Post on 18-Jul-2022
1
DOCUMENTO DE CONDICIONES ESPECIALES
CODIGO: OP-RO-FT-26
VIGENCIA DESDE: 15/05/2019
VERSIÓN: 0
El presente formato ha sido establecido por la Bolsa Mercantil de Colombia para que la Entidad Estatal suministre a la Bolsa y al Mercado, las características específicas del bien, producto o servicio que desea adquirir en este escenario, siendo obligatorio su TOTAL DILIGENCIAMIENTO.
Nombre del Servicio (SIBOL)
SERVICIO DE ADMINSTRACIÓN Y GESTIÓN DE RED
Código SIBOL 30052
Nombre comercial
del Producto/Se
rvicio opcional
SERVICIO GESTIONADO DE CIBERSEGURIDAD.
Calidad
El Comitente Vendedor debe estar certificado en alguno de los dos máximos niveles de membresía ante el fabricante y por lo menos en tres (3) de las plataformas de Seguridad Administradas y Gestionadas, para lo cual se debe adjuntar la certificación de fabricante donde evidencie esta información. Así mimo, debe contar con Experiencia en la implementación y soporte de plataformas tipo SOC.
Cumplir con cada uno de los requerimientos establecidos en el Documento de Condiciones Especiales- DCE y la Ficha Técnica de Negociación- FTN y aplicar todas las normas y procedimientos de buenas prácticas que se permitan la prestación del servicio de administración de red.
Requisitos Específicos
DESCRIPCION DEL SERVICIO Los servicios que el comitente vendedor debe prestar, corresponden a la administración, gestión, monitoreo, control y mitigación de ataques cibernéticos que incluya el escaneo, detección, análisis y remediación de eventos, incidentes, amenazas, gestión de seguridad, vigilancia digital, control de vulnerabilidades, entre otras acciones, que se puedan presentar, que permita brindar seguridad, disponibilidad y desempeño de la plataforma Tecnológica de la CGR, teniendo especial atención en la Dirección de Información, Análisis y Reacción Inmediata – DIARI, para lo cual, el servicio debe poseer una solución con tecnología de última generación que permita colectar, retener, correlacionar, monitorear los eventos de seguridad de la infraestructura de TI, entre otros, así como asegurar las disponibilidades de las herramientas de seguridad que monitorearán y correlacionarán los diferentes servicios que posee la entidad. Respecto al inventario solicitado será entregado al comitente vendedor después de la firma del acta de inicio, teniendo en cuenta que esta información es confidencial.
2
El servicio requerido debe estar alineado con las mejores prácticas definidas de ITIL V4, ISO 27000 y alineado con la metodología PMP, por lo que deben contar con las siguientes características:
Diseño e Implementación del Servicio: El servicio requerido deben contar con las características mínimas descritas en el presente documento. Algunas particularidades del servicio podrán serán acordadas dentro de los quince (15) días siguientes a la firma del acta de inicio de la negociación, con el fin de que se detallen y describan los alcances técnicos y procedimientos especializados que la entidad requiere para el aseguramiento tecnológico y de la información. Esta fase debe ser previa a la puesta en producción del servicio negociado y contará con el visto bueno de la entidad, de tal forma que se cubran las expectativas que la entidad requiere a nivel de ingeniería de detalle.
Adicionalmente en esta fase se deben garantizar la Implementación y puesta en marcha del Servicio solicitado, cumpliendo con los acuerdos de Service Level Agreement -SLAs definidos en el presente documento, contando con la totalidad de las herramientas, servicios, monitoreos, dashboards y reportes solicitados por la entidad. Esta implementación debe cumplir con los tiempos definidos en el proceso acorde al cronograma.
Operación del Servicio: Esta fase permitirá la puesta en producción del servicio, contando con la operatividad y características detalladas en el presente documento, garantizando el cumplimiento de los Service Level Agreement -SLAs definidos para cada servicio. El comitente vendedor tendrá 30 días para iniciar la operación del servicio descrito en la presente ficha técnica y 60 días para la estabilización, a partir del acta de inicio de la negociación.
Mejora Continua del Servicio: Se deben contar con una fase que garantice la mejora continua de todos los servicios, procesos, reportes y características requeridas para la prestación del servicio, garantizando que las configuraciones, reportes, características y demás requerimientos en los servicios y plataformas que lo soportan, se encuentren totalmente afinados y configurados acorde a las definiciones acordadas en el Diseño del servicio o requeridas por la entidad.
Durante la prestación del servicio se podrán acordar servicios de mejoras en la operación contempladas dentro del alcance. ESPECIFICACIONES TECNICAS MÍNIMAS Para todos los servicios indicados en la presente ficha se requiere que sean ejecutados con personal especializado. Especificaciones mínimas de los servicios:
1) Realizar el monitoreo y la correlación de eventos tipo (SOC) y la administración y soporte delegados desde la sede SOC del Comitente vendedor (puede estar ubicada en la CGR o en la sede del Comitente vendedor), de al menos quinientos (500) activos de
3
la plataforma de red y cómputo de la CONTRALORIA GENERAL DE LA REPUBLICA, con capacidad de cinco mil (5000) EPS (Eventos Por Segundo). Entiéndase por activo una única dirección IP de un dispositivo como un Switch, un servidor, una URL, un enrutador, etc. Las variables para monitorear serán definidas por la entidad durante la negociación.
2) Para la correlación de eventos de seguridad, la entidad y el comitente vendedor acordaran los casos de uso en la fase de diseño del servicio.
3) El servicio debe tener la capacidad de monitorear archivos críticos de la entidad para mínimo ciento cincuenta (150) dispositivos utilizando funcionalidades de FIM (File Integrity Monitoring), de tal forma que se identifiquen cambios en archivos de la entidad, archivos de sistema o información en general de un servidor.
4) Para la solución tecnológica e informática para el SOC, el comitente vendedor debe presentar la documentación (diseño y arquitectura de la solución) de la totalidad del software, el hardware de cómputo, almacenamiento necesario para soportar los servicios definidos, así mismo, el licenciamiento respectivo del fabricante. Dichos componentes deben ser provistos por el Comitente vendedor con herramientas licenciadas o con la documentación de las herramientas tecnológicas utilizadas que sean software abierto (open source) en versiones estables y que cuenten con soporte de fabricante sin que ello acarree costos adicionales para la entidad.
5) Para la prestación del servicio de monitoreo de redes y servicios tipo SOC y la correlación de eventos, el comitente vendedor debe proveer las herramientas tecnológicas especializadas para la recopilación, correlación y análisis de eventos. Por lo tanto, el comitente vendedor pondrá al servicio de la CONTRALORÍA GENERAL DE LA REPUBLICA, la infraestructura que sea necesaria para el cumplimiento técnico del servicio, sin que esto implique costos adicionales para la entidad.
6) Con el fin de mantener la homogeneidad de las soluciones que prestan en el servicio de SOC, se requiere que desde un Dashboard se puedan ver los eventos y que ofrezca reportes específicos, el cual debe poder ser accedido de manera concurrente por lo menos por diez (10) usuarios.
7) Proporcionar un servicio (integrando el concepto de CORRELACIONADOR DE EVENTOS DE SEGURIDAD) que permita realizar análisis, gestión de logs y correlación de eventos de seguridad que se presenten. La herramienta que soporte este servicio de correlación debe ser especializada para esta función y administrada por personal calificado.
