DESCRIPCION. Fecha: Bogotá DC., 7 de abril de 2008 Dependencia que Oficina de Informática. Asunto:

Tamaño: px
Comenzar la demostración a partir de la página:

Download "DESCRIPCION. Fecha: Bogotá DC., 7 de abril de 2008 Dependencia que Oficina de Informática. Asunto:"

Transcripción

1 DESCRIPCION Fecha: Bogotá DC., 7 de abril de 2008 Dependencia que Oficina de Informática proyectó: Asunto: Contratar una solución integral de software incluyendo su implantación que contemple framework, consola de gestión centralizada, encripción de datos, control centralizado de periféricos de entrada/salida y administración de ejecución de programas y control total sobre el software que opera en la red del FONDO NACIONAL DE AHORRO, CARLOS LLERAS RESTREPO 1. DEFINICIÓN DE LA NECESIDAD La Circular Externa 052 del 2007 emitida por la Superintendencia Financiera contempla una serie de instrucciones que deben ser adoptadas por todas las entidades sometidas a la inspección y vigilancia de este ente de control, por tal motivo es obligatorio el cumplimiento de la citada circular, para el Fondo Nacional de Ahorro, atendiendo la naturaleza, objeto social y demás características particulares de la actividad del FONDO. Dentro de estos temas, se encuentra requerimientos relacionados con la seguridad de la información como son entre otros: Dotar de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de la entidad, (numeral ) Velar por que la información enviada a los clientes esté libre de software malicioso, (numeral ) Dotar a sus terminales o equipos de cómputo de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus clientes y de sus operaciones, (numeral ) Establecer los mecanismos necesarios para que el mantenimiento y la instalación o desinstalación de programas o dispositivos en las terminales o equipos de cómputo solo lo pueda realizar personal debidamente autorizado, (numeral ) Tener en operación solo los protocolos, servicios, aplicaciones, usuarios, equipos, entre otros, necesarios para el desarrollo de su actividad, (numeral ) Pág. 1/10

2 De acuerdo con los estudios realizados a la plataforma que soporta COBIS, la red Lan, Wan, SOA y demás plataformas con que cuenta el FNA para el cumplimiento de la Circular Externa 052 a la luz de la norma ISO27001 y el estándar ISO17799, se encontró que el FNA tiene cubiertos parcialmente solo algunos aspectos requeridos por la Superindentencia Financiera de Colombia en materia de Seguridad Informática relacionados especialmente con los criterios de confidencialidad, integridad y disponibilidad de la información y control sobre instalación de software no autorizado. (Se anexa la Circular Externa 052 de octubre de 2007 emitida por la Superintendencia Financiera de Colombia). Para garantizar la seguridad de los activos de información del FNA y de esa manera dar cumplimiento a los requerimientos de la circular 052 de la Superfinanciera, es necesario implantar una serie de mecanismos tecnológicos de los que la Entidad no dispone. De otra parte en el Plan Estratégico de la entidad para el período , se planteó como objetivo corporativo consolidar un modelo empresarial competitivo en el cual se plantean una serie de estrategias como son entre otras Apoyarse en operadores prestadores de servicio para el cumplimiento de los objetivos institucionales. Por las razones expuestas anteriormente, el FONDO NACIONAL DE AHORRO requiere adquirir los servicios de una compañía que provea una solución que permita la implantación integral de mecanismos para la administración de instalación y ejecución de programas, ejerciendo control total sobre el software; que permita ejercer control centralizado de periféricos de entrada/salida (CD, DVD, Floppy, memory sticks, que proteja la información, contenida en las maquinas, mediante mecanismos de encripción, aplicando los conceptos de seguridad multinivel en razón a las características y naturaleza de la Entidad y los requerimientos establecidos en la circular Externa 052 de la Superfinanciera. 2. DEFINICIÓN TÉCNICA: Es necesario para el FNA, la adquisición de una solución de software para la implementación de medidas de seguridad informática que entre otras debe atender los siguientes aspectos contemplados en el alcance de Circular Exterma 052 de 2007 con los siguientes numerales: 2. Definiciones y criterios de seguridad y calidad Pág. 2/10

