SOLICITUD DE OFERTAS No. 08 DE 2007 CONSULTORIA PARA LA IMPLANTACIÓN DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SGSI FASE I ADENDO 02

Transcripción

1 VICERRECTORIA ADMINISTRATIVA DIVISIÓN DE INFRAESTRUCTURA Y CONTRATACIÓN SECCIÓN COMPRAS Y ADMINISTRACIÓN DE BIENES SOLICITUD DE OFERTAS No. 08 DE 2007 CONSULTORIA PARA LA IMPLANTACIÓN DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SGSI FASE I ADENDO 02 Mediante el presente adendo se realizan las siguientes aclaraciones, modificaciones y adiciones al Pliego de Condiciones de la Solicitud de Ofertas, con base en consultas de proponentes: 1. MODIFICACIONES Y ACLARACIONES Requerimiento: Se solicita que se indique la puntuación tal como se indica en el cuarto anterior [SIC. factor Recurso Humano - experto en seguridad- de la tabla de calificación ] para quien tenga la certificación de Entrenamiento y formación en Fundamentos e Implementación en Sistemas de Gestión de Seguridad de la Información en ISO 17799:, BS :2002 ó ISO 27001:2005 expedido por un organismo nacional como ICONTEC u otro organismo intermacional como BSI o similar, teniendo en cuenta que esta certificación sería la considerada más importante para el perfil de consultor experto en seguridad de la información. Respuesta: Se modifica el numeral 2.2 del Capítulo IV - Recurso Humano - Certificaciones adicionales que el consultor Experto en Sistemas de Gestión de Seguridad de la Información puede aportar, eliminando el siguiente párrafo Entrenamiento y formación en Fundamentos e Implementación en Sistemas de Gestión de Seguridad de la Información en ISO 17799:, BS :2002 ó ISO 27001:2005 expedido por un organismo nacional como ICONTEC u otro organismo internacional como BSI o similares. Las Certificaciones adicionales que el consultor Experto en Sistemas de Gestión de Seguridad de la Información puede aportar quedarán de la siguiente manera: Para efecto de obtener puntaje adicional, se puede anexar los correspondientes documentos de soporte como diplomas o certificaciones. ABCP CISM CISA CISSP Se modifica el numeral 1.3 Capitulo V - Factor Recurso Humano - consultor experto en seguridad de la información, eliminando el siguiente párrafo Entrenamiento y formación en Fundamentos e Implementación en Sistemas de Gestión de Seguridad de la Información en ISO 17799:, BS :2002 ó ISO 27001:2005 expedido por un organismo nacional como ICONTEC u otro organismo internacional como BSI o similar. El cuadro de calificación de consultor experto en seguridad de la información quedará de la siguiente manera:

2 Los proponentes que incluyan en su propuesta el consultor experto en seguridad de la información que tenga vigentes las siguientes certificaciones adicionales a las mínimas exigidas así: ABCP (10 puntos). CISM (10 Puntos) CISA (10 puntos) CISSP (20 puntos) 50 puntos 2. ACLARACIONES 1) Requerimiento: Solicitamos que en el caso de consorcio o Unión Temporal sea válida la certificación ISO9001:2000 para solo uno de los miembros del consorcio o Unión Temporal Respuesta: En el caso de que los oferentes se presenten bajo la figura de Consorcio o Unión Temporal, bastará con que una de las firmas miembro del Consorcio o Unión Temporal cuente con el certificado ISO 9001:2000 (o norma equivalente) exigido en el numeral 6.10 del Capítulo II. 2) Requerimiento: Solicitamos que para el proceso de evaluación sea posible presentar experiencias de empresas subcontratistas. Respuesta: No se acepta la solicitud. La experiencia exigida en el numeral 6.9 del Capítulo II deberá ser acreditada para la firma oferente. En el caso de que los oferentes se presenten bajo la figura de Consorcio o Unión Temporal, la experiencia será válida si es acreditada para el Consorcio o Unión Temporal que se presenta o por uno o varios de las firmas miembro del mismo(a). 3) Requerimiento: Solicitamos que sean válidas las certificaciones de experiencia cuyo objeto incluya soluciones para administración de riesgos o administración de vulnerabilidades, teniendo en cuenta que este ripo de soluciones permiten estructurar un SGSI. Respuesta: En el Anexo 3 se especifica que para efectos de la experiencia exigida son válidas actividades de consultoría: Definición de Políticas de Seguridad; Análisis de Riesgos de seguridad; Definición de Arquitectura de Seguridad; Diagnóstico o pruebas de vulnerabilidad. 4) Requerimiento. Se solicita aclarar si cuando se especifica la definición de activo de información, está centrado a los activos de información que soportan la plataforma informática (data center) de la universidad que a su vez soporta los procesos de la misma y no por ejemplo que implique un activo de información que compete a un laboratorio de bioquímica, biología, física, salud entre otros. Respuesta: Se aclara que la definición de los activos de información está circunscrita a la Oficina de Informática y Telecomunicaciones y sus recursos infobrmáticos. No se incluyen los activos de la academia (como laboratorios y salas de cómputo) ni los activos de otras dependencias de la Universidad del Valle. 5) Requerimiento: En el item 2.2 RECURSO HUMANO Consultor Senior en Seguridad Informática :... Se solicita que sea aceptada como obligatoria cualquiera de las certificaciones que se relacionan a continuación: CISSP, CISM, ABCP, CISM, CISA o Lead Auditor BS ó ISO 27001:2005 como la mínima exigida para este perfil y se otorgue puntuación de acuerdo al item 1.3 del capítulo V, si se tiene alguna otra de estas mismas relacionada. Respuesta: No se acepta la solicitud.

