Esta sección constituye el detalle de los bienes y/o servicios con sus respectivas especificaciones técnicas - EETT, de manera clara y precisa para que el oferente elabore su oferta. Salvo aquellas EETT de productos ya determinados por plantillas aprobadas por la DNCP.

El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.

Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y convenios modificatorios.

El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.

• Identificar el nombre,  cargo  y  la dependencia de la Institución de quien solicita el procedimiento de contratación a ser publicado.

       Nombre: Katiana Leguizamón U.

       Cargo: Directora de Tecnologías de la Información y Comunicación

       Dependencia: Dirección de Tecnologías de la Información y Comunicación

• Justificación de la necesidad que se pretende satisfacer mediante la contratación a ser realizada.

        La presente solicitud tiene por objeto, fortalecer las capacidades de protección y monitoreo de información del Gabinete Civil, ante el creciente                  riesgo de incidentes de ciberseguridad que pudieran afectar la operación institucional y la integridad de los datos críticos.

• Justificación de la planificación, si se trata de un procedimiento de contratación periódico o sucesivo,  o si el mismo responde a una necesidad temporal.

        Con relación a la planificación: se trata de una necesidad temporal.

• Justificación de las especificaciones técnicas establecidas.

          La contratación de este servicio, permitirá:

• • Prevenir, detecta y responder de manera oportuna ante vulnerabilidades y amenazas.
  • Garantizar la continuidad operativa y la disponibilidad de los servicios esenciales.
  • Fortalecer la seguridad de los sistemas y aplicaciones críticas, alineándose con estándares internacionales.
  • Promover la concienciación y capacitación del personal sobre buenas prácticas de ciberseguridad.

 

Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:

El propósito de la Especificaciones Técnicas (EETT), es el de definir las características técnicas de los bienes que la convocante requiere. La convocante preparará las EETT detalladas teniendo en cuenta que:

-      Las EETT sirven de referencia para verificar el cumplimiento técnico de las ofertas y posteriormente evaluarlas. Por lo tanto, unas EETT bien definidas facilitarán a los oferentes la preparación de ofertas que se ajusten a los documentos de licitación, y a la convocante el examen, evaluación y comparación de las ofertas.

-      En las EETT se deberá estipular que todos los bienes o materiales que se incorporen en los bienes deberán ser nuevos, sin uso y del modelo más reciente o actual, y que contendrán todos los perfeccionamientos recientes en materia de diseño y materiales, a menos que en el contrato se disponga otra cosa.

-      En las EETT se utilizarán las mejores prácticas. Ejemplos de especificaciones de adquisiciones similares satisfactorias en el mismo sector podrán proporcionar bases concretas para redactar las EETT.

-      Las EETT deberán ser lo suficientemente amplias para evitar restricciones relativas a manufactura, materiales, y equipo generalmente utilizados en la fabricación de bienes similares.

-      Las normas de calidad del equipo, materiales y manufactura especificadas en los Documentos de Licitación no deberán ser restrictivas. Se deberán evitar referencias a marcas, números de catálogos u otros detalles que limiten los materiales o artículos a un fabricante en particular. Cuando sean inevitables dichas descripciones, siempre deberá estar seguida de expresiones tales como “o sustancialmente equivalente” u “o por lo menos equivalente”, remitiendo la aclaración respectiva.  Cuando en las ET se haga referencia a otras normas o códigos de práctica particulares, éstos solo serán aceptables si a continuación de los mismos se agrega un enunciado indicando otras normas emitidas por autoridades reconocidas que aseguren que la calidad sea por lo menos sustancialmente igual.

-      Asimismo, respecto de los tipos conocidos de materiales, artefactos o equipos, cuando únicamente puedan ser caracterizados total o parcialmente mediante nomenclatura, simbología, signos distintivos no universales o marcas, únicamente se hará a manera de referencia, procurando que la alusión se adecue a estándares internacionales comúnmente aceptados.

 

-      Las EETT   deberán describir detalladamente los siguientes requisitos con respecto a por lo menos lo siguiente:

(a)      Normas de calidad de los materiales y manufactura para la producción y fabricación de los bienes.

