PROCURADURÍA GENERAL DE LA NACIÓN

Transcripción

1 1 I < PROCURADURÍA GENERAL DE LA NACIÓN ESTUDIOS Y DOCUMENTOS PREVIOS OBJETO: ESTUDIOS PREVIOS PARA SELECCIONAR AL CONTRATISTA QUE ENTREGUE A LA PROCURADURÍA GENERAL DE LA NACIÓN, A TÍTULO DE COMPRAVENTA: RENOVACIÓN DE LAS LICENCIAS Y GARANTÍA DE FÁBRICA A LA SOLUCIÓN DE FIREWALL, RENOVACIÓN DEL MANTENIMIENTO PREMIUM DE FÁBRICA AL FIREWALL DE APLICACIONES WEB, ADQUISICIÓN DE UN SISTEMA DE PREVENCIÓN Y DETECCIÓN DE INTRUSOS CON ANÁLISIS DE MALWARE AVANZADO Y APT, Y LOS SERVICIOS CONEXOS PARA CADA SOLUCIÓN. JULIO DE 2015

2 GENERAL DE LA KACION TABLA DE CONTENIDO 1. DEFINICIONES 4 2. DESCRIPCIÓN DE LA NECESIDAD QUE SE PRETENDE SATISFACER RELACIÓN ESTRATÉGICA DEL OBJETO CONTRACTUAL CON LA PLANEACIÓN INSTITUCIONAL FICHA TIC H 3. DESCRIPCIÓN DEL OBJETO A CONTRATAR, CON SUS ESPECIFICACIONES Y LA IDENTIFICACIÓN DEL CONTRATO A CELEBRAR Objeto jl 3.2 ALCANCE DEL OBJETO: 1 j 3.3 IDENTIFICACIÓN DEL CONTRATO A CELEBRAR CLASIFICACIÓN UNSPSC: ESPECIFICACIONES TÉCNICAS MÍNIMAS MODALIDAD DE SELECCIÓN DEL CONTRATISTA Y SU JUSTIFICACIÓN INCLUYENDO FUNDAMENTOS JURÍDICOS VALOR ESTIMADO DEL CONTRATO Y LA JUSTIFICACIÓN DEL MISMO PRESUPUESTO ESTIMADO CRITERIOS PARA SELECCIONAR LA OFERTA MÁS FAVORABLE CRITERIO DE EVALUACIÓN REQUISITOS DE VERIFICACIÓN CAPACIDAD JURÍDICA CAPACIDAD FINANCIERA ZZZZZZZ"'Z'" Capacidad Organizacional CONDICIONES DE EXPERIENCIA Capacidad Jurídica Experiencia Capacidad Organizacional Capacidad Financiera Consularización Apostille FACTORES DE DESEMPATE 60 2

3 GENERAL DE LA NACIÓN 10. FORMA DE ADJUDICACIÓN ANÁLISIS DE RIESGO Y FORMA DE MITIGARLO GARANTÍAS QUE LA ENTIDAD CONTEMPLA EXIGIR EN EL PROCESO DE CONTRATACIÓN INDICACIÓN SI EL PROCESO DE CONTRATACIÓN SE ENCUENTRA COBIJADO POR ACUERDO COMERCIAL OTROS ASPECTOS PLAZO FORMA DE PAGO FIRMA DEL CONTRATO EFECTIVIDAD DE LA GARANTÍA DE SERIEDAD ADJUDICACIÓN GASTOS CLÁUSULA DE INDEMNIDAD CLÁUSULA DE SUBCONTRATACIÓN SUPERVISIÓN Y CONTROL DE LA EJECUCIÓN DEL CONTRATO 67 ANEXO N 1 ESPECIFICACIONES TÉCNICAS MÍNIMAS 68 ANEXO N 2 EXPERIENCIA RELACIONADA 76 ANEXO NO. 3 FORMATO DE PROPUESTA ECONÓMICA 77 ANEXO NO. 4 LISTADO DE PROFESIONES 79 ANEXO NO. 5 CERTIFICADO DE ACREDITACIÓN DE LA CAPACIDAD FINANCIERA Y CAPACIDAD ORGANIZACIONAL A DICIEMBRE 31 DE

4 ESTUDIOS PREVIOS PARA SELECCIONAR AL CONTRATISTA QUE ENTREGUE A LA PROCURADURÍA GENERAL DE LA NACIÓN, A TÍTULO DE COMPRAVENTA: RENOVACIÓN DE LAS LICENCIAS Y GARANTÍA DE FÁBRICA A LA SOLUCIÓN DE FIREWALL, RENOVACIÓN DEL MANTENIMIENTO PREMIUM DE FÁBRICA AL FIREWALL DE APLICACIONES WEB, ADQUISICIÓN DE UN SISTEMA DE PREVENCIÓN Y DETECCIÓN DE INTRUSOS CON ANÁLISIS DE MALWARE AVANZADO Y APT, Y LOS SERVICIOS CONEXOS PARA CADA SOLUCIÓN. En desarrollo de lo señalado en la Ley 80 de 1993, artículo 25, numerales 7 y 12, modificado por el artículo 87 de la Ley 1474 de 2011, Decreto 1082 de 2015, artículo , los siguientes son los estudios y documentos previos definitivos que sirven de soporte para la elaboración del proyecto de pliego, el pliego de condiciones y el contrato del proceso que tiene por objeto SELECCIONAR AL CONTRATISTA QUE ENTREGUE A LA PROCURADURÍA GENERAL DE LA NACIÓN, A TÍTULO DE COMPRAVENTA: RENOVACIÓN DE LAS LICENCIAS Y GARANTÍA DE FÁBRICA A LA SOLUCIÓN DE FIREWALL, RENOVACIÓN DEL MANTENIMIENTO PREMIUM DE FÁBRICA AL FIREWALL DE APLICACIONES WEB, ADQUISICIÓN DE UN SISTEMA DE PREVENCIÓN Y DETECCIÓN DE INTRUSOS CON ANÁLISIS DE MALWARE AVANZADO Y APT, Y LOS SERVICIOS CONEXOS PARA CADA SOLUCIÓN. 1. DEFINICIONES Las expresiones utilizadas en el presente documento deben ser entendidas con el significado que a continuación se indica. Los términos definidos son utilizados en singular y en plural de acuerdo como lo requiera el contexto en el cual son utilizados. Otros términos utilizados con mayúscula inicial deben ser entendidos de acuerdo con la definición contenida en el Decreto 1082 de Los términos no definidos a continuación deben entenderse de acuerdo con su significado natural y obvio. Adenda Adición Adjudicación Clausula. Contratista Contrato Definiciones1 LEGALES Es el documento mediante el cual se modifica el pliego de condiciones. Para el caso de la licitación pública en la actualidad la ley establece que no podrán expedirse dentro de los tres (3) días anteriores a la fecha en la que se tiene previsto el cierre del proceso de selección, ni siquiera para extender el término del mismo. La publicación de estas adendas sólo se podrá realizar en días hábiles y horarios laborales. Para las demás modalidades de selección en las que se elabore pliego de condiciones no se podrán expedir adendas en la fecha de cierre de la convocatoria, salvo para modificar el cronograma y ampliar el plazo de recepción de ofertas. Minuta que modifica el contrato, aumentando su valor. Decisión final de la Entidad contenida en un acto administrativo (resolución o acta de adjudicación) en el que se indica quien es el adjudicatario del proceso de selección. Estipulación plasmada dentro de una minuta de un contrato que hace referencia a las prestaciones u obligaciones a cargo de las partes para dar cumdlimiento al obieto del neaocio celebrado Es la persona natural o jurídica, nacional o extranjera, en forma individual o conjunta, que suscribe un contrato estatal. Acuerdo de voluntades creador o generador de obligaciones para las partes. Cuando una de las partes es una persona de derecho público, estaremos frente a un contrato estatal; si las partes son todas personas jurídicas de derecho público tendremos un contrato ínter administrativo. 1 Las definiciones han sido tomadas por la Oficina de Sistemas de la entidad en las páginas de los fabricantes, de otros procesos de contratación y de los diferentes buscadores en internet.