3 Para el cumplimiento de los requerimientos mínimos de seguridad y calidad de la información que se maneja a través de canales y medios de distribución de productos y servicios para clientes y usuarios, las entidades deberán tener en cuenta las siguientes definiciones y criterios: 2.1. Criterios de Seguridad de la información a) Confidencialidad: Hace referencia a la protección de información cuya divulgación no está autorizada. b) Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso. 2.5 Vulnerabilidad informática Ausencia o deficiencia que permite violar las medidas de seguridad informáticas para poder acceder a un canal de distribución o a un sistema específico de forma no autorizada y emplearlo en beneficio propio o como origen de ataques por parte de terceros. 2.6 Cifrado fuerte Técnicas de codificación para protección de la información que utilizan algoritmos de robustez reconocidos internacionalmente, brindando al menos los niveles de seguridad ofrecidos por 3DES y/o AES. 3. Obligaciones Generales En desarrollo de lo dispuesto en el presente Capitulo, las entidades deberán incluir en sus políticas y procedimientos relativos a la administración de la información, los criterios de que tratan los numerales 2.1 y 2.2. Adicionalmente, para dar aplicación a dichos criterios las entidades deberán adoptar, al menos, las medidas que se relacionan a continuación: 3.1 Seguridad y Calidad En desarrollo de los criterios de seguridad y calidad, y considerando los canales de distribución utilizados, las entidades deberán cumplir, como mínimo, con los siguientes requerimientos: Pág. 3/10

4 Disponer de hardware, software y equipos de telecomunicaciones, así como de los procedimientos y controles necesarios, que permitan prestar los servicios y manejar la información en condiciones de seguridad y calidad Disponer que el envío de información a sus clientes, tales como certificaciones, extractos, notificaciones, sobreflex, entre otros, así como los medios (tarjetas débito y crédito, chequeras, etc.) se haga en condiciones de seguridad. Cuando la información que la entidad remite a sus clientes sea de carácter confidencial y se envíe como parte de, o adjunta a un correo electrónico, ésta deberá estar cifrada Dotar de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de la entidad Velar por que la información enviada a los clientes esté libre de software malicioso Proteger las claves de acceso a los sistemas de información. En desarrollo de esta obligación, las entidades deberán evitar el uso de claves compartidas, genéricas o para grupos. La identificación y autenticación en los dispositivos y sistemas de cómputo de las entidades deberá ser única y personalizada Dotar a sus terminales o equipos de cómputo de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus clientes y de sus operaciones Implementar mecanismos de cifrado fuerte para el envío y recepción de información confidencial con los terceros contratados La información que viaja entre las oficinas y los sitios centrales de las entidades deberá estar cifrada usando hardware de propósito específico, o software, o una combinación de los anteriores. Para los Establecimientos de Crédito el hardware o software empleados deberán ser totalmente separados e independientes de cualquier otro dispositivo o elemento de procesamiento de información, de seguridad informática, de transmisión y/o recepción de datos, de comunicaciones, de conmutación, de enrutamiento, de gateways, servidores de acceso remoto (RAS) y/o de concentradores. En cualquiera de los casos anteriores se deberá emplear cifrado fuerte. Las entidades deberán evaluar con regularidad la efectividad y vigencia de los mecanismos de cifrado adoptados. Por la anterior, la solución tecnológica debe presentar las siguientes características: Pág. 4/10

5 Características del software Proveer solución de cifrado de discos duros, CDROMs, dispositivos USB, carpetas compartidas. Realizar el cifrado 100% de los discos duros, incluyendo el BIOS, el sistema operativo, el file system y los datos del usuario. No permitir el acceso a usuarios no autorizados a la información almacenada en los discos duros cifrados. Sistema operativo de seguridad para la plataforma Microsoft PC, que se integre con un sistema de administración centralizado. Contar con un control de acceso previo al arranque del sistema operacional. Contar con diferentes métodos de autenticación robustos, previos al arranque del sistema operativo ya sea password, Token Usb, Smart Card, certificados digitales. Permitir controlar las aplicaciones que son ejecutadas por los usuarios y que la administración sea centralizada. Permitir la autorización para el uso de los dispositivos externos CDROM, USB, números telefónicos en cada uno de los Pcs, de acuerdo al perfil del usuario. Contar con un sistema de seguridad totalmente independiente del sistema operativo. La gestión se debe integrar con directorios LDAP compatibles. Permitir unificar la autenticación previa al inicio del sistema operacional con la autenticación nativa de Windows. Mantener un repositorio centralizado de las llaves de cifrado utilizadas y que el uso de estas llaves sea totalmente transparente para el usuario final. Permitir la creación de carpetas cifradas en los servidores, para que solamente las personas que de acuerdo a su rol en la organización y que tengan permitido acceder a esta información, puedan compartir la llave de cifrado y tener acceso a esta información. El control de las aplicaciones sea basado en firmas digitales de los archivos ejecutables, permitiendo de esta manera que un equipo pueda tener instaladas todas las aplicaciones autorizadas en el FNA y que el usuario solo ejecute las necesarias de acuerdo a su perfil. Contar con procedimientos de recuperación de datos cifrados y que este pueda ser realizado por el personal autorizado por el FNA de manera local. Contar con herramientas que permitan cifrar los datos almacenados en los servidores de manera masiva, utilizando las llaves asignadas a cada perfil de usuario o grupo. Utilizar para el cifrado de la información algoritmos simétricos de sectores, para mejorar el rendimiento y el consumo de recursos. Pág. 5/10

