servicio de diseño, implementación y gestión ciberejercicios a...

SERVICIO DE DISEÑO, IMPLEMENTACIÓN Y GESTIÓN CIBEREJERCICIOS A TRAVÉS DE

PLATAFORMA

Pliego de Características Técnicas EXP. 015/16

Servicio de diseño, implementación y gestión ciberejercicios a través de plataforma Página 2 de 28 Pliego de Características Técnicas EXP. 015/16

ÍNDICE

1. ANTECEDENTES Y OBJETO DEL CONTRATO .............................................................. 4

1.1. Antecedentes ............................................................................................................... 4 1.2. Objeto .......................................................................................................................... 4

2. REQUISITOS TÉCNICOS .................................................................................................. 5

2.1. Consideraciones Previas ............................................................................................. 5 2.2. Modelo de trabajo ........................................................................................................ 5 2.3. Plataforma en la que se desplegarán los escenarios ................................................... 7 2.4. Tipología de escenarios ............................................................................................... 8

2.4.1. Ataque/Defensa (Red team versus Blue team) ..................................................................... 8 2.4.2. Ejercicios Descargables ...................................................................................................... 10 2.4.3. Capture The Flag (CTF) ...................................................................................................... 10 2.4.4. Didáctico .............................................................................................................................. 11

2.5. Diseño e implementación de los escenarios .............................................................. 12 2.6. Puntuación ................................................................................................................. 13 2.7. Concurrencia ............................................................................................................. 14 2.8. Acuerdo de Nivel de Servicio ..................................................................................... 15 2.9. Personalización de la plataforma y documentación .................................................... 15 2.10. Gestión de los usuarios ............................................................................................ 15 2.11. Clasificación del ciberejercicio ................................................................................. 17 2.12. Cuadro de mando del ciberejercicio ......................................................................... 17 2.13. Emisión de certificados ............................................................................................ 18 2.14. Seguridad de la plataforma ...................................................................................... 19 2.15. Documentación de la plataforma .............................................................................. 19 2.16. Formación del personal de INCIBE en el uso de la plataforma ................................ 20 2.17. Idiomas .................................................................................................................... 20 2.18. Test de conectividad ................................................................................................ 21 2.19. Sesión de resolución de dudas ................................................................................ 21 2.20. Soporte durante cada ciberejercicio ......................................................................... 21 2.21. Análisis de los resultados y validación de los mismos después de su ejecución ...... 22 2.22. Lecciones aprendidas .............................................................................................. 22

3. PLANIFICACIÓN ............................................................................................................. 23

3.1. Reunión de Lanzamiento ........................................................................................... 23 3.2. Elaboración del diseño de escenarios ........................................................................ 23 3.3. Implementación de escenarios ................................................................................... 23 3.4. Parametrización de la plataforma ............................................................................... 23 3.5. Ejecución del ciberejercicio ........................................................................................ 24 3.6. Lecciones aprendidas ................................................................................................ 24 3.7. Cierre del Proyecto y Memoria Final .......................................................................... 24

4. DIRECCIÓN Y SEGUIMIENTO DE LOS TRABAJOS ...................................................... 25 5. FORMA DE EJECUCIÓN ................................................................................................ 26

5.1. Lugar de realización de los trabajos ........................................................................... 26

5.1.1. Soporte técnico .................................................................................................................... 26

5.2. Obligaciones de información y documentación .......................................................... 26 5.3. Hitos de facturación ................................................................................................... 26


5.4. Control de calidad ...................................................................................................... 27

Nota: Cualquier consulta en relación a este procedimiento de adjudicación debe dirigirse por correo electrónico a la dirección [email protected], indicando: Asunto: número de expediente. Cuerpo: nombre de la empresa, datos de la persona que realiza la consulta y texto de la consulta.


1. ANTECEDENTES Y OBJETO DEL CONTRATO

1.1. Antecedentes

La «estrategia de ciberseguridad nacional 20131», establece como línea de acción estratégica Incrementar las capacidades de prevención, defensa, detección, análisis, respuesta, recuperación y coordinación ante las ciberamenazas, haciendo énfasis en las Administraciones Públicas, las Infraestructuras Críticas, las capacidades militares y de Defensa y otros sistemas de interés nacional. Esta línea de acción contempla el desarrollo y ejecución de un Programa de Ejercicios de Simulación de Incidentes de Ciberseguridad, para evaluar y perfeccionar las acciones llevadas a cabo en este ámbito.

Por otro lado, la «Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del Operador y de los Planes de Protección Específicos»2 : el operador crítico deberá reflejar en este apartado su participación en ejercicios de simulación en incidentes de seguridad (físicos y cibernéticos), y la periodicidad programada para tales ejercicios.

En este sentido, INCIBE cuenta con varios años de experiencia en el diseño y ejecución de los ciberejercicios nacionales CyberEx. Desde el año 2012 y con una periodicidad anual, importantes operadores estratégicos nacionales participan en estos ejercicios para potenciar sus capacidades en ciberseguridad. Adicionalmente, en el año 2015, INCIBE organizó la primera edición de los International CyberEx en la que participaron un total de 21 países.

1.2. Objeto

El objeto del presente contrato es la prestación de servicios para la realización diferentes ciberejercicios que organizará INCIBE. Este servicio se materializará en:

Disposición de una plataforma que permita albergar los ciberejercicios. Diseño e implementación de los escenarios que definirán los ciberejercicios. Soporte a INCIBE durante la ejecución de cada uno de los ciberejercicios. Análisis de los resultados y validación de los mismos después de su ejecución. Gestión de los usuarios plataforma. Formación del personal de INCIBE en el uso de la plataforma.

La personalización de la plataforma debe ser validada por INCIBE y debe alcanzar las expectativas establecidas con el objetivo de que se preste el servicio con la mayor calidad.

1 http://www.lamoncloa.gob.es/documents/20131332estrategiadeciberseguridadx.pdf 2 https://www.boe.es/boe/dias/2015/09/18/pdfs/BOE-A-2015-10060.pdf

http://www.lamoncloa.gob.es/documents/20131332estrategiadeciberseguridadx.pdf

https://www.boe.es/boe/dias/2015/09/18/pdfs/BOE-A-2015-10060.pdf


2. REQUISITOS TÉCNICOS

2.1. Consideraciones Previas

En este apartado se describen los servicios, características y requisitos que conforman el objeto del contrato y que el adjudicatario deberá prestar, no siendo el listado que aparece a continuación una relación exhaustiva de las características de los servicios contratados, sino las líneas generales demandadas por INCIBE, cubriendo los principales aspectos a realizar así como los resultados esperados.

Estos requisitos deben entenderse como mínimos pudiendo los licitadores ampliarlos y mejorarlos en sus ofertas. Las propuestas que ofrezcan características inferiores y que no cubran estos mínimos, no serán tomadas en consideración en el presente procedimiento de adjudicación. El licitador puede ofertar prestaciones superiores a las solicitadas, que se considerarán positivamente en la valoración técnica de la oferta.

El adjudicatario deberá aportar los conocimientos y metodologías así como apoyarse en las herramientas necesarias para asegurar el resultado óptimo del proyecto. El adjudicatario deberá de seguir los principales estándares para cumplir con los criterios de accesibilidad universal y el diseño para todos.

El adjudicatario se obliga a guardar secreto y a hacerlo guardar al personal que emplee para la ejecución del contrato, respecto a toda la información de la Sociedad que con motivo del desarrollo de los trabajos llegue a su conocimiento, no pudiendo utilizarla para sí o para otra persona o entidad.

2.2. Modelo de trabajo

El servicio objeto del contrato ofrece un soporte a la Sociedad para la ejecución de ciberejercicios a partir de un entorno tecnológico estable (plataforma) que permita la realización de competiciones y entrenamiento de conocimientos sobre ciberseguridad de los participantes y el diseño de escenarios que se puedan desplegar en la plataforma.