3 6) Requerimiento: En el item 3.2 EVALUACIÓN Y FORMULACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA NFORMACIÓN, habla de formulación de plan de tratamiento de riesgos... Se solicita ratificar el alcance indicado en la tabla sobre que la formulación del plan de tratamiento de riesgos está referido a entregar cuales serán los controles recomendados según su prioridad para una posterior implementación en una segunda fase a corto, mediano y largo plazo.. Respuesta: Si, ese es el alcance. 7) Requerimiento:... Qué impuestos nos aplican?... Respuesta: los impuestos están aclarados en el numeral 6 del capítulo VI del Pliego de condiciones. 8) Requerimiento: En el punto 3.1 se menciona realizar un inventario de los activos de información que apoyan los diferentes procesos de negocio de la oficina de informática Por favor indicar la cantidad de procesos de negocios que estarán comprendidos. Respuesta: La Oficina de Informática no ha realizado ningún proceso de caracterización formal y por lo tanto no se tiene especificado el número exacto de procesos de negocios. Sin embargo, se aclara que la cantidad de áreas está circunscrita a la Oficina de Informática y Telecomunicaciones, cuyas funciones son las siguientes: Desarrollo y administración de sistemas de información institucionales Administración de la Red de datos Administración de servidores y servicios de red Administración de seguridad Administración de Bases de Datos Soporte técnico a usuarios Administración de telefonía interna Gestión de proyectos de telecomunicaciones Tareas administrativas Capacitación a usuarios externos Administración de 5 salas de cómputo 9) Requerimiento:...Se puede acotar la cantidad de activos de información?. La Universidad ha definido una cantidad máxima de activos de información? Respuesta: La cantidad de activos de información de la OITEL está estimada entre 150 y ) Requerimiento: En el punto 3.4, se requiere del desarrollo de procedimientos o solo el desarrollo de políticas de seguridad?. Respuesta: Se requiere el desarrollo de políticas, guías de buen uso de recursos y servicios informáticos (p. ej: guía de uso del correo electrónico), e indicar que procedimientos de seguridad deben ser desarrollados por los administradores de cada plataforma. No se requiere el desarrollo de procedimientos. 11) Requerimiento: Para poder estimar tiempos y costos del Test de instrusión, se requiere conocer la cantidad de dispositivos que serán evaluados, tanto interna como externamente, aunque sean pruebas de tipo black box (sin conocimiento de la configuración).