5 GENERAL DE LA NACIÓN Estudios Previos. Oferta PGN Pliego de condiciones o Invitación Pública. Proponente Actualizaciones Aplicación APT Appliance Archivo Configuración Firewall Firewall de Aplicaciones web (WAF) Firmware HA (high availability) Hardware Identificación de Tráfico Intruso Implementación Definiciones1 Son todos los estudios, análisis y trámites, debidamente documentados, que sirven de soporte para la elaboración del proyecto de pliego de condiciones, pliegos definitivos y del contrato, de manera que los proponentes o el eventual contratista respectivamente, puedan valorar adecuadamente el alcance de lo requerido por la entidad Es la propuesta presentada a la Procuraduría General de la Nación por los interesados en ser el contratista del Proceso de Contratación objeto del presente Proceso. Procuraduría General de la Nación. Es el acto administrativo que contiene los requisitos objetivos de participación en un proceso de contratación cuando implica convocatoria pública, en el que se definen, entre otros aspectos, las reglas de verificación de la capacidad de los oferentes y de evaluación de las ofertas, las causales de rechazo de los ofrecimientos, el cronograma del proceso, los mecanismos de comunicación con la administración, las condiciones del contrato a celebrar, etc. Es toda persona natural o jurídica, nacional o extranjera, en forma individual o conjunta (unión temporal, consorcio y promesa de sociedad) que aspira celebrar contratos con la PGN y presenta para ello, de manera formal, una oferta. TÉCNICAS Son adiciones al software que pueden evitar o corregir problemas, aumentar la seguridad de un sistema, o bien, mejorar el rendimiento de éste. Se asocia con una nueva versión de un software. Programa que provee funciones requeridas por un Servicio TI. Cada Aplicación podría ser parte de más de un Servicio TI. Una Aplicación se puede ejecutar en uno o más servidores o clientes. Amenaza persistente avanzada. Hardware o dispositivo de propósito específico. Un archivo o fichero informático es un conjunto de bits que son almacenados en un dispositivo. Un archivo es identificado por un nombre y la descripción de la carpeta o directorio que lo contiene. A los archivos informáticos se les llama así Es la descripción de los parámetros y ajustes realizados en uno o más Servicios TI. Solución compuesta por hardware y software que verifica el flujo de información, desde o hacia internet, o a una red, y bloquea o permite el acceso de la información hacia los usuarios, dependiendo de las políticas configuradas en el Firewall. Solución que complementa los firewall tradicionales, apoyando la protección a los sistemas de información que existen bajo el entorno web. Bloque de instrucciones de programa para propósitos específicos, que busca actualizar o remediar algún tipo de inconveniente a nivel de hardware o de software. En español Alta disponibilidad. Configuración de hardware que permite en caso de fallo en uno de los equipos, iniciar automáticamente la totalidad de los servicios de la solución en el otro dispositivo. El término hardware se refiere a todas las partes tangibles de un sistema informático; sus componentes son: eléctricos, electrónicos, electromecánicos y mecánicos2. Etapa en la que la solución estará escuchando el tráfico que circula por la red de la Entidad, para identificar el tráfico normal y el trafico anormal o malicioso, evitando falsos positivos. Persona o aplicación que genera una petición para el ingreso a una red, sistema de información, base de datos, equipos o servidores, físicos o en entorno virtual, sin contar con autorización o validación para tal fin. Etapa en la que la solución será dispuesta con reglas y parámetros ki/hardware

6 GENERAL DE LA KACION Infraestructura Tecnológica IPS/IDS Log Mantenimiento Malware Seguridad Perimetral Servicios Conexos: Sistema de Información Sistema Operativo Software Soporte Técnico Definiciones1 predefinidos que permita el aseguramiento de los segmentos de red de la Entidad y su puesta en producción. Es el conjunto de hardware y software sobre el que se soportan los diferentes servicios informáticos que la Procuraduría necesita tener en operación y disponibilidad como apoyo a su gestión misional y de apoyo. El conjunto de hardware consta de elementos tan diversos como los aires acondicionados, estabilizadores de corriente de las salas de máquinas, los sensores, las cámaras, de servidores de aplicaciones, bases de datos, los elementos de red, routers o cortafuegos, computadores personales, impresoras, los teléfonos, etc. El conjunto de software va desde los sistemas operativos (conjunto de programas de computación destinados a desempeñar una serie de funciones básicas esenciales para la gestión del equipo) hasta el software de sistemas (aplicaciones de ámbito general necesarias para que funcionen las aplicaciones informáticas concretas de los servicios; ejemplo, bases de datos, servidores de aplicaciones o herramientas de ofimática). Sistema de prevención y detección de intrusos, por sus siglas en ingles IPS/IDS. Conjunto de hardware y software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques, intrusiones y abusos a nivel de red, complementando las soluciones de firewall al tomar decisiones basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Es un registro de datos que permite establecer quién, qué, cuándo, dónde y por qué, sucede un evento en un dispositivo puntual. Conjunto de actividades de inspección, ajuste y reparación que buscan mantener en condiciones óptimas de operación un elemento de configuración, evitando fallas futuras (mantenimiento preventivo) o para reparar fallas que hayan ocurrido (mantenimiento correctivo) Del inglés malicius software, también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario La seguridad perimetral corresponde a la integración de soluciones que permiten la protección del sistema informático de la entidad de atacantes externos o de intrusiones, que comprometan tanto la infraestructura tecnológica como la información alojada en la misma Actividades complementarias al objeto del contrato que deben estar ' ligadas a este para lograr su cabal cumplimiento. Es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su uso posterior, generados para cubrir una necesidad u objetivo. Dichos elementos formarán parte de alguna de las siguientes categorías: Personas Datos Actividades o técnicas de trabajo Recursos materiales en general (generalmente recursos informáticos y de comunicación, aunque no necesariamente). SO, (frecuentemente OS, del inglés Operating System) es un programa o conjunto de programas que en un sistema informático gestiona los recursos de hardware y provee servicios a los programas de aplicación, ejecutándose en modo privilegiado respecto de los restantes y anteriores^ próximos y viceversa. Es el equipamiento lógico o soporte lógico de un sistema informático, que comprende el conjunto de los componentes lógicos necesarios que hacen posible la realización de tareas específicas, en contraposición a los componentes físicos que son llamados hardware. Constituye el desarrollo de actividades que proporcionan asistencia técnica tanto al hardware como al software con el fin de mantenerlos operativos y en correcto funcionamiento.

