicador. Cada ANS tiene asignado un peso, y cada rango de porcentaje de cumplimiento o incumplimiento tiene asignado un ratio. La combinación de ambos establece el valor del ANS según las tablas asignadas a cada uno y que se detallan a continuación.

T3.9.4. CÁLCULO DEL ANS Y PENALIDADES En este apartado, se introducen los conceptos que, posteriormente, se utilizarán cuando se describan en detalle los ANS incluidos en este servicio. En primer lugar, se define el coeficiente de penalidad “P”, de la siguiente forma:

P = Σ Pi*Wi = Σ (Rci(v))*Wi Donde:  Pi es el coeficiente de penalidad asociado a cada ANS.  “Rci(v)” es el ratio de cumplimiento, que informa del grado de valor alcanzado en relación con el objetivo inicialmente fijado en el ANS. Si, por ejemplo, su valor fuera menor o igual que cero, indicaría que la métrica se ha ajustado a los ANS, al encontrarse entre los límites aceptados, indicando los valores negativos unos resultados óptimos. Para el cálculo del ratio de cumplimiento se tienen en cuenta las tablas de ANS propias de cada indicador, dónde el valor “v” se calcula como v=(A/B)*100. Siendo “A” el total de peticiones del tipo al que se refiera el ANS que lo cumplen, y “B” el total de peticiones del tipo considerado en el ANS.  “Wi” es el peso de cada ANS, valor que refleja la importancia relativa que damos a cada ANS con respecto a los demás. Una vez obtenido el coeficiente de penalidad “P”, se aplicará la penalidad sobre el total facturado en el periodo de medición de los ANS, descontándose en la certificación que el Director Técnico determine. Los valores de los ANS son acumulativos en el trimestre de medición, desde el inicio hasta el fin del mismo. En caso de que haya un valor de “Pi” negativo, éste podría compensar los valores positivos de otros, pero no implicará la existencia de una bonificación en ningún caso.

133

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

En la siguiente lista, se muestran los ANS del servicio:  ANS1: Gestión de incidentes.  ANS2: Hácking ético.  ANS3: Análisis de vulnerabilidades interno.  ANS4: Identidad digital.  ANS5: Inteligencia de ciberseguridad.  ANS6: Peritajes técnicos de seguridad.

La formulación de los ANS es igual en los seis casos y se detalla a continuación:

134

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ACUERDO DE NIVEL DE SERVICIO: PETICIONES FINALIZADAS EN PLAZO

OBJETIVO Porcentaje de Peticiones finalizadas en plazo, del total de las tramitadas para el servicio.

FÓRMULA DE CÁLCULO Pi = Rci(v), donde

“Pi” es el coeficiente de penalidad resultante.

“Rci” es el ratio de cumplimiento.

Para el cálculo del ratio de cumplimiento se tiene en cuenta la tabla indicada, calculándose el valor v = (A/B)*100, donde:

UNIDAD DE MEDIDA Porcentaje (%).

PESO DEL ANS (Wi) 10/6

RATIO DE CUMPLIMIENTO

- Si 95 < v ≤ 100, Rc1 = - 0,5

- Si 90 < v ≤ 95, Rc1 = 0

- Si 70 ≤ v ≤ 90, Rc1 = +0,5

- Si v < 70, Rc1 = +1

PERIODICIDAD Trimestral.

135

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T3.10 ACUERDO DE NIVEL DE SERVICIO (ANS) DEL SERVICIO PARA LA GESTIÓN INTEGRAL DE LOS SISTEMAS DE SEGURIDAD Los Acuerdos de Nivel de Servicio (ANS) definen los indicadores y compromisos del servicio y determinan la calidad del trabajo efectuado. Para una mejor comprensión de los ANS ser realizan a continuación una serie de definiciones básicas.