4 Respuesta: Equipos activos: 7 Switches EMI 1 Switches T 22 Switches Switches Switches Enrutador 7206VXR 110 Switches nivel de usuario (diferentes marcas) 96 HUBS Equipos de seguridad: 6 firewalls y un Manejador de ancho de banda Servidores físicos 39 (187 Virtuales) Bases de Datos 32 Aplicaciones 155 Sistema Operativo: Solamente FreeBSD 12) Requerimiento: Indicar la cantidad de personas que deben tomar la capacitación definida en el punto 3.6. Respuesta: El curso consta de 50 horas, de las cuales 10 serán para el personal directivo (15 personas) y las restantes 40 serán para el grupo de trabajo del proyecto (20 personas) 13) Requerimiento: Página 18. El ítem de Gestión de activos se refiere a la cláusula 7 de la norma ISO/IEC ? Respuesta: Si. 14) Requerimiento: Página 18. Cuál es la participación de la Universidad en el cumplimiento de los lineamientos de la norma en cuanto a Gestión de Activos? Respuesta: La participación de la Universidad se circunscribe a la entrega de la información necesaria para que el proponente defina el inventario y clasificación de activos. 15) Requerimiento: Página 18. La frase 'inventario de los activos de información que apoyan los diferentes procesos de negocio de la oficina de Informática de la Universidad del Valle' restringe el alcance a los procesos de la oficina de Informática. Podría interpretarse que otros procesos, posiblemente de igual o mayor importancia para el negocio que no sean de la oficina de Informática estarían fuera del alcance, es esto correcto? Respuesta: Sí 16) Requerimiento: Página 18. En la frase 'El proponente deberá realizar un inventario de los activos de información que apoyan los diferentes procesos de negocio de la Oficina de Informática de la Universidad del Valle', cuáles son estos procesos de negocio de la oficina de informática de la Universidad del Valle? Respuesta: Los procesos de negocio de la oficina de informática de la Universidad del Valle se relacionan a continuación:

5 - Desarrollo y administración de sistemas de información institucionales - Administración de la Red de datos - Administración de servidores y servicios de red - Administración de seguridad - Administración de Bases de Datos - Soporte técnico a usuarios - Administración de telefonía interna - Gestión de proyectos de telecomunicaciones - Tareas administrativas - Capacitación a usuarios externos - Administración de 5 salas de cómputo 17) Requerimiento: Página 19. De qué fuente se tomaron los 'tipos' de activos de información? Puede el consultor sugerir otros? Si la fuente es la norma ISO/IEC 17799:2005 en su cláusula 7, porqué se dejan por fuera del alcance activos gente y los activos intangibles? Respuesta: La fuente fue la norma ISO/IEC 17799:2005. A criterio de la Universidad se tomaron estos activos debido al alcance del proyecto que está centrado en las actividades de TI necesarias para su operación normal. Sin embargo el consultor puede sugerir otros activos, con la debida justificación. 18) Requerimiento: Página 20 Cuál es la participación de la Universidad, particularmente de los dueños de los activos, en la clasificación de los activos?. Respuesta : Solo ofrecer la información necesaria para que el proponente realice sus actividades de clasificación. 19) Requerimiento: Página 20. Si se tiene definido como un entregable mínimo el Inventario de activos de información de la Universidad del Valle, cómo se puede llegar a este entregable si el alcance requerido es el 'inventario de los activos de información que apoyan los diferentes procesos de negocio de la Oficina de informática'? Respuesta: Se aclara que es un error tipográfico. El entregable mínimo es el inventario de los activos de información que apoyan los diferentes procesos de negocio de la Oficina de informática 20) Requerimiento: Página 21. Se dice que 'Mediante este proceso el PROPONENTE deberá identificar los controles necesarios para minimizar o transferir los riesgos identificados y priorizados. Controles a nivel de tecnología o procedimientos'. Las metodologías de análisis de riesgos contemplan diferentes alternativas de tratamiento de riesgos, no sólo transferir el riesgo (lo cual no es un control) o controlarlo. Se puede interpretar que no se requiere contemplar alternativas de tratamiento diferentes a transferir el riesgo o reducirlo a través de controles?. Respuesta: El proponente tiene que definir la mejor opción para tratar el riesgo, lo cual puede incluir estrategias como: reducir la probabilidad, reducir el impacto, transferir en todo o parte, o en un caso extremo la sugerencia de evitarlo, indicando los controles a nivel procedimental, tecnológico o de talento humano requeridos para el tratamiento indicado. 21) Requerimiento: Página 21. Cómo va a determinar la Universidad si el análisis de amenazas fue cuidadoso e involucró a todos los actores, cuáles son los criterios? Cuál es el papel de la Universidad en esta actividad?.