7 GENERAL DE LA NACIÓN 2. DESCRIPCIÓN DE LA NECESIDAD QUE SE PRETENDE SATISFACER. El Decreto Ley 262 de 2000 "Por el cual se modifican la estructura y la organización de la Procuraduría General de la Nación y del Instituto de Estudios del Ministerio Público; el régimen de competencias interno de la Procuraduría General; se dictan normas para su funcionamiento; se modifica el régimen de carrera de la Procuraduría General de la Nación, el de inhabilidades e incompatibilidades de sus servidores y se regulan las diversas situaciones administrativas a las que se encuentren sujetos" en su artículo 16 establece entre algunas de las funciones de la Oficina de Sistemas la siguiente: " Diseñar, mantener y aplicar las políticas de seguridad, integridad y acceso a la información sistematizada de la Procuraduría General de la Nación"; en desarrollo de esta función, la entidad ha adquirido solución de seguridad que permita garantizar la seguridad y protección de su plataforma tecnológica. Una solución de seguridad está compuesta por hardware, software y configuración de políticas que restrinjan desde la apertura de un archivo contaminado, hasta el acceso indebido a la plataforma de la entidad; este tipo de sistemas pueden estar constituidos por elementos distintos que se integran para cumplir con un objetivo común. A fin de entender la solución de seguridad informática con que cuenta la entidad, es necesario considerar el origen del ataque, éstos pueden provenir desde fuera de la plataforma tecnológica de la entidad o de manera interna; por tanto, se hace necesario contar con un sistema de seguridad perimetral (ataques externos) y de una solución interna de antivirus que prevenga y evite cualquier tipo de contagio en la red proveniente del uso de memorias externas, dispositivos móviles o la navegación por páginas con código malicioso. La protección de los sistemas informáticos basados en el aseguramiento de las peticiones provenientes desde afuera hacia los sitios web, aplicaciones web y servicios web, se denominan seguridad perimetral. Consiste en conformar una serie de acciones comprendidas por hardware y software que se encargan de inspeccionar y analizar cada paquete de tráfico recibido, que posteriormente se acepta o rechaza según el riesgo de seguridad para la red. La seguridad perimetral se impulsó con la aparición de la Web 2.0 y con ella el intercambio de información a través de redes sociales, el crecimiento de los negocios online y el ofrecimiento de servicios a través de la red, lo que genera intentos por vulnerar la seguridad de los servicios informáticos a fin de lograr beneficios económicos, desprestigiar una corporación o simplemente obtener reconocimiento público.3 En el informe anual realizado por Digiware4, primer integrador de seguridad informática de Latinoamérica, se reveló que Colombia es el país de habla hispana que genera más ataques informáticos en Latinoamérica, luego siguen Argentina, Perú, México y Chile; el mencionado informe muestra que los sectores más atacados en términos generales son el Gobierno, los bancos y las empresas de comunicaciones. El director de alianzas de Digiware, Andrés Galindo, explica además que hay tres factores principales para que Colombia concentre una alta cifra de generación de ataques "al ser colombianos tendemos a tener una gran capacidad de creatividad, el segundo tema tiene que ver con capacidades técnicas que tiene el personal para desarrollar ataques y el uso de inglés". Como resultado de la evolución en los ataques informáticos, la industria está prestando mayor atención a la seguridad de aplicaciones web, así como a la seguridad de las redes computacionales y sistemas operativos; por tanto, no solo se requiere la adquisición de herramientas de seguridad sino la permanente actualización de las mismas5. 3 Periódico el Espectador, 20 de octubre de 2014, por: redacción tecnología ia.org/w ki/sequridad_de_aplicaciones_web

8 GENUAL DE LA NACIÓN Según el MINTIC6 "La sofisticación del uso y estrategia de Tecnología de Información conlleva la necesidad y obligación de mejorar las herramientas de seguridad. En todo el mundo los ataques cibernéticos se han incrementado con métodos innovadores. En Colombia, las instituciones de seguridad se están vinculando a la Estrategia TI para aumentar la capacidad del Estado de enfrentar las amenazas informáticas, pues en el momento presenta grandes debilidades, pese a que existen iniciativas gubernamentales, privadas y de la sociedad civil que buscan contrarrestar sus efectos, no hay una coordinación interinstitucional apropiada. En 2011 en Colombia hubo más de 550 ataques exitosos a entidades del Estado, para 2013 los ataques se disminuyeron a +130." La Procuraduría General de la Nación, con el propósito de asegurar la utilización adecuada de la tecnología y a fin de disminuir importantes riesgos para la confiabilidad, integridad y disponibilidad de la información institucional dentro de sus funciones constitucionales y legales, así como el aseguramiento de la prestación de sus servicios en línea y de las comunicaciones expuestas a la ciudadanía, necesita de herramientas que blinden la plataforma tecnológica y por ende todos los datos que a través de la misma circulan. Éstas herramientas son administradas por la Oficina de Sistemas, con el objeto de preservar la seguridad informática interna y perimetral, basada en el control del tráfico de datos de las redes que interactúan en la infraestructura de la Entidad, regulando así el acceso a los servidores de datos, gestionados por los funcionarios y la ciudadanía en general. La Entidad, como se indicará más adelante, ha adquirido soluciones de seguridad informática perimetral, las cuales se componen de hardware (consola y appliance) y software (aplicaciones) que protegen los servicios web y la plataforma tecnológica de ataques informáticos externos, entre los cuales se encuentran: Firewall, es una solución que permite controlar el tráfico entrante y saliente de una red, basado en criterios de seguridad específicos configurados en la solución que otorga el acceso o lo deniega según sea el caso. Su enfoque principal y estrategia está centralizada en la administración y protección de los puertos por los cuales ingresa y sale la información de la Entidad. Dada la importancia de la seguridad informática para la Entidad, el Firewall se encuentra implementando en alta disponibilidad, lo cual significa que se cuenta con dos appliance idénticos con igual configuración y características, sincronizados mutuamente a fin que si el primer appliance presenta indisponibilidad, el servicio se mantenga disponible a través del segundo equipo. Cada entrada o salida de datos desde la ciudadanía hacia la Entidad, es considerado un evento, la cual puede ser una petición autorizada o un acceso de tipo malicioso; a su vez cada evento o intento de acceso no autorizado debe ser registrado en archivos de auditoría (logs) a fin de ser analizados y puestos a disposición del administrador técnico para la toma de decisiones; por su cantidad y complejidad los logs son procesados y monitoreados a través de una solución denominada Fortianalyzer, la cual se encuentra integrada al Firewall. La renovación de licencias, garantía de fábrica y servicios conexos del Fortyanalyzer, el dispositivo de administración y el Firewall perimetral en alta disponibilidad, se está contratando desde el año 2014 de manera conjunta ya que pertenecen al mismo fabricante y componen la solución integral de Firewall. Firewall de aplicaciones web (WAF), es una solución que complementa la seguridad que ofrece el firewall, cuyo enfoque es principalmente la protección a los sistemas de información con que cuenta la Entidad bajo el entorno web y que por tanto están expuestos a los ataques que intenta desestabilizar la aplicación, capturar información de manera indebida, penetrar las bases de datos de dichas aplicaciones y modificar los datos que allí se encuentran alojados /w3-propertvvalue-6206.html