(b)      Lista detallada de las pruebas requeridas (tipo y número).

(c)       Otro trabajo adicional y/o servicios requeridos para lograr la entrega o el cumplimiento total.

(d)      Actividades detalladas que deberá cumplir el proveedor, y consiguiente participación de la convocante.

(e)      Lista detallada de avales de funcionamiento cubiertas por la garantía, y las especificaciones de las multas aplicables en caso de que dichos avales no se cumplan.

-              Las EETT deberán especificar todas las características y requisitos técnicos esenciales y de funcionamiento, incluyendo los valores máximos o mínimos aceptables o garantizados, según corresponda.  Cuando sea necesario, la convocante deberá incluir un formulario específico adicional de oferta (como un Anexo a la de Oferta), donde el oferente proporcionará la información detallada de dichas características técnicas o de funcionamiento con relación a los valores aceptables o garantizados.

Cuando la convocante requiera que el oferente proporcione en su oferta datos sobre una parte de o todas las Especificaciones Técnicas, cronogramas técnicos, u otra información técnica, la convocante deberá detallar la información requerida y la forma en que deberá ser presentada por el oferente en su oferta.

Si se debe proporcionar un resumen de las EETT, la convocante deberá insertar la información en la tabla siguiente. El oferente preparará un cuadro similar para documentar el cumplimiento con los requerimientos.

Ítem	Descripción del servicio	Unidad de medida	Cantidad
1	Servicios de Gestión de Ciberseguridad	Mes	12 (doce)

 

ESPECIFICACIONES TÉCNICAS

SERVICIOS DE GESTIÓN DE CIBERSEGURIDAD

 

Antecedentes

El Gabinete Civil requiere fortalecer sus capacidades de protección, monitoreo y respuesta ante incidentes de ciberseguridad, mediante la contratación de servicios especializados gestionados. Estos servicios deberán contemplar actividades de ingeniería, soporte, mantenimiento, capacitación y concienciación continua para garantizar la protección de los activos de información críticos de la institución.

Objetivos del Servicio

• Implementar y gestionar soluciones de ciberseguridad que permitan la prevención, detección y respuesta efectiva ante vulnerabilidades y amenazas.
• Asegurar la continuidad operativa y protección de la información mediante servicios gestionados especializados.
• Disponer de un equipo experto externo que brinde soporte y acompañamiento técnico en forma continua.

                                    

Descripción de los Servicios

1. Servicio de Gestión de Vulnerabilidades y Riesgo

El proveedor deberá realizar la planificación, ejecución y entrega del servicio de gestión de vulnerabilidades garantizando la detección, priorización y seguimiento de las debilidades identificadas, mediante personal especializado. Esto incluirá:

• Relevamiento técnico inicial:

• Identificación y categorización de activos críticos: servidores, estaciones de trabajo, dispositivos de red, aplicaciones y servicios.
• Revisión de arquitecturas, sistemas operativos, servicios y protocolos expuestos.
• Evaluación de la superficie de ataque interna y externa.

• Monitoreo continuo de vulnerabilidades y gestión de riesgos:

• Simulación controlada de ataques externos.
• Identificación de vulnerabilidades explotables y demostración de impacto.
• Documentación detallada de hallazgos con evidencias y recomendaciones.
• Implementación de escaneos programados con herramienta de análisis de vulnerabilidades.
• Generación de reportes trimestrales con priorización según criticidad.
• Asesoramiento en la priorización y estrategias de mitigaciones de las vulnerabilidades.
• Coordinación con el personal para la remediación.
• Análisis comparativo del estado actual frente a buenas prácticas y estándares internacionales.
• Entrega de reporte con plan de inversión y hoja de ruta de mejora.
• Redacción de al menos 10 políticas de ciberseguridad adaptadas al entorno del cliente. Estas políticas deberán ser documentadas y alineadas mínimamente a estándares y procedimientos basados en ISO/IEC 27001, NIST CSF y CIS Controls.