Por lo tanto, la contratación incluirá el diseño e implementación de los escenarios y la gestión de la plataforma durante la ejecución. Se contratan cuatro tipos de escenarios que pueden ser implementados en la plataforma: ataque/defensa, descargables, Capture The Flag (CTF) y didácticos, que serán introducidos a continuación.

El modelo de trabajo para cada ciberejercicio incluye dos fases:

1. Diseño e implementación: En la fase de diseño, el adjudicatario propondrá a INCIBE un modelo de escenario que se ajuste a los requisitos del ciberejercicio requerido. Una vez diseñado, el adjudicatario llevará a cabo la implementación del escenario en la plataforma, de modo que pueda ser evaluado y aprobado por INCIBE de forma previa a la fase de ejecución.

2. Ejecución: La fase de ejecución consistirá en la realización del ciberejercicio como tal. En esta fase el escenario (previamente diseñado e implementado) estará disponible en la plataforma


para que los participantes puedan acceder y realizar las pruebas identificadas en el marco del escenario.

Con cada ciberejercicio, se debe determinar por parte de INCIBE si se llevarán a cabo las dos fases o únicamente la fase de ejecución. Es decir, cuando INCIBE planifique un ciberejercicio, indicará al adjudicatario si se trata de un escenario nuevo o se debe reutilizar un escenario ya existente. En caso de que sea nuevo, el adjudicatario llevará a cabo ambas fases, mientras que en el caso de reutilizar un escenario, únicamente se llevará a cabo la fase de ejecución. Así mismo, la ejecución de una fase o ambas, determinará el grado de facturación de cada ciberejercicio.

A la hora de requerir la implementación de un nuevo escenario por INCIBE, la Sociedad debe especificar tres aspectos relevantes:

Grado de dificultad: Se contemplará la posibilidad de desarrollar escenarios basados en tres diferentes niveles de dificultad (bajo, medio y alto). El grado de dificultad determinará la complejidad de las pruebas de cada escenario. Un escenario con un grado de dificultad bajo permitirá desarrollar un ciberejercicio

generalista en el que se contemplen diferentes aspectos de ciberseguridad para participantes sin amplios conocimientos en la materia.

Un escenario con un grado de dificultad alto deberá contener pruebas de gran dificultad y que requieran de conocimientos avanzados en ciberseguridad para poder superarlas. Los escenarios de complejidad alta deben estar orientados al entrenamiento de equipos de seguridad de organizaciones públicas y privadas, investigadores forense, equipos de respuesta ante incidentes y similares participantes con conocimientos expertos en la materia.

Por último, un escenario de grado de dificultad medio debe contener pruebas que se hallen en un nivel intermedio a los detallados anteriormente.

El número de elementos objetivos fijados para cada escenario se definirá en la fase de diseño y estará condicionado también por el grado de dificultad; a mayor grado de dificultad, mayor número de objetivos. Número de participantes: INCIBE indicará una estimación de usuarios para cada ciberejercicio en función del tipo de escenario y en base a los umbrales de concurrencia requeridos en el apartado 2.7. dicha estimación servirá para que el adjudicatario asigne los recursos oportunos (tanto técnicos como humanos) de cara a la ejecución del ciberejercicio. Para cada tipo de escenario se indica en la siguiente tabla los posibles umbrales de usuarios y equipos máximos.

Máximo nº de usuarios y equipos

Ataque/defensa Descargable CTF Didáctico

Bajo 150 usuarios 20 equipos

500 usuarios 150 usuarios 20 equipos

500 usuarios

Medio 350 usuarios 50 equipos


1000 usuarios

Alto 500 usuarios 70 equipos


2500 usuarios


Duración: La duración del ciberejercicio tiene un impacto tanto en el diseño e

implementación del mismo (impactando en el número de pruebas y objetivos) como en la ejecución (impactando en los recursos humanos y técnicos). Aunque cada ciberjercicio tendrá una estimación concreta, se contempla la posibilidad de definir tres periodos temporales (bajo, medio, alto) que permitan facilitar el encuadre de cada escenario. Las horas máximas de cada periodo variarán para cada tipo de prueba, siendo los máximos permitidos los que se especifican en la tabla siguiente.

Umbrales máximos

Ataque/defensa Descargable CTF Didáctico

Bajo 4 horas 48 horas (2 días) 10 horas 120 horas (5 días)

Medio 10 horas 168 horas (7 días) 20 horas 288 horas (12 días)

Alto 24 horas 336 horas (14 días)

40 horas 456 horas (19 días)

Una vez establecidos estos parámetros, se fijarán los plazos de diseño e implementación (en caso de que sea necesario) determinando la fecha en la que la plataforma se encontrará plenamente operativa para la realización del ciberejercicio. Dicho plazo de diseño e implementación nunca será superior a 30 días naturales desde la comunicación formal de la solicitud de nuevo diseño e implementación de ciberejercicio. Dado que este plazo incluye la elaboración del diseño, aprobación por parte de INCIBE, la revisión del diseño en caso de ser necesaria y su posterior implementación, INCIBE se compromete a realizar una valoración del diseño entregado en un periodo inferior a 1 jornada laboral. Se valorará positivamente el compromiso por parte del licitador para la reducción de este plazo. Esta valoración de plazo se valorará como criterio cuantifiable, por lo que deberá incluirse en el sobre 3. La inclusión en el sobre 2 de información acerca del plazo de diseño e implementación conllevará la exclusión del licitador.

Ejemplos de utilización:

Fase online de CyberCamp: nuevo escenario de tipo descargable. Fase previa de CyberOlympics: reutilización de pruebas descargables. Fase presencial de CyberCamp: nuevo escenario de tipo CTF. CyberEx España: nuevo escenario ataque/defensa. CyberEx Internacionales: reutilización escenario ataque/defensa y reutilización escenario

CTF. Summer BootCamp: nuevo escenario de tipo CTF. Competición universidades: reutilización escenario CTF.

2.3. Plataforma en la que se desplegarán los escenarios

Las pruebas implementadas se enmarcarán en una plataforma específica para la organización de pruebas de ciberseguridad que permita gestionar de forma global el desarrollo de los ciberejercicios.


El adjudicatario estará encargado de proporcionar, albergar y mantener esta plataforma, si bien desde INCIBE se debe tener acceso a ella en todo momento para realizar un seguimiento del correcto funcionamiento de los distintos ciberejercicios. La plataforma será accesible en un subdominio de incibe.es que INCIBE indicará al adjudicatario en la reunión de lanzamiento. Así mismo, INCIBE proporcionará un certificado SSL acorde al subdominio elegido.

Esta plataforma deberá permitir la evaluación tanto de los conocimientos técnicos como de la reacción de los usuarios frente a un entorno desconocido, siempre con un enfoque educacional.

La plataforma debe potenciar y desarrollar las habilidades técnicas defensivas y ofensivas de los participantes, aplicando sus conocimientos para cumplir con los objetivos propuestos y todo ello en un entorno de pruebas, dotado de un contexto que dé la sensación de realidad a las pruebas propuestas.

Los participantes en los distintos ciberejercicios utilizarán sus propios equipos o los dispuestos por INCIBE para la realización de las pruebas implementadas en la plataforma. El acceso de los participantes a la plataforma se realizará a través de un interfaz web que permita su acceso desde los siguientes sistemas operativos y navegadores:

Sistemas operativos:

Windows 7 o superior Distribuciones Linux / Unix: última versión estable. OS X 10.10 (Yosemite) o superior.

Navegadores:

Internet Explorer 11 o superior. Mozilla Firefox 45 o superior. Google Chrome 49 o superior. Safari 9.1 o superior.

Análogamente, en el caso de que las pruebas definidas permitan el acceso a un entorno específico con activos sobre los que desarrollar el ciberejercicio, se permitirá el acceso a través otros medios seguros como VPN.