T3.10.1 DEFINICIONES A continuación, se definen brevemente los parámetros más relevantes en relación a los tiempos de estimación/presentación de la propuesta y la ejecución de trabajos:  Tiempo de estimación/presentación de la propuesta: tiempo desde que se tramita una petición hasta que el adjudicatario comunica la estimación y planificación para su revisión o presenta una propuesta de servicio y su aprobación o rechazo por parte de GISS. La petición pasa de “Tramitada” a “Estimada”.  Tiempo de ejecución: tiempo desde que se tramita una petición hasta que el trabajo se finaliza. La petición pasa de “Tramitada” a “Trabajo finalizado”. Es importante resaltar el hecho de que, en caso de una no conformidad a una petición resuelta, la diferencia de tiempo entre el momento en que se establece el estado “Trabajo finalizado” y la fecha de fin prevista, se le acumulará a la fecha de no conformidad para calcular la nueva fecha de resolución. Esto es aplicable igualmente a las posibles no conformidades sucesivas.

T3.10.2 PLAZOS El tiempo de estimación/presentación de la propuesta es el máximo período de tiempo que puede transcurrir desde que una petición se tramita hasta que se comunica la estimación y planificación del trabajo. Se trata de un valor fijo en función de la prioridad de la petición. Marca el tiempo de respuesta para estimar y planificar la tarea. El plazo de resolución es el máximo período de tiempo que puede transcurrir desde que se tramita una petición por la GISS hasta que el equipo de la empresa prestataria del servicio finaliza el trabajo, plazos recogidos en la tabla anterior. Los valores prefijados se muestran a continuación:

Tiempo de Tiempo de Actividad estimación ejecución Análisis y Mejora de la Seguridad

Proyectos de mejora de la seguridad 1 mes 4 meses

Revisiones de seguridad 1 mes 4 meses

Actuaciones de mejora de la seguridad 1 semana 1 mes

Análisis avanzado de rastros. 1 mes 3 meses

Gestión de la plataforma de seguridad de Internet

136

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Peticiones no urgentes 1 hora 1 día

Peticiones urgentes 30 minutos 4 horas

Administración de Seguridad del host

Peticiones de complejidad alta 1 semana 2 semanas

Peticiones de complejidad baja 30 minutos 2 horas

Gestión de incidencias de las infraestructuras de seguridad

Incidencias procedimentadas 30 minutos 2 horas

Incidencias no procedimentadas 4 horas 1 semana

Análisis y pruebas de compatibilidad tecnológica 3 días 2 semanas

Servicio de análisis, prototipado y pruebas funcionales de aplicaciones Pros@, SSAA y host

Análisis y prototipos de nuevos requisitos sobre una 1 semana 8 semanas aplicación ya existente

Análisis y prototipos de nuevos requisitos sobre una 2 semanas 12 semanas aplicación nueva

Pruebas funcionales y de aceptación de una aplicación ya 1 semana 1,5 semanas existente

Pruebas funcionales y de aceptación de una aplicación 1,5 semanas 2 semanas nueva

Servicio de Proyectos de Seguridad

Peticiones con plazo de ejecución muy bajo 2 días 2 semanas

Peticiones con plazo de ejecución bajo 1 semana 2 meses

Peticiones con plazo de ejecución medio 1 semana 4 meses

Peticiones con plazo de ejecución alto 1 semana 6 meses

137

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

T3.10.3. DEFINICIÓN DEL ANS Los ANS son indicadores que miden el nivel de servicio prestado por el contratista frente al compromiso adquirido contractualmente con GISS. En caso de que estos indicadores no alcancen los requerimientos acordados, el contratista incurrirá en una penalidad, que se calculará y aplicará de acuerdo al procedimiento y condiciones descritos más adelante. El valor de cada ANS se calcula en función del porcentaje de cumplimiento o incumplimiento del indicador. Cada ANS tiene asignado un peso, y cada rango de porcentaje de cumplimiento o incumplimiento tiene asignado un ratio. La combinación de ambos establece el valor del ANS según las tablas asignadas a cada uno y que se detallan a continuación.