9 IPS/IDS (sistemas de prevención y detección de intrusos)7 es una solución que cuenta con una base de datos con una amplia gama de firmas y métodos vanados de hackeo, direcciones ip maliciosas, páginas usadas para atacar, códigos maliciosos y técnicas de vulneración, que permite reconocer y bloquear patrones de ataques específicos hacia la red y la detección de tráfico malicioso, complementando de esta manera los controles efectuados por los Firewail que son basadas en direcciones IP y puertos principalmente. El IPS/IDS es un punto técnico de control que permite validar o denegar una petición externa apoyado en la validación que se realice a la solicitud de acceso a través de la base de datos y configuración predeterminada con que cuenta, para así proteger a los sistemas computacionales de cualquier tipo de ataque. Acorde con lo anterior, la Procuraduría General de la Nación, adquirió mediante contrato de 2011, la instalación y configuración de una solución de firewail basada en alta disponibilidad, incluyendo licénciamiento, servicio de soporte técnico y actualizaciones, conformado por dos dispositivos Firewail tipo Appliance HA (High Availability) modelo Fortigate 3040B y un dispositivo de Administración tipo consola modelo Fortimanagement 100C, que permita principalmente mitigar los múltiples ataques a los que se ve sometida la red de la Entidad. Posteriormente, y debido a la necesidad de llevar la trazabilidad de los eventos que se registran en la plataforma tecnológica de manera centralizada a través de los logs, para su análisis y revisión en el momento que se requiera, la Entidad mediante contrato de 2012, adquirió el dispositivo de propósito específico modelo Fortianalyzer 2000B, incluyendo instalación, configuración, soporte de fábrica y servicios. Teniendo en cuenta el conjunto de la solución, la Entidad mediante contrato de 2014 efectuó la renovación de las licencias, garantía de fábrica y servicios conexos que permiten operar y mantener en condiciones óptimas dichos dispositivos. Buscando protección avanzada a las aplicaciones WEB de la Entidad, tales como SIRI y página web, se adquirió mediante contrato de 2013 una solución de Firewail de Aplicaciones WEB, que permite realizar un monitoreo constante y por consiguiente el bloqueo de tráfico y peticiones maliciosas hacia los servidores dispuestos para los sistemas de información que posee la Procuraduría General de la Nación de cara a la ciudadanía en general. Así mismo, mediante Contrato N 104 de 2005 se adquirió la solución de IPS; en la vigencia 2010 se adquirió la renovación de licénciamiento mediante contrato N de 2010 y posteriormente a través del contrato N de 2012 la Entidad realizó el upgrade del sistema de prevención de intrusos. Por la antigüedad de la solución, la respuesta ante la detección de intrusos es insuficiente debido a que la tecnología que se utiliza actualmente para vulnerar la seguridad de los entornos informáticos supera el alcance del IPS con que cuenta la Entidad. Por lo anterior, la Entidad necesita adquirir una solución de prevención y detección de intrusos que además posea la capacidad de analizar y bloquear malware avanzado y amenazas persistentes avanzadas o APT's acorde tanto en rendimiento como en configuración que permita apoyar la protección perimetral e interna de la plataforma tecnológica de la Entidad. Así las cosas, la Entidad requiere la actualización del firewail y del WAF, y la adquisición de un IPS/IDS que esté integrado y configurado a la solución perimetral actual, con el fin de contar con un sistema robusto de seguridad informática. La Entidad requiere por tanto para su solución perimetral: Renovar las licencias y garantía del fabricante Fortinet a la solución del firewail basado en alta disponibilidad, al dispositivo de administración tipo consola y al appliance para el análisis de logs. Al renovar las licencias, se adquiere el derecho a realizar descargas de actualizaciones periódicas producidas por el fabricante que permite a los equipos contar con la protección de amenazas recientes detectadas en la red. Así mismo, la garantía de fábrica permite entre otras, contar con el reemplazo de partes en caso de falla y la reposición de equipos para daños severos; además, soporte directo del fabricante para escalar casos de alta complejidad. El 7 pedia.orq/w ki/s stema_de_prevenci%c3%b3n_de_intrusos

10 conjunto de la solución se ha renovado en una ocasión mediante contrato de 2014 vigente hasta el 22 de septiembre de Renovar la garantía con el fabricante del Firewall de aplicaciones web de la marca Trustwave, que para efectos de dicho fabricante se denomina mantenimiento Premium y que permite contar con: actualizaciones de mejora al software del equipo, soporte directo de especialistas del fabricante, reemplazo de partes en caso de falla y la reposición de equipos para daños severos. Esta solución se adquirió mediante contrato de 2013 con vigencia hasta el 3 de octubre de El mantenimiento Premium es el requerido por la Entidad ya que por la criticidad que constituye la seguridad informática perimetral, requiere el soporte en línea de fábrica para la resolución de casos 7x24x365 y respuesta prioritaria a incidentes complejos, entre otros, a diferencia del mantenimiento Standard, tal y como se explicará en el análisis técnico. Adquirir un sistema de prevención y detección de intrusos (IPS/IDS) que cuente con análisis de malware avanzado y protección contra amenazas persistentes avanzadas, con el respectivo licénciamiento y garantía de fábrica. Permite a la Entidad, contar con protección y detección de intrusos tanto en el perímetro como en los segmentos de red WAN, acorde con la plataforma actual y el rendimiento requerido. De esta forma, la entidad podrá contar con un mecanismo de seguridad complementario y mejorado (con respecto al actual) de tal forma que se cuente con tecnologías de punta para el aseguramiento de la plataforma tecnológica de la Entidad. El sistema de prevención y detección de intrusos junto con la funcionalidad o módulo contra malware avanzado y apt, requiere el licénciamiento y garantía de fábrica que permita las actualizaciones periódicas, el reemplazo de partes en caso de fallas y la reposición de equipos para daños severos. De esta forma y con el fin de actualizar la solución perimetral de la Entidad por el término de un año, es necesario contar con un contratista que adicional a lo anterior, garantice la prestación de los servicios conexos para cada uno de los tres (3) ítems descritos anteriormente, durante el mismo periodo (un año), acorde con lo descrito en el Anexo N 1 "Características del soporte técnico o servicios conexos para los tres lotes" 2.1. RELACIÓN ESTRATÉGICA DEL OBJETO CONTRACTUAL CON LA PLANEACIÓN INSTITUCIONAL. Contratar la adquisición y actualización de la solución de seguridad perimetral de la Entidad, incluyendo el licénciamiento, la garantía de fábrica y los servicios conexos de los diferentes sistemas que la componen, según las especificaciones técnicas descritas en el Anexo N 1 numerales 1.1, 1.2 y 1.3, se encuentra enmarcado en el Plan Estratégico Institucional "Procurando Orden y Rectitud" apuntando a la perspectiva, objetivo y criterio de logro así: Perspectiva: 03. PERSPECTIVA: APRENDIZAJE, TECNOLOGÍA Y CONOCIMIENTO Para lograr el objetivo: 12. OBJETIVO: Generar y comunicar información útil, oportuna y confiable A través del criterio de logro: CRITERIO DE LOGRO: Implementación del Plan Estratégico de Sistemas e Informática de la PGN El Plan Estratégico Institucional se encuentra disponible para la consulta de los funcionarios y la ciudadanía en general en el nk: qel archivos/3/01.%20plan%20estrategico%2 0PGN%202013%202016%20PROCURADNDO%20ORDEN%20Y%20RECTITUD.docx de la página web de la Entidad. 10

11 2.2. FICHA TIC En el Formulario de presentación de proyectos con gasto TIC de la Entidad para la vigencia 2015, en el proyecto Fortalecimiento de la Plataforma Tecnológica, en la Tabla Recursos de INVERSIÓN (Vigencia 2015), se incluyó la Actividad TIC denominada "Implementar solución de soporte, suministro, actualización y renovación de los componentes de la plataforma de seguridad informática" "Tabla 2. ALCANCE (Vigencia 2015) Descripción Está en el ActividadesTIC Subactividad TIC (Que se va a hacer? Qué comprende y qué NO, en qué cantidad, para cuántos usuarios, para cuántos sitios o sedes, con qué capacidad) Productos/Entregables (Bienes y/o servicios cuantificados que se van a entregar) Fecha de entrega estimada plan de Gobierno en linea o Vive Digital? (Si/No) Entregar Adquisición, actualización, soporte, Adquisición, actualización, solución de soporte y renovación de los componentes déla plataforma de seguridad informática garantía, servicios conexos para los componentes de la plataforma de seguridad de la información entre los que se cuentan el WAF, los firewall, la plataforma IPS, IBM-ISS, certificado digital, controles de acceso, cámaras y monitoreo, y solución de Antivirus y de filtrado de contenido. soporte, garantía, servicios conexos para los componentes de la plataforma de seguridad de la información entre los que se cuentan el WAF, los firewall, la plataforma IPS, IBM-ISS, controles de acceso, Abril 2015 No certificado digital, solución de antivirus. 3. DESCRIPCIÓN DEL OBJETO A CONTRATAR, CON SUS ESPECIFICACIONES Y LA IDENTIFICACIÓN DEL CONTRATO A CELEBRAR 3.1 Objeto SELECCIONAR AL CONTRATISTA QUE ENTREGUE A LA PROCURADURÍA GENERAL DE LA NACIÓN, A TÍTULO DE COMPRAVENTA: RENOVACIÓN DE LAS LICENCIAS Y GARANTÍA DE FÁBRICA A LA SOLUCIÓN DE FIREWALL, RENOVACIÓN DEL MANTENIMIENTO PREMIUM DE FÁBRICA AL FIREWALL DE APLICACIONES WEB, ADQUISICIÓN DE UN SISTEMA DE PREVENCIÓN Y DETECCIÓN DE INTRUSOS CON ANÁLISIS DE MALWARE AVANZADO Y APT, Y LOS SERVICIOS CONEXOS PARA CADA SOLUCIÓN. 3.2 ALCANCE DEL OBJETO: La Procuraduría General de la Nación requiere adquirir los elementos que a continuación se relacionan: LOTE No. Solución de seguridad Appliance Licénciamiento Garantía directa de fábrica Servicios conexos 1 Firewall Fortinet No aplica Renovación de las licencias por el término de un (1) año: 24x7 FortiCare plus, FortiGuard Bundle Contract Fortigate-3040B. 24x7 FortiCare Contract Garantía de fábrica por el término de un (1) año, contado a partir de la fecha de entrega del licénciamiento. Descritos en el ítem "CARACTERÍSTICA S DEL SOPORTE TÉCNICO 0 SERVICIOS CONEXOS PARA LOS TRES LOTES" por el término de un (1)año 11

