Convocatoria vence: 10 de agosto de 2025 a las 23:59 horas
• Financiado por: Unión Europea (UE)
Publicado: 31 julio de 2025
Objetivo:
Garantizar la operatividad óptima y la seguridad de la información de la SIECA mediante la mejora de los procesos de cumplimiento de las normas ISO 20000-1, 27001 y NIST, con énfasis en la administración de la infraestructura de servidores.
Perfil del Consultor (a) :
- Experiencia de al menos 7 años en administración de servidores y herramientas de contenedores como Docker, Kubernetes y Fargate. Medio de verificación: patente de comercio con giro de negocio requerido Cumple/no cumple
- Ingeniero en sistemas o carreras afines (licenciado en informática, ingeniero en informática, ingeniero en infraestructura informática) Medio de verificación: título emitido por universidad Cumple/no cumple
- Experiencia de al menos 5 años en uno de los siguientes sistemas de gestión ISO 20000-1, 27001, NIST 2.0.
Actividades o tareas a realizar:
- Realizar una auditoría completa de los sistemas de gestión ISO 27001, 20000-1 y la infraestructura de servidores.
- Identificar riesgos, vulnerabilidades y áreas de mejora.
- Crear y actualizar políticas de seguridad y cumplimiento.
- Alinear las políticas con las normas ISO 20000-1, 27001 y NIST 2.0.
- Capacitar al personal en las nuevas políticas y procedimientos.
- Establecer un sistema de monitoreo continuo de los procesos de gestión de la DTIC.
- Evaluar la efectividad de los controles de gestión de la información, seguridad y cumplimiento.
- Realizar ajustes necesarios para mejorar la operatividad y seguridad.
- Realizar revisiones periódicas de los procesos de cumplimiento y seguridad.
- Implementar alarmas y sistemas de respuesta automática ante fallos.
- Evaluar el cumplimiento actual de los sistemas de gestión, identificar áreas de mejora, actualizar los procedimientos y políticas, realizar auditorías internas para verificar la efectividad de los cambios, y comunicar los cambios a todas las partes interesadas.
- Revisar el contenido de los manuales y procedimientos, actualizarlos según las mejores prácticas y normativas vigentes, validar los cambios con los responsables de cada área, y distribuir los documentos actualizados a los usuarios correspondientes.
- Analizar los procedimientos actuales, identificar áreas de mejora, actualizar los procedimientos para incluir nuevas metodologías y herramientas, validar los cambios, y publicar los procedimientos actualizados.
- Revisar y actualizar los procedimientos para mejorar la gestión de las partes involucradas, el portafolio y catálogo de servicios, los activos, los elementos de configuración, las relaciones con el negocio, los niveles de servicio, la demanda, la capacidad, los cambios, el diseño y transición de servicios, las entregas y despliegues, las incidencias y peticiones de servicios, y los problemas.
- Revisar y actualizar los procedimientos para la gestión de la seguridad de la información, la clasificación y protección de la información, el respaldo y recuperación de datos, el control y respuesta antimalware, la gestión de riesgos tecnológicos, la gestión de accesos, la gestión y configuración de redes, el mantenimiento, reutilización y eliminación de soportes de información, la seguridad física y ambiental, la seguridad lógica, la gestión del correo electrónico, y la gestión de incidencias de seguridad.
- Identificar y documentar los riesgos, vulnerabilidades y áreas de mejora, revisar y actualizar la lista periódicamente, y comunicarla a las partes interesadas.
- Realizar evaluaciones periódicas de la efectividad de los controles de gestión de la información, seguridad y cumplimiento, documentar los resultados, y desarrollar planes de ajustes operativos y de seguridad basados en la evaluación de efectividad del cumplimiento.
- Implementar un sistema de alarmas y respuesta automática ante fallos, y elaborar informes finales de consultoría.
Productos o entregables esperados:
Plan de trabajo de las actividades a desarrollar 5 días después de iniciadas labores, según las prioridades que sean indicadas.
Informes de actividades que incluya anexos que comprueben lo siguiente:
Mes 1
- Documento de Revisión, actualización y publicación completa de los sistemas de gestión ISO 27001, 20000
- Documento de Revisión, actualización y publicación del Manual del sistema de gestión de servicios de tecnologías de la información.
- Documento de Revisión, actualización y publicación del Procedimiento para la planificación de servicios de tecnologías de la información.
Mes 2
- Documento de Revisión, actualización y publicación del Procedimiento para el control de partes involucradas en el ciclo de vida de los servicios.
- Documento de Revisión, actualización y publicación del Procedimiento para la gestión del portafolio y catálogo de servicios de tecnologías de la información.
- Documento de Revisión, actualización y publicación del Procedimiento para la gestión de activos de tecnologías de la información.
Mes 3
- Documento de Revisión, actualización y publicación del Procedimiento para le gestión de elementos de configuración.
- Documento de Revisión, actualización y publicación del Procedimiento para la gestión de relaciones con el negocio de tecnologías de la información.
- Documento de Revisión, actualización y publicación del Procedimiento para la gestión de niveles de servicio de tecnologías de la información.
Más convocatorias:
¿Quieres saber más de la SIECA?