6 Realizar el cifrado de la información de los discos duros de manera transparente para el usuario sin afectar la productividad del mismo. El tiempo de acceso a la información cifrada en los discos duros no se aumente en más del 1%. Cifrar toda la información que se almacena en dispositivos USB, DVD, CDROMs, para evitar que los usuarios puedan grabar información sensible en estos dispositivos en texto claro. Contar con su propio sistema de Back Up de las llaves, objetos, perfiles etc. Independiente del sistema de Back Up del directorio. Permitir definir diferentes perfiles tanto para el equipo como para el usuario dependiendo si el usuario esta o no en la red Corporativa. Permitir generar un listado tanto de aplicaciones permitidas como de exclusiones, de esta forma se podrá evitar la instalación de nuevos aplicativos por parte del usuario sin autorización de la organización. Permitir definir diferentes perfiles tanto para el equipo como para el usuario dependiendo si el usuario esta o no en la red Corporativa. Permitir generar un listado tanto de aplicaciones permitidas como de exclusiones, de esta forma se podrá evitar la instalación de nuevos aplicativos por parte del usuario sin autorización de la organización. La herramienta debe disponer de una Certificación de Seguridad de muy alto nivel (Kerberos y/o IT-SEC-2). Deberá definir diferentes Circuitos Cerrados de Información de acuerdo a las necesidades de la Entidad. Aplique los conceptos de seguridad multinivel, es decir, que la información deba ser manejada de acuerdo a su nivel de sensibilidad y a los permisos que tiene la persona que desea acceder a ella Servicios: El proveedor debe disponer (durante el desarrollo del proyecto) de personal certificado por el fabricante. Disponer de certificación ISO 9001:2000 Planning, Instalation & Maintenance Network. El proveedor de la solución pueda realizar la capacitación a los funcionarios en sus propias instalaciones. Suministrar 1000 licencias e incluir el mantenimiento y soporte necesario para la instalación, pruebas y puesta en servicio, al igual que el acompañamiento para la instalación en los equipos cliente ubicados en Bogotá. Pág. 6/10

7 Entregar al FNA las especificaciones técnicas de hardware y software de base requeridos para la puesta en operación de la solución. Entregar al FNA las características técnicas de hardware y software para la implementación de un esquema de redundancia y alta disponibilidad. Niveles de servicio Se debe contar con el mantenimiento y el soporte de lunes a viernes 8 horas diarias (8x5) así como los servicios de instalación, pruebas, capacitación, puesta en servicio de la plataforma y acompañamiento de todos los equipos ubicados en Bogotá durante por lo menos 50 días. Otras consideraciones El FNA suministrará únicamente el número de equipos, sistema operativo, motor manejador de base de datos y demás software de base con las características que el proveedor entregue en su propuesta y que cumplan con los requisitos y características antes mencionados en este documento. Si faltare algún elemento de cualquier índole, este correrá por cuenta del proveedor. El oferente deberá incluir en la propuesta que se requiera todo lo necesario para la puesta en producción de la solución de costeo basado en actividades, así no estén contempladas en los requerimientos presentados por el FNA. Para garantizar el esquema de redundancia y alta disponibilidad, el oferente deberá instalar la solución en los equipos que sea necesario cuyas características debe incluir en la propuesta en las condiciones del punto anterior. La solución de redundancia y alta disponibilidad debe quedar operando. El proveedor seleccionado deberá suministrar una solución implantada y operando. No se trata del suministro de un producto. En caso de presentarse o ser necesarios cambios de cualquier índole durante la ejecución del proyecto, incluido el periodo de garantía, estos serán a cargo del proveedor en su totalidad. Se debe garantizar por parte del proveedor el manejo confidencial de la información que le sea suministrada por el FNA para la ejecución del proyecto. Toda la información entregada al proveedor para la ejecución del proyecto es de propiedad del FNA. Pág. 7/10