8) Crear tantos casos de uso como se requieran para el monitoreo de los activos de la plataforma de red y cómputo de la CONTRALORIA GENERAL DE LA REPUBLICA.
9) Cuando sea necesario, se deben parsear los logs generados por los activos de la plataforma de red y cómputo, para que se les puedan aplicar las reglas de correlación que se establezcan.
10) Parametrizar las alertas necesarias, específicas, clasificarlas, priorizarlas sobre la plataforma tecnológica que se está monitoreando y reportarlas, adicional a la gestión que realice el comitente vendedor de los eventos respectivos, a las personas designadas por la CONTRALORIA GENERAL DE LA REPUBLICA cada vez que se encuentre en riesgo la integridad, la disponibilidad o la confidencialidad de la información. Estas alertas deben suministrar información de valor para ser analizadas en la gestión de riesgos e incidentes que hace parte del Sistema de Gestión de Seguridad, esta información debe responder como mínimo las siguientes preguntas; ¿Quién?, ¿Qué?, ¿Cuándo?, Donde? y Por qué?, el cual permita a la entidad conocer la trazabilidad detallada de un incidente de seguridad.
4
11) La información de logs que se generen en la actividad de monitoreo será propiedad de la CONTRALORIA GENERAL DE LA REPUBLICA y, por ende, el almacenamiento de esta información será entregada al finalizar la ejecución, a la CGR de forma legible y entendible, es decir, en un formato que la entidad pueda procesar la información. Para ello, el comitente vendedor debe garantizar el almacenamiento de logs en su plataforma con retención durante el periodo de la prestación del servicio, posterior a la finalización de la ejecución. La CONTRALORIA GENERAL DE LA REPUBLICA indicará el lugar final de almacenamiento de logs en su infraestructura SAN-propia en el momento de la finalización del servicio y el comitente vendedor deben garantizar la total eliminación y borrado seguro de la información de la entidad, haciendo presentación de las evidencias necesarias que garanticen el borrado seguro de esta información, razón por la cual la plataforma debe ser dedicada para la entidad durante la prestación de servicio.
12) Entregar un servicio de monitoreo y detección de brechas de seguridad, el cual permita validar la efectividad y eficiencia de las plataformas de seguridad actuales de la entidad, dicho servicio debe estar aprovisionado por lo especificado en ítem “Requerimiento Técnico SOLUCIÓN PROTECCION CONTRA AMENAZAS AVANZADAS.”
13) Entregar un servicio de detección de ataques avanzados en la red. el cual permita identificar conocer y responder ante ataques dirigidos a la entidad, dicho servicio debe estar aprovisionado por lo especificado en el requerimiento técnico “Requerimiento Técnico SERVICIO DE DETECCION DE ATAQUES AVANZADOS”.
14) Será responsabilidad del Comitente vendedor, realizar el acompañamiento en la implementación de medidas de remediación de vulnerabilidades que se deriven de eventos de seguridad detectados, acorde con lo definido en el presente documento.
15) Sera responsabilidad del comitente vendedor realizar la respuesta y seguimiento correspondiente ante un incidente o evento de seguridad que se presente en los activos incluidos en el servicio.
16) Para todos los equipos requeridos para la prestación del servicio, deben asegurarse por parte del comitente vendedor, que estos cuenten con el debido mantenimiento, soporte y garantía en caso de fallas, con lo cual se asegura su reemplazo inmediato. Toda la solución debe estar vigente en temas de garantía y soporte por los fabricantes o distribuidores.
17) Realizar todas las conexiones físicas entre los dispositivos que soportan el servicio y los elementos activos de red, garantizando los elementos y accesorios necesarios para realizar las mismas, sin que esto genere costos adicionales para la entidad.
18) Adjuntar una vez se estabilice el servicio, certificaciones emitidas por los fabricantes de las plataformas que soportan los servicios, donde conste que el comitente vendedor está autorizado para su uso y que el licenciamiento que hace parte de la solución se encuentra vigente durante la ejecución, en los casos en que aplique.
SERVICIO DE GESTIÓN Y MONITOREO DE SEGURIDAD, DISPONIBILIDAD Y DESEMPEÑO – CORRELACION DE EVENTOS DE SEGURIDAD. Este servicio contempla el monitoreo a nivel de seguridad, disponibilidad y desempeño de al menos 500 dispositivos definidos por la entidad, dicho servicio debe ser prestado teniendo en cuenta las siguientes especificaciones:
5
1) Recolectar los eventos de seguridad de múltiples marcas para lo cual se deben incluir el licenciamiento necesario para esto.
2) Monitorear los cambios en los archivos de configuración de los servidores que la entidad defina, la cual cuenta actualmente con 230 on-premise y 20 en la nube de Azure.
3) La colección de bitácoras de los dispositivos para este servicio podrá ser almacenada de forma local, en la nube o en el SOC externo. De igual manera, se debe tener en cuenta que por temas de Confidencialidad e Integridad de la información de la entidad, se deben cumplir los protocolos de seguridad de la información respectivos por parte del comitente vendedor.
4) La solución debe incluir inteligencia artificial o machine learning con el fin de dar una alerta más proactiva ante eventos o brechas de seguridad
5) Deben ser aprovisionado con una plataforma dedicada para la entidad. 6) Almacenar las bitácoras de la información generada por el mismo en un sistema de
bases de datos hibrida, lo que quiere decir que esté basado en NoSQL y/o SQL. De igual manera se deben contar con las herramientas especializadas para hacer búsquedas y correlaciones en estos repositorios (Inteligencia Artificial).
7) Contemplar la actualización constante de la base de datos de contextos, configuraciones, software instalado y servicios corriendo de los dispositivos monitoreados.
8) Realizar monitoreo y análisis constante del desempeño de las aplicaciones lo cual
permita realizar un triage de la seguridad el cual se compone de disponibilidad,
confidencialidad e integridad de las aplicaciones. 9) Contemplar un Visor personalizado de log de tráfico y se deben dar acceso de consulta
a la entidad con el fin de que personal designado pueda acceder a esta información, el cual debe poder ser accedido de manera concurrente por lo menos por diez (10) usuarios.
10) Contemplar una herramienta de búsqueda sobre los logs de tráfico y se deben dar
acceso de consulta a la entidad con el fin de que personal designado pueda acceder a
esta información.
11) Contemplar para el monitoreo de 500 dispositivos y 5000 Eventos por Segundo.
12) Monitorear las plataformas de almacenamiento que actualmente posee la entidad, a
nivel de desempeño y uso de almacenamiento.
13) Realizar el Monitoreo de sistemas del tipo Directorio Activo y office 365 basado en WMI
y PowerShell.
14) Monitorear los motores de Bases de datos SQL Server, Oracle, MySQL; entre otras, vía
JDBC.
15) Realizar análisis del desempeño y flujo de las aplicaciones vía NetFlow, Sflow, Cisco AVC
y NBAR, en el caso que la entidad lo requiera, sin que esto genere costos adicionales
para la entidad.
16) Tener la capacidad de definir métricas customizadas, en caso de que la entidad lo
requiera.
17) Estar aprovisionado por una solución que soporte de forma nativa el monitoreo de las
plataformas definidas por la entidad, en caso de que no esté soportado dicho
monitoreo el comitente vendedor deben contemplar el desarrollo de conectores
personalizados para la misma.
