análisis de vulnerabilidades
Anuncio
ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 EMPRESA DE TELECOMUNICACIONES DE BOGOTÁ S. A. E.S.P. RFI OBJETIVO Recibir información técnica, funcional y comercial de las posibles tecnologías asociadas a plataformas de análisis de vulnerabilidades. BOGOTÁ D.C., MAYO DE 2014 1 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 REQUERIMIENTOS DE INFORMACIÓN SOLUCIÓN ANÁLISIS DE VULNERABILIDADES 1. OBJETIVO La Empresa de Telecomunicaciones de Bogotá E.S.P., ETB, está interesada en recibir información técnica, funcional y comercial de las posibles tecnologías asociadas a plataformas de análisis de vulnerabilidades. 2. ALCANCE Contar con información técnica, comercial y funcional de plataformas de Análisis de Vulnerabilidades existentes en el mercado. La información correspondiente a plataformas incluye: 1. Suministro de Hardware, Software y Licenciamiento. 2. La ejecución de todas las actividades necesarias para la correcta instalación incluidas las adecuaciones físicas de conectividad, configuración, pruebas y puesta en funcionamiento de la solución. 3. Garantía de fabricante para la solución durante 1 y 3 años. 4. Soporte y mantenimiento para la solución durante 1 y 3 años. 5. Capacitación teórico-práctica y documentación de la plataforma. El INTERESADO puede aportar la información técnica requerida por ETB de plataformas y/o servicios. 3. RESPUESTA ETB espera que el INTERESADO indique explícitamente, para cada uno de los numerales contenidos en este documento, si lo requerido o esperado está "INCLUIDO" o “NO INCLUIDO” y detalle la información complementaria necesaria para dar claridad y/o explicación a la respuesta. Para las respuestas en las que lo esperado o requerido sea parcialmente cubierto por la solución, por favor detallar el porqué y la alternativa de complemento que plantea según su solución. El INTERESADO puede sustentar sus respuestas describiendo o detallando cómo su propuesta satisface lo esperado por ETB. Si es necesario puede hacer referencia a documentos técnicos anexados que soporten concretamente las respuestas dadas. ETB solicita que las respuestas no sean referidas a catálogos o publicaciones del proveedor incluidas en la cotización, sin que previamente se haya dado una explicación clara en el texto mismo de la respuesta respectiva. Así mismo, las respuestas referenciadas a documentos externos deben especificar la página y párrafo en la cual se hace referencia al requerimiento. ETB solicita que los documentos que integran la cotización sean redactados en idioma español, con excepción de los catálogos o descriptivos técnicos entregados como anexos, los cuales pueden ser presentados alternativamente en idioma inglés únicamente. 2 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 4. SITUACIÓN ACTUAL ANÁLISIS DE VULNERABILIDADES Actualmente ETB cuenta con una herramienta de análisis de vulnerabilidades que permite analizar los activos de la organización y ofrecer servicios de análisis de vulnerabilidades a clientes finales de la compañía, sin embargo no se cuenta con el módulo de análisis especializado de vulnerabilidades de aplicaciones WEB activo. La arquitectura que tiene dicha plataforma se muestra a continuación: Topología actual de la plataforma de escaneo de vulnerabilidades La plataforma se compone de equipos appliance, los cuales disponen de interfaces que puede ser implementada en diferentes VLAN (soporte a 802.1Q), de acuerdo a la necesidad de análisis de activos que se tenga. La VLAN es configurada a nivel de switch, lo cual permite que la plataforma de análisis de vulnerabilidades pueda escanear diferentes VLAN. La plataforma se compone de 2 servidores instalados en nodos redundantes en Bogotá, y cuenta con un licenciamiento que permite analizar hasta 1000 activos. APLICACIONES WEB ETB actualmente presta servicios de Hosting Dedicado y Compartido, ofreciendo la posibilidad de montar páginas WEB y aplicaciones en entornos WINDOWS y LINUX. Debido a que las aplicaciones actualmente se están desplegando en ambientes web y al aumento en la tendencia a nivel global de explotaciones de vulnerabilidades sobre este tipo de ambientes, se encuentra pertinente hacer una búsqueda de plataformas tecnológicas que permitan identificar vulnerabilidades WEB específicas, de tal manera que puedan ser corregidas antes de ser explotadas por algún atacante. Los servicios a proteger en su infraestructura interna son: Aplicaciones WEB desplegadas sobre plataformas Windows. 3 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 Aplicaciones WEB desplegadas sobre plataformas LINUX. Portales de servicios de ETB. De igual forma, se requiere contar con la posibilidad de realizar escaneo de vulnerabilidades sobre aplicaciones WEB pertenecientes a los clientes de los servicios de ETB. Se requiere conocer información de mercado de plataformas que permita atender una capacidad de escaneo aproximada de 200 sitios web. ETB espera que el INTERESADO entregue una descripción general de la solución propuesta. 5. PROYECTO DE IMPLEMENTACIÓN DE PLATAFORMA WVS ARQUITECTURA 1. ETB Solicita información relevante para desarrollar la adquisición e implementación de una plataforma de análisis de vulnerabilidades en alta disponibilidad en un Nodo en Bogotá, que permita realizar análisis a 1000 activos y 200 aplicaciones WEB como mínimo. 2. ETB Solicita información que indique si la solución implementa cuenta con mecanismos de protección y alta disponibilidad tanto interna como externa de la solución presentada. Indicar las características (multi procesamiento, RAID, conexiones de red redundantes, y los demás relacionados). 