Actualización sobre la Solicitud de Propuestas (RFP) para el puesto de Consultor del Marco de Gestión de Riesgo del DNS – Respuestas a las Preguntas Recibidas

El 16 de julio, la ICANN publicó una solicitud de propuestas para el puesto de un consultor experto que asista a la ICANN con el desarrollo de un Marco de Gestión de Riesgo del DNS. El anuncio indicaba que las preguntas acerca de la solicitud de propuestas (RFP) se podían presentar entre el 1 y 16 de agosto de 2012, 23:59 hs UTC. El período para presentar preguntas sobre la RFP ya se encuentra cerrado. La ICANN está proporcionando las preguntas y respuestas recibidas a través de esta actualización con el fin de que todas las partes que esten interesadas en responder al llamado de propuestas posean la misma información.

La fecha límite para responder al llamado de propuestas es el 31 de agosto de 2012, 23:59 UTC. Las respuestas se deben enviar por correo electrónico a drmf-rfi@icann.org, dirigiendo el mismo a Patrick Jones, del Equipo de Seguridad de la ICANN.

Preguntas

Presentación de Propuesta

1. Quisiéramos saber si aceptarán propuestas para esta tarea de parte de un consorcio (dos empresas consultoras) o si se encuentran en la búsqueda de un único consultor.

   Respuesta – Las propuestas de parte de un consorcio serán aceptadas. La propuesta debe incluir una descripción acerca de cómo estas partes del consorcio trabajarán juntas e interactuarán con la ICANN.

Plazos de tiempo

2. ¿Cuál es el plazo previsto del proyecto, en términos de la duración de las reuniones de la ICANN, dados los períodos de tiempo requeridos para la realización de comentarios internos y públicos?

   Respuesta – Lo ideal sería que la ICANN pudiese contratar un consultor para comenzar a trabajar en este proyecto a fines de septiembre y también participar en un panel de comunidad abierta durante la reunión de la ICANN que se realizará en octubre en Toronto, Ontario. Los plazos específicos de entrega de productos serán determinados una vez que el consultor sea contratado, pero el grupo de trabajo con nivel ejecutivo espera que a principios de diciembre de 2012 se encuentre disponible un borrador del Marco de Gestión de Riesgo del DNS para ser discutido, el cual luego se publicará para la realización de períodos de comentarios públicos que serán utilizados por la Junta Directiva de la ICANN durante la reunión en Pekín, China, en abril de 2013.

3. ¿Cuál es la duración prevista del plan de transición para completar el lanzamiento en términos de la disponibilidad del personal de la ICANN?

   Respuesta – El personal de la ICANN estará disponible y le brindará apoyo al trabajo del consultor a lo largo del proyecto. Esto debería reducir cualquier demora que pueda surgir entre el comienzo del proyecto y la fase de implementación, hasta la gestión operacional de riesgo en la ICANN.

4. ¿Cuál es la fecha de comienzo prevista para comenzar a ejecutar las actividades de la RFP?

   Respuesta – El consultor debería estar disponible para comenzar tan pronto sea posible una vez que el proceso de contratación haya sido completado. Lo ideal sería que se comenzara a trabajar a fines de septiembre para que haya tiempo suficiente para comenzar antes de la reunión de la ICANN de Toronto. El grupo de trabajo con nivel ejecutivo llevará a cabo una sesión publica durante la reunión de la ICANN el día jueves 18 de octubre. Se espera que el consultor participe de esta sesión con el objetivo de utilizar ese tiempo para interactuar con la comunidad.

5. ¿Cuándo anunciará la ICANN su decisión sobre el postulante ganador?

   Respuesta – La ICANN quiere tomar su decisión rápidamente, basándose en la calidad de las respuestas recibidas y en el proceso interno de selección. Tiene por objetivo tomar su decisión a principios de septiembre.

Personal de Apoyo

6. ¿Cuál es el tamaño previsto del equipo interno de la ICANN para implementar la metodología y ubicación geográfica, y cuál es la diversidad del personal que será asignado?

   Respuesta – La Implementación del Marco de Gestión de Riesgo del DNS será conducida por el equipo de Seguridad de la ICANN pero incluirá expertos del personal de otros departamentos, incluyendo el Legal, el de Operaciones del DNS, IT, Finanzas, IANA, entre otros. El personal de la ICANN está distribuido globalmente, aunque actualmente el equipo de Seguridad se encuentra dividido entre la Costa Este y Costa Oeste de los Estados Unidos.

7. ¿Cómo está compuesto el personal de la ICANN que se dedica a realizar las actividades de gestión de riesgo (cantidad de personal, jerarquía, etc.)?

   Respuesta – El equipo de Seguridad de la ICANN le brinda apoyo de personal al Comité de Riesgo de la Junta Directiva y al Grupo de Trabajo para el Marco de Gestión de Riesgo del DNS con nivel ejecutivo. Hay personal de la ICANN del equipo legal brindando apoyo a la Junta Directiva y participación al equipo Ejecutivo de parte del Consejo General de la ICANN. El equipo Ejecutivo sigue las actividades de gestión de riesgos y personal de departamentos individuales rastrean riesgos de departamentos.

