1.       ANTECEDENTES

La Ventanilla Única de Comercio Exterior (VUCE) es un mecanismo de facilitación del comercio exterior que permite optimizar y unificar, a través de medios electrónicos, la información y documentación en un solo punto de entrada para cumplir con todos los trámites de importación, exportación y tránsito. El proyecto se inicia en 2011 y la plataforma entra en funcionamiento en el 2013, año en el cual se hace disponible el primer trámite electrónico a través de la plataforma. Desde ese momento, la plataforma y el proyecto en general han ido creciendo en términos de usuarios, cobertura de trámites y servicios ofrecidos a la comunidad de comercio exterior.

Actualmente continúa con importantes avances, ha definido sus objetivos bajo cinco perspectivas: Facilitación, Control, Articulación, Gobierno electrónico y Aspectos internos. Estos objetivos fueron los que le permiten comprender las expectativas de las partes involucradas, pudiendo afianzar el propósito principal de su trabajo, facilitar las operaciones de comercio exterior, desarrollando capacidades en el Estado Uruguayo para que las instituciones puedan realizar intervenciones eficientes y eficaces en el cumplimiento de sus cometidos. Potenciar el uso de las tecnologías de la información, velando por la optimización de los procesos y la cooperación de los actores involucrados.

Las herramientas de facilitación para la realización de trámites con intervención del sector público son un factor de éxito para la mejora del clima de negocios. En Uruguay el modelo adoptado por la Ventanilla Única de Comercio Exterior (VUCE) y la Ventanilla Única de Inversiones (VUI) comprende la creación de una plataforma integrada y centralizada que simplifique los procesos y trámites requeridos para el posicionamiento de Uruguay en la región y el mundo.

2.       OBJETIVO

Contratar un consultor o empresa consultora que provea análisis y soporte para el área de Seguridad de la VUCE y la VUI, identificando oportunidades y mejoras a los controles ya implementados. La persona que brinde el servicio deberá integrarse al equipo para trabajar en el área de Cyberseguridad, debe tener capacidad de auto gestionarse en sus tareas y trabajar en equipo. Se podrá sugerir más de una persona para complementar los requisitos del rol solicitado, siempre que una de ellas cubra al menos el 50% de las horas y del conocimiento requerido.

3.       ALCANCE

Actividades

• Construir, implementar y liderar un plan director de seguridad de la información y Cyberseguridad.
• Trabajar en el desarrollo de políticas, procesos y procedimientos asociados a la seguridad de la información y de la plataforma de software.
• Impulsar la implementación de buenas prácticas en seguridad, colaborando con diferentes áreas de la organización.
• Aplicar los principales marcos normativos de seguridad de la información, tomando como referencia el marco de ciberseguridad desarrollado por AGESIC, así como las buenas prácticas pertinentes basadas en estándares internacionales aplicables a cada materia (ISO 27000, NIST CSF, MCU, etc). Analizar y realizar tareas de análisis de la brecha existente con los principales marcos normativos.
• Liderar en los distintos proyectos de la organización en cuanto a seguridad de la información y cyberseguridad.
• Planificar y ejecutar tareas de seguridad en el ciclo de desarrollo apoyando a los desarrolladores y llevando adelante proyectos de mejora continua en este aspecto.
• Realizar actividades de análisis periódicos de vulnerabilidades, pentest, hackeos éticos entre otros.
• Gestionar los incidentes de seguridad informática.
• Colaborar en los proyectos vinculados a concientización y capacitación en seguridad de la información.
• Elaborar guías de referencia, manuales, e informes relacionados a su materia
• Gestión e implementación de SIEM y monitoreo continuo de logs y alertas.
• Planificación y ejecución de pruebas de recuperación ante desastres (DR) y de continuidad del negocio (BCP).
• Coordinación de auditorías externas y elaboración de reportes de cumplimiento.
• Integración de fuentes de threat intelligence y definición de playbooks de respuesta a incidentes
• Apoyar en la generación de capacidades internas del equipo para la creación de un área de seguridad.
• Otras tareas que le sean asignadas por la coordinación ejecutiva de la VUCE y/o la Gerencia de tecnología de la VUCE.
• Generar un plan de capacitación para el equipo de desarrollo enfocado en las buenas prácticas de ciberseguridad.

Requisitos

• Profesional/es de carreras universitarias o Tecnólogo de la UTEC en Informática , Ingeniería de Sistemas, Sistemas de Información de las Organizaciones / Gestión de Empresas de TI /Tecnología de la información
• Conocimientos de programación, seguridad de aplicaciones, redes de datos y sistemas operativos.
• Sólidos conocimientos de estándares de seguridad de la información (familia de estándares ISO 27000, NIST CSF, MCU, etc).
• Conocimientos sobre Web Services, desarrollo en GeneXus estándares abiertos de interoperabilidad Arquitecturas SOA, Arquitectura empresarial, DevOps. Trabajo bajo metodologías ágiles. Experiencia con proyectos en el sector público.
• Conocimiento especifico de seguridad en desarrollo.
• Experiencia en remediación de incidentes de seguridad.
• Experiencia comprobable en seguridad de entornos Linux y Windows Server.
• Conocimientos en containerización (Docker, Kubernetes) y prácticas de DevSecOps.
• Experiencia mínima de cinco años en puestos similares relacionados al área de Cyberseguridad con sólida experiencia en plataformas de gran porte e interoperabilidad.
• Idiomas requeridos: manejo de inglés (técnico) y español para documentación e interacciones.