3. ETB Solicita información que indique los mecanismos de escalabilidad de la plataforma presentada. CARACTERÍSTICAS 4. ETB Solicita información que indique si las siguientes capacidades son soportadas por la solución presentada: Throughput en Mbps/Gbps. Número de conexiones simultáneas. Número de conexiones por segundo. Latencia (asociada a los procesos de análisis). Número máximo de análisis concurrentes. 5. ETB Solicita información que indique si la gestión de vulnerabilidades del sistema ofrecido soporta las siguientes funcionalidades: Identificación de activos. Definición de prioridades. Identificación de amenazas. Análisis de vulnerabilidad y correlación de amenazas. 4 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 Identificación de riesgos. Aseguramiento de activos. Control de seguimiento mediante tickets. Validación de cumplimiento de aseguramiento. Medición de progreso mediante el establecimiento de métricas y generación de reportes. 6. ETB Solicita información que indique si el sistema presentado está en capacidad de identificar y analizar vulnerabilidades de los siguientes sistemas operativos: WINDOWS LINUX UNIX HPUX Solaris AIX DEBIAN UBUNTU MAC OS OPENBSD Indicar qué otros Sistemas Operativos pueden ser analizados por la solución presentada. 7. ETB Solicita información que indique si el sistema presentado está en capacidad de identificar y analizar vulnerabilidades de dispositivos de red (routers, swiches, balanceadores de carga, otros) de los siguientes fabricantes: CISCO JUNIPER HUAWEI NORTEL NOKIA ALCATEL BROCADE ZTE Indicar qué otros fabricantes están cubiertos por la solución presentada. 5 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 8. ETB Solicita información que indique si el sistema presentado está en capacidad de identificar y analizar vulnerabilidades de dispositivos especializados en servicios de Seguridad (FW, IPS, IDS, Web Filter, otros) de los siguientes fabricantes: CHECK POINT HP FORTINET CISCO OPTENET MACAFEE SYMANTEC RSA Indicar qué otras tecnologías o fabricantes de sistemas de seguridad pueden ser analizados por la solución presentada. 9. ETB Solicita información que indique si el sistema está en capacidad de generar un inventario de los sistemas existentes dentro de la red como estaciones cliente, servidores, switches, routers, sistemas operativos, dispositivos y otros. 10. ETB Solicita información que indique si el sistema cuenta con la capacidad de mantener el perfil de un activo sin importar si hay un cambio de dirección IP (por ejemplo, por servicio DHCP). 11. ETB Solicita información que indique si el sistema cuenta con la capacidad de permitir la programación de tareas de análisis de forma programada. 12. ETB Solicita información que indique si el sistema cuenta con la capacidad de agrupar los activos de acuerdo a: Tipo de dispositivo. Ragos de direccionamiento IP. Dominios Nombres de dispositivos Prioridad de actualización Indicar que otros parámetros pueden ser empleados para agrupar los activos. 13. ETB Solicita información que indique si el sistema está en capacidad de clasificar alertas de vulnerabilidades de acuerdo a la prioridad estimada por los fabricantes. 6 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 14. ETB Solicita información que indique si el sistema está en capacidad de correlacionar el nivel de las vulnerabilidades detectadas en un activo para determinar la criticidad de Aseguramiento del mismo. 15. ETB Solicita conocer las capacidades de la solución frente a la validación del cumplimiento de políticas de seguridad de un sistema operativo de acuerdo a unas políticas de aseguramiento o “hardening”. 16. ETB Solicita información que indique si el sistema cuenta con la capacidad de generar listas de excepciones de vulnerabilidades a analizar sobre un activo o un grupo de activos. 17. ETB Solicita información que indique si el sistema presentado cuenta con la capacidad de realizar análisis de tipo intrusivo. 18. ETB Solicita información que indique si el sistema presentado cuenta con la capacidad de realizar análisis de tipo no intrusivo. 19. ETB Solicita información si el sistema presentado cuenta con la capacidad de realizar o evaluar vulnerabilidades de negación de servicio. 20. ETB Solicita información que indique las fuentes de vulnerabilidades que emplea el sistema para actualizar sus bases de firmas. 21. ETB Solicita información que indique si el sistema está en capacidad de correlacionar las vulnerabilidades identificadas con de acuerdo a la clasificación generada por entidades como: SANS CERT CVE Indicar otras entidades correlacionadas por la plataforma. 22. ETB Solicita que se indique si la solución puede dar información del CVSS (COMMON VULNERABILITY SCORING SYSTEM) de las vulnerabilidades encontradas a través de la solución. 23. ETB Solicita que se indiquen los niveles de criticidad (ALTO, MEDIO, BAJO, otros) en los cuales se reportan las vulnerabilidades en la solución. 24. ETB Solicita información sobre los diferentes mecanismos de clasificación de vulnerabilidades que usa la solución. 7 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 25. ETB Solicita información que indique si el sistema está en capacidad de analizar dispositivos WIRELESS. 26. ETB Solicita información que indique si la solución presentada está en capacidad de realizar mediciones de riesgo cualitativas, mediante el uso de algoritmos propios parametrizables. 27. ETB Solicita información que indique si el sistema está en capacidad de administrar recursos de ancho de banda para la ejecución de análisis. 