8. ¿Cuál es la disponibilidad del personal de tiempo completo (FTEs) en lo que respecta a la disponibilidad de la ICANN para contribuir en los esfuerzos del proyecto?

   Respuesta – El equipo de Seguridad de la ICANN brindará personal de apoyo para participar con el consultor en este proyecto.

Preparación de Materiales

9. La RFP indica que el consultor experto entregará un informe al Grupo de Trabajo sobre el Marco de Gestión de Riesgo del DNS y a la comunidad de la ICANN. ¿Los productos que el consultor experto desarrolle serán compartidos con la comunidad mediante registros textuales como documentos públicos, o la ICANN o consultor experto prepararán resúmenes que serán compartidos de forma pública?

   Respuesta – El consultor deberá asumir que los productos creados para este proyecto serán compartidos con la comunidad mediante registros textuales como documentos públicos. Una vez que el marco de riesgo se encuentre creado, el consultor también deberá proporcionar resúmenes ejecutivos cuando corresponda, con el fin de facilitar la comprensión de la comunidad acerca de dicho marco.

Lista de Tareas para el Marco de Gestión de Riesgo del DNS

10. Tarea 2 – Marco de Riesgo – ¿Alguna vez ha adoptado la ICANN un marco de gestión de riesgo? De ser así, ¿qué marco es?

    Respuesta – Sí, la ICANN tiene un marco de gestión de riesgo empresarial interno.

11. Tarea 2 – Marco de Riesgo – ¿Hay marcos que la ICANN esté considerando adoptar en su organización?

    Respuesta – La ICANN está abierta a recibir enfoques prácticos y aplicables a la gestión de riesgo del DNS.

12. Tarea 2 – Marco de Riesgo – ¿Tiene la ICANN un Marco de Gestión de Riesgo Empresarial (ERM) con el cual este marco de seguridad de gestión de riesgo debería alinearse?

    Respuesta – La ICANN tiene un marco de gestión de riesgo empresarial interno. La ICANN está abierta a recibir enfoques prácticos y aplicables a la gestión de riesgo del DNS.

13. Tarea 2 – Marco de Riesgo – ¿Consideraría la ICANN basar su marco de gestión de riesgo en prácticas destacadas existentes y marcos mundialmente aceptados, como por ejemplo Risk IT y COBIT5?

    Respuesta – COBIT es principalmente un marco para el proceso de tecnología de la información. El consultor deberá tener en cuenta que el enfoque del marco de gestión de riesgo no se basa completamente en tecnología de la información, sino que se basa de manera amplia en los riesgos del DNS para la ICANN como una organización. COBIT5 y Risk IT pueden servir como ejemplos pero no deberían ser los únicos ejemplos en los que se encuentre basado el marco propuesto por el consultor.

14. Tarea 2 – Marco de Riesgo – La lista de productos no articula de forma clara los requisitos de gobernanza de riesgos (por ejemplo, apetito y tolerancia de riesgo, responsabilidades para la gestión de riesgo IT, concientización y comunicación, cultura de riesgos). ¿Estos productos también son requeridos?

    Respuesta – Las recomendaciones del consultor sobre los mecanismos para articular en forma clara los requisitos para la gobernanza de riesgos serán bienvenidos en tanto se encuentren relacionados al contexto de los riesgos del DNS.

15. Tarea 3 – Generar el Consenso – ¿Cuánto se prevé que durará el ciclo de comentarios públicos?

    El proceso de la ICANN del ciclo de comentarios públicos se encuentra descrito en http://www.icann.org/en/news/public-comment. La duración del ciclo de comentarios públicos dependerá de si los comentarios son recibidos en el período de comentarios inicial, requiriendo en consecuencia de un período de respuestas. El Grupo de Trabajo prevé que el comentario público se llevará a cabo a principios del año 2013, aunque esto está sujeto a cambios ya que depende de varios diferentes factores.

16. Tarea 3 – Generar el Consenso – ¿El Grupo de Trabajo realizará una revisión y presentará comentarios antes de que comience el ciclo de comentarios públicos? ¿Habrá oportunidad de realizar revisiones al marco teniendo en cuenta las sugerencias realizadas por el Grupo de Trabajo antes de que el mismo se publique para la realización de comentarios públicos?

    Respuesta – Sí

17. Tarea 3 – Generar el Consenso – ¿Qué medidas tomará el Grupo de Trabajo para evaluar si se ha logrado el consenso?

    Respuesta – El Grupo de Trabajo está buscando crear un Marco de Gestión de Riesgo del DNS que sea aplicable y aceptado por la generalidad de la comunidad que cumpla con los requisitos de este concurso.

18. Tarea 3 – Generar el Consenso – La RFP indica que el consultor experto "asistirá al personal y al grupo de trabajo para generar el consenso en función de dar apoyo al marco de gestión de riesgo dentro de la ICANN (tanto la organización como la comunidad)". ¿El consultor experto estará interactuando directamente con la comunidad, o deberá interactuar con la misma únicamente a través del personal de la ICANN?

