Propuesta de Servicios de Seguridad

Transcripción

1 Propuesta de Servicios de Seguridad Contratación Directa nº 64/2009 Servicio para Implementación de red privada para la Dirección de Informática Presentada a: FUERZA AEREA ARGENTINA NOVARED S.A. 21 de diciembre de 2009

2 Buenos Aires, 21 de diciembre de 2009 Sres.: Fuerza Aérea Argentina Presente De nuestra consideración: De acuerdo a sus requerimientos le acercamos nuestra propuesta de servicios. NOVARED, es una empresa con presencia a nivel regional en Argentina, Chile, Perú, está respaldada por la amplia experiencia de mas de 10 años como especialista en Seguridad Informática y Redes. El perfil de nuestros profesionales altamente capacitados, en conjunto con la conformidad de nuestro Clientes entre los que se encuentran las Empresas y Organizaciones más grandes del País nos consolidan como una Empresa Líder a nivel regional, lo cual nos permite entregar la mejor solución existente en el mercado. Le saluda muy atentamente, Martín Moszenberg Gerente de Cuentas mmoszenberg@novared.net Marcelo Diment Gerente Comercial mdiment@novared.net

3 Tabla de Contenidos 1. RESUMEN EJECUTIVO DE NOVARED DESCRIPCIÓN GENERAL, HISTORIA MISIÓN VALORES FUNDAMENTALES NOVARED, CRECIMIENTO Y PRESENCIA INTERNACIONAL ÁREAS DE NEGOCIO EXPERIENCIA PROFESIONAL SERVICIOS DE SEGURIDAD ALIADOS TECNOLÓGICOS / REPRESENTACIONES PROPUESTA DE SERVICIOS ESPECIFICACIONES TÉCNICAS SERVICIOS INCLUIDOS COTIZACIÓN CONDICIONES COMERCIALES

4 1. Resumen ejecutivo de Novared 1.1. Descripción general, historia NOVARED S.A. surge a principios de 1995 destinada a aprovechar una oportunidad: Responder en integridad a los desafíos que las nuevas tecnologías relacionadas con Internet estaban planteando al mercado. La oferta de la empresa hacia sus clientes es y ha sido el profundo dominio de las tecnologías emergentes y el conocimiento de las necesidades del mercado, en especial en negocios financieros. A ello se suma la oferta un conjunto de productos pertenecientes a compañías líderes en el mercado Internet y de productos propietarios de la empresa para la construcción e implementación de soluciones de vanguardia. NOVARED se define como Proveedor de Soluciones Internet. En el concierto de oferentes de diversas soluciones en esta área, la empresa destaca nítidamente como líder a nivel nacional, debido a que su ámbito de acción se centra exclusivamente en la tecnología que rodea el mundo Internet, ofreciendo una solución integral que contempla diseño gráfico, ingeniería, infraestructura y seguridad. De esta forma, nos diferenciamos de la competencia, que aborda el tema Internet como un servicio complementario a su negocio principal, y de aquellas empresas que sólo ofrecen un aspecto dentro de las variables a considerar en los proyectos Internet. Además, gracias a la excelencia de nuestros profesionales, productos líderes del mercado, servicios y conocimiento de la tecnología, la empresa ha crecido y evolucionado sostenidamente, donde actualmente cuenta con un equipo de 130 profesionales, los cuales con la mejor formación, dedicación y disponibilidad responden a los nuevos desafíos que les plantea el mercado Misión Apoyar a nuestros clientes para la transformación de sus procesos de negocios a las nuevas tecnologías de información que emergen a partir de la existencia de INTERNET. En este sentido, NOVARED concentra sus esfuerzos en proveer a nuestros clientes de soluciones que aprovechen las ventajas asociadas a estas tecnologías, para transformar sus procesos de negocios a tecnologías Internet, y así aplicar y facilitar el acceso a la información por parte de los distintos agentes de la empresa Valores Fundamentales Actitud de servicio y calidad en las soluciones para nuestros clientes. Compromiso, entusiasmo y responsabilidad con la empresa. Honestidad e integridad en nuestro actuar. Excelencia en el trabajo en los diferentes cargos de la empresa. Respeto y fomento de la habilidad y creatividad de cada persona de la empresa. 4