La plataforma debe ser consistente con el diseño en la agrupación de las pruebas en las categorías definidas.

2.4. Tipología de escenarios

La plataforma deberá ofrecer la posibilidad de ejercitar las siguientes tipologías de escenarios.

2.4.1. Ataque/Defensa (Red team versus Blue team)

El escenario parte de la definición de un conjunto de activos sobre los que se desarrollará el escenario. Dichos activos serán principalmente sistemas y redes. Estos activos se desplegarán y configurarán para cada participante a partir de réplicas del modelo, generando entornos análogos y completamente aislados unos de otros, sobre los que se desarrollará la actividad en cada caso.


El rol de equipo defensor (Blue team) recaerá sobre cada participante en el ejercicio. Es decir, cada participante, estará encargado de garantizar la protección de los activos que le sean asignados. Para ello, algunas de las acciones que deberán llevar a cabo serán:

Monitorización constante de los sistemas y redes Identificación y corrección de posibles deficiencias en las políticas de seguridad de los activos Actualización y parcheado de aplicaciones vulnerables Desactivación de servicios no esenciales Verificación de cuentas de usuarios y privilegios asociados a las mismas

La puntuación del equipo defensor vendrá determinada por la capacidad para evitar o minimizar el impacto y tiempo de mitigación ante los ataques provenientes del equipo atacante.

Por otra parte, el adjudicatario asumirá el rol de equipo atacante (Red team) para todos los participantes. Este equipo estará autorizado a realizar acciones ofensivas en el entorno simulado, entre las que se encuentran las siguientes:

Diseñar posibles vectores de ataque Realizar acciones de reconocimiento de los activos a atacar Desarrollar o utilizar aplicaciones destinadas a obtener acceso a sistemas u obtener

elevación de privilegios sobre estos Monitorizar los sistemas y redes objetivo del ataque Manipular los registros de actividad de los activos Desarrollar puertas traseras para asegurar el acceso a los sistemas

Los objetivos del equipo atacante serán realizar ataques y obtener acceso a las redes y sistemas del equipo defensor, que se encargará de defender dichos activos y desplegar las contramedidas necesarias para evitar que el equipo atacante alcance los objetivos que sean encomendados en cada escenario.

El lanzamiento de los ataques por parte del equipo atacante podrá desencadenarse en base a dos paradigmas:

- Ejecución paralela: en este paradigma cada uno de los ataques se lanza de forma simultánea para todos los equipos defensores.

- Storyline: en este paradigma se deberá poder establecer el lanzamiento de ataques una vez transcurrido un determinado periodo de tiempo tras la realización de una acción por parte del equipo defensor.

En ambos casos, dado que la respuesta por parte de cada uno de los equipos defensores será analizada y comparada, las acciones de ataque del equipo atacante deberán estar automatizadas para permitir que ambos paradigmas se comporten de forma homogénea para todos los participantes.

Se valorará positivamente la posibilidad de que la plataforma permita que los participantes en los ciberejercicios puedan tomar el rol de equipo atacante si la organización así lo decide. Esto permitiría la organización de un ciberejercicio en formato 360o. Se entiende esta perspectiva a partir de la


implementación de una o las dos siguientes alternativas (cuya implementación será valorada positivamente):

- Todos contra todos: la implementación de esta alternativa permite que cada participante tenga algún grado de visibilidad sobre los entornos del resto de los participantes. De esta forma, la misión de cada equipo consiste en ejecutar el rol de equipo atacante sobre otros participantes en el ejercicio, a la vez que se defiende de los ataques provenientes de dichos participantes. La puntuación de cada participante vendrá determinada tanto por la consecución de unos objetivos de ataque, como por la protección de sus activos en la parte defensiva.

- Ejercicio en pares: la implementación de esta alternativa permite que se seleccionen los equipos participantes de dos en dos, de forma que en cada dupla, uno tendrá asignado el rol de equipo atacante y el otro el de equipo defensor. En el caso de los participantes en el rol de equipo atacante, los activos asignados estarán orientados a la actividad de ataque que deben desarrollar. En este caso la puntuación vendrá determinada por los objetivos de ataque para el caso del participante al que se asigne el rol de equipo atacante y por el grado de protección de sus activos para el caso del que ostente el rol de equipo defensor.

2.4.2. Ejercicios Descargables

Esta tipología de ciberejercicio deberá ofrecer una serie de ejercicios basados en artefactos descargables por los participantes para su resolución en el entorno de trabajo del usuario. Asimismo, los participantes en el ejercicio deberán proporcionar en la plataforma de ciberejercicios los resultados a las pruebas planteadas aportando sus conclusiones.

Los ejercicios descargables estarán divididos en dos grupos:

Pruebas de análisis: se trata de aquellas pruebas en las que el participante obtiene una serie de artefactos, sobre los que debe ejecutar un conjunto de análisis para extraer la información que se pregunta a través de la plataforma web. En este tipo se encuentran pruebas de tipo forense o criptografía entre otras.

Pruebas de acción: se trata de aquellas pruebas en las que el participante debe descargar un entorno virtualizado y sobre el mismo debe realizar una serie de acciones para lograr responder las preguntas planteadas a través de la plataforma web. Ente este tipo se encuentran pruebas de tipo web y exploiting. Los entornos virtualizados que se proporcionen a los participantes deben estar adecuadamente cifrados (archivos y memoria) impidiendo que el participante en los ejercicios disponga de acceso a los resultados de una forma alternativa a la realización del ejercicio.

Este tipo de pruebas habitualmente se publican durante un periodo de tiempo de varias semanas, ofreciendo la posibilidad de que los participantes puedan responder en cualquier momento. La plataforma debe estar disponible durante el periodo completo de publicación, que incluye las 24 horas del día y 7 días por semana.

2.4.3. Capture The Flag (CTF)


Esta tipología de ciberejercicio consiste en la puesta en marcha de un entorno con distintos activos (sistemas y redes) y elaboración de unos objetivos asociados a dichos activos. En ocasiones algún objetivo dependerá de la consecución de otros objetivos previamente y en otras ocasiones los objetivos serán independientes entre sí. En conjunto, la definición de los objetivos debe formular una historia asociada a un caso de hacking o incidente, que debe ser replicado por los participantes a lo largo del ciberejercicio.

Por lo tanto, en un escenario de este tipo, los participantes se enfrentarán a una serie de objetivos, planteados en forma de cuestiones sobre diferentes ámbitos de la historia que se pretende recorrer. Dichos objetivos obligarán al participante a realizar una serie de acciones (fundamentalmente de hacking, seguridad y administración de sistemas y redes) sobre el entorno que se proporciona, para lograr obtener una respuesta adecuada al objetivo planteado. Por lo tanto, el usuario deberá utilizar sus habilidades y conocimientos para responder correctamente a las cuestiones, apoyándose en los recursos que ofrezca la plataforma (aplicaciones web, redes, servidores, etc.).

Los objetivos estarán organizados en distintos niveles, que permitirán segregar el avance de los participantes a lo largo de la historia elaborada. Todos los niveles, salvo el de partida, se encuentran inicialmente bloqueados, teniendo en cuenta que la consecución de un determinado número de objetivos o un objetivo concreto, provoca el desbloqueo del siguiente nivel.

Los participantes sumarán puntos por cada cuestión u objetivo resuelto satisfactoriamente (lo que se conoce como consecución de la bandera), obteniendo mayor puntuación con aquellas preguntas que revistan mayor dificultad.

El diseño de las pruebas debe incluir un modelo de pistas que ayuden a que los participantes continúen avanzando aunque tengan problemas con algún objetivo. La obtención de pistas disminuirá o eliminará la puntuación asociada a cada prueba, pero permitirá que el ejercicio sea dinámico.