T3.10.4. CÁLCULO DEL ANS Y PENALIDADES En este apartado, se introducen los conceptos que, posteriormente, se utilizarán cuando se describan en detalle los ANS incluidos en este servicio. En primer lugar, se define el coeficiente de penalidad “P”, de la siguiente forma:

P = Σ Pi*Wi = Σ (Rci(v))*Wi

Donde:  Pi es el coeficiente de penalidad asociado a cada ANS.  “Rci(v)” es el ratio de cumplimiento, que informa del grado de valor alcanzado en relación con el objetivo inicialmente fijado en el ANS. Si, por ejemplo, su valor fuera menor o igual que cero, indicaría que la métrica se ha ajustado a los ANS, al encontrarse entre los límites aceptados, indicando los valores negativos unos resultados óptimos. Para el cálculo del ratio de cumplimiento se tienen en cuenta las tablas de ANS propias de cada indicador, dón- de el valor “v” se calcula como v=(A/B)*100. Siendo “A” el total de peticiones del tipo al que se refiera el ANS que lo cumplen, y “B” el total de peticiones del tipo considerado en el ANS.  “Wi” es el peso de cada ANS, valor que refleja la importancia relativa que damos a cada ANS con respecto a los demás.

Los valores de los ANS son acumulativos en el periodo de medición, desde el inicio de cada ejer- cicio hasta el fin del mismo o del contrato. En la siguiente lista, se muestran los ANS sujetos a los servicios gestionados:  ANS 1: Peticiones de análisis y mejora de la seguridad.  ANS 2. Peticiones de Gestión de la plataforma de seguridad de Internet.  ANS 3. Peticiones de Administración de Seguridad del host.  ANS 4. Peticiones de Gestión de incidencias de las infraestructuras de seguridad.  ANS 5. Peticiones de Análisis de compatibilidad tecnológica.  ANS 6. Peticiones del Servicio de análisis, prototipado y pruebas funcionales de aplicaciones Pros@, SSAA y host.  ANS 7. Peticiones del Servicio de Proyectos de Seguridad.

La formulación de los ANS es igual en los seis casos y se detalla a continuación:

138

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ACUERDO DE NIVEL DE SERVICIO: PETICIONES FINALIZADAS EN PLAZO

OBJETIVO Porcentaje de Peticiones finalizadas en plazo, del total de las tramitadas para el servicio.

FÓRMULA DE CÁLCULO Pi = Rci(v), donde

“Pi” es el coeficiente de penalidad resultante.

“Rci” es el ratio de cumplimiento.

Para el cálculo del ratio de cumplimiento se tiene en cuenta la tabla indicada, calculándose el valor v = (A/B)*100, donde:

UNIDAD DE MEDIDA Porcentaje (%).

PESO DEL ANS (Wi) 10/7

RATIO DE CUMPLIMIENTO

- Si 95 < v ≤ 100, Rc1 = - 0,5

- Si 90 < v ≤ 95, Rc1 = 0

- Si 70 ≤ v ≤ 90, Rc1 = +0,5

- Si v < 70, Rc1 = +1

PERIODICIDAD Trimestral.

139

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXOS T4. LOTE 4 - SERVICIOS DE SOPORTE A LA GESTIÓN DE LA COMUNICACIÓN

ANEXO T4.1 ENTORNO TECNOLÓGICO

El entorno tecnológico en el que se desarrollarán los trabajos objeto de este proceso de contratación está predefinido, siendo de utilización las siguientes herramientas informáticas:

Entorno Tecnológico

Gestor de contenidos/Gestor Documental: UCM, EMC Documentum, Websphere Content Manager, WebSphere Portal Server Herramienta colaborativa: IBM Connections. Microinformática/ diseño gráfico: Paquetes ofimáticos, compresores y conversores de archivos, lectores de PDF, herramientas de gestión de proyectos, Suite Adobe Herramientas de Desarrollo: HTML, XHTML, CSS, javascript BI y Análisis de datos: Microstrategy, Oracle Siebel Analytics, IBM Cognos, SAP Business Objects, Oracle Balanced ScoreCard, SAS, Google Analytics

La GISS podrá modificar en cualquier momento las herramientas informáticas a utilizar, así como añadir nuevas. El adjudicatario deberá emprender las acciones que estime oportunas para formar al equipo de trabajo en las nuevas herramientas.