28. ETB Solicita información que indique si el sistema está en capacidad de priorizar el empleo de los recursos de sus recursos dependiendo de los activos a analizar 29. ETB Solicita información que indique si el sistema está en capacidad de analizar y realizar pruebas de penetración en los activos analizados. 30. ETB Solicita información que indique si el sistema está en capacidad de analizar y realizar pruebas de penetración en redes inalámbricas. 31. ETB Solicita información que indique si el sistema está en capacidad de analizar y realizar pruebas de penetración en aplicaciones WEB. 32. ETB Solicita información que indique si el sistema está en capacidad de asignar, dar seguimiento y cierre a tickets, para controlar las tareas de mitigación de vulnerabilidades. 33. ETB Solicita información que indique si el sistema presentado cuenta con plantillas para de análisis de cumplimiento de sistemas basados en los estándares: OWASP PCI DSS BS 7799 ISO 17799 ISO 27001 Circular 042 de la Superintendencia Financiera de Colombia. Indicar otras plantillas incluidas en la plataforma. 34. ETB Solicita información que indique si el sistema está en capacidad de realizar descubrimiento de activos. 8 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 35. ETB Solicita información que indique si el sistema está en capacidad de analizar vulnerabilidades y realizar pruebas de penetración sobre bases de datos. 36. ETB Solicita información que indique si el sistema está en capacidad de realizar análisis de vulnerabilidades sobre plataformas y sistemas de virtualización. Indicar los fabricantes cuyas tecnologías pueden ser analizadas. 37. ETB Solicita información que indique si el sistema está en capacidad de analizar activos con direccionamiento IPv6. 38. ETB Solicita información que indique el nivel de efectividad en la detección de vulnerabilidades sobre los activos. 39. ETB Solicita que se indique si se tienen características o funcionalidades para el manejo de falsos positivos sobre vulnerabilidades encontradas a través de la plataforma. 40. ETB Solicita información que indique la periodicidad de actualización de firmas de vulnerabilidades en el sistema presentado. 41. ETB Solicita información que indique la capacidad del sistema para realizar análisis de activos de forma simultánea. 42. ETB Solicita información de las siguientes capacidades de la solución frente a la configuración de escaneos. a. Realizar escaneos sobre múltiples direcciones IP o nombres de dominio. b. Configuración de plantillas o vulnerabilidades a verificar durante el escaneo. c. Configuración de credenciales para análisis intrusivos. d. Tiempo de ejecución de los escaneos en el mismo momento, a una hora específica o periódicamente. e. Configuración de rendimiento del escaneo como número de host simultáneos o número de pruebas simultáneas. 43. ETB Solicita información de las siguientes capacidades de la solución frente a la configuración de reportes de vulnerabilidades: 9 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 a. Formatos de generación de reportes. Indicar los formatos en los cuales se pueden generar los reportes. (PDF, HTML, CSV, XML, otros) b. Capacidad para generar reportes en XML c. Capacidad de generar reportes ejecutivos y detallados de acuerdo al público objetivo del informe. d. Capacidad para modificar el formato del reporte en aspectos como lenguaje, marca y look and feel. e. Generar reportes periódicos de vulnerabilidades sobre un activo o un grupo de activos. f. Capacidad de generar reportes agrupados por sistema operativo, aplicaciones u otras características. Indicar cuales. g. Generar reportes basados en criticidad de las vulnerabilidades. (Ej. Reporte de vulnerabilidades altas en la organización) h. Generar reportes de cumplimiento de normas como PCI DSS, ISO27001, entre otras, Indicar con qué plantillas de reportes cuenta la solución. i. Comparación de reportes sobre un activo o un grupo de activos donde se pueda evidenciar la tendencia sobre la administración de la seguridad de un activo. j. Información de inventario como: i. Cantidad de máquinas encontradas. ii. Sistemas operativos encontrados. iii. Puertos abiertos y servicios encontrados. k. Información de priorización de acciones como: i. Equipos con mayor cantidad de vulnerabilidades. ii. Vulnerabilidades más comunes en la organización o en el grupo del reporte iii. Cantidad de vulnerabilidades por nivel de criticidad. iv. Porcentaje de vulnerabilidades por nivel de criticidad. l. Información de cada una de las vulnerabilidades encontradas: i. Identificador de la vulnerabilidad ii. Información de la vulnerabilidad iii. Criticidad iv. Host en el que se encontró la vulnerabilidad. v. Recomendaciones de solución 44. ETB Solicita conocer las capacidades de la consola de administración de la solución frente a los siguientes aspectos: a. Información del estado de la seguridad de los sistemas. 10 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 b. Medición del nivel de riesgo de la organización y de los activos de acuerdo a los escaneos realizados. c. Relación de vulnerabilidades. d. Estadísticas de equipos con mayor cantidad de vulnerabilidades en la organización. e. Capacidad para validar la solución de una vulnerabilidad detectada sobre un activo sin realizar el escaneo completo sobre dicho activo. f. Cualquier otra información relevante que ofrezca la consola de administración. 45. ETB Solicita conocer las capacidades de la consola para hacer separación de ambientes de administración por organización (Multi-tenant o Multi-dominio). Indicar si las capacidades de la consola del requerimiento anterior se pueden independizar para cada una de las organizaciones creadas en la solución. 