Programa Panamá en Línea: Estudio de Viabilidad para la Creación del Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT) Sectorial – Sector Financiero de Panamá

INVITACIÓN A PRESENTAR EXPRESIONES DE INTERES

SERVICIOS DE CONSULTORÍA

Institución: Autoridad Nacional para la Innovación Gubernamental (AIG).

País: Panamá.

Proyecto: PANAMÁ EN LÍNEA

Sector: Modernización de prestación de servicios públicos.

Objeto: Contratación de Firma Consultora.

Resumen: Selección y Contratación de una Firma Consultora para realizar los servicios de consultoría para el: “Estudio de Viabilidad para la Creación del Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT) Sectorial – Sector Financiero de Panamá”

Fuente de Financiamiento: Contrato de Préstamo No. 3683/OC-PN celebrado el 3 de agosto de 2016, entre la República de Panamá y el Banco Interamericano de Desarrollo, teniendo como organismo ejecutor la Autoridad Nacional para la Innovación Gubernamental (AIG), para la puesta en ejecución del Programa Panamá en Línea (PN-L1114).

Fecha límite: Día 01 de marzo de 2021.

Objetivo del programa:

El objetivo general del programa es mejorar la eficiencia y equidad en la prestación de los servicios públicos para contribuir a incrementar la competitividad económica y la inclusión social. 

Este objetivo se logrará por medio  de los siguientes objetivos específicos:

modernizar el acceso a un conjunto de trámites estratégicos para empresas y ciudadanos
facilitar el acceso a los servicios públicos a los ciudadanos con mayores necesidades sociales
fortalecer a la AIG y otras entidades gubernamentales con responsabilidades de gobierno en línea y racionalización de trámites
Los servicios de consultoría (“los servicios”) comprenden: “Estudio de Viabilidad para la Creación del Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT) Sectorial – Sector Financiero de Panamá”.

El objetivo general de la consultoría es:

Identificar los aspectos organizacionales, normativos e institucionales relevantes  necesarios para la creación de un CSIRT Sectorial Bancario, y los beneficios que su creación conllevaría. La creación de CSIRT Sectorial Bancario tiene como meta  promover y gestionar el intercambio de información de Ciberseguridad entre las distintas entidades bancarias del país y que éste sea el encargado de compartir esta información con el CSIRT Panamá, teniendo en cuenta que los CSIRT se fundamentan en principios de colaboración e intercambio de información.

Los objetivos específicos de la consultoría son:

Revisar y analizar el marco normativo de ciberseguridad actual en el sector financiero para proponer mejorar a las normas  acorde a las mejores prácticas establecidas en el sector de ciberseguridad.
Revisar los procedimientos que hacen referencia al marco normativo actual.
Elaborar un reporte sobre los ciberataques sufridos y/o reportados por el sector financiero, incluyendo ciberataques de carácter nacional y/o intenacional y el nivel de riesgo cibernético con el que opera el sector.
Coordinar con las autoridades del sector financiero para obtener la información necesaria para el estudio.
Analizar la experiencia internacional con ejemplos de CSIRT financieros en operación, los servicios que brindan cuales formarían el base de análisis de posibles servicios del CSIRT por crear, y la literatura existente de experiencias y mejores prácticas de iniciativas parecidas.
Analizar el interés de la comunidad de instituciones que operan en el sector financiero de contar con los servicios de un CSIRT financiero, recolectando información acerca de los servicios en los que están interesados y las condiciones bajo las cuales serían usuarios de los mismos.
Proporcionar lineamientos estratégicos para el Centro de Respuesta a Incidentes de Ciberseguridad a crear, a partir de este estudio, para la integración en el sector financiero, posible administrador de este y el ecosistema de integración y colaboración previsto.
Redactar un modelo de Gestión del Centro, especificando la Visión, Misión, Objetivos  y metas, enfocados en las mejores prácticas internacionales de CSIRT financieros.  
Redactar un Manual de Organización y Operación  del Centro, incluyendo el diseño de la estructura organizativa, roles y capacidades del personal, herramientas, equipamiento requerido y un plan de capacitación constante para llevar a cabo las tareas, tipos de servicios a brindar a corto, mediano y largo plazo
Diseñar y realizar la planeación de la Estrategia de implementación y financiación auto sostenible aceptada por el sector bancario, el cual debe además contar con un cuadro de proyección de resultados esperados a 1 año, 2 años, 3 años, 4 años y 5 años.
Realizar un informe de cierre con beneficios y aportes esperados con la creación de un CSIRT Sectorial Financiero y métricas de evaluación expost, para la Ciberseguridad del Sector y del país.
La Autoridad Nacional para la Innovación Gubernamental (AIG) invita a las firmas consultoras elegibles a expresar su interés en prestar los servicios solicitados. Las firmas consultoras interesadas deberán proporcionar información que indique que están cualificados para suministrar los servicios.