Se valorará

• Experiencia en auditoría y gestión de riesgos de seguridad de la información, y el desarrollo de políticas y procedimientos de seguridad.
• Experiencia en análisis de vulnerabilidades y hackeos éticos.
• Conocimiento especifico de seguridad en desarrollos GeneXus.
• Habilidades en análisis forense digital e investigación de incidentes a partir de logs.
• Experiencia liderando proyectos de automatización de seguridad y mejora continua.
• Capacidad de comunicación efectiva con áreas de negocio, proveedores y auditores externos.
• Personas ordenadas, metódicas y organizadas, capaces de cumplir metas y comprometerse con las mismas.
• Resulta fundamental contar con habilidades de comunicación y relacionamiento interpersonal, así como un marcado foco en el cliente.

Modalidad y sede de la consultoría

• La modalidad de contratación es con un régimen de 35 horas semanales, según se acuerde con VUCE, dándose prioridad a una asistencia de lunes a viernes. Mediante acuerdo previo se puede definir un régimen de trabajo mixto presencial/remoto. En caso de ser requerido ante incidentes, se deberá proveer soporte 24x7 por el tiempo que se requiera.
• El consultor desempeñará sus funciones en las oficinas de VUCE.

Supervisión

• El consultor reportará al del Gerente de Tecnologías de la VUCE o de quien éste determine.

4.       EVALUACION DE PROPUESTAS

El consultor o consultores serán seleccionados de entre los candidatos mejor calificados en respuesta a una invitación o en respuesta a las publicaciones realizadas, a través del siguiente proceso:

4.a Criterios Pasa/No Pasa

• Experiencia mínima de 5 años en ciberseguridad
• Haber implementado políticas de ciberseguridad en al menos tres equipos/instituciones
• Experiencia en administración de ambientes bajo tecnologías Windows y Linux
• Experiencia en desarrollo de aplicaciones

4.b Evaluación por puntaje:

1.- Se evaluará la formación y la experiencia laboral presentada por cada postulante en su curriculum vitae (CV).

2.- Se podrá convocar a entrevista a los postulantes mejor calificados en la evaluación del CV, instancia en la que deberán presentar los documentos probatorios de lo declarado en el CV a efectos de su verificación y evaluación de las competencias claves.

El peso relativo de cada criterio será el siguiente:

• Formación académica: máximo 25 puntos
• Experiencia laboral: máximo 35 puntos
• Propuesta económica: máximo 20 puntos
• Entrevista: máximo 20 puntos

Nota: en caso de ser un profesional presentado por una empresa,  se considerará los antecedentes de la empresa pero dando prioridad a  las competencias específicas de la persona para desempeñar el rol.

• La Institución ha definido internamente un rango económico de referencia, el cual constituirá un criterio excluyente de admisibilidad. En tal sentido, únicamente serán consideradas aquellas propuestas cuya oferta económica se adecúe a dicho rango. Las ofertas que se encuentren por debajo o por encima del mismo serán desestimadas sin ulterior análisis. La evaluación comparativa de la oferta económica se efectuará exclusivamente entre las propuestas admitidas conforme a este criterio, sin que el monto de referencia sea objeto de publicación.

REQUISITOS PARA LA CONTRATACIÓN

El consultor o empresa seleccionado deberá cumplir con estar al día con sus obligaciones tributarias (certificados comunes de BPS y DGI y CJPPU vigentes). En caso de no corresponder afiliación a CJPPU, deberá acreditar tal circunstancia.

5.       PLAZOS Y ENTREGABLES

Plazo

El plazo inicial de arrendamiento de servicios será de 12 meses a partir de la firma del contrato. Existirá la posibilidad de renovación  por periodos iguales o inferiores, siempre y cuando el presente servicio cuente con un informe favorable por parte de la Coordinación Ejecutiva de VUCE.

Informes

El consultor deberá presentar informes mensuales, conteniendo el desarrollo de las actividades realizadas y los logros obtenidos, el cual deberá ser aprobado por la Gerencia de Tecnologías y el Coordinador Ejecutivo de la Ventanilla Única de Comercio Exterior.

Asimismo, deberá presentar mensualmente toda la documentación generada relativa al proyecto.

6.       MODALIDAD DE PAGO

El pago se realiza mensualmente por transferencia bancaria, según el monto acordado más IVA.

Régimen

La contratación se realizará a través de un contrato de Arrendamiento de Servicios.

7.       PRESENTACION DE PROPUESTAS

Las personas o empresas interesadas, podrán postularse hasta el 12/01/2026 inclusive, a la siguiente dirección de correo electrónico: proveedoresllamados@uruguayxxi.gub.uy, adjuntando información solicitada con aspiraciones de honorarios profesionales.

ACLARACIONES ADICIONALES

Cuando se refiere a consultor o empresa consultora, se utilizan ambos términos de forma indistinta.

Cuando se refiere a CV u antecedentes del consultor o empresa consultora refiere a los CVs de una o más personas que estén vinculadas al servicio y así mismo a los antecedentes de la empresa a contratar.

Se podrán realizar consultas hasta 72 hs hábiles antes de la finalización de la fecha del llamado.