46. Indicar si se puede limitar por organización la cantidad de direcciones IP o aplicaciones web que se pueden escanear a través de la solución. 47. Indicar si se pueden limitar los pooles, aplicaciones web o dominios a los que tiene derecho escanear un usuario dentro de una organización. ANÁLISIS DE VULNERABILIDADES WEB 48. ETB Solicita información que indique si el sistema está en capacidad de detectar y analizar vulnerabilidades que permitan XSS (Cross Site Scripting). 49. ETB Solicita información que indique si el sistema está en capacidad de detectar y analizar vulnerabilidades que permitan SQL Injection. 50. ETB Solicita información que indique si el sistema está en capacidad de detectar y analizar vulnerabilidades que permitan Code Injection. 51. ETB Solicita información que indique si el sistema está en capacidad de detectar y analizar vulnerabilidades que permitan Remote File Inclusion (RFI). 52. ETB Solicita que se indique qué otros tipos de ataques a aplicaciones WEB es capaz de detectar la solución diferentes a las mencionadas en los requerimientos anteriores y aquellas definidas dentro del Top 10 de vulnerabilidades web de OWASP. 53. ETB Solicita información que indique si el sistema está en capacidad de detectar y analizar vulnerabilidades sobre aplicaciones WEB 2.0. 54. ETB Solicita información que indique si el sistema está en capacidad de detectar y analizar vulnerabilidades sobre aplicaciones desarrolladas en: 11 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 HTML. PHP. XML. ASP. ASPX. PHYTON. RUBY. JSP. JAVASCRIPT. AJAX. FLASH. Indicar que otros lenguajes o mecanismos son cubiertos por el sistema presentado. 55. ETB Solicita información que indique si el sistema está en capacidad de detectar y analizar vulnerabilidades sobre aplicaciones que manejan llamados SOAP. 56. ETB Solicita información que indique si el sistema está en capacidad de detectar y analizar vulnerabilidades sobre aplicaciones que corren sobre HTTPS y SSL. 57. ETB Solicita información que indique si el sistema está en capacidad de generar parches virtuales o firmas en sistemas WAF a partir del análisis efectuado. 58. ETB Solicita información que indique si la solución permite crear y grabar macros para automatizar tareas de verificación de formularios o secuencias de autenticación en páginas WEB. 59. ETB Solicita información que indique si la solución cuanta con métodos de análisis de aplicaciones que emplean mecanismos CAPCHA. 60. ETB Solicita información que indique si la solución presentada permite programar tareas de ejecución de análisis. 61. ETB Solicita información que indique si la solución presentada permite analizar vulnerabilidades sobre: Apache 12 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 IIS Joomla Drupal Plesk Indicar sobre qué otros manejadores de contenido y servidores WEB se pueden realizar análisis de vulnerabilidades. 62. ETB Solicita información que indique si la solución presentada está en capacidad de realizar análisis y descubrimientos de contraseñas débiles para los diferentes métodos de autenticación como son BASIC, DIGEST, POST. 63. ETB Solicita conocer las capacidades de la aplicación para hacer “fuzzing” o búsqueda de elementos escondidos y/o no controlados sobre la aplicación WEB. 64. ETB Solicita información sobre la capacidad de la plataforma para hacer seguimiento de links sobre la aplicación y detectar errores o links rotos sobre la aplicación. 65. ETB Solicita información que indique el nivel de profundidad en el análisis de contenido (crawling) con el cual cuenta la herramienta. 66. ETB Solicita información que indique el límite de aplicaciones WEB y/o servidores WEB que pueden ser analizados. INTEGRACIONES CON LA RED DE ETB 67. ETB Solicita información que indique si el sistema presentado está en capacidad de integrarse con plataformas que prestan servicios de: NTP DNS SYSLOG SNMP (versión 2 y 3) BACKUP (FTP) BACKUP (LEGATO NETWORKER) ANTI VIRUS (SYMANTEC END POINT) AD (Active Directory) 13 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 68. ETB Solicita información que indique el número de interfaces físicas, y las características de las mismas, con las cuales cuenta el sistema presentado. 69. ETB Solicita información que indique si el sistema presentado soporta el estándar 802.1Q para manejar VLAN. 70. ETB Solicita información que indique las siguientes capacidades soportadas por la solución presentada: Throughput en Mbps/Gbps. Número de conexiones simultáneas. Número de conexiones por segundo. Latencia (asociada a los procesos de análisis). Número máximo de análisis concurrentes. 71. ETB Solicita información que indique si el sistema presentado soporta integración con otras plataformas y servicios, para desarrollar acciones correctivas sobre las vulnerabilidades detectadas en los activos, como son: SIEM (Para este ítem indicar a través de qué mecanismos se reporta al SIEM las vulnerabilidades detectadas por la solución) IPS FW Sistemas Anti DoS Sistemas de protección de End Point. 