5 1.4. Novared, crecimiento y presencia internacional La creciente demanda por los servicios especializados de NOVARED, en conjunto con la calidad y orientación al cliente, le han permitido a NOVARED mantener crecimientos sustentables en el tiempo. Es así como la evolución del personal de NOVARED es como se presenta en la siguiente figura: Estas cifras de crecimiento, en conjunto con la fuerte demanda por sus servicios, llevaron a la empresa extender sus servicios. En la actualidad NOVARED posee oficinas y atención a clientes en Chile, Argentina y Perú. El crecimiento de la compañía no termina ahí y desde hoy ya se encuentra trabajando para mantener una presencia nacional e internacional más fuerte aún. La presencia de Novared en el continente se detalla en la siguiente figura: 5

6 1.5. Áreas de Negocio Las principales áreas de negocio de la empresa son: Consultoría, cuya misión es asesorar a nuestros clientes en las definiciones estratégicas para la transformación de sus procesos de negocios a tecnologías asociadas a Internet. Esta consultoría integra en su solución el trabajo de expertos en todas las áreas de trabajo de la empresa. Diseño y Comunicaciones (Arte e Interfaz Usuario) : cuya misión es velar por el diseño, la comunicación y mensaje del sitio web; el equipo de interfaz usuario genera la estructura y el diseño de navegación al sitio para que éste sea del agrado de los distintos perfiles de visitantes del sitio, de modo que su utilización y navegación favorezca los objetivos de negocio y marketing planteados en el proyecto. Sistemas e Integración, es el área de NOVARED que se encarga de la ingeniería asociada a los proyectos, que incluye el desarrollo de las etapas de Ingeniería Conceptual, Ingeniería de Detalle, Desarrollo e Implantación de nuestros desarrollos. Infraestructura IP y Seguridad, se encarga de proveer los productos y servicios que requieren nuestros clientes para soportar efectiva y eficientemente su negocio en Internet, tanto a nivel de productos de hardware, software y servicios de instalación y soporte. La incursión de NOVARED en cada una de estas áreas ha dado lugar a que obtenga un conjunto de representaciones o distribuciones de productos, capacitando y entrenando constantemente a su personal para sacar provecho y dar el soporte correspondiente a sus clientes Experiencia profesional NOVARED, Proveedor de Soluciones en Internet basa su liderazgo en el mercado en la experiencia y el conocimiento de los profesionales que forman parte de la empresa. Para poder mantener y crecer en implementaciones de seguridad NOVARED ha capacitado a sus Ingenieros, contando hoy en día con profesionales certificados en distintos productos y normativas mundiales dentro de las que se destacan: Check Point: Ingenieros certificados CCSE y con mas de 5 años de experiencia en redes seguras. Fortinet: Ingenieros certificados en diseño y soporte de plataformas de Firewall y UTM ECDP de Extreme: Ingenieros certificados en diseño de redes para soluciones Extreme Networks IBM-ISS: Ingenieros certificados en diseño y soporte de plataformas de IPS Proventia Ironport: Ingenieros certificados en diseño y soporte de plataformas de Antispam Blue Coat: Ingenieros certificados en diseño y soporte de plataformas de Proxy, Filtrado Web y Aceleración de Aplicaciones McAfee: Ingenieros certificados en diseño y soporte de plataformas de Antivirus e IPS 6