12 LOTE No. 2 3 Solución de seguridad WAF Trustwave IPS/IDS Appliance No aplica Sistema de prevención y detección de intrusos con análisis de malware avanzado y apt's, instalación, configuración y evaluación de la implementación de la Solución, de conformidad con las especificaciones técnicas mínimas descritas en el Anexo No. 1 numeral 2.3 del presente documento. Licénciamiento 100c. 24x7 Forticare Contract Fortimanager- FortiAnalyzer- 2000B. De acuerdo al Anexo No. 1, 'ESPECIFICACIONE S TÉCNICAS MÍNIMAS" numeral 1.1 "Lote N 1." del presente documento. No aplica Acorde a los requerimientos técnicos establecidos en el Anexo 1, "ESPECIFICACIONE S TÉCNICAS MÍNIMAS" numeral 1.3. "LoteN 3." Garantía directa de fábrica Mantenimiento Premium de fábrica por el término de un (1) año contado a partir de la fecha de entrega del licénciamiento, acorde a los requerimientos técnicos establecidos en el Anexo 1, "ESPECIFICACI ONES TÉCNICAS MÍNIMAS" numeral 1.2. "LoteN 2." Garantía de fábrica por el término de un (1) año contado a partir de la entrega de los bienes instalados recibidos satisfacción y a por parte de la supervisión contrato. del Servicios conexos Descritos en el ítem "CARACTERÍSTICA S DEL SOPORTE TÉCNICO 0 SERVICIOS CONEXOS PARA LOS TRES LOTES" por el término de un (1)año Descritos en el ítem "CARACTERÍSTICA S DEL SOPORTE TÉCNICO 0 SERVICIOS CONEXOS PARA LOS TRES LOTES" por el término de un (1)año 3.3 IDENTIFICACIÓN DEL CONTRATO A CELEBRAR Teniendo en cuenta que la entidad requiere la entrega de licencias y bienes, cuya ejecución se realiza en forma instantánea, ya que el objeto contratado se agota con el recibo a satisfacción de bienes y la 12

13 GENERAL DE LA NACIÓN adquisición de una licencia que garantiza el mantenimiento y la garantía por el término establecido en el anexo técnico, el contrato a celebrar resultado del presente proceso será de COMPRAVENTA. 3.4 CLASIFICACIÓN UNSPSC: Según el clasificador de Bienes y Servicios de las Naciones Unidas (Versión 14 del UNSPSC) contenido en la dirección el objeto contractual se enmarca dentro de los siguientes códigos de Clasificador de Bienes y Servicios: CLASIFICADOR UNSPSC SEGMENTO FAMILIA CLASE PRODUCTO E Productos de Uso Difusión de Equipos o Equipos de Equipo de Final Tecnologías de Información V Telecomunicaciones plataformas y accesorios de redes multimedia seguridad Red de seguridad de red cortafuegos (firewall) o de voz y datos E Productos de Uso Difusión de Equipos o Equipos de Equipo de red Final Tecnologías de plataformas y servicios de red de entrega de Información Telecomunicaciones Y accesorios de redes multimedia contenido o de voz y datos 3.5 ESPECIFICACIONES TÉCNICAS MÍNIMAS En el Anexo N 1 se detallan las ESPECIFICACIONES TÉCNICAS MÍNIMAS, que forma parte integral del presente proceso y que son de cumplimiento obligatorio. 4. MODALIDAD DE SELECCIÓN DEL CONTRATISTA Y SU JUSTIFICACIÓN, INCLUYENDO FUNDAMENTOS JURÍDICOS. Teniendo en cuenta que se trata de bienes de características técnicas uniformes, ya que son de común utilización con especificaciones técnicas y patrones de desempeño y calidad iguales o similares, que en consecuencia pueden ser agrupados como bienes homogéneos para su adquisición, la modalidad de selección será la de Selección Abreviada con Subasta Inversa Electrónica, de acuerdo con lo consagrado por la Ley 1150 de 2007, artículo 2, numeral 2, literal a) y el Decreto1082 de 2015, artículo y siguientes. La adquisición o renovación de licencias, la garantía de fábrica y la adquisición de un sistema de prevención y detección de intrusos con análisis de malware avanzado y apt, incluidos los servicios conexos, son bienes con características técnicas uniformes y de común utilización, como lo demuestra el análisis del sector, los cuales son demandados por entidades estatales y son ofrecidos por empresas avaladas por los fabricantes correspondientes de manera regular en el mercado, prestando los requerimientos solicitados y satisfaciendo necesidades similares. Ahora bien, dentro del giro ordinario de estos negocios, tal como se demostrará en el estudio del mercado, por regla general, se adquieren las licencias o equipos y el pago del mismo se realiza en forma inmediata incluyendo un tiempo de garantía dentro del cual se prestan servicios conexos tales como soporte técnico, mantenimientos preventivos, mantenimientos correctivos, etc. Así mismo, el sector de proveedores de tecnología se encuentra enmarcado en el número de canales autorizados que tiene en el país cada fabricante; por ejemplo, FORTINET cuya marca representa la solución de firewall de la Entidad, cuenta con trece (13) partners; TRUSTWAVE fabricante del WAF cuenta con tres (3) canales autorizados en Colombia y la Solución de IPS/IDS es comercializada en el país por canales como: Gamma Ingenieros, Némesis, NetSecure, Elliptical, OlimpiaIT, Digiware, Daxa, Openlink, KappalO y Boyra, que a su vez representan diversos fabricantes como: Cisco, McAfee, Fortinet, Check Point y HillStone. De conformidad con lo dispuesto en el Decreto 1082 de 2015, Artículo en los procesos de licitación pública, selección abreviada y concursos de méritos, cuyo valor sea inferior a CIENTO VEINTICINCO MIL DÓLARES (US$ ) DE LOS ESTADOS UNIDOS DE AMÉRICA, liquidados con la tasa de cambio que para el efecto determina cada dos (2) años el Ministerio de Comercio, Industria y 13