6
18) Colectar logs por cualquiera de los siguientes métodos:
a. Web – HTTP/HTTPS
b. DNS
c. FTP/SCP
d. Generic TCP/UDP
e. ICMP
f. IMAP4
g. JDBC
h. LDAP
i. POP3
j. POP3S
k. SMTP
l. SOAP
m. SSH
n. Telnet/SSH
o. SNMP
p. WMI
q. JMX
r. Syslog
19) Realizar la Correlación y Correlación Cruzada de Eventos de múltiples fuentes, tales
como Firewalls, Servidores, estaciones de trabajo entre otros.
20) Realizar monitoreo de inteligencia por medio de la Integración por API’s con
fuentes de información externa sobre amenazas, tales como Dominios de
Malware, IPs, URLs, y Hash, en caso de que la entidad lo requiera y la
integración con indicadores de compromiso de los laboratorios del fabricante.
21) Tener la capacidad de modificar los normalizadores (parsers) por medio de interface
gráfica, sin que esta modificación afecte la colección de logs o genere caídas en los
servicios de la solución.
22) La plataforma con la que se arquitecta el servicio deben tener la capacidad de ejecutar
scripts de remediación cuando un incidente ocurra.
23) Contar con un sistema de tickets, con el cual se escalen de manera automática los
incidentes que se detecten en el monitoreo.
24) Tener la capacidad de integrarse con sistemas de tickets externos en caso de que la
CONTRALORIA GENERAL DE LA REPUBLICA lo requiera, dicha integración debe ser por
API.
25) Aprovisionar el servicio con una solución que soporte la detección de incidentes deben
ser en tiempo real anterior al almacenamiento del evento, utilizando técnicas del tipo
“Correlación Distribuida”.
26) Contar con la posibilidad de visualizar logs y eventos correlacionados, además de poder
filtrarlos.
27) Tener una consola del tipo dashboard en la cual se pueda personalizar varios tipos de
gráficas y tablas, lo cual permita tener una visión global de los incidentes de seguridad.
28) La plataforma que soporta el servicio debe permitir crear reportes Parametrizables
(custom).
7
29) La plataforma que soporta el servicio debe permitir la definición y creación de roles
para el acceso, de acuerdo con las responsabilidades de los usuarios de esta.
30) La herramienta de gestión de eventos e información de seguridad que hace parte de la
solución como servicio, debe contar con capacidades dentro de sus funciones que
faciliten la interoperabilidad o integración con las nuevas tecnologías de seguridad
como lo son las soluciones EDR (Endpoint Detección and Response), UEBA (User &
Entity Behavior Analytics), asi como las plataformas que proporcionan inteligencia de
amenazas (TIP), y plataformas SOAR (Security Orchestration, Automation and
Response.
31) La solución no debe permitir la pérdida de logs que afecte el análisis de los incidentes,
en caso de existir fallos de conexión entre las fuentes de información y los componentes
del servicio de gestión de eventos.
32) La solución SIEM debe permitir la escalabilidad en cada uno de sus componentes, sin
que esto represente costos adicionales para la CGR.
33) La solución debe estar en capacidad de integrarse con sistemas para enriquecer el
análisis de los datos mediante consumos por REST API o mediante archivos.
34) La solución debe contar con la capacidad de responder en tiempo real durante un
ataque.
35) La solución debe contar con una amplia base de aplicaciones o add-ons que permiten
la recolección, análisis e integración de diferentes fuentes de información, cubriendo
al menos las siguientes categorías:
DevOps
IT Operations
Security, fraud and compliance
Business Analytics
IoT & Industrial Data
Utilities El comitente vendedor debe:
1) Generar un reporte de incidentes el cual deben poder ser priorizado por los servicios
críticos, dicho informe debe ser entregado de forma mensual a la entidad.
2) Entregar un informe mensual de las actividades realizadas en aras de mejorar el servicio
de monitoreo.
3) Entregar un informe semanal de incidentes de seguridad que hayan sido detectados
4) Entregar un informe semanal de incidentes de disponibilidad que hayan sido
detectados.
5) Entregar un informe semanal de incidentes de Rendimiento que hayan sido detectados.
El comitente vendedor debe:
1) Adjuntar con su oferta los datasheets de las plataformas ofertadas para el
cumplimiento del servicio, evidenciando la hoja y párrafo del datasheet donde se
evidencie este cumplimiento.
2) Adjuntar junto con la oferta las fichas técnicas de las plataformas que soportaran el servicio, en la cual se evidencie el cumplimiento de las características solicitadas.
8
SERVICIO DE MONITOREO Y GESTIÓN DE INTEGRIDAD DE ARCHIVOS La entidad requiere el servicio de monitoreo de un grupo de mínimo 150 activos de información definidos por la entidad, el cual permita detectar posibles alteraciones que puedan sufrir archivos contenidos en dichos activos de información, este servicio debe cumplir con las siguientes especificaciones:
1) Monitorear los cambios en los archivos de configuración de los servidores que la
entidad defina.
2) Contar con la característica de detección automática en cambios en archivos y carpetas,
de las plataformas monitoreadas Windows Server Data Center 2012 a 2019, Linux Red
Hat versiones 6 al 8, Linux Centos 7, y Ubuntu 18.02, donde se detalle el “Quien” y el
“Que”.
3) Hacer Monitoreo de la Integridad de Archivos o FIM basada en agente tanto para
Windows como Linux.
4) Contar con un módulo para la administración de los agentes Windows FIM.
5) Contar con la característica de detección automática basada en agente, de cambios en el registro de los sistemas Windows monitoreados.
6) El comitente vendedor debe generar un informe mensual de los incidentes detectados
a nivel de alteraciones sospechosas que se hayan podido presentar en los activos de
información monitoreados.
El comitente vendedordebe:
1) Adjuntar con su oferta los datasheets de las plataformas ofertadas para el
cumplimiento del servicio, evidenciando la hoja y párrafo del datasheet donde se evidencie este cumplimiento.
SERVICIO DE DETECCION Y GESTIÓN DE DESVIACIONES EN LA LINEA BASE TI La entidad requiere de un servicio de monitoreo que permita detectar cambios que se puedan presentar en los 500 dispositivos de la infraestructura monitoreada en el servicio “SERVICIO DE MONITOREO DE SEGURIDAD, DISPONIBILIDAD Y DESEMPEÑO – CORRELACIÓN DE EVENTOS DE SEGURIDAD”, así como alertar posibles desviaciones relevantes que se puedan presentar en las configuraciones de las plataformas tecnológicas de la entidad, por otro lado, darle a la entidad una base de información de las plataformas tecnológicas monitoreadas, dichos servicio deben cumplir con las siguientes especificaciones:
1) Tener un componente del tipo CMDB (Configuration Management DataBase), el cual
permita tener una base de las configuraciones de las plataformas monitoreadas. El cual
deben integrarse con la CMDB de la entidad la cual se encuentra operativa en la
plataforma CA-Broadcom-El servicio deben monitorear los cambios en los archivos de
configuración de los servidores que la entidad defina.
2) Colectar archivos de configuración de los dispositivos de red monitoreados que defina
la entidad, almacenada en un repositorio de versiones.
9
3) Realizar la detección automática de los cambios en la configuración de las plataformas
de red monitoreadas.
4) Entregar informes mensuales sobre los cambios en las configuraciones de los servidores
monitoreados.