• Correlación en tiempo real con SIEM:

La solución deberá integrar los resultados de escaneos de vulnerabilidades con la plataforma SIEM institucional, permitiendo la correlación de eventos de explotación en tiempo real. Esto deberá permitir:

• Priorización automática de vulnerabilidades según actividad maliciosa detectada.
• Generación de alertas críticas cuando se identifiquen intentos de explotación.
• Activación de flujos de respuesta coordinada y escalamiento según la severidad del incidente.

• Charlas de concientización:

• Sesiones dirigidas a personal técnico y usuarios finales sobre buenas prácticas y prevención de incidentes.

• Readecuación de Active Directory y Hardening de Servidores:

• Levantamiento de información de la estructura de dominios, controladores, GPOs y OUs.
• Inventario y priorización de servidores y servicios críticos.
• Revisión de cuentas privilegiadas y delegaciones de permisos.
• Optimización de la arquitectura lógica y física del Active Directory.
• Segmentación por roles y niveles de privilegio.
• Aplicación de políticas de contraseñas robustas y bloqueo de cuentas.
• Configuración de GPOs para reforzar la seguridad.
• Aplicación de estándares reconocidos (CIS, DISA STIG, Microsoft Security Baselines).
• Eliminación de servicios y puertos innecesarios.
• Configuración de auditorías y registros de seguridad.
• Implementación de cifrado en reposo y en tránsito.
• Pruebas de autenticación, conectividad y servicios posteriores a los cambios.
• Documentación final de la nueva configuración y lineamientos de seguridad.

Consideraciones: Teniendo en cuenta que se tratan de servicios críticos y que es indispensable una gestión adecuada, cualquier modificación deberá ir acompañada de un plan de cambios detallado, la utilización de un ambiente de pruebas controlado, la definición de ventanas de mantenimiento previamente aprobadas, criterios claros de aceptación y un plan de reversión documentado que permita restablecer el servicio en caso de que el cambio no cumpla con los resultados esperados.

Servicios de ingeniería y ajuste continuo

• Desarrollo, revisión y ajuste de configuraciones y políticas en función de cambios en el entorno o amenazas emergentes.
• Actualización de escaneos de vulnerabilidades y reglas de detección en cada ciclo trimestral.
• Revisión de desviaciones en la configuración de AD y hardening.
• Incorporación de nuevos activos y servicios críticos en el plan de gestión de vulnerabilidades.
• Se deberá contemplar como mínimo 60 horas de servicio profesional certificado durante la vigencia del contrato, no acumulables cuyo reporte de horas será enviado mensualmente. Además, el servicio deberá prestarse de manera remota o presencial según criticidad del requerimiento. El personal que llevará a cabo el servicio forma parte de la nómina permanente y el perfil se describe en el apartado Perfil del Personal Exigido.

Soporte, mantenimiento y concientización continua:

• Monitoreo del estado y efectividad de los controles aplicados en AD, servidores y gestión de vulnerabilidades.
• Gestión de incidentes de seguridad con atención prioritaria.
• Aplicación de ajustes de configuración bajo solicitud o por recomendación técnica.
• Reportes trimestrales con:
  • Hallazgos críticos y su evolución.
  • Cambios realizados y nivel de cobertura.
  • Recomendaciones de mejora.
• Charlas de concientización trimestrales para reforzar la cultura de ciberseguridad.
• Reuniones técnicas periódicas para revisión del roadmap de seguridad y definición de próximos pasos.

 

2. Servicio Gestionado de Backup: Arquitectura, Diseño e Implementación

El proveedor deberá realizar la instalación, configuración inicial y puesta en marcha de la solución de Backup Gestionado para 10 instancias críticas, garantizando la correcta operación y recuperación de datos bajo el modelo BaaS (Backup as a Service), mediante personal especializado. Esto incluirá:

• Relevamiento técnico:

• Revisión de la infraestructura tecnológica del cliente: servidores físicos, máquinas virtuales, aplicaciones críticas y sistemas operativos.
• Identificación de datos críticos, dependencias y ventanas de respaldo posibles.
• Inventario de fuentes de datos a respaldar, ubicaciones y métodos de acceso.
• Análisis de requerimientos de retención, frecuencia de copias y objetivos de recuperación (RPO/RTO).