72. ETB Solicita información que indique la forma de calcular el tiempo estimado de almacenamiento de informes de análisis de vulnerabilidades, así como la capacidad de almacenamiento del sistema ofrecido. GESTIÓN Y REPORTES DE LA SOLUCIÓN 73. ETB solicita información que indique si la solución propuesta cuenta con un sistema de gestión que permita verificar: 14 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 a. Estado físico de los equipos (Variables físicas, estado de fuentes de poder, temperatura del chasis, etc.) b. Desempeño de los equipos (Variables de desempeño como cpu, utilización de disco, memoria empleada, etc). c. Información y estadísticas del uso del sistema. d. Visualización de log del sistema y de auditoría. e. Alarmas ante fallas críticas como temperatura por encima del umbral, falla en disco duro, falla de conectividad, etc. f. Número de conexiones concurrentes cercano al límite establecido o licenciado. g. Información detallada de los activos analizados por la solución. 74. ETB solicita información que indique si la solución propuesta permite la generación de reportes de los parámetros anteriormente descritos. Indicar los formatos en los cuales se puede visualizar y exportar los reportes creados. 75. ETB solicita información que indique si la solución propuesta permite que los reportes generados puedan ser enviados a través de correo electrónico. 76. ETB solicita información que indique si el sistema de gestión centralizado permite el aprovisionamiento y la modificación, tanto de usuarios y grupos de usuarios como de clientes finales. 77. ETB solicita información que indique si la solución ofrecida permite el ofrecimiento de acceso delegado a la gestión en un sistema multi-dominio o multi-tenant. Indicar la capacidad de accesos delegados que se pueden crear en la solución ofrecida. 78. ETB solicita información que indique si la solución cuenta con la facilidad de definir por lo menos tres (3) perfiles de usuario: Administración, Operación y Reportes. Indicar cuántos y cuáles roles de usuario se pueden crear y qué funciones ejecuta cada perfil. 79. ETB solicita información que indique si la plataforma permite manejar políticas para la configuración de contraseñas de los usuarios, para esto debe contar con la posibilidad de utilizar mecanismos como los siguientes: 15 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 a) b) c) d) Longitud mínima de la contraseña. Tiempo máximo de vigencia de la contraseña. Bloqueo del usuario después de varios intentos fallidos. Combinación de caracteres alfanuméricos y especiales en las contraseñas. 80. ETB solicita información que indique si el sistema de gestión de la solución presentada soporta una interfaz WEB para su administración y operación. Indicar la capacidad de usuarios que pueden acceder la gestión web y la capacidad de conexiones concurrentes. 81. ETB solicita información que indique si la plataforma guarda información de eventos del sistema y de administración. 82. ETB solicita información que indique si la plataforma genera Logs de auditoría que permitan realizar seguimiento las acciones realizadas por un usuario en la plataforma. BACKUP Y RECUPERACIÓN. 83. ETB solicita información que indique si la solución cuenta con mecanismos de restauración de la información contenida en los Back Up, de tal manera que garanticen la exitosa recuperación del sistema para cada uno de los módulos de la solución propuesta. 84. ETB solicita información que indique si el Back Up permite recuperar las configuraciones de todo el sistema, incluidas las configuraciones de todos los elementos que se encuentren operativos. 85. ETB solicita información que indique si la solución presentada permite programar la tarea de toma Back Up periódicamente y que esta se realice automáticamente sin intervención del usuario. LICENCIAMIENTO 86. ETB solicita se informe la forma de licenciamiento aplicada en el sistema presentado. 87. ETB solicita se informe si el sistema presentado permite la prestación de servicios de análisis de vulnerabilidades tanto para las plataformas internas de ETB como para clientes finales de la compañía. Indicar si el licenciamiento del sistema presentado permite revender servicios de análisis de vulnerabilidades. 16 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 88. ETB solicita al interesado presentar los precios del licenciamiento necesario para soportar el correcto funcionamiento de la solución por 1 año y 3 años. 89. ETB solicita al interesado presentar los precios del licenciamiento para los elementos de Hardware y Software necesarios para la adecuada implementación, configuración y puesta en marcha de la solución en el esquema de alta disponibilidad mencionado en el apartado de Arquitectura. TIEMPOS DE IMPLEMENTACIÓN Y MANEJO DE PROYECTOS 90. ETB solicita se informe la capacidad del interesado de cumplir con la metodología de desarrollo de proyectos que se desarrolla en los siguientes apartados del documento. 91. ETB solicita se informe si el interesado cuenta con un Sistema de Gestión de Seguridad de la Información certificado de acuerdo con los estándares de calidad de la industria, tales como ISO27001 o sus equivalentes. 92. ETB solicita se informe si el interesado tiene implementado un Sistema de Gestión de Calidad para los servicios que se presentan, el cual debe estar certificado de acuerdo con los estándares de calidad de la industria, tales como ISO9001 o sus equivalentes. 93. ETB informa que a continuación se presenta un cuadro con las etapas con las cuales ETB busca garantizar la finalización exitosa de este proyecto, por favor indicar la duración estimada para cada fase. Para ello en los siguientes numerales, ETB aclara de manera informativa el alcance esperado de cada etapa. 17 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 Id Fase Duración estimada (días hábiles) Fase Fase predecesora 0 Desarrollo plan de gerencia de proyecto 1 Verificación de información Al finalizar id.0 2 Ingeniería detallada de la solución Al finalizar id.1 3 Capacitación Al finalizar id.2 4 Entrega de los elementos componentes de la solución Iniciar igual que el id.0 5 Instalación, configuración de la solución Al finalizar id.4 6 Pruebas de la solución Al finalizar id.5 7 Migración y puesta en producción Al finalizar id.6 8 Estabilización y afinamiento de la solución. 