140

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T4. 2 DESCRIPCIÓN DE PERFILES Requerimientos generales exigidos a las diferentes categorías definidas:

Categoría Requerimientos Pliego TSA Titulado universitario superior en especialidades de las Tecnologías de la Información y de las Comunicaciones (TIC) o Máster en especialidades TIC. Con, al menos, 8 años de experiencia TSB Titulado universitario superior, medio o de Grado en especialidades de las Tecnologías de la Información y de las Comunicaciones. Con, al menos, 6 años de experiencia TSC Titulado universitario superior, medio o de Grado en especialidades de las Tecnologías de la Información y de las Comunicaciones. Con, al menos, 4 años de experiencia TMA Titulado Medio, de Grado o Formación Profesional Superior en especialidades de las Tecnologías de la Información y de las Comunicaciones. Con, al menos, 3 años experiencia TMB Titulado Medio, de Grado o Formación Profesional Superior en especialidades de las Tecnologías de la Información y de las Comunicaciones. Con, al menos, 2 años experiencia TMC Titulado Medio, de Grado o Formación Profesional Superior en especialidades de las Tecnologías de la Información y de las Comunicaciones. Con, al menos, 1 año experiencia

Cualificación específica. Se detallan a continuación los perfiles profesionales que se podrán solicitar, así como, los conocimientos que éstos deben aportar:

Técnicos de comunicación. Conocimientos genéricos:  Negociación.  Orientación a resultados.  Planificación.  Toma de decisiones.  Trabajo en equipo.  Orientación al cliente.  Habilidad para las relaciones con clientes y colaboradores.  Dotes de comunicación, oral y escrita.  Resolución de conflictos y gestión de quejas.  Iniciativa.

141

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos

Técnico Superior de Comunicación A:  Experiencia en la dirección y dinamización de equipos. Consultor de Negocio  Experiencia en desarrollo y seguimiento en proyectos de comunicación.  Experiencia en la gestión de marca y su supervisión.  Enfoque estratégico de los medios de comunicación  Definición de Acciones de comunicación  Definición de estrategia tanto de procesos, innovación y gestión del conocimiento  Perfil de formación capaz de expresar requerimientos de alto nivel a un equipo multidisciplinar  Experiencia con herramientas digitales, procesos, accesibilidad, usabilidad, etc.  Desarrollo de KPI's métricas de evolución y estudios funcionales Técnico Superior de Comunicación B:  Experiencia en el diseño, organización y publicación de Especialista en administración de contenidos para entornos de Intranet/Internet. contenidos  Experiencia con herramientas de gestión de contenido a nivel funcional.  Organización, estructuración y redacción de contenidos para entornos Intranet/Internet.  Experiencia en la definición de políticas de normalización para los contenidos.  Técnicas de gestión documental: indexación avanzada, búsquedas contextuales, búsquedas en lenguaje natural.  Desarrollo de material de las acciones de comunicación: elaboración de newsletters, presentaciones, redacción de noticias...  Colaboración en la gestión de redes sociales.  Conocimientos de HTML y gestión de metadatos  Conocimientos de Accesibilidad, WAI 1.0, norma UNE 139803, Usabilidad.  Diseño y maquetación de imágenes.  Manejo de herramientas ofimáticas, nivel alto.

 Experiencia en gestión y seguimiento de actuaciones re- Técnico de Comunicación: Consultor lacionadas con la comunicación y la gestión del conoci- de comunicación y gestión del cono- miento. cimiento  Experiencia en Departamentos de Comunicación para la realización de informes y cuadros de mando de acciones de Comunicación y gestión del conocimiento.  Experiencia en definición de procesos y procedimientos de Comunicación.  Capacidad para redactar todo tipo de documentos (diag- nósticos, estudios, noticias…).  Manejo de herramientas ofimáticas, nivel alto.  Experiencia en la documentación de departamentos de

142

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Perfil Conocimientos comunicación corporativa  Experiencia en Analítica Web y desarrollo de Dashboard de seguimiento Técnico de Comunicación: Auxiliar de  Desarrollo de noticias soporte funcional  Escucha activa en Internet sobre la Marca  Experiencia en Redes Sociales Corporativas  Conocimientos de Html  Desarrollo de newsletters  Diseño y maquetación de presentaciones  Edición de imágenes

143

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T4.3 MODELO OPERATIVO DEL SERVICIO GESTIONADO DE LA COMUNICACIÓN. Este servicio cubre un conjunto de tareas necesarias para la labor de gestión de la comunicación de la Gerencia Informática de la Seguridad Social. Las tareas que podrán ser requeridas en el marco de este servicio son:

 Estudios de diseño gráficos avanzados  Estudios de la marca y su supervisión.  Estudio de los medios de comunicación.  Estudios de gestión de conocimiento.  Estudios de usabilidad y accesibilidad.  Desarrollo de acciones de comunicación.  Soporte a la elaboración de contenidos para trabajos de divulgación y formación

Las tareas anteriormente mencionadas se pueden clasificar en base a su plazo de ejecución estimado:  Una tarea será sencilla cuando se estime su finalización en un período igual o menor a cinco días hábiles.  Una tarea será media cuando se estime su finalización en un período de entre 15 días y un mes.  Una tarea será compleja cuando se estime su finalización en un período de entre uno y dos meses.

El plazo de ejecución lo indicará la GISS al realizar la petición de trabajo.

144

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T4.4 VOLUMEN ACTUAL DE TRABAJO Como datos de referencia al adjudicatario, a continuación se incluye información acerca del volumen medio de trabajo en materia de Comunicación:

PETICIONES TIPO DE TRABAJO ANUALES

Soporte a la elaboración de contenidos para trabajos de 300 divulgación y formación

Estudios de diseño gráficos avanzados 100

Desarrollo de acciones de comunicación 48

Estudios de medios de comunicación 12

Estudios de gestión del conocimiento 12

Estudios de la marca y su supervisión 12

Estudios de usabilidad y accesibilidad 10

Los datos indicados anteriormente son orientativos y se muestran de cara a servir de referencia al adjudicatario. En cualquier caso, pueden variar y el adjudicatario podrá prestar el servicio con las mismas condiciones.

145

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANEXO T4.5 ACUERDO DE NIVEL DE SERVICIO (ANS) DEL SERVICIO GESTIONADO DE LA COMUNICACIÓN Los Acuerdos de Nivel de Servicio (ANS) definen los indicadores y compromisos del servicio y determinan la calidad del trabajo efectuado. Para una mejor comprensión de los ANS se realizan a continuación una serie de definiciones básicas.

T.4.5.1 DEFINICIONES A continuación, se definen brevemente los parámetros más relevantes en relación a los tiempos de estimación y ejecución de trabajos:  Tiempo de estimación: tiempo desde que se tramita una petición hasta que el adjudicatario comunica la estimación y planificación (fecha de inicio y fecha de fin previstas) para su revisión o presenta una propuesta de servicio y su aprobación o rechazo por parte de GISS. La petición pasa de “Tramitada” a “Estimada”.  Tiempo de resolución: Tiempo desde la fecha de inicio prevista en la planificación aprobada hasta que el trabajo se finaliza. La petición pasa a estado “Trabajo finalizado”. Es importante resaltar el hecho de que, en caso de una no conformidad a una petición resuelta, la diferencia de tiempo entre el momento en que se establece el estado “Trabajo finalizado” y la fecha de fin prevista, se le acumulará a la fecha de no conformidad para calcular la nueva fecha de resolución. Esto es aplicable igualmente a las posibles no conformidades sucesivas.

T.4.5.2 PLAZOS El tiempo de estimación es el máximo período de tiempo que puede transcurrir desde que una petición se tramita hasta que se comunica la estimación y planificación del trabajo. Se trata de un valor fijo en función del tipo de petición. Marca el tiempo de respuesta para la estimación y planificación de la tarea. El tiempo de resolución es el máximo período de tiempo que puede transcurrir desde la fecha de inicio prevista de una petición cuya planificación ha sido aprobada por la GISS, hasta que la empresa prestataria del servicio finaliza el trabajo, plazos recogidos en la tabla que se muestra a continuación.