• Diseño de arquitectura de respaldo:

• Definición de topología y ubicación de repositorios de backup.
• Establecimiento de métodos de copia segura (cifrado en tránsito y reposo).
• Segmentación lógica por tipo de activo, criticidad y frecuencia de respaldo.
• Definición de políticas de retención, versiones y acceso seguro a respaldos.

 

• Despliegue inicial de políticas de respaldo:

• Configuración de trabajos de backup según criticidad y frecuencia acordada.
• Activación de respaldos completos e incrementales optimizados.
• Pruebas iniciales de recuperación de datos para validación funcional.

• Validación funcional del sistema

• Simulación de escenarios de restauración parcial y total.
• Revisión de integridad de datos respaldados.
• Validación de cumplimiento de objetivos RPO/RTO definidos.

Servicios de ingeniería y ajuste continuo de la solución de Backup

• Optimización de tareas de respaldo y restauración según cambios en el entorno o crecimiento de datos.
• Revisión de rendimiento y uso de capacidad de almacenamiento.
• Implementación de mejoras en la estrategia de respaldo (por ejemplo: backup fuera de sitio, copias inmutables).
• Ajuste dinámico de ventanas de backup para minimizar impacto en producción.
• Pruebas periódicas de recuperación para validar tiempos y procesos de restauración.
• Se deberá contemplar como mínimo 60 horas de servicio profesional certificado durante la vigencia del contrato, no acumulables cuyo reporte de horas será enviado mensualmente. Además, el servicio deberá prestarse de manera remota o presencial según criticidad del requerimiento. El personal que llevará a cabo el servicio forma parte de la nómina permanente y el perfil se describe en el apartado Perfil del Personal Exigido.

Soporte y mantenimiento continuo del servicio de Backup Gestionado

• Monitoreo diario del estado de tareas de respaldo y restauración.
• Gestión de incidentes relacionados con fallos en copias o recuperación de datos, con cobertura 24/7.
• Aplicación de cambios de configuración bajo solicitud o por recomendación del equipo especializado.
• Reportes mensuales que incluyan:
  • Tasa de éxito/fallo de tareas de backup.
  • Tiempo promedio de restauración y cumplimiento de RPO/RTO.
  • Capacidad utilizada y proyecciones de almacenamiento.
  • Recomendaciones de mejora de la estrategia de respaldo.
• Reuniones técnicas periódicas para revisión de evolución del servicio, nuevos requerimientos y roadmap de madurez del plan de respaldo.

3. Servicio gestionado de eventos de ciberseguridad

Servicios de arquitectura, diseño, implementación para la puesta en marcha del servicio:

El proveedor deberá realizar la instalación, configuración inicial y puesta en marcha de la solución de monitoreo y gestión de eventos de seguridad, garantizando el funcionamiento integral de todas las capacidades técnicas requeridas, mediante personal especializado. Esto incluirá:

• Relevamiento técnico

• Revisión de la infraestructura tecnológica del cliente: servidores, estaciones de trabajo, firewalls, sistemas operativos, hipervisores, cloud y contenedores.
• Identificación de dominios, subdominios, segmentos de red, zonas críticas y flujos de información confidencial.
• Inventario de fuentes de log relevantes (sistemas, aplicaciones, bases de datos, dispositivos de red).
• Análisis de dependencias y criticidad de los servicios para priorizar la cobertura.

 

• Diseño de arquitectura de monitoreo

• Definición de nodos de recolección y procesamiento de logs en base a topología de red.
• Establecimiento de mecanismos de envío seguro de logs (agentes, syslog, API).
• Segmentación lógica por tipo de activo, ubicación o criticidad para aplicar políticas diferenciadas.
• Definición de almacenamiento de logs, retención, encriptado y control de acceso.

• Despliegue inicial de reglas

• Activación de reglas predefinidas para detección de amenazas conocidas, cumplimiento normativo y comportamiento anómalo.
• Implementación de reglas personalizadas con condiciones adaptadas al entorno:
  • Accesos fuera de horario, múltiples intentos fallidos, escalamiento de privilegios.   
  • Actividad inusual en archivos críticos, procesos, puertos o conexiones.