30 Al finalizar id.7 Soporte y Garantía 365 Al finalizar id.8 Subtotal 9 ETB entrega de manera informativa el alcance esperado de cada etapa. FASE 0: GERENCIA DE PROYECTO 94. El alcance considerado por ETB para esta fase por parte del contratista es el siguiente: a) b) Realizar en conjunto con ETB el Plan de Proyecto y la Declaración de Alcance. Realizar la reunión de inicio de contrato. FASE 1: VERIFICACIÓN DE INFORMACIÓN 95. El alcance considerado por ETB para esta fase por parte del contratista es el siguiente: a) b) c) Verificar el estado de la situación actual, identificar las condiciones de conectividad y operatividad para lograr la implementación de la solución propuesta. Entregar los siguientes documentos : Plan de trabajo del proyecto con los ajustes sobre las observaciones entregadas por ETB. Matriz de Riesgos de gestión del proyecto con los ajustes sobre las observaciones entregadas por ETB. Hacer una presentación de la planeación del proyecto a las personas que ETB designe al proyecto. FASE 2: INGENIERÍA DE DETALLE DE LA SOLUCIÓN 96. El alcance considerado por ETB para esta fase por parte del contratista es el siguiente: 18 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 a) b) c) Entregar un documento con el Plan de Pruebas de la solución a instalar. Entregar un documento con el Plan Técnico de Implementación, donde se encuentre detallado el paso a paso a seguir para cumplir de forma satisfactoria con las labores de instalación, configuración y puesta en producción de clientes. Entregar los documentos de Diseño Detallado de la solución, en la etapa de Ingeniería de detalle de la solución. FASE 3: CAPACITACIÓN 97. El alcance considerado por ETB para esta fase por parte del contratista es el siguiente: Realizar una capacitación en la solución presentada, que le permita a ETB adquirir el conocimiento necesario para planear, configurar, programar, administrar, operar, soportar y generar desarrollos en la solución. 98. El contenido mínimo a incluir en la Capacitación, es el siguiente: a) b) c) d) e) f) Funcionamiento: ETB requiere adquirir el conocimiento de todas las funcionalidades que la solución presentada provee y que son implementadas en ETB. Operación y Administración: ETB requiere apropiarse del conocimiento detallado de la operación de la solución a implementar. Mantenimiento de la solución: ETB requiere adquirir el conocimiento para hacer la gestión apropiada del sistema. Esta gestión incluye el manejo de parches, afinamiento del sistema, programación de trabajos, cargue de información. Extracción de reportes de desempeño: ETB requiere adquirir el conocimiento necesario para generar y extraer reportes de desempeño, los cuales le permitan realizar labores la planeación de la capacidad. Diseño de reportes de usuarios: ETB requiere adquirir el conocimiento para diseñar reportes de administración. Parametrización: ETB requiere adquirir la habilidad para configurar o parametrizar por sí mismo la solución a implementar de acuerdo con sus propias necesidades. 99. ETB solicita al interesado incluir la cotización de la capacitación, considerando que el contratista debe proveer: a) b) c) Las aulas donde dictará los cursos. Las ayudas audiovisuales que requiera. Los materiales de estudio que deba entregar a los participantes. 19 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 d) e) Todos los elementos que se necesiten para el óptimo desarrollo del curso. Dictada en días hábiles, durante horario laboral. Capacitación para mínimo 8 personas en la cuidad de Bogotá. FASE 4: COMPONENTES DE LA SOLUCIÓN 100. El alcance considerado por ETB para esta fase por parte del contratista es el siguiente: Realizar la entrega de los elementos componentes de la solución, en el sitio acordado para la instalación de los mismos. FASE 5: INSTALACIÓN Y CONFIGURACIÓN DE LA SOLUCIÓN 101. El alcance considerado por ETB para esta fase por parte del contratista es el siguiente: Realizar la instalación física del cableado de datos y energía de los equipos que se instalarán para implementar la solución presentada. Disponer y emplear el cableado necesario para realizar la instalación física de datos de la solución. Realizar las tareas de adecuación física del cableado de los equipos y ubicación en los RACKS dispuestos. Realizar el marquillado de los equipos y el cableado suministrados. Realizar las tareas de adecuación lógica que se requiera para efectuar de forma satisfactoria la instalación, configuración y el aseguramiento (hardening) de los equipos pertenecientes a la solución. Entregar el procedimiento detallado para realizar la migración de cada uno de los componentes de la solución, que contenga lo siguiente: a. Las fases de instalación de la solución. b. La metodología para realizar la instalación de la solución. c. El cronograma detallado de instalación y aprobado por ETB para la ejecución. d. Las validaciones de éxito por fase: Indicando las pruebas y mediciones a realizar para garantizar el éxito de cada fase y la autorización para continuar con la siguiente fase. e. Recursos: Los recursos necesarios tanto técnicos como de personal que se requiera coordinar para evitar un impacto negativo en la prestación del servicio. FASE 6: PRUEBAS DE LA SOLUCIÓN 102. El alcance considerado por ETB para esta fase por parte del contratista es el siguiente: Realizar como mínimo el siguiente