El comitente vendedor debe:
1) Adjuntar con su oferta los datasheets de las plataformas ofertadas para el
cumplimiento del servicio, evidenciando la hoja y párrafo del datasheet donde se
evidencie este cumplimiento.
SERVICIO DE DETECCION Y DE GESTIÓN DE BRECHAS DE SEGURIDAD La entidad requiere un servicio en aras de detectar, proteger y mitigar amenazas avanzadas que permita la utilización de mecanismos combinados para la detección de virus, virus polimórficos y otras amenazas avanzadas y de día cero. Este servicio debe ser puesto en funcionamiento con las especificaciones que se enuncian a continuación:
1) Tener en cuenta la actual plataforma de seguridad perimetral y protección de
aplicaciones web con la que cuenta la entidad, de tal manera de que esta le envié
archivos para el análisis y revisión de estos.
2) Contemplar un escaneo de todos los recursos compartidos de la entidad vía (CIFS/SMB)
en busca de amenazas de dia-0 que ya se encuentren residentes en dichos repositorios.
3) Contemplar el análisis de tráfico por medio de un Port Span de los segmentos que la
entidad defina como mínimo dmz, centro de cómputo, admon_seg, untrust, WAN,
trust, en busca de brechas de seguridad, botnets o amenazas que a se encuentren
residentes en la entidad, dicho análisis debe contemplar como mínimo los protocolos,
HTTPS, HTTP, SMTP, POP3, IMAP, FTP, SMB.
4) Debe estar en la capacidad de detectar amenazas avanzadas en sistemas operativos.
5) Detección de callbacks: Visitas a URL maliciosas, Comunicaciones con servidores de
comando y control (C&C) y todo el tráfico generado desde la muestra de malware.
6) Sandbox OS Virtual: Múltiples instancias de Windows 7, Windows 8.1 y Windows 10. Es
de vital importancia para la entidad que estas máquinas virtuales vengan licenciadas
por Microsoft.
7) Sandbox OS (Mobile) Virtual: Múltiples instancias de Android.
8) El número de clones por cada tipo de máquina virtual debe poder ser parametrizable.
9) Tener la capacidad de importar reglas YARA.
10) Mostrar los paquetes de software instalados en cada tipo de Máquina Virtual.
11) Permitir crear listas negras y listas blancas.
12) Permitir seleccionar que tipos de archivos serán analizados en cada máquina.
13) Permitir que el usuario cree sus propios tipos de archivos.
10
14) Soportar como mínimo los siguientes tipos de Archivos: 7z, .ace, .apk, .arj, .bat, .bz2,
.cab, .cmd, .dll, .doc, .docm, .docx, .dot .dotm, .dotx, .exe, .gz, .htm, html, .jar, .js, .kgb,
.lnk, .lzh, Mach-O, .msi, .pdf, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm,
.pptx, .ps1, .rar, .rtf, .sldm, .sldx, .swf, .tar, .tgz, .upx, url, .vbs, WEBLink, .wsf, .xlam, .xls,
.xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xz, .z, .zip.
15) Protocolos/Aplicaciones:
Modo Sniffer – http, ftp, pop3, imap, smtp.
Modo integrado con solución de seguridad perimetral: http, smtp, pop3, imap, mapi,
ftp, im y sus equivalentes en SSL.
16) La plataforma debe enviar de forma automática los archivos catalogados como
maliciosos al laboratorio del fabricante para creación y distribución de firmas.
17) Tamaño de Archivo deben soportar al menos 100.000 KB, este valor debe poder ser
configurable.
18) La solución debe incluir un módulo de webfiltering para inspeccionar y marcar las
conexiones a URL maliciosas que traten de hacer los procesos ejecutados por los
archivos que se inspeccionan.
19) Los archivos que son analizados con el OS Sandbox deben entregar un análisis posterior
a la ejecución de las siguientes características:
Descarga de Virus
Modificación de registro.
Conexiones externas a IPs maliciosas.
20) La solución debe estar en la capacidad de procesar múltiples archivos al mismo tiempo,
se debe contar con múltiples VM para el análisis de Sandbox OS.
21) El resultado de los análisis debe clasificar los archivos de acuerdo con el nivel de riesgo
como Alto, medio o bajo. Esta clasificación se hará de acuerdo con un score y la
cantidad de puntos que tenga cada archivo en su análisis.
22) Habilitar él envió de notificaciones cada vez que el análisis detecte archivos maliciosos.
23) La solución debe poder ser implementada de una de las siguientes formas:
File Input: Debe ser posible manualmente hacer una subida de los archivos a
analizar.
Sniffer: El equipo debe estar en la capacidad de recoger el tráfico de un puerto
en modo espejo.
Integración con NGFW: En este modo la solución debe integrarse con el NGFW
actual de la entidad para que estos le envié archivos sospechosos para el
análisis.
24) Implementar en un ambiente distribuido donde múltiples dispositivos de seguridad
perimetral le envían archivos para análisis.
25) Soporte de rutas estáticas.
26) Autorización de dispositivos que quieren enviar archivos para análisis.
11
Las especificaciones técnicas que deben tener los equipos que atenderán el servicio, deben corresponder a las necesidades de la entidad. A continuación, se recomienda algunas específicas:
4 interfaces a 1Gbps RJ45 y 2 puertos a 10 GE SFP.
Almacenamiento, el requerido.
El equipo debe soportar múltiples archivos simultáneos en análisis.
Se debe soportar el número de máquinas virtuales para el cumplimiento del
servicio.
Rendimiento de modo sniffer mínimo 3.5Gbps.
Número de Archivos por Hora (Análisis en VM): 450
Número de Máquinas virtuales mínimo 24.
Generación de Reportes:
Reportes detallados en características y comportamiento. Modificación de
archivos, comportamiento de procesos, comportamiento de registros,
comportamientos de red.
Tener reportes en línea en tiempo real, esta debe poder ser personalizable con
widgets que se puedan agregar o quitar.
Presentar estadísticas de TOP N, con datos de los hosts atacados, malware, URLs,
Call Back Domains.
Estás estadísticas pueden ser vistas en línea con la posibilidad de seleccionar el
período de tiempo que se quieren ver.
La solución debe estar en la capacidad de enviar reportes semanalmente.
La solución debe entregar online información específica de los análisis realizados,
esto debe ser sobre una interfaz gráfica con filtros predeterminados como eventos,
malware, entre otros.
La información del análisis debe poder ser descargada en un log para en posterior
análisis.
En los casos que aplique debe ser posible descargar un pantallazo de las acciones
graficas del archivo sospechoso
SERVICIO DE DETECCION Y GESTIÓN DE ATAQUES AVANZADOS. La entidad requiere un servicio de Ciberdefensa en aras de detectar, analizar y responder ante ataques avanzados que puedan ser dirigidos a la entidad este servicio de protección tipo Decepción y Caza de Amenazas, solución de detección de amenazas mediante el engaño, que redirige amenazas internas y externas hacía señuelos para análisis y detección. Las características de dicho servicio son como se enuncian a continuación:
1) La solución debe integrase con las actuales plataformas de Seguridad Perimetral
(NGFW) de la entidad.
12
2) Creación de trampas de alta interacción, con capacidad de clonar como mínimo 2 activos existentes.
3) Creación de trampas activas con un flujo de tráfico de red falso entre las trampas implementadas para confundir y desviar a los atacantes que monitorean el tráfico, asegurando que interactúen con las trampas implementadas
4) Ejecución de investigaciones proactivas de los eventos correlacionados para detectar amenazas avanzadas desconocidas.