14 I PROCURADURÍA GENERAL DE U NACIÓN Turismo, la convocatoria se podrá limitar a Mipymes y se seguirán las reglas del citado artículo, en cuanto a número de manifestaciones y plazos para presentarla. De acuerdo con la información verificada el día 22 de junio de 2015, publicada en el sistema electrónico para la contratación pública SECOP, el umbral para convocatorias limitadas a Mipyme ( ) corresponde a $ Teniendo presente lo anterior y en atención a que el presupuesto de este proceso de selección abreviada asciende a la suma de QUINIENTOS VEINTITRÉS MILLONES QUINIENTOS SETENTA Y SIETE MIL DOSCIENTOS SIETE PESOS MCTE ($ ) incluido IVA, impuestos y demás deducciones a que haya lugar, el cual se encuentra por encima del indicado en el Secop, la convocatoria no se limitará a Mipymes. Para la selección del contratista, la entidad aplicará los principios de economía, transparencia y responsabilidad contenidos en la Ley 80 de 1993 y los postulados que rigen la función administrativa. 5. VALOR ESTIMADO DEL CONTRATO Y LA JUSTIFICACIÓN DEL MISMO ANÁLISIS DEL SECTOR a) Económico El objeto del presente contrato se encuentra dentro del sector de Tecnologías de la Información y la Comunicación (TIC), el cual es el llamado a satisfacer la necesidad expuesta, se comporta de manera dinámica en la economía, ya que ha demostrado un incremento en el uso de los bienes y servicios que lo componen, mejorando sus indicadores y arrojando resultados positivos. El sector de la Tecnología de la información y las comunicaciones presenta una mayor innovación en cuanto a los bienes y servicios ofrecidos; en este sentido, ante el cambio constante del mercado y con el fin de evitar la obsolescencia, es necesario que estos se mantengan actualizados, de tal manera que su vida útil se prolongue en el tiempo, generando así una eficiencia en el gasto público. La importancia del sector de las TI se ve reflejado en el aumento de la inversión de los recursos públicos en esta materia, tal y como se evidencia en las siguientes gráficas8: Inversión Nacional Inversión en TI %TI Número de proyectos Inversión 2012 $36,9 $1,05 2,9% 265 Inversión 2013 $42,8 $1,39 3,3% 493 De lo anterior y en concordancia con las necesidades que enmarcan cada uno de los Lotes del presente proceso, al tener componentes de Software, infraestructura y servicios, se puede observar que componen la totalidad porcentual de las inversiones en el sector de las TI durante el mismo periodo de tiempo como se muestra a continuación: Servicios I 49,7% I S ,0 Infraestructura k 33% r $ ,0 Software $ ,0 8http:// 5 /w3-propertvvalue-7193.html 14

15 GENERAL DE LA NACIÓN Así mismo, se puede observar que estos tres componentes (Servicios, infraestructura y software) se adquieren en forma diversa en los diferentes sectores, en el mismo periodo de tiempo, como se muestra a continuación: : e ; >_ : -». ; La fabricación de los elementos a adquirir se hace en otros países, por lo que se requiere adelantar su importación. De ésta manera, la variación en la Tasa representativa del mercado, está directamente ligada con el establecimiento de los costos de los bienes y servicios que prestan las firmas extranjeras. Referente al área de la seguridad informática9, durante los últimos años en Colombia se multiplicaron por cuatro las conexiones a Internet, al tiempo que más del 60 por ciento de las Mipymes llegaron a la red. Al cierre de 2013, el 42 por ciento de hogares del país poseía computador de escritorio, portátil o tableta, mientras que el número de suscriptores móviles a Internet creció en cerca de 1,4 millones en un año. Este incremento en el número de usuarios que desde Colombia acceden a contenidos, aplicaciones y servicios alrededor del mundo, también viene acompañado con un aumento en los riesgos derivados de estar presentes en la red. Así lo sustentan estudios como el elaborado por el Centro de Control Antifraude de RSA, que reveló que en enero de 2014 Colombia fue el cuarto país del mundo en alojar la mayor cantidad de ataques de robo de identidad, sólo superado por Estados Unidos, Alemania y Canadá. En la visita10 a Colombia de Jon Parkes, vicepresidente de Preventa de Intel Security, "En el 2020 habrá en el mundo entre 15 y 16 billones de dispositivos y estos tienen que comunicarse. Nuestro negocio es ver cómo esto se hace de una manera segura. (...) Para Intel Security, Latinoamérica es muy importante. Por algo constituye una de nuestras cinco regionales en el mundo. Y en la región los países más tecnológicos, en su orden, son Brasil, Colombia, Chile y México. Colombia se está sofisticando bastante, aunque no al ritmo que debería. En el 2013 venía a un ritmo más acelerado y en el 2014 bajó un poco. No estoy diciendo que haya decrecido en más de 50%, sino en un 15 a 20 por ciento en inversión en seguridad para la tecnología de información. (...) En los dos últimos años han construido centros de datos, unificado bases de datos; han invertido en sistemas de virtualización, en almacenamiento y en poner muchos sistemas en la nube. Se trata de una infraestructura que después se va a tener que proteger. Por eso en el 2015 y 2016 el repunte tendrá que ser fuerte." Ante las declaraciones de Intel Security, cabe destacar varios aspectos: el primero de ellos es que durante la vigencia 2014 la variación en aumento de la tasa representativa para el mercado afectó sustancialmente la adquisición de soluciones de seguridad en el país; un segundo aspecto se relaciona con el ingreso al mercado Colombiano de soluciones tecnológicas provenientes de países como China, las cuales permiten que exista mayor competitividad de precios en el mercado; finalmente, las soluciones de alta gama para seguridad informática se encuentran al alcance de aquellas empresas o Entidades Estatales cuya complejidad en su infraestructura tecnológica o riesgo de ser atacado permite la adquisición de soluciones perimetrales a gran escala, como es el caso del firewall, el WAF, o el IPS/IDS. 9 Periódico el Tiempo, 1 8 de agosto de 2014, por redacción tecnósfera ventas 15

16 GENERAL DE U NACIÓN Respecto al salario mínimo mensual vigente en Colombia, éste afecta el valor de los servicios conexos conforme a las políticas del fabricante, ya sea que dichos servicios puedan ser prestados por personal del canal autorizado o directamente por personal del fabricante, lo cual incrementará el costo final de la solución. Al pretender establecer el comportamiento en el mercado de las diferentes soluciones de protección en las organizaciones, se encuentran que los más comunes son los antivirus con un 94,44%, en segundo lugar los firewall con el 90%, en un octavo lugar con un 34,57% se encuentran los sistemas de detección de intrusos y en el treceavo lugar con un 26,54% se encuentran los WAF11. Es importante destacar que con respecto a la imagen que se presenta a continuación, la Entidad cuenta con los primeros trece elementos que allí se describen, siendo el presente proceso el relacionado con la actualización de la seguridad perimetral. Mecanismos de protección Antivirus»> «ntui.^tnm * ' MMtaw-i.' «ti»'.»,, f rewalis {Hardware/Software) "> <\i*p^jamwvmmmsmmmmm*ammxmm>a,if\ '< o / * Comrateñas v.* VPN/tPS-C < t PrDwies»i-,,, h *Mff*"'4U*tl*.ií.-ti* Cifradc de doro' un^'^stf.»««<«aummtan ml> 4tj»i f (>!nrt>digi'.rflc>aeíuíti.ddu* Jtg isitc-,,t,f>3t..t iwmigmjtik.mt*.. -JS 8 Sisten-as.de dete-ictón dt intfl»_i w.ah, *~_v J«i,S7 Admti«t,:raciOf> de -o ;,»*ik>i uwiii*«r»«<*«> 34 1,7 Biomítncos Jf"uefla dtg tal, if ts., «tc í ' > "' MoTttoreo 7*^4. «".**»t? * 26,54 ^ irewslís de aplicaciones web - WAf- *>?* "i>**mhii.^«.4 Fir*>va!l de Ba'-es de DaM".»-<.» ní«17 <* TcticíiinciuiideííiicguiiiiBiJiiifuiiüili;^ -,<, i;,35 Sm^f» fí'i',' 11 ""3 Hcrramirruasdcvaiidaci.T'c1- -"» ' 9 88 SIEV., ^.fes Sliterrai de detección d«inomaliat - APS * 3 7 O;ro, espertfique: an;ispvware, antispaní,,, t 1.23 Los agentes que componen el sector son personas jurídicas cuyo objeto social les otorga la capacidad para atender este proceso contractual, al igual que cuentan con la infraestructura técnica y financiera. En el presente documento, se relacionan más adelante las empresas que se encuentran autorizadas para comercializar los tres elementos que componen la segundad perimetral de la Entidad. Se cuenta con fabricantes y proveedores autorizados, especializados y certificados, para distribuir y prestar los servicios de implementación y puesta en funcionamiento de dichas soluciones, entre los cuales se tienen: Para firewall, el fabricante es FORTINET, quien cuenta con los siguientes canales12 en el país: Openlink Sistemas de Redes de Datos Gamma Ingenieros, Elliptical Global Technologies Services GTS S.A Nemesis Compuredes Kappa 10 B-Secure NetSecure Interlan Soluciones Tecnología y Servicios STS S.A Suministros Obras y Sistemas SOS S.A Etek " Referencia tomada de Encuesta Seguridad Informática en Colombia Tendencias , Autor Andrés R. Almanza, 12 Correo electrónico del 5 de junio de 2015, David R. Suarez en calidad de Channel Account Manager de la marca FORTINET, informó los distribuidores autorizados en Colombia. 16