2.4.4. Didáctico

Este tipo de ejercicio tiene por objetivo ofrecer formación en ciberseguridad a sus participantes, sin incluir una vertiente competitiva. Para ello, reaprovechará los escenarios de las pruebas de tipo ataque/defensa, Descargable y CTF. Partiendo de un escenario ya existente, se irá guiando al participante en la resolución de cada una de las pruebas, de forma que el participante pueda comprobar el objetivo a realizar y replicarlo con fin de aprender.

Este tipo de ejercicio no incluye ningún sistema de puntuación.

Para mostrar la resolución de las cuestiones planteadas, la plataforma irá indicando los pasos que el participante debería ir desarrollando hasta alcanzar la solución esperada en un ciberejercicio en modo competitivo (ataque/defensa, CTF o descargable).

Ataque/defensa en modo didáctico

Se tomará como ejemplo alguno de los escenarios de este tipo ya diseñados para el modo competitivo y se asumirá que el participante forma parte del equipo defensor. La plataforma deberá guiar al participante en aquellas acciones a realizar cuando un equipo atacante esté realizando


acciones malintencionadas o dañinas contra los sistemas que debe proteger. Se mostrarán las diferentes contramedidas o buenas prácticas que deben emplearse para los ataques que el supuesto equipo atacante llevaría a cabo en ese escenario concreto.

Se deben ofrecer explicaciones didácticas y haciendo hincapié en los puntos clave que se pretenden ejercitar en cada prueba. A medida que se avanza en la explicación, se deberán poner ejemplos de situaciones o casos similares y la forma adecuada de enfrentarse a ellas.

Ejercicios descargables en modo didáctico

El participante podrá descargar aquellos ficheros del escenario previamente diseñado para el modo competitivo y se irán mostrando en la plataforma aquellas acciones que se esperaría que el participante realizara para lograr resolver la prueba satisfactoriamente.

Se deben ofrecer explicaciones didácticas, haciendo hincapié en los puntos clave que se pretenden ejercitar en cada prueba. A medida que se avanza en la explicación, se deberán poner ejemplos de situaciones o casos similares y la forma adecuada de enfrentarse a ellas.

CTF en modo didáctico

Partiendo de un escenario diseñado previamente para el modo competitivo, la plataforma presentará los objetivos a lograr como parte de la historia diseñada en el ciberejercicio pero irá guiando al participante, paso a paso, para obtener la respuesta correcta que le permita seguir avanzando y desbloqueando niveles posteriores.

Se deben ofrecer explicaciones didácticas, haciendo hincapié en los puntos clave que se pretenden ejercitar en cada prueba. A medida que se avanza en la explicación, se deberán poner ejemplos de situaciones o casos similares y la forma adecuada de enfrentarse a ellas.

2.5. Diseño e implementación de los escenarios

El licitador deberá proponer un diseño para los escenarios que se emplearán en cada una de los ciberejercicios. El diseño se basará en objetivos, que se completarán en un determinado número de pruebas, pudiendo obtenerse varios hitos dentro de la misma prueba, cada uno de ellos con una puntuación fija y en una dificultad ascendente. Además, todas las pruebas deben ser de realización práctica.

Los escenarios ya diseñados podrán ser reutilizados en diferentes ciberejercicios. Si bien, el adjudicatario deberá adaptar la asignación de recursos en fase de ejecución dado que es posible que cambie el número de participantes en el ciberejercicio que reutilice un escenario diseñado previamente.

Se valorará positivamente la identificación de acuerdos con perfiles de reconocido prestigio en el proceso de diseño de los ciberejercicios al tratarse de una fase crítica para las posteriores fases de implementación y ejecución. Dichos acuerdos también pueden incluir profesionales de reconocido prestigio que ya trabajen para la empresa licitadora y que puedan desempeñar las actividades de diseño del ciberejercicio cuando sea necesario.

El diseño de un escenario debe permitir el agrupamiento de las pruebas en las siguientes fases:


Reconocimiento: Fase donde el participante pondrá a prueba sus capacidades para detectar vulnerabilidades en los entornos expuestos.

Incursión: Las pruebas propuestas en esta fase irán enfocadas a vulnerar los sistemas diseñados y tratar de acceder a ellos.

Descubrimiento: En esta fase, las pruebas deben estar enfocadas en el conocimiento de la infraestructura de red interna del sistema que se atacó previamente.

Captura: Las pruebas de esta fase deben orientar al participante a obtener control sobre los sistemas críticos del entorno atacado.

Exfiltración: Durante esta fase, el participante debe obtener la información crítica del sistema y llevarla a su equipo.

Disponibilidad: De forma permanente durante todo el ciberejercicio, se contemplará la disponibilidad de los diferentes activos del escenario. Este valor permitirá valorar el desempeño de los participantes en sus roles de ataque o defensor para aquellos escenarios en los que aplique este control.

Aunque la propuesta puede ampliar las fases, al menos deben cubrirse los puntos clave de cada una de ellas.

Asimismo, las categorías de pruebas que se contemplan son las siguientes:

Reconocimiento: orientadas a identificar y rastrear vulnerabilidades potenciales en sistemas y redes.

Sistemas Operativos: orientadas a la identificación y explotación de vulnerabilidades en sistemas operativos.

Aplicación: orientadas a evaluar y explotar distintos tipos de aplicaciones (incluyendo bases de datos).

Reversing: orientadas a inferir en el funcionamiento del software. Principalmente ficheros binarios.

Web: orientadas a la utilización de técnicas de ataque sobre sistemas web. Criptografía: orientadas a descifrar información contenida en canales supuestamente

seguros. Forense: orientadas a recopilar información acerca de eventos o información práctica

almacenada en un dispositivo o tráfico de red.

En cada diseño, el adjudicatario deberá explicar las decisiones tomadas respecto al número de pruebas, duración de cada prueba dentro del límite marcado por INCIBE en función de la complejidad requerida en cada ciberejercicio, dependencias entre pruebas, pistas otorgadas, objetivos a alcanzar y otros elementos del diseño de las pruebas, la adecuación a la finalidad del ciberejercicio y su calidad técnica. Este proceso de validación no será necesario para aquellos ciberejercicios en los que se reutilicen escenarios ya diseñados y ejecutados con anterioridad.

Una vez aprobado el diseño, el adjudicatario deberá implementar las pruebas diseñadas para su ejecución por parte de los participantes.

2.6. Puntuación


La plataforma debe ser capaz de configurarse en la etapa de implementación del ciberejercicio, de forma que se establezcan una serie de controles que puedan ser identificados de forma automática por la plataforma. Dichos controles comprenderán todos aquellos aspectos valorables en las distintas pruebas, entre los que se encuentran:

- Consecución de un objetivo de ataque en una prueba de tipo ataque/defensa (explotación de vulnerabilidad, consecución de información, etc.).

- Tiempo de protección efectivo de un activo o de mitigación de un ataque en una prueba de tipo ataque/defensa.

- Obtención de acceso a un determinado activo o entorno en una prueba de tipo CTF. - Obtención de una información específica en una prueba de tipo CTF o Descargable. - Etc.

Cada objetivo tendrá asociadas entre una y tres pistas. Las pistas no serán visibles por parte de los participantes a no ser que se soliciten de forma expresa. La visualización de las pistas reducirá la puntuación asociada al objetivo en caso de ser logrado. Esta reducción de puntuación será proporcional al número de puntos asignados para el objetivo. A modo de ejemplo se muestra la reducción de puntuación para un objetivo que tenga asociadas tres pistas:

- Primera pista: reducción del 20% de la puntuación inicial. - Segunda pista: reducción del 45% de la puntuación inicial. - Tercera pista: reducción del 75% de la puntuación inicial.

En los objetivos de menor puntuación (asociados a los objetivos de menor dificultad) se propondrán también menos pistas, de forma que la reducción de puntuación siga un modelo como el expuesto en el caso de las tres pistas.