5) Visualización completa del ataque. 6) La solución ofertada debe incorporar maquinas señuelo o VM decoy Como mínimo en
10 segmentos de red. 7) Contar con API por medio del método RESTful sobre HTTPS. 8) Entregar informes mensuales y a demanda de las amenazas detectadas y del
tratamiento aplicado a cada una de ellas. 9) La solución ofertada para el servicio solicitado debe soportar las siguientes acciones
mediante integración con la solución Perimetral de NGFW.
Bloqueo.
Cuarentena
Exportación de IOCs.
10) La solución para proveer el servicio debe integrarse con la solución propuesta de
correlación de eventos, para el servicio de SOC.
Generación de Reportes La solución propuesta para cubrir el servicio solicitado debe contar con las características de Generación de Reportes, proporcionando reportes, en los formatos definidos por la entidad, que caractericen tanto la identificación de incidentes como ataques detectados en la red de la entidad. Los informes deben contar con los siguientes datos:
Severidad.
Ultima Actividad.
Tipo del evento.
Información de direccionamiento del atacante.
Información de credenciales de uso del atacante
Información de direccionamiento de la Victima.
Tiempo de iniciación del ataque
Puertos de ejecución del ataque
Tipo de Ataque
Información de passwords usados por el atacante.
Línea del tiempo.
Tráfico capturado por el Decoy.
SERVICIO PRUEBAS DE PENETRACION El comitente vendedor debe incluir un servicio de pruebas de penetración, el cual simule las acciones de un atacante desde redes externas e internas, dichas pruebas deben ser ejecutadas
13
a por lo menos doscientos (200) activos de información en caja blanca. Estas pruebas deben ejecutarse al menos dos (2) veces durante la ejecución de la negociación Realizar dos (2) pruebas en el periodo ejecución de la negociación de Pentesting, por lo cual se debe entregar los resultados de las pruebas en un formato que incluya como mínimo y sin limitarse a las explicaciones de los hallazgos, las evidencias, la ruta de ataque, el impacto, la criticidad y la solución. El servicio de pruebas de penetración debe ejecutarse con personal certificado en Penetration Testing o Ethical Hacking, para lo cual se debe presentar la Hoja de Vida de la persona que ejecutará la prueba, con antelación a la ejecución de esta, y será criterio de la entidad aceptar dicha Hoja de Vida o no. La Prueba de Penetración no debe afectar los servicios de la entidad y dicha prueba debe realizarse en coordinación con el supervisor, por lo cual en caso de presentarse una falla producto de dicha prueba, se debe presentar un informe donde se especifique con evidencias, las actividades realizadas y los detalles del servicio afectado, por otro lado, el comitente vendedor debe apoyar a la entidad en el restablecimiento del servicio por el tiempo que sea requerido para restablecer el mismo. SERVICIO DE ESCANEO Y GESTIÓN DE VULNERABILIDADES Prestar un servicio de escaneo de vulnerabilidades que permita obtener los resultados en tiempo real y a través de una consola web, donde se pueda gestionar y monitorear los avances de las vulnerabilidades a 50 activos de información que la entidad defina, este podrá realizarse con una herramienta de fabricante licenciada u open source. El mínimo de escaneos será dos (2) durante el periodo de ejecución, los cuales se realizarán al inicio de la operación y un mes antes de la finalización de la ejecución. La realización de escaneos de vulnerabilidades se realiza de forma programada y teniendo en cuenta horarios de impacto de mayor sensibilidad en plataformas sin afectar la disponibilidad de los servicios. Hacer un escaneo de cuentas privilegiadas para limitar considerablemente la superficie vulnerable de cara a una posible brecha de seguridad. Entregar informes en español que incluyan, como mínimo, lo siguiente:
Reporte Ejecutivo: Análisis y estadísticas de las vulnerabilidades, recomendaciones generales y plan de acción de remediación.
Reporte técnico: Se debe entregar un reporte en formato Excel con todas las vulnerabilidades identificadas, su nivel de impacto, IP relacionada, puertos y recomendaciones para resolución.
SERVICIOS DE GESTIÓN DE ANALÍTICA AVANZADA La CGR busca poder complementar las herramientas y servicios de seguridad definidos en el presente documento, así como garantizar una automatización de respuesta a incidentes
14
informáticos, donde se agilice las respuestas que el SOC y el personal realicen, para esto la solución ofertada deben contar con una herramienta tipo SOAR (Security, Orchestration, automation and response), donde se orqueste la seguridad de forma automatizada. La cual deben contar con las siguientes características:
Evaluación automatizada de los incidentes presentados.
Permitir de forma automatizada un filtrado de incidentes y una respuesta a los mismos mediante herramientas de analítica internas del SOAR.
Configuración automatizada de respuesta a incidentes multiplataforma.
Asignación automática de tareas y tickets para respuesta a incidentes. Este servicio de analítica avanzada debe estar integrado a las plataformas de la CGR, los servicios de seguridad del actual documento y los servicios de aseguramiento en cloud actuales de la entidad.
Reportes del Servicio SOC
El comitente vendedor debe presentar los informes de gestión mensualmente, así como también, los informes de atención de los incidentes que se presenten dentro de un periodo específico en los equipos objeto del servicio en el momento que son atendidos y solucionados, dichos informes no se atendrán específicamente a lo especificado en el presente capitulo, por lo tanto, la entidad estará en la libertad de solicitar los informes que considere necesarios, los cuales estén acorde al servicio y garantizar que los logs y reportes generados a partir de los servicios de seguridad cuenten con un periodo de retención de 1 año.
Siempre que aplique, para todos y cada uno de los equipos objeto de los servicios de seguridad los informes de gestión mensual deben contener como mínimo y sin limitarse a:
Informe del Servicio SOC Este informe debe entregarse mensualmente o por demanda de la entidad y el tiempo de generación y entrega de este en caso de ser por demanda no deben exceder las 2 horas, este informe deben contener como mínimo sin limitarse a estos, los siguientes ítems:
Tipos de Ataques DDoS.
Reporte de Incidentes de seguridad.
Reporte de Actividades Sospechosas de Usuarios / Equipos / Aplicaciones.Reporte de Integridad de Archivos.
Reporte de Cambios de Configuraciones.
Reporte de Cambios no Autorizados en los Registros de Windows.
Reporte de Violaciones de Políticas de Control de Acceso.
Reporte de Incidentes de Disponibilidad.
Reporte de Incidentes de Rendimiento o Recursos.
Reporte de Incidentes de Caídas en Servicios.
Reporte de Incidentes de Caídas en Aplicaciones.
Reporte de Cambios en los Registros.
Reporte de Cambios en el Software Instalado.
15
Reporte de CMDB a nivel de las plataformas monitoreadas.
Reporte de Cumplimiento de acuerdos de Service Level Agreement -SLAs de la entidad.
Abusos de Privilegios de Navegación.
Malwares en el mes.
Ataques a la infraestructura.
Usuarios con Malware.
Usuarios con Botnets.
Usuarios no productivos.
Aplicaciones maliciosas en la Red.
Exploits Detectados.
Usuarios/ Equipos más Riesgoso para la entidad.
Categorías más usadas por los usuarios.
Destinos maliciosos de la red.
Usos de la VPN a horas no laborales.