conjunto de pruebas: a. Pruebas Funcionales: Revisión de las funciones especificadas para 20 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 la solución a implementar. b. Pruebas de Integración: Su objetivo es asegurar la correcta integración externa de la solución con el resto de infraestructura tecnológica de ETB, en cuanto a hardware, software, telecomunicaciones, sistemas de información de ETB y en general con todos los componentes que interactúen con la solución ofrecida. c. Pruebas de Procedimientos: Su objetivo es asegurar la concordancia entre los procedimientos diseñados para la operación de la solución y las características funcionales de la misma. Se deben verificar entre otros los siguientes procedimientos: Verificación de parámetros, cambios de configuración, Verificación de servicios disponibles, entre otros previo el paso a producción de la solución. d. Pruebas de Carga y Estrés: Garantizar en forma previa a la puesta en producción, el óptimo rendimiento del sistema bajo una carga normal de transacciones y conexiones concurrentes, así como su comportamiento bajo una carga extrema, al tope de la capacidad de la solución presentada, y a su vez verificando la efectividad de la plataforma para detectar y controlar ataques de tráfico malicioso. Entregar manuales técnicos y documentación solicitados. FASE 7: MIGRACIÓN Y PUESTA EN PRODUCCIÓN DE LA SOLUCIÓN 103. El alcance considerado por ETB para esta fase por parte del contratista es el siguiente: Entregar el procedimiento que se llevará a cabo para ejecutar la puesta en producción de la solución con un mínimo de antelación de 10 días hábiles de la realización de las ventanas de mantenimiento necesarias. Desarrollar los procedimientos necesarios para migrar las plantillas actuales de servicios de análisis de vulnerabilidades de ETB al sistema presentado. Dado que las ventanas se programarán en horario no hábil y en horario de menor afectación a clientes, el contratista debe contar con todo el recurso humano y técnico necesario para asegurar el éxito del cambio propuesto. FASE 8: ESTABILIZACIÓN DE LA SOLUCIÓN 104. El alcance considerado por ETB para esta fase por parte del contratista es el siguiente: Período de estabilización de un (1) mes para el trabajo realizado dentro del marco de los servicios profesionales de implementación de la solución, con las siguientes responsabilidades: 21 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 a) Detección, diagnóstico y corrección de problemas y errores del sistema, así como de deficiencias en el rendimiento del mismo, siguiendo los tiempos de respuesta propuestos en el presente capítulo, originadas por cualquiera de las siguientes causas: Incompleta o inadecuada configuración o parametrización del sistema. Errores o deficiencias que se presenten en los programas de cualquier tipo que se hubieran desarrollado durante el proceso de Implementación de la solución. Deficiencias en la documentación entregada. Diseño inadecuado de los nuevos procesos requeridos por la solución. b) Afinación detallada sobre las políticas configuradas en la solución. c) Soporte al personal de ETB cuando se presenten inconvenientes, dudas o problemas durante la realización de cambios a la parametrización del sistema. d) Actualización a la documentación y/o procedimientos originados en cualquiera de los puntos anteriores. e) Soporte presencial en las instalaciones de ETB mediante consultores especializados cuando la gravedad del problema así lo amerite o cuando no haya podido ser resuelto por otros medios. f) Solución de problemas causados en cualquier fase de Implementación, que afecte la funcionalidad de la fase de puesta en producción anteriormente realizada. SOPORTE TÉCNICO 105. ETB solicita informar si el interesado puede prestar los servicios de soporte técnico local sobre la solución. 106. ETB solicita informar si el interesado cuenta con expertos para solucionar los problemas e inquietudes de carácter técnico sobre las plataformas objeto del alcance. 107. ETB solicita informar si dentro del cubrimiento del servicio se incluye la actualización oportuna y permanente, en medios electrónico y físico, de la documentación técnica y funcional del sistema, garantizando en todo momento contar con información actualizada. 22 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 108. ETB solicita al interesado cotizar el servicio de soporte durante un (1) año y tres (3) años a partir de la aceptación definitiva de la solución, finalizada la fase de estabilización. 109. ETB solicita informar si los niveles de atención en tiempos de respuesta a fallas se ajustan a la siguiente clasificación: a. Crítico: Identificado como falla operativa o técnica de algún componente de la solución que indica que se ha producido una condición que afecta total o severamente el servicio y se requiere una acción correctiva inmediata (la plataforma se encuentra en estado de desconexión y no está utilizable). b. Intermedio: Indica la existencia de una condición que afecta el servicio en forma parcial y que debe tomarse una medida correctiva para prevenir una degradación más grave; indica la detección de una degradación posible o inminente que puede afectar el servicio antes que se hayan sentido efectos que generen cambios en su estándar normal. c. Leve: Falla operativa o técnica de algún equipo o servicio, sin impedimento apreciable de funcionamiento o de la prestación del servicio y NO percibida por el cliente externo. 