2.7. Concurrencia

La plataforma debe soportar los siguientes números de usuarios concurrentes para cada tipo de escenario:

Ataque/defensa: 500 usuarios individuales con la posibilidad de agruparse en un máximo de 70 equipos.

Descargables: 2500 usuarios individuales. CTF: 500 individuales con la posibilidad de agruparse en un máximo de 70 equipos. Didácticos: 2500 usuarios individuales.

Se plantea que se puedan ejecutar en paralelo un máximo de tres escenarios en tres ciberejercicios diferentes. Esta concurrencia no debe afectar en el rendimiento de la plataforma. El rendimiento mínimo exigido (que será validado continuamente) consistirá en que no pueda existir una diferencia superior a 200ms entre el envío de una solicitud hacia la plataforma y su respuesta hacia la sede de INCIBE sita en León. Al ser esta plataforma un punto crucial del evento, se penalizará cualquier caída del servicio o decremento del rendimiento.


El adjudicatario deberá poner a disposición un medio para la medición del rendimiento de la plataforma. Dicho método o herramienta será detallado en la oferta técnica así como el nivel de servicio al que se compromete dentro del límite indicado.

2.8. Acuerdo de Nivel de Servicio

El licitador deberá aportar una alta disponibilidad a lo largo de toda la duración del ciberejercicio. En este sentido se debe tener en cuenta que hay ciberejercicios que pueden realizarse fuera de horario laboral y requerirán soporte en formato 24x7. Los criterios de esta alta disponibilidad son los siguientes:

Disponibilidad: la plataforma deberá estar activa el 100% del tiempo de ejecución de cada ciberejercicio.

Incidencias técnicas: en caso de incidencias técnicas por mal funcionamiento de la plataforma, éstas deben ser resueltas en un periodo no superior a 2 horas desde su descubrimiento o notificación.

El licitador deberá indicar en su oferta el modelo técnico y la dedicación de recursos humanos que le permitirá cumplir el Acuerdo de Nivel de Servicio requerido.

2.9. Personalización de la plataforma y documentación

La imagen de la plataforma y los documentos de uso de la misma debe ir en concordancia con la imagen de INCIBE. INCIBE proporcionará al adjudicatario la guía de imagen para la adecuación de la plataforma a la imagen corporativa de la Sociedad.

Por parte del adjudicatario debe adoptarse dicha personalización tanto en la plataforma como en todos los entregables asociados al proyecto, incluyendo la documentación de la plataforma.

2.10. Gestión de los usuarios

A nivel de gestión de usuarios del ciberejercicio en el marco de la plataforma, se requiere el uso de roles para los diferentes perfiles que utilizarán la plataforma. Al menos, dichos roles constarán de:

- Administrador: Dispondrá de acceso completo a la plataforma y a sus diferentes módulos. Podrá crear nuevos usuarios de tipo Gestor o Participante y podrá realizar, además de las suyas propias, las funcionalidades de los roles Gestor y Participante. Solo existirá un usuario con este rol.

- Gestor: Deberá poder dar de alta nuevos usuarios de tipo Participante, aprobar solicitudes de registro y gestionar los equipos y participantes. Podrán existir varios usuarios de este tipo que puedan gestionar los diferentes escenarios, equipos y participantes existentes en la plataforma para cada ciberejercicio. El usuario Administrador podrá asignar permisos para que el usuario Gestor pueda gestionar solo uno o varios ciberejercicios que se encuentren activos en la plataforma, de forma que pueda limitarse el acceso entre ciberejercicios. Deberá tener acceso a un panel de control en el que se muestre un cuadro de mando, con las características que se detallan en el epígrafe 2.11.


- Participante: El usuario con rol de Participante, una vez aceptada su solicitud de pre-registro en la plataforma, deberá poder acceder a la plataforma mediante un sistema de autenticación o verificación de su identidad, podrá modificar sus datos de perfil, ver sus estadísticas de participación (hitos conseguidos, niveles desbloqueados, pistas solicitadas, etc.) y tendrá acceso a las pruebas de los escenarios en los que se haya registrado y/o para los que haya sido autorizado.

El rol de Administrador pertenecerá al adjudicatario, encargándose de gestionar las actividades para la configuración de la plataforma. Por otra parte, el rol de Gestor dispondrá de usuarios tanto de INCIBE como del adjudicatario, que podrán actuar sobre características propias de un ciberejercio, así como seguir su avance.

Para la participación en los ciberejercicios, la plataforma pondrá a disposición un método de alta en la plataforma basado en los siguientes pasos:

1. Generación de un token o identificador para el alta de usuarios en un ciberejercicio. Dicho token será necesario para posteriores pasos y será único para todos los usuarios del ciberejercicio.

2. Distribución por parte de INCIBE del token entre la comunidad de posibles participantes en el ciberejercicio.

3. El participante que desee participar en el ciberjercicio podrá acceder a un formulario en el que introduzca el token proporcionado por INCIBE, así como los datos propios de registro en el ciberejercicio, tales como nombre, apellidos, entidad, correo electrónico, etc.

4. El usuario con el rol de Gestor se encargará de valorar las solicitudes de registro en el ciberejercicio.

5. En caso de que se apruebe, se proporcionará al usuario el enlace a una página en la que pueda establecer su contraseña. Dicha página establecerá los métodos para asegurar que el usuario registra con contraseña con un nivel de seguridad adecuado.

6. En caso de que se rechace, se informará al usuario de esta situación.

El proceso de alta planteará la aceptación por parte del participante de unos términos y condiciones que se elaborarán por parte de INCIBE y que serán presentados en la plataforma para su aceptación o rechazo. Dichos términos y condiciones podrán ser distintos para cada ciberejercicio.

En el caso de los escenarios de tipo ataque/defensa y CTF, se permitirá la participación por equipos, aunque también será posible la participación individual. En este caso, el alta requerirá la inclusión de un campo “equipo” que todos los miembros deberán rellenar con la misma cadena de caracteres. Asimismo, se incluirá un campo “capitán”, que permitirá proponer a un usuario el rol de capitán de su equipo.

Todos los miembros de un equipo podrán acceder a la plataforma concurrentemente y realizar las pruebas que se plantean. Sin embargo, solo el miembro con el rol capitán podrá introducir resultados de dichas pruebas.

Tanto el rol Administrador como el rol Gestor podrán modificar los datos de registro de un equipo o de un usuario.


2.11. Clasificación del ciberejercicio

La plataforma debe incluir una funcionalidad que permita a los participantes el seguimiento de los avances en cada ciberejercicio. Para ello se pondrá a disposición de los participantes una clasificación ordenada en base a la puntuación de cada participante (usuario o equipo, en función del tipo de ejercicio) en tiempo real. Es decir, se mostrará el listado de participantes, incluyendo nombre y puntuación ordenado por puntuación.

El acceso a la clasificación de resultados deberá poder gestionarse por parte del rol Gestor en vivo durante la ejecución del ciberejercicio. De forma predeterminada los participantes tendrán acceso a dicha clasificación. Sin embargo, el Gestor podrá desactivar el acceso a la clasificación de resultados por parte de los participantes en un determinado momento del ciberejercicio, de forma que a partir de ese momento la pantalla de clasificación deje de mostrar resultados.

Se valorará positivamente que la actualización de resultados se realice a través de un modelo fluido que se centre en la información a transmitir, evitando tener que actualizar toda la página.