8 3. LAS CONDICIONES DEL CONTRATO SERIAN LAS SIGUIENTES Adquisición de 1000 licencias del software para encripción, incluyendo el mantenimiento y el soporte 8x5, así como los servicios de instalación, pruebas, capacitación, puesta en servicio de la plataforma y acompañamiento durante 50 días. El tiempo total del contrato debe ser de catorce (14) meses, de los cuales durante los dos primeros meses debe realizarse la puesta en servicio de la plataforma con la correspondiente capacitación y una vez recibida a satisfacción dicha actividad, se contará con un término de doce (12) meses para los servicios garantía, mantenimiento y soporte de la solución. Vencida la garantía se debe contar con los servicios de actualización de versiones, soporte y mantenimiento anual de la solución. 4. ESTUDIO DE MERCADO Con el fin de dar transparencia al proceso de Contratación, la oficina de informática realizó un estudio de mercado, para lo cual se relacionan a continuación proveedores potenciales identificados inicialmente que podrían suministrar al FNA el software y los servicios requeridos, así: Empresa Contactada Nombre del Teléfono Valor Total Contacto incluido IVA LEAD COM Juan Ricardo Rivera $ oo G&C Alfonso Ordesgoitia $ oo COMUTEL LTDA Gustavo Alonso Guerra Cali $ oo 5. PRESUPUESTO ESTIMADO El valor estimado para efectuar esta contratación es de SETESCIENTOS NOVENTA Y OCHO MILLONES CUATROCIENTOS OCHOCENTA Y CUATRO MIL CUATROCIENTOS QUINCE PESOS MCTE ($ oo) Incluido IVA, valores que se encuentran incluidos en la vigencia del 2008, por la cuenta Adquisición de servicios operativos 6. RIESGOS Existen algunos riesgos asociados al software como son: Pág. 8/10

9 Riesgo de Diseño: Teniendo en cuenta que el diseño de la solución es 100% del proveedor, dicho riesgo debe ser asumido en la totalidad por éste, por lo tanto toda circunstancia, error, problema o inconveniente relacionado con el diseño de la solución deberá estar a cargo del proveedor. Pueden igualmente presentar otros riesgos por calidad en la prestación del servicio de soporte y mantenimiento que deben ser asumidos por el Proveedor. Para cubrir estos riesgos se exigirá al Contratista garantía única. 7. ESTUDIO JURÍDICO De acuerdo con lo dispuesto en el articulo 14 de la ley 1150 de 2007, el Fondo Nacional de Ahorro se encuentra exceptuado de aplicar el Estatuto General de Contratación por ser empresa industrial y comercial del Estado de carácter financiero, que compite con el sector privado nacional especialmente en el área de crédito para vivienda, correspondiéndole sin embargo, como lo dispone el articulo 13 de la ley 1150 citada, aplicar en desarrollo de su actividad contractual los principios de la función administrativa y de la gestión fiscal de que tratan los artículos 209 y 267 de la Constitución Política, además del régimen de inhabilidades e incompatibilidades previsto para la contratación estatal. Se firma por los que intervienen en este estudio: LUIS CARLOS ROJAS LAMPREA Vicepresidente de Riesgos EDGAR AUGUSTO FUERTES PUERTO Jefe Oficina de Informática OSWALDO F. MIDEROS ARGOTE Coordinador Grupo Control de Operaciones, Soporte y Desarrollo SARA JEANNETTE TORRES ROJAS Coordinadora Grupo Gestión de Proyectos y Atención Requerimientos JOHN JAIRO LEAL OSPINA Coordinador Grupo de Producción ALEXANDRA OLAYA DAJER Líder Técnico COBIS FREDDY LEONARDO SÁNCHEZ TRIANA Coordinador Grupo Redes y Ofimática Pág. 9/10

10 CLAUDIA PATRICIA HERNANDEZ Coordinadora Grupo de Aplicaciones WEB JUAN ORLANDO CAMINO Líder Técnico Aplicaciones WEB ALVARO CORTES VIVAS Líder Técnico SOA JORGE ENRIQUE SALINAS Líder Técnico Aplicaciones WEB LUIS ALBERTO GARCÍA GÓMEZ Líder Técnico Procesos LUIS ALBERTO ESPITIA GIL Coordinador Grupo Calidad e Investigación de Tecnología Vo.Bo. VIRGILIO ALFONSO HERNÁNDEZ CASTELLANOS Jefe Oficina Jurídica Revisó: MAYERLY CONSUELO LÓPEZ MAHECHA Líder de Presupuesto y Procesos de Contratación Tecnológicos ALEXANDRA JIMENEZ HERNANDEZ Profesional Oficina Pág. 10/10