La Empresa Nacional de Residuos Radioactivos (Enresa) aspira a convertirse en un búnker de la seguridad nuclear. La compañía pública tiene abierto un contrato para la prestación de servicios de alojamiento, comunicaciones y ciberseguridad de los sistemas de información valorado en casi seis millones de euros, pero le está resultando difícil encontrar un proveedor y se ha visto obligada a ampliar el plazo para participar en la licitación hasta el 31 de mayo -finalizaba el día 10- ante la ausencia de ofertas.
Enresa ha valorado sus activos de información con nivel medio conforme al Esquema Nacional de Seguridad (ENS) y, en este contexto, para llevar a cabo de forma eficiente la actividad de la organización es necesario que disponga de una serie de centros de procesamiento de datos (CPD), lo que se conoce como 'data centers', adecuados a las exigencias derivadas de dicho nivel.
La compañía reconoce en la memoria justificativa del contrato que el actual CPD, ubicado en su sede de Madrid, no cumple con los criterios y que por ello está buscando ubicaciones especializadas que garanticen las medidas de seguridad. También quiere disponer de uno secundario para garantizar la continuidad del negocio. Asimismo, Enresa señala que necesita que los 'nuevos' CPD proporcionen las comunicaciones necesarias para permitir la conectividad de los distintos centros de trabajo entre sí, con Internet y con los sistemas de información de la empresa, con independencia de donde se encuentren alojados y desde donde se conecten los empleados, el personal de las sociedades contratistas o los propios sistemas.
"El ENS considera la seguridad no como una meta si no como un proceso de mejora continuada. Partiendo del inventario de los activos de información de cada entidad obligada a cumplir con el Esquema, que debe revisarse cada cierto tiempo, y de su categorización conforme a los parámetros que el propio ENS establece, todas las entidades seguimos un proceso iterativo de mejora. Por tanto, no solo es normal si no obligado que nos autoevaluemos y, conforme al resultado de ese ejercicio, apliquemos planes de mejora", señalan fuentes de la empresa a La Información
Servicios de alojamiento, comunicaciones y ciberseguridad
Además, deberán proporcionar las capacidades necesarias para gestionar los riesgos de ciberseguridad que puedan comprometer la confidencialidad, integridad, autenticidad, trazabilidad y disponibilidad de los activos de información de la compañía. Por su parte, en lo que respecta a las comunicaciones intercentros y la seguridad de la información, Enresa también carece de medios propios personales y materiales para cubrir estos servicios que son muy especializados, y ya en 2019 formalizó un contrato de servicios que finaliza el 31 de diciembre de este año.
En resumen, el objeto del contrato es la prestación de servicios de alojamiento, comunicaciones y ciberseguridad de los sistemas de información de Enresa. Entre las tareas a realizar destacan conocer el contexto de Enresa y su negocio, su política de seguridad, realizar una evaluación o análisis de riesgos e implantar y operar una solución de gestión de activos de información y vulnerabilidades. El adjudicatario también deberá proporcionar un alojamiento de los CPD, implantar y operar una infraestructura de comunicaciones, así como la red de interconexión de todas las sedes de Enresa mediante una SD-WAN e implantar medidas de seguridad destinadas a la protección de los activos de información.
La prevención también es clave para la compañía y por ello contará con un sistema de detección y respuesta ante amenazas, y dispondrá de un sistema de monitorización y gestión de eventos de seguridad. Por último, como método de respuesta y recuperación, existirá un centro de operaciones y soporte de toda la infraestructura desplegada. Los trabajos se realizarán con carácter general en las oficinas del contratista, si bien hay algunas actividades que por su naturaleza requieren la presencia en los centros de procesos de datos o en las salas técnicas de Enresa. La duración del contrato es de 60 meses, aunque dado que las tareas necesitan de un periodo de solape con el actual se propone que comience a partir del 1 de septiembre de 2024, o del día siguiente a su fecha de formalización en el supuesto de que sea posterior a la fecha indicada.
Los perfiles que buscan para el contrato son jefe de proyecto, técnico de comunicaciones 'senior', técnico seguridad 'senior', técnico de infraestructuras 'senior', analista de ciberseguridad 'senior', operador de comunicaciones, operador de seguridad y operador de infraestructuras. Del valor total del contrato, 1,5 millones de euros corresponden a costes de personal. Ante eventuales modificaciones, el importe no superará, en ningún caso, el 20% del precio de adjudicación.
Nivel medio del Esquema Nacional de Seguridad
El nivel medio del Esquema Nacional de Seguridad se aplica cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados, según recoge Real Decreto 311/2022, de 3 de mayo. Se entiende por perjuicio grave la reducción significativa de la capacidad de la organización para desarrollar eficazmente sus funciones y competencias, aunque estas sigan desempeñándose; cunado se cause un daño significativo en los activos de la organización; el incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable; un perjuicio significativo a algún individuo -de difícil reparación-; y otros daos de naturaleza análoga.