2.12. Cuadro de mando del ciberejercicio

El rol Gestor dispondrá de una funcionalidad que ofrezca información ampliada sobre la participación en cada ciberejercicio. De esta forma, la plataforma ofrecerá un cuadro de que muestre al menos la siguiente información:

Información sobre rendimiento de la plataforma en tiempo real. Número de participantes activos totales y por ciberejercicio. Número de equipos activos totales y por ciberejercicio. Clasificación en tiempo real. Grado de consecución de cada tipo de prueba. Grado de consecución de cada prueba. Número de pistas descubiertas por cada hito. Puntuación en función de los tipos de pruebas. Timestamp del login en la plataforma de cada participante. Avance de la puntuación en el tiempo. Desglose de la puntuación por tipo de prueba. Desglose de la puntuación por fase del ciberejercicio. Grado de consecución de hitos logrados por cada pista solicitada. Hitos logrados por dificultad.

Asimismo, seleccionando un participante se mostrará información específica de dicho participante:

Puntuación del participante. Hitos logrados. Posición en la clasificación. Pistas descubiertas. Puntuación en función de los tipos de pruebas. Timestamp del login en la plataforma. Timestamp de la consecución cada hito.


Avance de la puntuación en el tiempo. Desglose de la puntuación por tipo de prueba. Desglose de la puntuación por fase del ciberejercicio. Grado de consecución de hitos logrados por cada pista solicitada. Hitos logrados por dificultad.

Se valorará positivamente la inclusión de nuevos indicadores para la medición del desempeño de cada participante y seguimiento de la ejecución del ciberejercicio.

Salvo la clasificación como tal, toda la información mostrada deberá indicarse tanto con las cifras correspondientes como con gráficos específicos para cada indicador.

Deberá poder exportarse un informe global con la información del ciberejercicio que incluya tanto los valores de los indicadores, como las gráficas asociadas. Así mismo la plataforma permitirá exportar un informe de un determinado participante o los informes de todos los participantes en bloque (agrupados en un archivo ZIP).

Los informes tendrán carácter modificable, por lo que se generarán en formato docx o rtf y seguirán la guía de estilo de INCIBE. También se incluirá la opción de exportar los datos específicos de forma masiva en formato CSV.

2.13. Emisión de certificados

Debido a su carácter formativo, el uso de la plataforma debe permitir la emisión de certificados justificativos de la participación en cada ciberejercicio, con excepción de los ciberejercicios de tipo descargable. Dicho certificado tendrá el formato que INCIBE determine a partir de una plantilla que se entregará al adjudicatario en formato docx. La plataforma debe ser capaz de emitir un certificado por cada participante una vez finalizado el ciberejercicio. De esta forma, una vez que la organización marque el ciberejercicio como finalizado, se pondrá a disposición de cada participante una sección en la que descargar dicho certificado justificativo, que se descargará en formato PDF.

El certificado incluirá en la plantilla proporcionada por INCIBE algunos datos específicos del ciberejercicio y del usuario, tales como:

Identificador único del certificado Nombre y apellidos del participante Fecha y hora de inicio del ciberejercicio (CET). Tiempo empleado por el participante en el ciberejercicio. Categorías de pruebas de las que consta el ejercicio.

El identificador único del certificado debe ser difícil de averiguar, de forma que se genere una serie de 8 caracteres alfanuméricos de forma aleatoria para cada caso.

Adicionalmente, la plataforma debe proporcionar un interfaz público para consultar la validez de un certificado. Dicho interfaz público solicitará el identificador único del certificado y los apellidos del participante. Con dicha información verificará la existencia del certificado, indicando en caso positivo la fecha y duración del ciberejercicio.


Finalmente, una vez finalizado el contrato entre INCIBE y el adjudicatario, éste proporcionará a INCIBE en un formato CSV el listado de todos los certificados emitidos por la plataforma. Dicho listado incluirá toda la información relevante reflejada en el certificado.

2.14. Seguridad de la plataforma

La plataforma en la que se desarrollarán los ciberejercicios debe disponer de las medidas de seguridad adecuadas para evitar cualquier compromiso externo o cualquier tipo de impacto en la operativa por parte de un participante. Como mínimo se establecen las siguientes medidas de seguridad a llevar a cabo por parte del adjudicatario:

- Bastionado: El licitador deberá contar con las guías de bastionado acordes a las tecnologías empleadas en el despliegue de la plataforma. Estas guías deberán estar a disposición de INCIBE para su valoración. Las guías de bastionado abarcarán todas las tecnologías sobre las que recaiga la plataforma de ciberejercicios y deberán estar actualizadas en caso de que se produzcan cambios tecnológicos que lo recomienden. Será causa de exclusión no disponer de guías de bastionado o que éstas no cubran completamente el espectro tecnológico sobre el que se asienta la plataforma de ciberejercicios.

- Test de penetración: El adjudicatario deberá presentar a INCIBE un informe completo y detallado de test de penetración sobre la plataforma ofertada. Tanto la prueba técnica como el informe estarán elaborados por una tercera entidad que pueda dotar de independencia a la prueba y al informe. En caso de que los informes muestren vulnerabilidades de nivel medio o superior, el licitador deberá resolver dichas vulnerabilidades y volver a ejecutar el test de penetración. Por lo tanto solo serán admitidas vulnerabilidades de nivel bajo que dispongan de un plan asociado de mitigación. Serán causa de exclusión: no presentar el informe de test de penetración, que el informe no esté realizado por una tercera entidad ajena al licitador, que el informe no sea completo, que el informe muestre vulnerabilidades de nivel medio o superior o que las vulnerabilidades de nivel bajo no tengan un plan de mitigación asociado.

- Auditoría de código: Se valorará positivamente la presentación a INCIBE de una auditoría de código realizada por una tercera entidad que permita valorar la calidad y seguridad de la plataforma.

- Sistema de monitorización: La plataforma deberá contar con un sistema de monitorización que permita -a los usuarios con el rol de Gestor- la detección e identificación de ataques tanto externos como de participantes durante la ejecución de los ciberejercicios. Se deberán implementar reglas de detección de ataques y anomalías, posible robo de información, suplantación de identidad de algún participante, acceso a recursos no autorizados, etc. Se valorarán las reglas de monitorización y medidas de mitigación que sean detalladas en la oferta del licitador.

2.15. Documentación de la plataforma

El adjudicatario deberá elaborar distintos documentos para facilitar la gestión de la plataforma:


Manual de administración: Reflejará las funcionalidades de administración de la plataforma de ciberejercicios. A pesar de que la función de administración recaerá en el adjudicatario, se deberá proporcionar esta guía a INCIBE con objeto de conocer los aspectos configurables por parte del administrador y alinear las necesidades con las capacidades de la plataforma.

Manual de gestión: Tendrá la finalidad de mostrar las opciones de configuración específicas a nivel de ciberejercicio, así como de visualización de resultados. Este manual será utilizado por los usuarios con rol Gestor de INCIBE o de las organizaciones que colaboren con INCIBE en la organización de ciberejercicios.

Manuales de participante: Se elaborarán sendos documentos orientados a facilitar la participación de los usuarios de los ciberejercicios. En la práctica, cada tipo de ciberejercicio (ataque/defensa, CTF, descargable y didáctico) tendrá su manual, en el que se explicarán todos los aspectos necesarios para facilitar la participación de un usuario en un ciberejercicio, entre los que destacan el acceso a la plataforma, dinámica de las pruebas, funcionalidades de la plataforma, visualización de resultados, etc.

Toda la documentación deberá ser proporcionada a INCIBE por parte del adjudicatario dos semanas después de la reunión de lanzamiento del servicio. Asimismo, toda la documentación deberá seguir el estilo gráfico de INCIBE, para lo que se proporcionará una guía de estilo y plantillas adecuadas en la reunión de lanzamiento.

Se valorará positivamente la generación adicional de formatos multimedia para los manuales del participante que faciliten la comprensión del uso de la plataforma por parte de sus usuarios.

2.16. Formación del personal de INCIBE en el uso de la plataforma

El adjudicatario deberá llevar a cabo una jornada de formación en el uso de la plataforma de ciberejercicios para el personal de INCIBE. Dicha jornada de formación tendrá lugar en las oficinas de INCIBE en León y su ejecución se programará durante la reunión de lanzamiento del proyecto.