Segmentos de Red comprometidos.
Entre otros
RECURSO MÍNIMO REQUERIDO PARA LA PRESTACIÓN DEL SERVICIOS. El servicio requerido debe prestarse acorde a las mejores prácticas de gestión de servicios de TI enmarcadas por ITIL e ISO 20000-1. Así mismo deben contar con las mejores prácticas definidas por PMP e de ISO 27000, en particular ISO27001, ISO27002 e ISO27035 y contar con un gerente de proyecto con dedicación compartida acorde a los perfiles definidos en el presente documento. NIVEL 1 – Monitoreo de Seguridad, Disponibilidad y Reporte de Incidentes Disponibilidad: 7 x 24 x 365 con dedicación compartida. Ubicación: Remota, en las instalaciones del Proveedor del Servicio. Perfil: El definido en el presente documento de acuerdo con los eventos que se presenten
CASO TIPO ATENCION RESPUESTA
REQUERIMIENTOS - RFS 5x8 (Entre las 07:00 y las 18:00 coordinar) 4 horas Hábiles
CAMBIOS - RFC 5x8 (Entre las 08:00 A 17:00- coordinar) 1 Dia Hábil
INCIDENTES 7X24 2 horas - 30 Min Iniciales
Diagnóstico
Actividades:
Monitoreo, Gestión y atención inmediata de incidentes de nivel 1 para los equipos definidos en el presente pliego.
Escalamiento de los Incidentes 2 y 3 o niveles superiores.
Apoyar y formar parte del GRI (grupo a respuesta a incidentes) SOC
Actuar de acuerdo con las políticas de seguridad de la información establecidas por la Entidad y enmarcadas en el SGS.
16
Notificar inmediatamente al líder/coordinador del SOC y al supervisor de cualquier incidente de seguridad de la información o la sospecha de ocurrencia.
Ejecutar los procesos procedimientos y actividades designadas en cuanto a seguridad de la información según lo requerido por el líder o el supervisor.
Realizar todas las actividades adicionales requeridas para una correcta prestación del servicio de Monitoreo NIVEL 2 – Gestión y Respuesta ante Incidentes. Disponibilidad: 5x8 para gestión y respuesta ante Incidentes; teniendo en cuenta que la disponibilidad del servicio es de 7x24 con dedicación compartida. Ubicación: Remota, en las instalaciones del Proveedor del Servicio Perfil: El definido en el presente documento. Actividades:
Atención y gestión de incidentes, requerimientos y cambios de acuerdo con los procesos definidos por LA ENTIDAD para las plataformas de seguridad.
Atender las mesas de crisis en caso de ser requerido.
Revisión de alarmas y/o fallas de equipos plataformas de Seguridad perimetral.
Velar por el cumplimiento de KPIs y ANS propuestos por LA ENTIDAD.
Atención y seguimiento proactivo y reactivo de alarmas sobre las plataformas asignadas al servicio.
Independientemente y en conjunto con las partes interesadas, investigar, proponer y desarrollar directrices que satisfagan las necesidades operativas y estratégicas del SOC y de la entidad, alineadas con los propósitos de cumplimiento legal, regulatorio y operativo, en torno a seguridad de la información.
Apertura y seguimiento de tickets con fabricante para nuevos servicios de clientes o servicios de seguridad.
Ventanas de mantenimiento plataforma de Seguridad.
Gestión de backup semanales de equipos de seguridad.
Instalación Herramientas, afinamiento de reglas de monitores equipos asignados a Seguridad
Gestión y administración de Herramientas de seguridad, administración, reporte y monitoreo.
Mantener la documentación e información necesaria de configuraciones, topologías, inventario, de cada uno de los clientes para temas de calidad y servicio.
Upgrade y update de sistemas operativos en equipos y/o plataformas gestionadas.
Aplicación de mejores prácticas sobre las configuraciones de los equipos de Seguridad.
Planes de Mejora y Aseguramiento de plataformas de seguridad perimetral
Informes de capacidad de servicio por plataforma de seguridad perimetral
Generación de reportes especializados a la entidad.
Gestión Documental (Creación de manuales, políticas, procedimientos)
17
Apoyo en escalamiento de casos y/o gestión global con otras áreas que se vean impactadas por las plataformas de seguridad perimetral.
Cumplir con las políticas, normas, manuales y procesos definidos por Telefónica.
Proponer y ejecutar toda actividad que conduzca a corregir o mitigar hallazgos de auditoría en los tiempos establecidos.
Estas pruebas deben ejecutarse al menos 2 veces durante la ejecución de la negociación. Atender y dar solución a las incidencias/incidentes de seguridad de la información.
Atender y dar solución a las vulnerabilidades de seguridad de la información que se reporten por el SOC
Seguimiento de estado de Proyectos
Apoyo en escalamiento de casos y/o gestión
Disponibilidad para desplazamientos en zona urbana Bogotá D.C. (Visita sede Cliente)
Todas aquellas actividades que se consideren necesarias para la correcta ejecución del
NIVEL 3 – Análisis e Investigación de Causa Raíz Disponibilidad: 5 x 8x 365 con disponibilidad del servicio 7x24Ubicación: Remota, en las instalaciones del Proveedor del Servicio. Perfil: Grupo de personas expertas con dedicación exclusiva para el cumplimiento de las siguientes actividades. Actividades:
Emitir conceptos técnicos, recomendaciones, preguntas que aporten a validar cada aspecto considerado pertinente en relación con los requerimientos de cliente.
Ejecución de proyectos especiales de nuevas plataformas de servicio, cumpliendo los tiempos establecidos en un plan de trabajo y entregando la documentación necesaria de acuerdo con los procesos.
Velar por el cumplimiento de KPIs y ANS propuestos a la ENTIDAD.
Emitir los conceptos que se considere que aportan un punto de vista sobre el impacto de las solicitudes de servicios o plataformas.
Identificar, proponer y ejecutar proyectos de mejora dentro de un roadmap continuo de evolución y madurez de un SOC.
Desarrollar e implantar métricas, controles y herramientas de monitorización que supervisen la seguridad de las actividades de la entidad.
Independientemente y en conjunto con las partes interesadas, investigar, proponer y desarrollar directrices que satisfagan las necesidades operativas y estratégicas del SOC y de la entidad, alineadas con los propósitos de cumplimiento legal, regulatorio y operativo, en torno a seguridad de la información.
Atención y gestión de incidentes, requerimientos y cambios de acuerdo con los procesos definidos por la entidad y/o gerencia de integración global.
Atender las mesas de crisis en caso de ser requerido.
18
Realizar un análisis detallado de los datos capturados por los sistemas de monitoreo.
Generar estrategias de defensa para los hallazgos reportados por el ingeniero de seguridad. Generar estrategias de inteligencia y contrainteligencia con mediante fuentes libres de información que puedan detectar amenazas tempranas en contra de la entidad.
Hacer uso de las plataformas de seguridad perimetral y ciberseguridad para encontrar indicadores de compromiso que alimenten fuentes de inteligencia y herramientas de monitoreo de eventos.
Responder e investigar alertas de seguridad en busca de amenazas.
Desarrollar metodologías y estrategias de defensa alineadas con cyber kill chain lockheed martin y la matriz de MITRE ATT&CK
Reversing y scripting
Apoyo con investigaciones de respuesta a incidentes de seguridad de información.
Generación de reportes especializados a la entidad.