La firma consultora deberá incluir en su expresión de interés una carta de presentación escrita en español, que indique nombre completo de la Firma Consultora, nombre completo de la persona de contacto debidamente autorizada para firmar la expresión de interés y actuar en nombre de la firma, dirección, número de teléfono, correo electrónico, información sobre la organización de la firma y sus principales áreas de actuación. Deberá incluir una breve descripción de la experiencia general de la firma y presentar los documentos legales de constitución del país en que reside. Las firmas consultoras se podrán asociar con el fin de mejorar sus calificaciones. Se debe indicar la nacionalidad de la firma y nombre de su representante legal, en caso de APCA señalar la empresa líder y la nacionalidad de la misma, y nombre de su representante legal.

La firma consultora deberá evidenciar la siguiente experiencia:

Firma especializada en Seguridad de la Información con experiencia de mínimo cinco (5) años o más en el campo de seguridad de la información.
Experiencia mínima de cinco (5) años o más en el diseño e implementación de estrategia o plan de seguridad de la información.
Experiencia en proyectos de definición de políticas y procedimientos de seguridad de la información basados en estándar ISO27000, NIST realizados en los últimos cinco (5) años.
Experiencia en proyectos de seguridad informática para sectores financieros, realizados en los últimos cinco (5) años.
Experiencia en proyectos de diseño o implementación de CERT o CSIRT, realizados en los últimos cinco (5) años.
Experiencia en proyectos de gestión y análisis de riesgo informático, realizados en los últimos cinco (5) años.
Las firmas consultoras deben presentar la documentación que dé cuenta de la experiencia requerida. Por cada experiencia y proyecto presentado deberán indicar una descripción detallada del alcance del trabajo, el nombre o una descripción genérica del cliente, el monto del contrato y el plazo de ejecución. Deberá adjuntar copias de cartas de referencia, órdenes de compra y/o contrato. Es importante acotar que la cantidad de evidencias presentadas en los criterios y experiencias descritas con anterioridad, incidirá en la puntuación de la misma.

Las firmas consultoras serán seleccionadas en base al método de Selección Basado en la Calificación de Consultores (SCC), conforme a los procedimientos indicados en las Políticas para la Selección y Contratación de Consultores financiados por el Banco Interamericano de Desarrollo, GN-2350-15 y podrán participar en ella todos los licitantes de países de origen que sean elegibles, según se especifica en dichas políticas.

Luego de recibir las expresiones de interés se conformará una lista corta, a través de la cual se seleccionará a la Firma que tenga las calificaciones y las referencias más apropiadas. A la Firma seleccionada se le solicitará presentar una propuesta técnica y de precio, para luego invitarla a negociar el contrato para los servicios de consultoría “Estudio de Viabilidad para la Creación del Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT) Sectorial – Sector Financiero de Panamá” dando cumplimiento a las políticas de adquisiciones mencionadas en el párrafo anterior.

Las firmas consultoras interesadas pueden obtener más información en la dirección indicada al final de este llamado, durante los días hábiles en horario de 9:00 am a 3:00 pm.

Las expresiones de interés deberán ser recibidas por escrito en la dirección indicada a continuación (personalmente o por correo electrónico), a más tardar el día 01 de marzo de 2021.

Atención: Licitaciones UEP/BID/ Autoridad Nacional para la Innovación Gubernamental (AIG).

Dirección: Edificio Sucre, Arias y Reyes, Nivel 300 (Recepción), Urbanización Obarrio, Calle 61 y Avenida Ricardo Arango, Corregimiento de Bella Vista, Panamá, República de Panamá.

Teléfono: (507) 520-7400

Correo electrónico: bid_pel@innovacion.gob.pa; nku@aig.gob.pa; yyanis@aig.gob.pa