110. ETB solicita indicar los tiempos de respuesta que puede cumplir para la atención de casos durante la fase de Soporte, de acuerdo a la siguiente clasificación: a. Tiempo de respuesta y diagnostico inicial: Es el tiempo que tarda el contratista en ponerse en contacto con ETB y acceder a la plataforma (remotamente o en sitio) para levantar la información del caso y realizar un diagnóstico inicial de la falla presentada. b. Tiempo de solución temporal o mitigación: Es el tiempo que el contratista tarda en corregir la falla presentada de manera temporal y restaurar el servicio con la calidad del servicio requerida. c. Tiempo de solución definitiva: Es el tiempo máximo que el contratista tarda en corregir la falla presentada y entregar a ETB el sistema en las condiciones óptimas de servicio. 23 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 NIVEL TIEMPO DE RESPUESTA Y DIAGNOSTICO INICIAL TIEMPO DE SOLUCIÓN TEMPORAL O MITIGACION TIEMPO DE SOLUCIÓN DEFINITIVA CRÍTICO INTERMEDIO LEVE 111. ETB solicita informar si durante la duración de la fase de soporte, se puede contar con un servicio de atención a fallas que cumpla con las siguientes características: Siete (7) días a la semana. Veinticuatro (24) horas al día. 112. ETB solicita informar, si se puede adquirir el servicio del fabricante, que le permita realizar el escalamiento de los problemas o casos a este, sin tener que realizar un escalamiento inicial al contratista, con el fin de minimizar los tiempos de respuesta. 113. ETB solicita indicar los servicios y actividades adicionales cubiertas e incluidas en el servicio de Soporte Técnico presentado. GARANTÍA TÉCNICA 114. ETB solicita información que indique las condiciones cubiertas e incluidas en la garantía de calidad y correcto funcionamiento de los bienes que se adquieran (hardware y software) por un periodo de 1 año a partir del recibo definitivo de la solución. 115. ETB solicita información que indique las condiciones que se consideran excluidas del la garantía de calidad y correcto funcionamiento de los bienes que se adquieran. EQUIPO DE TRABAJO 116. ETB solicita informar si el interesado cuenta con un equipo de trabajo que cumpla con los siguientes perfiles: 24 ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 Rol Responsabilidades requeridas por ETB Coordinador de proyecto. Líder técnico de implementación Recursos expertos instalación en Recurso experto en desarrollo de pruebas Recurso experto en capacitación Recursos expertos en soporte para fase de estabilización Recursos expertos en soporte para fase de soporte Coordinar y dirigir el plan del proyecto. Coordinar el despacho a satisfacción de cada uno de los entregables del proyecto, durante la duración total del contrato, incluida la fase de soporte. Asegurar que los cronogramas planteados se lleven a cabalidad. Garantizar los recursos necesarios para el proyecto. Mantener comunicación permanente con ETB sobre todas las actividades que el proyecto requiere. Coordinar las diferentes actividades garantizando la participación de ETB. Llevar a cabo una planificación semanal del trabajo para garantizar la disponibilidad del recurso humano tanto del Contratista como de ETB en cada una de las fases del proyecto. Ser consultor de ETB para garantizar que las necesidades y requerimientos de ETB sean satisfechos a lo largo de todas las fases. Definir e integrar los diferentes componentes del diseño durante la ingeniería de detalle. Instalar y configurar todos los componentes definidos en el diseño de ingeniería de detalle dentro los tiempos especificados. Ejecutar el plan de pruebas dentro de los tiempos especificados. Ejecutar el plan de capacitación dentro de los tiempos especificados. Afinamiento. Corrección de problemas. Correcciones a la documentación. Generación de procedimientos. Dar respuesta oportuna y efectiva a todos los requerimientos de soporte del proyecto, dentro de los ANS acordados. Ejecutar los planes preventivos y correctivos necesarios para garantizar la calidad de operación de la solución, de acuerdo con los requerimientos establecidos en estos términos. CUADRO INFORMATIVO DE PRECIOS 25 Experiencia / perfil En coordinación o administración de proyectos de alcance y complejidad similar al presentado, con mínimo 2 años. Con al menos dos (2) certificaciones de experiencia en consultoría técnica en proyectos de alcance y complejidad similar al presentado. Con conocimientos certificados en la solución presentada. Con al menos dos (2) experiencias en ejecución de tareas de instalación y configuración de soluciones de Seguridad. Con al menos dos (2) experiencias en planeación y ejecución de pruebas de soluciones de Seguridad. Dos (2) años de experiencia en capacitación en tecnologías de seguridad. Certificación de los fabricantes en conocimientos sobre la solución. Experiencia en capacitación de la solución presentada. Ingeniero con conocimientos certificados en la administración de los diferentes componentes de la solución presentada. Certificación de experiencia en soporte de la solución presentada. ETB Requerimientos de Información – Vulnerability Scanner Abril de 2014 117. ETB espera que el interesado presente los precios asociados a la adquisición, implementación y puesta en producción de la solución de seguridad descrita en el presente documento bajo las condiciones expuestas. ÍTEM DESCRIPCIÓN VALOR (COL$) 1 BIENES PRODUCCIÓN EXTRANJERA 0,00 2 LICENCIAMIENTO USO DE SOFTWARE 0,00 3 SERVICIOS DE INSTALACIÓN, CONFIGURACIÓN, PRUEBAS, PUESTA EN FUNCIONAMIENTO Y ESTABILIZACIÓN DE LA SOLUCIÓN. 0,00 4 SERVICIOS DE CAPACITACIÓN 0,00 5 SERVICIOS DE SOPORTE 0,00 TOTAL 0,00 IVA 0,00 VALOR TOTAL (BIENES Y SERVICIOS) Si se requiere incluir un nuevo ítem, favor incluirlo. 0,00 26