Presentar evaluaciones conocimiento de procesos.
Notificación Incidencias Seguridad generadas por herramientas de monitoreo.
Cumplir con las políticas, normas, manuales y procesos definidos por LA ENTIDAD y EL TERCERO.
Proponer y ejecutar toda actividad que conduzca a corregir o mitigar hallazgos de auditoría en los tiempos establecidos.
Atender y dar solución a las incidencias/incidentes de seguridad de la información.
Todas aquellas actividades que se consideren necesarias para la correcta ejecución de la negociación.
Apoyo en escalamiento de casos y/o gestión de estos.
Disponibilidad para desplazamientos en perímetro urbano Bogotá D.C. (Visita sede Cliente)
Todas aquellas actividades que se consideren necesarias para la correcta ejecución de la negociación.
PERFILES PARA LA PRESTACION DEL SERVICIO A continuación, se relaciona el recurso humano mínimo del que debe disponer el comitente vendedor para la prestación del servicio que se requiere y se encuentra especificado en el presente documento. No obstante, el comitente vendedor podrá incorporar recurso humano adicional sin cargo a la CGR, para el cumplimiento de las diferentes tareas indicadas y cumplir con los Acuerdos de Niveles de Servicio- ANS, especificados en esta ficha. NIVEL 1 (MONITOREO SOC) Monitoreo de Seguridad, Disponibilidad y Reporte de Incidentes.
19
*Ubicación: En las instalaciones del comitente vendedor. Dedicación: 100% sujeto al cumplimiento de los acuerdos de niveles de servicio- ANS. NIVEL 2 (SERVICIO SOC) Gestión y Respuesta ante Incidentes
*Ubicación: En sitio, en las instalaciones del comitente vendedor. Dedicación: 100% sujeto al cumplimiento de los ANS. NIVEL 2 PROFESIONAL INTEGRACIONES DEVOPS – SOAR
Pregarado Certificaciones/Cursos
Analista
dedicado
Título como técnico
Profesional o
Tecnólogo
Profesional o
ingeniro en
electrónica o
informática o
telecomunicaciones
o sistemas o afines
Certificación en redes y/o
seguridad informática y/o
especialización o maestría
en redes o seguridad
informáticas
Certificación de experiencia
específica de un (1) año en
proyectos de SOC o analista
de seguridad
Formación Profesional Esperiencia Específica
Profesional
Integrante
Equipo
Pregrado
Posgrado/Certificacio
nes /Cursos
Profesional*
Título de ingeniero
en electrónica o
telecomunicaciones
o sistemas o afines
Certificación o Curso o
posgrado en
seguridad informática
(de información) o
Diplomado en
Seguridad y Redes. -
Certificación del
fabricante en al
menos dos (2) de las
plataformas de
seguridad que
componen la solución
ofrecida para el
servicio
Certificaciones de
experiencia mínima de
una (1) año en el
manejo de incidentes
o eventos de redes. -
Certificaciones de
experiencia especifica
mínima de dos (2) años
en gestión de de
incidentes o eventos
de redes.
Formación ProfesionalIntegrante
Equipo
Experiencia
Preofesional
Específica
20
*Ubicación: En sitio, en las instalaciones del comitente vendedor. Dedicación: 100% NIVEL 3 (SERVICIO SOC - REDES Y SEGURIDAD) Análisis e Investigación de Causa Raíz.
*Ubicación: En las instalaciones del comitente vendedor. Dedicación: 100% sujeto al cumplimiento
Pregrado
Posgrado/Certificaciones
/Cursos
Profesional*
Título en Ingeniría o
telecomunicaciones
o sistemas
Azure AZ-400 y/o POO y/o
PHP y/o Laravel y/o
MySQL y/o GIT y/o
Javascript y/o Framework
Javascript (VueJS, jQuery)
y/o Apache Cordova y/o
XHTM/HTML5 y/o CSS y/o
AJAX y/o JSON/XML y/o
REST y/o UNIX Command
Line y/o Google API y/o
APIAWS, Python y/o
MongoDB, R y/o Hacking
Forensic Investigator-CHFI
y/o CEH (Certified Ethical
Hacker). Se requiere
certificaciones vigentes en
al menos cinco (5)
tecnologías indicadas en el
ítem anterior. De las cinco
certificaciones debe tener
como mínimo: Una
certificación en Azure AZ-
400 y un acertificación en
API.
Minimo 2 años de
experiencia en al menos
cinco (5) tecnologías
relacionadas a
continuación: Azure, POO,
PHP y/o Laravel, MySQL,
GIT, Javascript,
Framework Javascript
(VueJS, jQuery) Apache
Cordova, XHTM/HTML5,
CSS, AJAX JSON/XML,
REST, UNIX Command
Line, Google API, APIAWS,
Python, MongoDB, R, entre
otros. Computer Hacking
Forensic Investigador -
CHFI.
Integrante
Equipo
Formación Profesional Experiencia Preofesional
Específica
Profesional*
Título en ingeniería
electrónica o
telecomunicaciones
o sistemas o afines
•Certificación ITIL V3
Foundation o CISSP -
Certified Information
Systems Security
Professional. •EC-Council
Certified Incident Handler
y/o Computer Hacking
Forensic Investigator – CHFI
y/o CEH (Certified Ethical
Hacker)”
Certificación de experiencia
específica de mínimo cuatro
años (4), contados a partir de
la expedición de la tarjeta
profesional, en proyectos de
suguridad de la información.
*Certificaciones de
experiencia específica
de mínimo un (1) año en
proyectos de SOC o analista
de seguridad.
21
de los ANS.
ANS DE LOS SERVICIOS.
A continuación, se definen los Acuerdos de Nivel de Servicio, para los servicios de seguridad solicitados por la entidad, los cuales deben cumplir como mínimo con:
Disponibilidad de los Servicios de Seguridad.
o Disponibilidad: es la habilidad de un servicio de TI u otro elemento de configuración para realizar la función acordada cuando sea requerido.
o La disponibilidad del servicio se calcula mediante la siguiente fórmula:
Donde:
D es la disponibilidad mensual del servicio, en %, con una cifra decimal.
TSA es el tiempo de servicio acordado, en minutos. Este tiempo tiene en cuenta la cantidad de minutos del mes en que se realiza la medición (DM) y la cantidad de minutos aprobados para mantenimiento preventivo (TAMP) en dicho mes.
TI es el tiempo de inactividad en minutos.
o Para la prestación del servicio se requieren los siguientes niveles de servicio:
Clasificación Descripción
Bajo El incidente está causando lentitud del servicio, pero no causa daños en los procesos de negocio.
Medio El incidente está causando indisponibilidad parcial del servicio y causa retrasos en los procesos de negocio.
Alto El incidente está causando indisponibilidad total del servicio o hay usuarios VIP involucrados.
Para los incidentes de Prioridad alta la entidad establece un máximo de 15 Minutos para la atención del incidente y máximo 2 horas para resolución del mismo. Para los incidentes de Prioridad Media la entidad establece un máximo de 30 Minutos para la atención del incidente y máximo 4 horas para la resolución de este.
Para los incidentes de Prioridad Baja la entidad establece un máximo de 1 Hora para la atención del incidente y máximo 8 horas para la resolución de este.