17 GENERAL DE LA NACIÓN Para el WAF, el fabricante es TRUSTWAVE, certifica los siguientes canales13: Nemesis Q&C ingeniería CPS Respecto al tercer lote, existen numerosos fabricantes que se distribuyen localmente a través de diferentes canales diversas soluciones que pueden satisfacer la necesidad de la Entidad. Finalmente aunque no existen gremios ni asociaciones del área de seguridad informática, cada fabricante regula las políticas de sus soluciones para su distribución y comercialización tanto en entidades públicas como privadas. b) Técnico Las soluciones de seguridad perimetral desde un contexto técnico tienen como objetivo blindar las entradas, salidas y autenticidad de datos de la plataforma tecnológica con la que se cuenta. Una entrada de información desde la ciudadanía se considera una petición de acceso, un acceso a un sistema de información a través de la web es otro tipo de entrada que se gestiona por la autorización de un puerto y la validación de que el trafico entrante esta autenticado como inofensivo constituyen la función de las soluciones de seguridad con que cuenta la Entidad. Un servicio web puede requerir los tres tipos de controles, entrada, salida y autenticidad de datos, tal como es el caso de la expedición de un certificado de antecedentes, pues requiere una petición de acceso, una consulta a la base de datos que contiene los registros de las sanciones, una aplicación que genera la salida del certificado y la validación de autenticidad del peticionario que garantice que no corresponde a una petición maliciosa que intenta vulnerar la disponibilidad de la página web o la alteración de los datos registrados en la aplicación. En la solución de seguridad perimetral de la Procuraduría General de la Nación, el Firewall se encarga de la protección y seguridad basada en permisos de puertos por los cuales se accede a las diferentes aplicaciones, el WAF se encarga de proteger los sistemas de información bajo entorno web y el IPS/IDS tiene como función la validación de autenticidad del trafico entrante y saliente de la plataforma tecnológica institucional. Teniendo en cuenta las múltiples y constantes vulnerabilidades que circulan en la red, la proliferación de ataque informáticos en Colombia y que el sector gobierno es el que más padece ataques en el país, es indispensable que los equipos de seguridad perimetral de la Entidad estén debidamente soportados y actualizados con las últimas versiones generados por el fabricante. Por lo tanto, se requiere que los equipos que conforman la solución perimetral de la entidad Firewall, WAF y la solución (hardware y software) a adquirir de IPS/IDS cuenten con las actualizaciones correspondientes, la garantía y mantenimiento de fábrica, así como los servicios conexos, tal y como se describen en el anexo N 1 Especificaciones Técnicas Mínimas del presente documento. Aunque el WAF no requiere renovación de licencia, esta debe ser contemplada en elementos como el Firewall y la nueva solución que adquiera la Entidad de IPS/IDS. De ésta forma, la garantía y soporte de fábrica permite no solo las actualizaciones a cada uno de los equipos que conforman la seguridad perimetral descritos en el Anexo No. 1, numerales 1.1, 1.2 y 1.3, sino también permite escalar casos de soporte que el partner local no logre superar. Desde cuándo se implemento la adquisición de este tipo de bienes? El primer dispositivo de seguridad perimetral con que contó la Entidad se trató de un firewall marca MX50 adquirido en 2005 mediante contrato 104, el cual incluyó también la primera solución de IPS/IDS y la integración entre estos dos dispositivos. Aunque esta solución en su momento protegió a la Entidad, el firewall cumplió su ciclo de vida hasta el año 2011 y el IPS/IDS aún se encuentra en producción en la Entidad y es objeto de este proceso su reemplazo por obsolescencia. 13 Correo electrónico del 6 de julio de 2015, Diana Elizabeth Rodríguez Sánchez como Enterprise Sales Representative, Latin América de la marca TRUSTWAVE, informó los distribuidores autorizados en Colombia, el cual confirma el correo del 11 de noviembre de

18 Ante el avance de los ataques informáticos a los que se enfrenta la Entidad, se adquirió en el año 2011 una nueva solución de Firewall perimetral en alta disponibilidad y un dispositivo de administración mediante contrato de Con este proceso, la Procuraduría General de la Nación cubrió la siguiente necesidad: "...adquirir, instalar y configurar una solución de firewall en alta disponibilidad, incluyendo licénciamiento, servicio de soporte técnico y actualizaciones durante 1 año, con el fin de reemplazar la que tiene actualmente y de esta forma asegurar la operatividad y continuidad de los servicios que prestan como parte de la infraestructura tecnológica...". La solución se implemento en el año 2011 con el Fabricante FORTINET y aún se encuentra en producción. Una vez adquirido el Firewall se evidenció la gran cantidad de archivos de auditoría (Log's) que se generan a causa de accesos no permitidos y que por su gran volumen era necesario analizar e identificar a fin de tomar decisiones respecto a su denegación de acceso, bloqueo o validación; por tal razón, fue necesario adquirir el analizador de Log's mediante contrato de 2012 con el que la Entidad cubrió la siguiente necesidad: "...La Entidad cuenta aproximadamente con 4100 usuarios que diariamente acceden a la internet y a los aplicativos externos, generando con ello un riesgo de ataques a la infraestructura informática de la Procuraduría. Cada acceso, ya sea autorizado o no, genera un gran número de logs, entendidos estos, como registros de eventos durante un rango de tiempo en particular, y que en términos de seguridad informática, son usados para registrar datos e información sobre quién, qué, cuándo y dónde ocurre un evento para un computador, un dispositivo en particular o una aplicación. Por lo anterior es necesario que estos "log" sean analizados y almacenados mediante un dispositivo de propósito específico o Appliance que permita realizar lo pertinente, agregándole el valor de poder generar reportes específicos a través de la lectura y análisis de los mismos. La estrategia de seguridad perimetral basada en firewall perimetral con que cuenta la Procuraduría requiere la centralización y análisis de sus logs que le permita realizar aseguramientos preventivos e informes partiendo de ellos...". Con la solución adquirida Fortianalyzer se completó la funcionalidad del firewall y a través de su integración en la actualidad la Entidad puede realizar aseguramientos preventivos en pro de la seguridad informática de su plataforma tecnológica. El licénciamiento y garantía de fábrica que requiere el Fortianalyzer, están incluidos dentro de la solución de Firewall. Así las cosas, la renovación de licencias, garantía de fábrica y servicios conexos a la solución de Firewall perimetral en alta disponibilidad, se está contratando desde el año 2014 de manera conjunta ya que pertenecen al mismo fabricante. Actualmente, es necesario adelantar el proceso que garantice su continuidad a partir del 22 de septiembre de 2015, dada la criticidad e importancia de la solución que soporte la seguridad perimetral de la Entidad. El firewall de aplicaciones WEB se adquirió en el año 2013 mediante contrato de 2013, cubriendo la siguiente necesidad de la Entidad: "...El crecimiento vertiginoso de las interconexiones globales mediante el uso de internet, ha ocasionado un sinnúmero de incidentes informáticos que varían y evolucionan a diario y que por consiguiente generan múltiples daños que conllevan pérdidas significativas en los sistemas de información. Los daños pueden ser desde errores básicos en el uso de las aplicaciones que generan desconfianza en los usuarios hasta pérdida total de los datos y la salida de producción de los sistemas. Los firewall de aplicaciones Web, son soluciones que integradas a plataformas de seguridad, buscan el análisis constante del tráfico hacia los sitios web y la correlación de eventos que permiten prevenir riesgos y ataques tales como: de fuerza bruta, manipulación de cookies, ataques de sesión, entre otros. La Procuraduría General de la Nación, necesita adquirir, instalar y configurar una solución de firewall de aplicaciones web que incluya el licénciamiento, garantía y soporte de fábrica, así como los servicios conexos locales por seis (6) meses y mínimo dos mantenimientos preventivos durante dicho periodo. Lo anterior con el fin de mitigar los riesgos a los que se ven expuestas las aplicaciones web con que cuenta la entidad..." 18