6 Respuesta: La Universidad realizará una revisión con cada uno de los dueños de los activos definidos para verificar la aplicabilidad o no de las posibles vulnerabilidades identificadas. Cada administrador de recurso hará una validación. 22) Requerimiento: Página 21. Las pruebas de penetración cubren sólo el aspecto tecnológico de la seguridad por lo cual no podrían dar cubrimiento a un completo análisis de vulnerabilidades. podría el consultor sugerir un enfoque más integral de evaluación de vulnerabilidades acorde con lo requerido por la norma ISO27001:2005?. Respuesta: Sí 23) Requerimiento: Página 22. Los requerimientos del numeral 3.3 son de diseño o incluyen la implementación de los respectivos diseños. La palabra implementación aparece en algunos de ellos. Respuesta: Se aclara que en el ítem 3.3 sólo se refiere a Definición de Arquitectura. En esta fase no se incluye nada sobre implementación. 24) Requerimiento: Página 22. Entenderíamos que los requerimientos del numeral 3.3 serían resultado del trabajo de análisis de riesgos, sin embargo la Universidad ya exige que estos controles se implementen sin mediar un análisis de riesgos. Existe un análisis de riesgos que justifique la implementación de estos controles y al que el consultor pueda tener acceso?. Respuesta: Se aclara que en el punto 1 del Capítulo I, se especifica que La fase I se compone de las siguientes actividades ( ) Realizar el análisis de riesgos de seguridad de la información a los activos de información de la Universidad del Valle Este análisis de riesgos es el que debe utilizarse. Por un error tipográfico el texto correcto debería decir: Realizar el análisis de riesgos de seguridad de la información a los activos de información de la Oficina de Informática y telecomunicaciones de la Universidad del Valle 25) Requerimieto: Página 22. Los controles requeridos en el numeral 3.3 pueden ser cubiertos de diversas maneras, con mayor o menor inversión y esfuerzo de parte del consultor. Sugerimos que la Universidad especifique en mayor detalle cada requerimiento para asegurar que recibirá lo que espera. Respuesta: Se aclara que la respuesta a la pregunta está especificada en el mismo numeral así: Se busca con este trabajo definir una proyección óptima del esquema de seguridad de la información que posee actualmente la Universidad del Valle, para que de acuerdo a las políticas de seguridad definidas se especifiquen los niveles de seguridad que deben ser implementados a futuro trabajando diferentes fases de implementación de acuerdo a los requerimientos de seguridad identificados. 26) Requerimiento: Página 22. En el requerimiento de Definición del esquema de Autenticación, Autorización y Auditoria, el establecer la certeza de la persona que usa un servicio se refiere a la solidez de la evidencia en caso de tener que demostrar que una persona hizo una actividad específica en un sistema dado?. En este caso sólo la certificación digital brindaría el mecanismo requerido, siempre que se implemente en los términos de la ley de comercio electrónico y normas asociadas. Respuesta: Sí. Actualmente se tiene un esquema de certificación digital, el cual entra dentro de los activos objeto de la consultoría.

7 27) Requerimiento: Página 24. Numeral 3.4 La declaración de aplicabilidad debería justificar igualmente los controles que no aplican, incluso esto es de mayor relevancia que justificar los que aplican. Sugerimos tener esto en cuenta. Respuesta: El Contratista deberá entregar una declaración de aplicabilidad en donde justifique los controles que aplican junto con los que no aplican. 28) Requerimiento: Página 23. La invitación hace mención a unos prepliegos. Cuales son estos prepliegos?. Respuesta: Se aclara que es un error tipográfico. Se refiere a los pliegos de la Convocatoria. 29) Requerimiento: Es posible obtener un listado de las aplicaciones con sus respectivos lenguajes de programación, base de datos y si son compradas o desarrolladas? Respuesta: Bases de Datos: 32 Postgres Aplicaciones 155 Desarrolladas localmente en PHP y Java 30) Requerimiento: Qué papel juegan la sedes de la Universidad en este proyecto?. Respuesta: Ninguno. El proyecto se circunscribe a la OITEL 31) Requerimiento: No vemos congruente el tiempo de ejecución (no podrá ser superior a cuatro (4) meses) con el número de actividades a realizar y por ende con el presupuesto oficial. Respuesta: No se modifica el presupuesto ni el plazo de ejecución. 32) Requerimiento: Si la fase I del proyecto considera dentro de sus 5 actividades, la actividad de 'Obtener el inventario y clasificación de los activos de información de la Universidad del Valle', esta se limitará a un alcance definido de procesos a los cuales le identificarán los activos o es para todos los procesos de la organización?. Respuesta: se aclara que es un error tipográfico. Debe ser Obtener el inventario y clasificación de los activos de información de la Oficina de Informática y Telecomunicaciones de la Universidad del Valle Cordialmente, GUSTAVO ADOLFO BAHAMÓN MENA Jefe Sección Compras y Administración de Bienes Julio 6 de 2007