El objetivo de la jornada de formación será otorgar al personal de INCIBE un conocimiento detallado acerca de las capacidades de la plataforma y los flujos de trabajo de los ciberejercicios. Para ello se realizará un análisis exhaustivo de funcionalidades y procesos en la organización de un ciberejercicio.

La formación incluirá una sesión práctica en la que los alumnos podrán comprobar los resultados de las distintas configuraciones aplicadas a las funcionalidades de la plataforma.

2.17. Idiomas

La plataforma debe disponer de características para la utilización de distintos idiomas, pudiendo el usuario alternar entre ellos de una forma sencilla. De forma predefinida, todas las funcionalidades propias de la plataforma deben disponer de una interfaz tanto en español como en inglés.

Con respecto a los idiomas de los escenarios, todos ellos deberán estar implementados también en español y en inglés.

Finalmente, toda la documentación de la plataforma se encontrará traducida también a español e inglés. Actualizándose en ambos idiomas cuando sea oportuno.


2.18. Test de conectividad

La plataforma deberá ofrecer la posibilidad de que los usuarios realicen un test de conectividad con anterioridad al inicio del ciberejercicio. Dicho test de conectividad tiene por finalidad la verificación de los parámetros de configuración del participante con la plataforma y permitirá identificar problemas de forma temprana.

El test de conectividad deberá confirmar todos los aspectos de acceso del participante al entorno del ciberejercicio (tanto plataforma web como otro tipo de acceso seguro a entornos de activos, si los hubiera), sin revelar ninguna información relativa al ejercicio (como objetivos, activos otorgados en los entornos de juego, etc.).

2.19. Sesión de resolución de dudas

INCIBE organizará una sesión de resolución de dudas para los participantes antes de la ejecución de cada ciberejercicio. La sesión tendrá por objeto aclarar aquellas cuestiones que puedan surgir a los participantes tras la lectura del manual de participación y explicación de la dinámica. Dichas sesiones de resolución de dudas se realizarán a través de chat por una herramienta proporcionada por INCIBE. El personal del adjudicatario se encargará de responder a las dudas que surjan a los participantes con el apoyo del personal de INCIBE. Tras cada sesión de resolución de dudas, el adjudicatario recopilará todas las preguntas y respuestas formuladas para la generación de un documento F.A.Q. que posteriormente será circulado entre los participantes.

El adjudicatario dispondrá un mínimo de un técnico por cada 50 participantes para dicha sesión de resolución de dudas. El aumento del equipo técnico asignado a cada sesión de resolución de dudas será valorado positivamente.

2.20. Soporte durante cada ciberejercicio

El adjudicatario prestará soporte durante la ejecución de las distintas sesiones de ciberejercicios para ofrecer respuesta en aquellos casos en los que sea requerido. El soporte se centrará principalmente en la monitorización de la plataforma y en la respuesta a consultas de los participantes.

Con respecto a la monitorización de la plataforma, los medios personales del adjudicatario se encargarán de trabajar con el sistema de monitorización para la identificación de posibles desviaciones o mal funcionamiento de la misma, resolviendo los problemas mostrados en el menor tiempo posible (aplicando la diligencia exigible).

Por otra parte, la plataforma se establecerá un canal para que los participantes dispongan de comunicación directa con el equipo de soporte del ciberejercicio. Dicho canal será utilizado para la resolución de dudas con respecto al funcionamiento general de la plataforma o la comunicación de problemas de funcionamiento a lo largo del ciberejercicio. El adjudicatario se encargará de poner a disposición los medios personales para la resolución de dichas solicitudes.

Adicionalmente, en determinados ciberejercicios, los participantes se concentrarán en una determinada ubicación seleccionada por INCIBE para la realización del ejercicio. En estos casos se


requerirá la presencia in situ de personal de soporte del adjudicatario para la resolución de las consultas formuladas y soporte al ejercicio.

El adjudicatario dispondrá un mínimo de un jefe de equipo y un técnico por cada 40 participantes para el soporte durante el ciberejercicio. El aumento del equipo técnico asignado al soporte durante la ejecución de cada ciberejercicio será valorado positivamente.

2.21. Análisis de los resultados y validación de los mismos después de su ejecución

El adjudicatario llevará a cabo un proceso de revisión y validación de los resultados de los ciberejercicios tras su ejecución. Dicha validación permitirá la valoración de la coherencia de los resultados obtenidos, así como la identificación de patrones de comportamiento que evidencien un mal uso de la plataforma o comportamiento inadecuado por parte de los participantes.

2.22. Lecciones aprendidas

El adjudicatario deberá elaborar un breve informe (no superior a 5 páginas) con los aspectos más detacados de cada ciberejercicio. Dicho informe incluirá una valoración especializada de la ejecución del ciberejercicio, destacando los aspectos destacados y aquellos en los que se debe actuar para mejorar en futuras ediciones.

La valoración se realizará en base a la observación de los distintos parámetros de la ejecución de los ciberejericios, así como de las consultas realizadas por los participantes a través del canal de comunicación establecido en la plataforma.


3. PLANIFICACIÓN

La planificación definitiva del proyecto se determinará a partir de la reunión de comienzo del mismo, no obstante, se estima que se desarrollará de acuerdo a lo dispuesto a continuación.

3.1. Reunión de Lanzamiento

Este hito tendrá lugar como muy tarde la semana siguiente a la firma del contrato. El adjudicatario entregará una presentación del proyecto en la que se contemplarán los principales aspectos a desarrollar:

Presentación del punto de contacto del adjudicatario. Presentación de la metodología a usar por el adjudicatario en cuanto a organización y

seguimiento de los trabajos. Presentación del contexto diseñado para cada escenario. Cualquier otra tarea que redunde en el diseño del contexto de la plataforma.

Asimismo, se tratarán, al menos, los siguientes aspectos:

Personalización de plataforma y documentación a partir de la guía de estilo de INCIBE. Subdominio e IP en los que se alojará la plataforma. Certificado SSL. Planificación de ciberejercicios y actividades para cada uno de ellos. Características de seguridad y usabilidad de la plataforma.

3.2. Elaboración del diseño de escenarios

Desde la planificación de cada nuevo ciberejercicio, el equipo designado por INCIBE y el adjudicatario trabajarán de forma coordinada en el diseño detallado de los distintos escenarios. La primera decisión será definir si se requiere un nuevo diseño o se reutilizará uno de los existentes. En caso de que se requiera elaborar un nuevo diseño de escenario, INCIBE dará el último visto bueno a cada una de las propuestas.

Una vez el diseño sea aprobado por INCIBE, se debe entregar un documento donde se explique cada una de las pruebas, su valoración y las dependencias entre las distintas pruebas. Todo ello dividido en las categorías y fases definidas en el apartado 2.5.

3.3. Implementación de escenarios

En caso de que se requiere un nuevo diseño de escenario para el ciberejercicio planificado, el adjudicatario deberá implementar el diseño detallado y aprobado por ambas partes y entregar la documentación donde se defina el entorno en el que se desarrollará.

3.4. Parametrización de la plataforma

El adjudicatario parametrizará la plataforma y realizará un documento que recoja todos los parámetros de personalización aplicados a la plataforma para cada ciberejercicio. En el caso de que


se requiera la reutilización de un diseño existente, esta parametrización podría incluir el redimensionamiento de los entornos elaborados, debido a un cambio en el número de usuarios que participen en el ciberejercicio.

3.5. Ejecución del ciberejercicio

El adjudicatario prestará soporte durante la ejecución de las distintas sesiones de ciberejercicios. El licitador detallará en su propuesta cómo llevará a cabo dicho soporte y los medios que destinará para ello.