19 GENERAL D LA NACIÓN Con la adquisición del WAF se logró blindar sistemas de información web como el portal institucional y el SIRI de ataques especializados a nivel de aplicaciones. La solución adquirida es del fabricante TRUSTWAVE, para quien el licénciamiento es a perpetuidad, la garantía de fábrica es periódica y al igual que los servicios conexos, se encuentran vigentes hasta el 3 de octubre de El fabricante ofrece a sus clientes la garantía directa a través de dos tipos de modalidad: Mantenimiento Standard y Mantenimiento Premium, que según el "Technical Assistance Center (TAC) Support Offerings"u se relaciona a continuación: Trustwav* Support Tal como se observa en la imagen, el mantenimiento Premium a diferencia del Standard ofrece soporte 24x7x365 y respuesta prioritaria a grandes incidentes; el mantenimiento Standard solo cuenta con soporte en horas locales laborales (Estados Unidos) de lunes a viernes exceptuando festivos reconocidos por el fabricante. Debido a la importancia de la disponibilidad de los sitios WEB a la ciudadanía y al valor de la seguridad informática para la Entidad, se requiere soporte técnico ante fallos, remplazo de partes (mantenimiento correctivo), licénciamiento, actualizaciones y soporte técnico del fabricante en el menor tiempo de respuesta posible y apoyo técnico al instante en que se requiera, por tanto se necesita el Mantenimiento Premium para el WAF de la Procuraduría General de la Nación. El IPS/IDS se adquirió mediante contrato 104 de 2005, cuyo objeto era: "...ADQUISICIÓN DE UN (1) APPLIANCE QUE INTEGRE FIREWALL Y SISTEMA PARA LA DETECCIÓN Y PREVENCIÓN DE INSTRUSOS, UN (1) SISTEMA PARA LA DETECCIÓN Y PREVENCIÓN DE INTRUSOS Y UN SOFTWARE DE ADMINISTRACIÓN Y MONITOREO DE EQUIPOS DE SEGURIDAD PARA LA PROCURADURÍA GENERAL DE LA NACIÓN..." El cual ha tenido los siguientes contratos de actualización: y Contrato 059 de 2008 con el objeto: "... PRESTAR POR UN (1) AÑO EL SERVICIO DE SOPORTE, MANTENIMIENTO Y ACTUALIZACIÓN DE LOS APPLIANCE PROVENTIA M50 (FIREWALL) Y PROVENTIA G400 (IPS), LA CONSOLA DE ADMINISTRACIÓN (SITEPROTRECTOR) Y EL SOFTWARE DE CORRELACIÓN DE EVENTOS (FUSIÓN) CON QUE CUENTA LA PROCURADURÍA GENERAL DE LA NACIÓN ACTUALMENTE..." s Contrato de 2010 cuyo objeto: "...RENOVACIÓN LICÉNCIAMIENTO PARA LA ACTUALIZACIÓN, SOPORTE Y MANTENIMIENTO DE LOS EQUIPOS: 1.DOS

20 APPUANCE PROVENTIA MX50 (FIREWALL) EN ALTA DISPONIBILIDAD 2 UN APPLIANCE PROVENTIA G400 (IPS) 3.UN APPUANCE PROVENTIA ES1500 (ANÁLISIS DE VULNERABILIDADES) 4. SOFTWARE DE ADMINISTRACIÓN SITEPROTECTOR Y CORRELACIÓN DE EVENTOS FUSIÓN..." s Mediante contrato de 2012, con objeto de: ".. ENTREGA A LA PROCURADURÍA GENERAL DE LA NACIÓN A TITULO DE COMPRAVENTA' EL UPGRADE DEL HARDWARE APPLIANCE PROVENTIA G400 (IPS) Y EL PROVENTIA NETWORK ACTIVE BYPASS; LA ACTUALIZACIÓN DEL SOFTWARE ENTERPRISE SCANNER ES-1500 CON 250 LICENCIAS Y EL UPGRADE DEL SOFTWARE DE ADMINISTRACIÓN SITEPROTECTOR PROGRESIVE FUSIÓN CON LICENCIA BD SQL SERVER 2008, CON MANTENIMIENTO Y SOPORTE GOLD POR DOS AÑOS' ASÍ COMO EL SOPORTE EN SITIO ILIMITADO CON CAPACITACIÓN Y EL SOPORTE ESPECIALIZADO, PARA TODA LA PLATAFORMA POR DOS AÑOS, a fin de mejorarla prevención y bloqueo de ataques soportados bajo esta infraestructura de seguridad de la plataforma IBM..." Actualmente el sistema de prevención de intrusos con que cuenta la Entidad no tiene una garantía vigente15 y tampoco las características y rendimientos para complementar el aseguramiento perimetral y los segmentos de red WAN y adicionalmente la configuración de sus interfaces no poseen sincronismo con la actual plataforma tecnológica de la Entidad, por lo cual se hace necesario el remplazo del sistema actual por un sistema de detección y prevención de intrusos que posea los rendimientos y capacidades necesarias para un mejor aseguramiento de los segmentos de red y además realice análisis avanzado de malware y de ataques persistentes avanzados a nivel interno, de acuerdo con las condiciones mínimas expuestas en el Anexo No. 1 numeral 1.3. Estas soluciones permiten principalmente el aseguramiento de la infraestructura tecnológica de la Entidad de ataques externos y además la posibilidad de mitigar ser fuente de ataques a otras Entidades u organizaciones, ya que existen malware que toman el control de equipos dentro de una red para realizar acciones fraudulentas hacia otras infraestructuras. Lo anterior es preocupante en Colombia ya que según estudio realizado por la firma Digiware, el país es el principal generador de ataques informáticos en Latinoamérica16, siendo el sector Gobierno con un 49.5% el de mayor incidencia en este tipo de vulnerabilidades. c) Regulatorio El Ministerio de Tecnologías de la Información y las Comunicaciones es un ministerio de la República de Colombia que tiene como objetivos diseñar, formular, adoptar y promover las políticas, planes, programas y proyectos del sector TIC, en correspondencia con la Constitución Política y la ley, con el fin de contribuir al desarrollo económico, social y político de la Nación. De igual forma debe impulsar el desarrollo y fortalecimiento del sector de las Tecnologías de la Información y las Comunicaciones, promover la investigación e innovación buscando su competitividad y avance tecnológico conforme al entorno nacional e internacional. De manera general, este sector se rige por la Ley 1341 de 2009 "Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la Agencia Nacional de Espectro y se dictan otras disposiciones". Igualmente, según la ley 1341 de 2009, son funciones del Ministerio: 18 "Diseñar, adoptar y promover las políticas, planes, programas y proyectos del sector de las Tecnologías de la Información y las Comunicaciones (...) Promover el establecimiento de una cultura de las Tecnologías de la Información y las Comunicaciones en el país, a través de programas y proyectos que favorezcan la apropiación y masificación de las tecnologías, como instrumentos que facilitan el bienestar y el desarrollo personal y social. 15 No se encuentra vigente con el fin de igualar el vencimiento de las garantías y tramitar 1 sólo proceso de selección Ley 1341 de Secretaria del Senado. 18 Funciones Ministerio TIC. Secretaria del Senado. 20