22
Cabe resaltar que la entidad definirá a criterio la prioridad o criticidad de los incidentes reportados, para lo cual el comitente vendedor debe suministrar una herramienta web, para el reporte de dichos incidentes, los incidentes se clasificaran así:
Los tiempos de solución de incidentes y peticiones realizadas por la entidad a los especialistas, deben cumplir como mínimo con lo siguiente: TIEMPO MÁXIMO DE SOLUCIÓN DE INCIDENTES
Nivel de incumplimiento en el tiempo máximo de solución a un incidente clasificado en ALTA PRIORIDAD = (NIAF/ NIA) * 100% - Menor al 5%.
Nivel de incumplimiento en el tiempo máximo de solución a un incidente clasificado en MEDIA PRIORIDAD = (NIMF/ NIM) * 100% - Menor al 7%.
Nivel de incumplimiento en el tiempo máximo de solución a un incidente clasificado en BAJA PRIORIDAD = (NIBF/ NIB) *100% - Menor al 9%.
TIEMPO MÁXIMO DE SOLUCIÓN DE PETICIONES
Nivel de incumplimiento en el tiempo máximo de solución a una petición de servicio clasificada en ALTA PRIORIDAD = (NPAF/ NPA) * 100% - Menor al 5%.
Nivel de incumplimiento en el tiempo máximo de solución a una petición de servicio clasificada en MEDIA PRIORIDAD = (NPMF/ NPM) * 100% - Menor al 7%.
Nivel de incumplimiento en el tiempo máximo de solución a una petición de servicio clasificada en BAJA PRIORIDAD = (NPBF/ NPB) *100% - Menor al 9%.
PENALIZACIONES O DESCUENTOS En esta etapa se realizarán descuentos (no pago) en el caso de no cumplimiento en los ANS por parte del COMITENTE VENDEDOR, en caso de que el posible no complimiento sea atribuible a consecuencias por parte de la entidad, se realizaran las correspondientes excepciones. Los descuentos por incumplimientos de ANS se calculan sobre el valor mensual del servicio afectado así
Rangos % de Penalización
Entre 100% hasta 99,6% 0%
Entre 99,59% hasta 99,3% 10%
23
Entre 99,29% hasta 99% 15%
Entre 98,9% hasta 96% 20%
Entre 95,99% hasta 93% 25%
Entre 92,9% en Adelante 30%
TRANSFERENCIA TECNOLÓGICA
El comitente vendedor debe realizar transferencia a los funcionarios de la CONTRALORIA GENERAL DE LA REPUBLICA designados por el Supervisor, orientada a la gestión del servicio prestado.
La transferencia de conocimiento deben ser mínimo de 8 horas por cada una de las plataformas que soporten los servicios de la presente negociación.
La transferencia de conocimiento debe contemplar la implementación de los servicios del SOC. Esta transferencia debe realizarse durante la ejecución de la negociación, teniendo en cuenta las nuevas versiones o actualizaciones de la plataforma.
Durante la gestión de incidentes y la ejecución de los procesos relacionados con la seguridad informática, el comitente vendedor debe atender de manera completa y satisfactoria los requerimientos de información que haga la entidad.
DOCUMENTACION
El comitente vendedor debe documentar de manera detallada, los procedimientos realizados para la instalación, configuración y parametrización de cada una de las funcionalidades implementadas y entregarlos en medio magnético al Supervisor.
Todos los procesos del SOC deben ser socializados con la entidad, por lo cual esta socialización y la documentación deben ser entregadas a la entidad como parte del periodo de instalación y estabilización.
Todas las configuraciones realizadas para la prestación del servicio, así como las arquitecturas de detalle, deben ser documentadas y entregadas al Supervisor.
Entregar con la oferta las hojas de vida y certificaciones exigidas del personal mínimo requerido que soportará el servicio.
Entregar, dentro los primeros 15 días de inicio de la ejecución de la negociación, los datasheet de las plataformas que se usarán para proveer el servicio, en los cuales se deben evidenciar el cumplimiento de los servicios requeridos.
INFORMES DE GESTION
El comitente vendedor debe presentar los informes de gestión mensualmente, así como también, los informes de atención a los incidentes que se presenten dentro de un periodo específico en los equipos objeto del servicio en el momento que son atendidos y solucionados,
24
dichos informes no se atendrán concretamente a lo especificado en el presente capitulo, por lo tanto, la entidad estará en la libertad de solicitar los informes que considere necesarios, los cueles este acorde al servicio.
Siempre que aplique, para todos y cada uno de los equipos objeto del servicio SOC, los informes de Gestión mensual deben contener como mínimo sin limitarse a:
Reporte Mensual de correlación de eventos y Gestión de incidentes el cual incluya:
Tipos de Ataques DDoS.
IP fuentes y destino de ataques DDoS
Ataques sobre aplicativos Web
Reporte de Incidentes de Seguridad.
Reporte de Actividades Sospechosas de Usuarios / Equipos / Aplicaciones.
Reporte de Integridad de Archivos y modificaciones realizadas
Reporte de Cambios de Configuraciones.
Reporte de Cambios no Autorizados en los Registros de Windows.
Reporte de Violaciones de Políticas en Bases de Datos.
Reporte de Violaciones de Políticas de Control de Acceso.
Reporte de Incidentes de Disponibilidad.
Reporte de Incidentes de Rendimiento o Recursos.
Reporte de Incidentes de Caídas en Servicios.
Reporte de Incidentes de Caídas en Aplicaciones.
Reporte de Cambios en los Registros.
Reporte de Cambios en el Software Instalado.
Reporte de CMDB a nivel de las plataformas monitoreadas.
Reporte de Cumplimiento de Service Level Agreement -SLAs de la entidad.
Reporte de Cumplimiento de Service Level Agreement -SLAs de Terceros.
Abusos de Privilegios de Navegación.
Altos Consumos de ancho de banda.
Malwares en el mes.
Ataques a la infraestructura.
Usuarios con Malware.
Usuarios con Botnets.
Usuarios no productivos.
Aplicaciones maliciosas en la Red.
Exploits Detectados.
Usuarios/ Equipos más Riesgoso para la entidad.
Categorías más usadas por los usuarios
Destinos maliciosos de la red.
Usos de la VPN a horas no laborales.
Segmentos de Red comprometidos.
SERVICIOS PROFESIONALES
El comitente vendedor debe proveer los servicios especializados, con el fin de apoyar con recomendaciones necesarias para las integraciones requeridas para las plataformas de
25
tecnológicas del SOC que se implementarán y poner a punto la infraestructura de TI, para ser monitoreada y la de monitoreo (solución propuesta).
El comitente vendedor debe proveer como insumo, los equipos y/o medios de comunicación móvil necesarios que aseguren la comunicación (voz y datos) entre los agentes que brindarán el servicio y el equipo de la CGR que interactuará con el comitente vendedor durante la ejecución de la negociación y permitan mantener una permanente comunicación para coordinar las tareas y actividades que hacen parte del servicio a contratar. Para ello, se deben suministrar los dispositivos móviles de comunicaciones con servicios de voz y datos suficientes por el tiempo ejecución de la negociación. Los equipos serán entregados al oficial de Seguridad de la Información del comitente vendedor que se encuentra en las instalaciones de la Entidad. Con estos medios se mantendrá el contacto permanente entre el Comitente vendedor, el Supervisor y el líder técnico de la CGR.
Empaque y rotulado
(Aplica para productos)
NO APLICA
Presentación (Aplica para productos)
NO APLICA