Servicios de ingeniería de correlación y ajuste continuo

• Desarrollo y mejora de reglas avanzadas en lenguaje de correlación compatible, considerando:
  • Contexto del entorno (roles, horarios, eventos esperados).
  • Reglas específicas para detección de ataques dirigidos, movimientos laterales, amenazas persistentes.
  • Eventos vinculados a entornos tecnológicos específicos (Active Directory, contenedores, APIs REST).
• Revisión de patrones de logs para detectar nuevas variantes de ataque y evasión.
• Implementación de reglas de correlación entre múltiples fuentes (endpoint + red + autenticación).
• Ajuste dinámico de umbrales y condiciones ante cambios en el entorno o incidentes reales.
• Se deberá contemplar como mínimo 60 horas de servicio profesional certificado durante la vigencia del contrato, no acumulables cuyo reporte de horas será enviado mensualmente. Además, el servicio deberá prestarse de manera remota o presencial según criticidad del requerimiento basado en ISO/IEC 27001, ISO/IEC 27002, NIST CSF y CIS Controls. El personal que llevará a cabo el servicio forma parte de la nómina permanente y el perfil se describe en el apartado Perfil del Personal Exigido.

 

Soporte y mantenimiento continuo  

• Monitoreo diario del funcionamiento de los agentes, recolección de logs y procesamiento de alertas.
• Gestión de incidentes de seguridad con cobertura 24/7 y canal de contacto prioritario.
• Aplicación de cambios de configuración bajo solicitud o por recomendación del equipo especializado.
• Reportes mensuales que incluyan:
  • Estadísticas de eventos críticos detectados (por categoría, severidad, origen).
  • Efectividad de reglas y nivel de cobertura de activos.
  • Recomendaciones de mejoras y seguimiento de acciones aplicadas.
• Reuniones técnicas periódicas para revisión de evolución del entorno, nuevos requerimientos y roadmap de madurez del monitoreo.

Capacidades de la plataforma utilizada para la provisión del servicio 

• La plataforma debe permitir el monitoreo en tiempo real de los eventos de seguridad generados por los agentes instalados en los diferentes activos monitoreados.
• La plataforma debe permitir la autenticación mediante credenciales de usuario y clave, y también debe ser compatible con servicios de autenticación centralizada o federada, tales como directorios corporativos.
• La plataforma debe ofrecer una vista centralizada de todos los agentes desplegados, incluyendo su estado, configuración y actividad reciente.
• La plataforma debe contar con capacidades de detección de amenazas mediante reglas de correlación, listas negras, firmas de amenazas y análisis de comportamiento.
• La plataforma debe permitir la recolección, normalización y análisis de logs provenientes de sistemas operativos, aplicaciones, dispositivos de red y servicios en la nube.
• La solución debe incorporar funciones de análisis de integridad de archivos (File Integrity Monitoring) para detectar modificaciones no autorizadas en archivos críticos del sistema.
• La plataforma debe disponer de un módulo de gestión de vulnerabilidades que identifique y reporte debilidades presentes en los activos monitoreados.
• Debe incluir capacidades de cumplimiento normativo, permitiendo generar reportes alineados a marcos como ISO 27001, PCI DSS, HIPAA, entre otros.
• Debe permitir la detección de malware y actividades sospechosas mediante el análisis de indicadores de compromiso (IoC) y comportamiento del sistema.
• La plataforma debe incluir herramientas para realizar búsquedas avanzadas y análisis forense de eventos históricos.
• La solución debe contar con un sistema de gestión de alertas configurable, que permita definir umbrales, correlaciones y acciones automatizadas.
• Debe ofrecer una interfaz gráfica intuitiva para la exploración de datos, paneles personalizados y generación de reportes.
• La solución debe ser capaz de integrarse con herramientas de ticketing, orquestación de respuestas (SOAR) y otras plataformas de seguridad empresarial.
• La plataforma debe admitir la implementación en entornos híbridos, incluyendo despliegues en instalaciones locales, entornos virtualizados y servicios en la nube.
• La solución debe contemplar capacidades de gestión de configuración de seguridad y evaluación de postura, con alertas ante desviaciones de la línea base.
• Debe permitir la segmentación de la visibilidad y gestión por grupos de activos, usuarios o ubicaciones, con roles y permisos diferenciados.