    Respuesta – Desde el punto de partida, el Grupo de Trabajo con nivel ejecutivo desea que el consultor participe de una sesión abierta sobre el Grupo de Trabajo durante la reunión de la ICANN que se realizará en Toronto, el 18 de octubre de 2012. Esta reunión le brindará a los participantes de la comunidad que estén interesados la oportunidad de realizar preguntas, y le permitirá al consultor interactuar con aquellos que asistan a la misma. También se espera que el consultor interactúe de forma directa con los expertos en desarrollo de marcos de riesgo.

19. Tarea 4 – Ciclo de Riesgo – La RFP indica que la Tarea 4 forma parte de una "Posible Fase II". ¿Cuáles son los factores determinantes que indicarán si la "Fase II" se llevará a cabo?

    La Junta Directiva y el personal directivo superior de la ICANN determinarán los pasos siguientes del proceso luego de la entrega de la Fase 1 del Marco de Gestión de Riesgo del DNS, e incluirán los plazos y la viabilidad de la Fase II, tal como se encuentra descrito en la RFP. La respuesta a la RFP puede incluir una descripción sobre cómo el consultor consideraría los productos en la Fase II.

20. Tarea 4 – Ciclo de Riesgo – ¿La propuesta debe incluir estimaciones para las posibles actividades que se realizarían durante la Fase II?

    Respuesta – Sí, aunque esto podría presentarse a niveles generales. Para la Fase I no se requieren detalles minuciosos sobre los procedimientos de la Fase II, pero los mismos podrían ser útiles para la ICANN para poder comprender la metodología que el consultor propone implementar.

21. Tarea 4 – Ciclo de Riesgo – ¿Qué herramientas está utilizando la ICANN en la actualidad para identificar, documentar, administrar y supervisar riesgos?

    Respuesta – La ICANN rastrea riesgos dentro de sus departamentos y también brinda actualizaciones regulares sobre áreas de riesgo de programas clave a través del Comité de la Junta que sea relevante, como el Comité de Riesgos de la Junta Directiva, el Comité de Finanzas de la Junta Directiva, el Comité de la IANA de la Junta Directiva, entre otros. El programa de nuevos gTLD tiene un mecanismo individual de informe de riesgos que funciona a través del Comité de la Junta Directiva para el Programa de Nuevos gTLD.

22. Tarea 4 – ¿La ICANN aprovecha soluciones tecnológicas de Gobernanza, Gestión de Riesgo y Cumplimiento (GRC)?

    Respuesta – El equipo de Cumplimiento de la ICANN está en el proceso de desarrollar herramientas que asistan sus esfuerzos en administrar riesgos de cumplimiento. La ICANN aceptará sugerencias sobre soluciones tecnológicas que asistan en crear un Marco de Gestión de Riesgo del DNS que sea práctico y aplicable una vez que el mismo haya sido entregado por el consultor.

23. Tarea 4 – Ciclo de Riesgo – ¿La ICANN aprovecha riesgos que fueron identificados y documentados anteriormente en su organización? ¿Hay otras actividades de riesgo que se estén llevando a cabo en la organización? De ser así, ¿cuáles son?

    Respuesta – La ICANN realiza reuniones regulares de su Comité de Riesgos de la Junta Directiva y utiliza los riesgos identificados y documentados anteriormente para administrar riesgos dentro de la organización.

24. Tarea 4 – Ciclo de Riesgo – ¿Quisiera la ICANN incluir como producto un proceso de referencia, riesgo y librería de control para sus riesgos de seguridad claves?

    Respuesta – Las tareas principales de este contrato se encuentran descritas en la RFP. La entrega del Marco de Gestión de Riesgo del DNS deberá incluir información adicional de respaldo para la organización.

25. Tarea 4 – Ciclo de Riesgo – En lo que respecta al abordaje del plan de riesgo (la estrategia de respuesta a riesgos), ¿la ICANN quiere que se incluyan procedimientos de muestras de pruebas que validen la efectividad del plan de riesgos, además de los procedimientos de control de indicadores claves?

    Respuesta – Sí, estos se pueden incluir en la entrega en caso que respalden el marco.

26. Tarea 4 – Ciclo de Riesgo – ¿Le gustaría a la ICANN recibir asistencia con el diseño y desarrollo de informes de paneles y de supervisión?

    Respuesta – El diseño y desarrollo de informes de paneles y de supervisión se realizarían durante la implementación y ejecución de un ciclo inicial del marco como parte de la Fase II. Estas sugerencias se podrían incluir en la RFP, aunque en esta etapa aún no son requeridas.

Preguntas Generales

27. ¿Cuáles son los criterios clave de selección que la ICANN está utilizando para seleccionar a una RFP?

    Respuesta – La ICANN evaluará las respuestas recibidas para identificar un consultor experto que pueda aplicar metodologías de riesgo en los aspectos particulares del Sistema de Nombres de Dominio, entre los que se incluyen su naturaleza interna y la participación de múltiples partes interesadas. La ICANN necesita un consultor que pueda entregar un producto de calidad en un período de tiempo estrecho, el cual se someterá al control y análisis de la comunidad.