146

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

Los valores prefijados se muestran a continuación:

Tiempo de TIPO DE PETICIÓN Tiempo de resolución estimación Soporte a la elaboración de contenidos para 2 días 5 días trabajos de divulgación y formación

Estudios de diseño gráficos avanzados 4 días 15 días

Desarrollo de acciones de comunicación 2 días 15 días

Estudios de medios de comunicación 4 días 1 mes

Estudios de gestión del conocimiento 4 días 1 mes

Estudios de la marca y su supervisión 4 días 1 mes

Estudios de usabilidad y accesibilidad 4 días 2 meses

T.4.5.3 DEFINICIÓN DEL ANS Los ANS son indicadores que miden el nivel de servicio prestado por el contratista frente al compromiso adquirido contractualmente con GISS. En caso de que estos indicadores no alcancen los requerimientos acordados, el contratista incurrirá en una penalidad, que se calculará y aplicará de acuerdo al procedimiento y condiciones descritos más adelante. El valor de cada ANS se calcula en función del porcentaje de cumplimiento o incumplimiento del indicador. Cada ANS tiene asignado un peso, y cada rango de porcentaje de cumplimiento o incumplimiento tiene asignado un ratio. La combinación de ambos establece el valor del ANS según las tablas asignadas a cada uno y que se detallan a continuación.

T.4.5.4 CÁLCULO DEL ANS Y PENALIDADES En este apartado, se introducen los conceptos que, posteriormente, se utilizarán cuando se describan en detalle los ANS incluidos en este servicio. En primer lugar, se define el coeficiente de penalidad “P”, de la siguiente forma:

147

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

P = Σ Pi*Wi = Σ (Rci(v))*Wi

Dónde:  Pi es el coeficiente de penalidad asociado a cada ANS.  “Rci(v)” es el ratio de cumplimiento, que informa del grado de valor alcanzado en relación con el objetivo inicialmente fijado en el ANS. Si, por ejemplo, su valor fuera menor o igual que cero, indicaría que la métrica se ha ajustado a los ANS, al encontrarse entre los límites aceptados, indicando los valores negativos unos resultados óptimos. Para el cálculo del ratio de cumplimiento se tienen en cuenta las tablas de ANS propias de cada indicador, dónde el valor “v” se calcula como v=(A/B)*100. Siendo “A” el total de peticiones del tipo al que se refiera el ANS que lo cumplen, y “B” el total de peticiones del tipo considerado en el ANS.  “Wi” es el peso de cada ANS, valor que refleja la importancia relativa que damos a cada ANS con respecto a los demás. Una vez obtenido el coeficiente de penalidad “P”, se aplicará la penalidad sobre el total facturado en el periodo de medición de los ANS, descontándose en la certificación que el Director Técnico determine. Los valores de los ANS son acumulativos en el trimestre de medición, desde el inicio hasta el fin del mismo. En caso de que haya un valor de “Pi” negativo, éste podría compensar los valores positivos de otros, pero no implicará la existencia de una bonificación en ningún caso. En la siguiente lista, se muestran los ANS del servicio:

 ANS1: Soporte a la elaboración de contenidos para trabajos de divulgación y formación.  ANS2: Estudios de diseños gráficos avanzados.  ANS3: Desarrollos de acciones de comunicación.  ANS4: Estudios de medios de comunicación, Estudios de gestión del conocimiento, Estudios de la marca y su supervisión y Estudios de usabilidad y accesibilidad.

La formulación de los ANS es igual en los cuatro casos y se detalla a continuación:

148

MINISTERIO SECRETARÍA DE ESTADO DE LA SEGURIDAD SOCIAL DE EMPLEO Y SEGURIDAD SOCIAL GERENCIA DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

ANS DEL SERVICIO GESTIONADO DE LA COMUNICACIÓN: PETICIONES FINALIZADAS EN PLAZO

OBJETIVO Porcentaje de trabajos finalizados en plazo, del total de los aceptados y validados por la GISS para el servicio.

FÓRMULA DE CÁLCULO P1 = Rc1(v), donde

“P1” es el coeficiente de penalidad resultante.

“Rc1” es el ratio de cumplimiento.

Para el cálculo del ratio de cumplimiento se tiene en cuenta la tabla indicada, calculándose el valor v = (A/B)*100, donde:

UNIDAD DE MEDIDA Porcentaje (%).

PESO DEL ANS (W1) 10/4

RATIO DE CUMPLIMIENTO

- Si 95 < v ≤ 100, Rc1 = - 0,5

- Si 90 < v ≤ 95, Rc1 = 0

- Si 70 ≤ v ≤ 90, Rc1 = +0,5

- Si v < 70, Rc1 = +1

PERIODICIDAD Trimestral.

149