 

4. Servicio Gestionado de Firewall de Aplicaciones Web (WAF)

Servicios de arquitectura, diseño e implementación para la puesta en marcha del servicio

El proveedor deberá realizar la instalación, configuración inicial y puesta en marcha de la solución de WAF, garantizando la protección de aplicaciones web críticas frente a ataques externos.

• Relevamiento técnico:

• Identificación de aplicaciones, subdominios y servicios web expuestos.
• Revisión de la arquitectura de publicación (balanceadores, CDN, cloud, on-premise).
• Análisis de flujos de información sensible (formularios, autenticaciones, APIs).

• Diseño de arquitectura de protección de aplicaciones:

• Definición del modo de implementación (reverse proxy, inline, bridge, cloud).
• Configuración de políticas de seguridad diferenciadas por aplicación.
• Establecimiento de mecanismos de alta disponibilidad y redundancia.

• Despliegue inicial de reglas

• Activación de reglas base contra ataques OWASP Top 10 (inyección SQL, XSS, CSRF, etc.).
• Configuración de políticas de validación de cabeceras, parámetros y métodos HTTP.
• Implementación de protecciones avanzadas para APIs y microservicios.

 

 

• Validación funcional:

• Ejecución de pruebas de ataque simuladas para verificar la efectividad de las reglas.
• Revisión de falsos positivos en entornos de pruebas y afinamiento de políticas.
• Validación de registros de auditoría, alertas y generación de reportes.

• Soporte y mantenimiento continuo:

• Integración con SIEM para correlación de eventos y respuesta coordinada.
• Actualización constante de firmas y políticas de protección.
• Revisión periódica de nuevos vectores de ataque y ajuste de configuraciones.
• Reportes periódicos con estadísticas de ataques bloqueados, falsos positivos y recomendaciones de mejora.

 

Capacidades de la solución tecnológica utilizada para el servicio

• La solución tecnológica utilizada para el servicio tiene que tener la capacidad de disponer de una red global de distribución de contenidos que permita el almacenamiento en caché de objetos estáticos, con opciones de purga inmediata y control granular del tiempo de retención.
• La solución tecnológica utilizada para el servicio tiene que tener la capacidad de soportar protocolos y tecnologías de conectividad de última generación, que aseguren compatibilidad, menor latencia y una mejor experiencia de usuario.
• La solución tecnológica utilizada para el servicio tiene que tener la capacidad de optimizar contenidos, incluyendo compresión de recursos, adaptación para dispositivos móviles y transformación de imágenes según las características del cliente.
• La solución tecnológica utilizada para el servicio tiene que tener la capacidad de brindar protección avanzada contra ataques de denegación de servicio distribuido, incluyendo la capa de aplicación y protocolos específicos, garantizando continuidad del servicio.
• La solución tecnológica utilizada para el servicio tiene que tener la capacidad de proteger aplicaciones web mediante reglas gestionadas y personalizables, detección de vulnerabilidades conocidas y controles para limitar tráfico sospechoso o abusivo.
• La solución tecnológica utilizada para el servicio tiene que tener la capacidad de aplicar mecanismos de seguridad basados en reputación, como la detección de credenciales comprometidas, prevención de extracción de contenidos, control de bots y protección contra spam.
• La solución tecnológica utilizada para el servicio tiene que tener la capacidad de validar integridad en aplicaciones y esquemas de API, reduciendo riesgos asociados a modificaciones no autorizadas.
• La solución tecnológica utilizada para el servicio tiene que tener la capacidad de ofrecer cifrado de extremo a extremo mediante certificados digitales, así como soporte para registros de DNS seguros y mecanismos de validación de integridad.
• La solución tecnológica utilizada para el servicio tiene que tener la capacidad de habilitar la gestión multiusuario con control de roles, integración con herramientas de automatización y disponibilidad de registros de auditoría para trazabilidad de acciones.
• La solución tecnológica utilizada para el servicio tiene que tener la capacidad de proveer analítica y monitoreo, incluyendo métricas de tráfico, seguridad, rendimiento y utilización de caché, con disponibilidad de reportes históricos y exportables.