Durante la ejecución de cada ciberejercicio, INCIBE se reserva el derecho de realizar grabaciones de los participantes en su utilización de la plataforma. Dichas imágenes serán propiedad de INCIBE, que podrá utilizarlas para acciones de difusión.

3.6. Lecciones aprendidas

Una vez finalizado cada ciberejercicio, el adjudicatario proporcionará a INCIBE unas lecciones aprendidas para el análisis de las actividades y el proceso de mejora para posteriores ediciones.

3.7. Cierre del Proyecto y Memoria Final

En este hito, al alcanzar la fecha final del contrato, el adjudicatario deberá presentar una Memoria Final, como informe justificativo del alcance efectivo de los trabajos realizados, con detalle de entregables, recursos consumidos, indicadores, lecciones aprendidas, así como una propuesta de recomendaciones de actividades y objetivos a desarrollar y alcanzar en los siguientes meses en el ámbito de los servicios descritos en el presente pliego.


4. DIRECCIÓN Y SEGUIMIENTO DE LOS TRABAJOS

Corresponde a la Dirección Técnica del proyecto la completa supervisión y dirección de los trabajos, proponer las modificaciones convenientes o, en su caso, proponer la suspensión de los mismos si existiese causa suficientemente motivada.

Para la supervisión de la marcha de los trabajos, INCIBE indicará al comienzo del proyecto la persona designada como Director/a Técnico/a del proyecto. Sus funciones en relación con el presente Pliego serán:

Velar por el adecuado cumplimiento de los servicios contratados. Emitir las certificaciones parciales de recepción de los mismos. Fijar reuniones periódicas entre la Sociedad y el adjudicatario con el fin de determinar,

analizar y valorar las incidencias que, en su caso, se produzcan durante la ejecución del contrato.

Independientemente de las reuniones ya establecidas en el Plan de Proyecto, el Director de Proyecto podrá convocar cuantas reuniones de seguimiento del proyecto considere oportunas para asegurar el cumplimiento del calendario del proyecto así como la correcta consecución de los objetivos propuestos. El adjudicatario será responsable de la redacción y distribución de las correspondientes actas de reunión.

Con el fin de garantizar que se satisfacen las necesidades y prioridades establecidas por el Director de Proyecto, éste marcará las directrices de los trabajos a realizar, siendo estas directrices de obligado cumplimiento por parte del adjudicatario.

Durante el desarrollo del proyecto se podrán solicitar, como parte de las tareas de seguimiento y control, entregas intermedias que permitan tanto la verificación del trabajo realizado, como evitar y reducir riesgos a lo largo del proyecto.

La rectificación de los trabajos no aceptados no se computará como horas de trabajo realizadas por el adjudicatario a efectos económicos.

Las rectificaciones derivadas de decisiones sobrevenidas que no tengan como origen errores u omisiones del adjudicatario se computarán y abonarán como horas de trabajo dentro del proyecto.


5. FORMA DE EJECUCIÓN

5.1. Lugar de realización de los trabajos

Todas las actividades del contrato salvo la jornada de formación (que se realizará en las oficinas de INCIBE en León) y el soporte al ciberejercicio (en los casos que haya una ubicación definida por INCIBE) serán realizadas en las oficinas e instalaciones de la empresa adjudicataria. El soporte in situ en la fase de ejecución de cada ciberejercicio, cuando se defina una ubicación común para los participantes, deberá ser realizado por la empresa adjudicataria en la ubicación que INCIBE determine. Los gastos de desplazamiento y, en su caso, alojamiento del personal de soporte in situ correrán a cargo de la empresa adjudicataria.

5.1.1. Soporte técnico

El adjudicatario deberá proporcionar los recursos técnicos asociados al proyecto para el buen desarrollo del mismo salvo lo exceptuado en este Pliego.

5.2. Obligaciones de información y documentación

Durante la ejecución de los trabajos objeto del contrato, el adjudicatario se compromete, en todo momento, a facilitar a las personas designadas por el Director Técnico, la información y documentación que éstas soliciten para disponer de un pleno conocimiento de las circunstancias en que se desarrollan los trabajos, así como de los eventuales problemas que puedan plantearse y de las tecnologías, métodos y herramientas utilizados para resolverlos.

Como parte de las tareas objeto del contrato, el adjudicatario se compromete a generar la documentación de los trabajos realizados, de acuerdo con los criterios que establezca en cada caso el Director de Proyecto. Toda la documentación y demás recursos generados por el adjudicatario durante la ejecución del contrato será propiedad exclusiva de INCIBE sin que el contratista pueda conservarla, ni obtener copia de la misma o facilitarla a terceros sin la expresa autorización por escrito de INCIBE, que la concederá, en su caso y con expresión del fin, previa petición formal del adjudicatario.

En este sentido, el adjudicatario deberá informar al Director Técnico sobre distintos aspectos relacionados con el funcionamiento y la calidad de los servicios prestados.

Salvo indicación expresa en contrario, las especificaciones, informes, diagramas, planos, dibujos y cualquier otro documento relativo al objeto del contrato, serán aportados en castellano, cualquiera que sea el soporte y/o formato utilizado para la transmisión de información.

El adjudicatario proporcionará, sin coste adicional para la Sociedad, una copia en soporte informático portátil (CD-ROM, DVD, llave USB, etc.) con toda la documentación generada durante la prestación de los servicios objeto del contrato.

5.3. Hitos de facturación


La facturación del contrato se dividirá en varios hitos:

Puesta en marcha de la plataforma: comprenderá las actividades de personalización de la plataforma, generación de usuarios y formación al personal de INCIBE. El importe de este hito se fija en función de la oferta de la empresa adjudicataria.

Cierre de cada ciberejercicio: una vez finalizada la extracción de resultados y redacción de lecciones aprendidas de cada ciberejercicio se producirá la facturación del mismo. El importe de dicha facturación dependerá de:

Necesidad de diseño e implementación: en caso de que INCIBE haya requerido la elaboración de un nuevo escenario para el ciberejercicio, se facturarán los conceptos de diseño, implementación y ejecución. En caso de que se requiera reutilizar un escenario existente, únicamente se facturará el concepto de ejecución.

Características del escenario: las características del escenario definirán los valores a aplicar para cada ciberejercicio. Estas características son: grado de dificultad, número de usuarios y duración.

5.4. Control de calidad

Sin perjuicio de las obligaciones asumidas en su oferta, el adjudicatario, a través del supervisor designado a tal efecto, deberá seguir los procedimientos de aseguramiento de la calidad existentes en la ejecución del contrato.

El adjudicatario reconoce el derecho de la Sociedad para examinar por medio de auditores, externos o propios, el fiel cumplimiento de los trabajos por él realizados.

INCIBE tendrá derecho a llevar a cabo auditorías de las actividades de los adjudicatarios para asegurarse de que la ejecución de los trabajos se lleva de acuerdo con lo establecido en el presente Pliego. Todo el material e información requeridos para dichas inspecciones y auditorías por los representantes de la Sociedad estará disponible sin restricciones. La Sociedad notificará al adjudicatario con dos semanas de antelación la auditoría y con un día de antelación la inspección a realizar, y el adjudicatario tendrá la obligación de:

Facilitar el acceso al material solicitado por el grupo auditor. Designar personas responsables que acompañen a los auditores. Facilitar un entorno de trabajo adecuado en el mismo lugar en que tiene lugar la auditoría. Cooperar con el auditor. Participar en las reuniones que convoque el auditor. Analizar los datos encontrados para que el informe sea real. Emprender rápidamente acciones correctoras y/o preventivas. Emitir una respuesta oficial a los defectos de los que ha informado el grupo de auditores.


León, 22 de abril de 2016

CONSEJO DE ADMINISTRACIÓN

INSTITUTO NACIONAL DE CIBERSEGURIDAD DE ESPAÑA, S.A

servicio de diseño, implementación y gestión ciberejercicios a...

Documents