Perfil del Personal Exigido

El proveedor deberá contar con personal técnico con nivel mínimo de competencia en ciberseguridad y deberá pertenecer a la nómina permanente de funcionarios del oferente con los siguientes perfiles mínimos:

 

1. 1. 1. 1 (un) Director General: deberá contar con un mínimo de 5 (cinco) años de experiencia específica en ciberseguridad de acuerdo al rol, profesional egresado con Máster en Ciberseguridad. Deberá contar con al menos 2 (dos) de las siguientes certificaciones profesionales: CISM, CISSP, ISO Lead Auditor, CEH, y capacitaciones en Threat Hunting o similares.
      2. 1 (un) Coordinador de Seguridad: deberá contar con un mínimo de 3 (tres) años de experiencia en ciberseguridad con certificaciones en sistema de gestión y auditoria ISO 27001 o similar. El personal designado será el responsable de coordinar el servicio y ser nexo directo entre la convocante y el proveedor.
      3. 3 (tres) Analistas de Seguridad: cada persona designado deberá contar con un mínimo de 2 (dos) años de experiencia específica con certificaciones en ciberseguridad. Es requerido que cuenten con certificaciones de fabricantes de soluciones especializadas en ciberseguridad o similares. 

 

1. 1. 4. 1 (un) Arquitecto / Ingeniero de Seguridad: deberá contar con un mínimo de 3 (tres) años de experiencia en ciberseguridad con certificaciones emitidas por alguna institución y certificaciones en soluciones de ciberseguridad. Además, deberá contar con al menos 1 (una) de las siguientes certificaciones: OSCP, CND, ECSA, SSCP, CEH como mínimo. 

 

1. 1. 5. 1 (un) Especialista en Cacería de Amenazas: deberá contar con un mínimo de 3 (tres) años de experiencia específica en ciberseguridad con Diplomado en Ciberseguridad y certificaciones vigentes que podrían ser CompTIA, ISC2, EC-Council o similares.

Nivel de Servicio (SLA) Mínimo Exigido

• Disponibilidad del servicio: 99,5% mensual.
• Tiempo de respuesta a incidentes críticos: máximo 30 minutos.
• Tiempo de resolución de incidentes críticos: máximo 4 horas.
• Generación de reportes: mensuales y a solicitud.

 

Entregables

El proveedor deberá garantizar la entrega de:

• Plan de trabajo inicial con cronograma.
• Documentación técnica de arquitectura e implementación de cada servicio.
• Reportes periódicos trimestrales obligatorios y a requerimiento de la convocante de vulnerabilidades, respaldos, incidentes y métricas de seguridad.
• Capacitaciones y sesiones de concienciación.
• Evidencia documental de pruebas de restauración de backups y simulacros de incidentes de seguridad.
• Se deberá presentar además entregables de manuales, playbooks de incidentes, actas de aceptación y plan de transición para garantizar portabilidad.

Se prevé el inicio de los servicios a partir del 1 de diciembre de 2025.

En procedimientos de Menor Cuantía, la aplicación de la preferencia reservada a las MIPYMES prevista en el artículo 34 inc b) de la Ley N° 7021/22 ‘’De Suministro y Contrataciones Públicas" será de conformidad con las disposiciones que se emitan para el efecto. Son consideradas Mipymes las unidades económicas que, según la dimensión en que organicen el trabajo y el capital, se encuentren dentro de las categorías establecidas en el Artículo 4° de la Ley N° 7444/25 QUE MODIFICA LA LEY Nº 4457/2012 ‘’PARA LAS MICRO, PEQUEÑAS Y MEDIANAS EMPRESAS’’, y se ocupen del trabajo artesanal, industrial, agroindustrial, agropecuario, forestal, comercial o de servicio.

No aplica

 

Ítem	Descripción del servicio	Unidad de medida	Lugar de entrega de los Servicios	Plazo de inicio de los servicios
1	Servicios Gestionados de Ciberseguridad	Mes	Oficinas del Gabinete Civil	5 días hábiles posteriores a la Orden de Servicios.

 

 

 

 

 

No aplica

No aplica

No aplica