7 Websense: Ingenieros certificados en diseño y soporte de plataformas de Web Filtering Imperva: Ingenieros certificados en implementación de Firewalls Aplicativos CISSP: Ingenieros con certificación internacional de seguridad. BS Lead Auditor: Ingeniera certificada en auditoria en base a la BS 7799 Sans GIAC: Ingenieros certificados en el instituto de seguridad SANS. Es de vital importancia para NOVARED el entregar servicios de seguridad que sean del mejor nivel del mercado, para esto NOVARED ha certificado a sus ingenieros en el instituto de seguridad Sans, por lo que cuenta con ingenieros certificado en temas técnicos prácticos y no solo teóricos como Diseño de redes internas seguras, Diseño e Implementación de soluciones de seguridad Perimetral, Auditoria seguridad de redes computacionales, Auditoria de Seguridad en Aplicaciones Web Para NOVARED, la relación con sus proveedores es vital, es por este modo que con cada uno de ellos ha conseguido los más altos niveles de acercamiento, Gold Partner de Check Point, Elite Partner de Mcafee, Advanced Solutions Partner de Extreme Networks, Platinum Partner de IBM-ISS, entre otras. Con este nivel de acercamiento podemos brindar a nuestros clientes servicios de valor agregado tales como, implementación de soluciones, soporte, capacitación, administración y monitoreo. Esta estrecha delación con nuestros proveedores, sumada a nuestro conocimiento y nuestra experiencia nos ha permitido entregar a nuestros clientes: Diseño de redes y Backbone de comunicaciones robustas, altamente disponibles y seguras: Nuestro conocimiento de networking nos permite diseñar redes complejas y optimizar su uso segmentando por zonas de seguridad y ámbito. Análisis de vulnerabilidades y recomendaciones de seguridad: No solo podemos realizar evaluaciones de seguridad, al conocer el negocio de nuestros clientes, podemos recomendar actividades para mitigar las vulnerabilidades encontradas, desarrollar en conjunto implementaciones de infraestructura segura y realizar monitoreos de seguridad preventivos mediante herramientas de correlación. Creación de políticas de seguridad: La experiencia, ya sea en dispositivos de seguridad, como también en definiciones de normativas internas de cada empresa, nos permite poder asesorar a nuestros clientes en la creación de políticas de seguridad, ya sea en la implementación de dispositivos de seguridad, Firewall, IDS, etc., como también en políticas de administración de password, compartimiento de archivos, acceso a dispositivos, etc. Diseño de soluciones de balance de aplicaciones de alta carga Servicios de Seguridad El objetivo del ciclo de seguridad utilizado por Novared es habilitar y asegurar que los activos de información están siempre seguros y disponibles. La Metodología del ciclo de seguridad utilizado por Novared para sus servicios esta basado en la norma BS /ISO , un código de práctica para la seguridad de la Información internacionalmente aceptada. La implementación práctica de nuestra propuesta consiste en número de diferentes componentes y servicios que son ajustados a las necesidades especificas de 7

8 nuestros clientes. Ofreciendo un conjunto de servicios en los diferentes niveles, nuestra solución permite a nuestros clientes elegir los servicios de acuerdo a sus necesidades y presupuestos. Las actividades cíclicas propuestas son mostradas en el siguiente diagrama: Evaluación Esta es una sistemática y estructurada metodología de Evaluación, orientado a destacar los riesgos de seguridad de la infraestructura de la Empresa. Se compone de un conjunto de servicios que permiten a la Empresa evaluar la postura de seguridad actual de la organización. Evaluación de Vulnerabilidades Es un servicio que ha sido diseñado para ayudar a la organización a reconocer y mitigar los riesgos asociados a conocidas vulnerabilidades de seguridad, ayudando a identificar estas vulnerabilidades y priorizar los riesgos basados en el impacto potencial al negocio. Análisis Perimetral - Penetration Test Es un servicio que ha sido diseñado para simular un ataque hacker para determinar si los controles de seguridad implementados por la Empresa han sido quebrados. Este servicio puede tomar la forma de una prueba externa o una prueba a la red interna, dependiendo del tipo de ataque simulado. El objetivo es obtener información que se considere crítica para la Organización para probar que las brechas de seguridad de la organización son probabilidades reales más que teóricas Evaluación de Políticas y Procedimientos Es un servicio de auditoría que permite determinar la idoneidad de las políticas y procedimientos del Cliente y también evaluar el grado de cumplimiento en la Organización de las políticas y procedimientos implementados por el Cliente. 8

9 Análisis Gap Es un servicio que evalúa el cumplimiento del Information Security Management Systems (ISMS) del Cliente contra estándares y regulaciones de seguridad tales como la ISO 17799, ISO 9001 y otros estándares internacionales. Evaluación de Riesgo Es el punto de partida de las decisiones estratégicas de la Organización para reducir el nivel de riesgo de la seguridad de la Información. Basado en una metodología integral que de un modo transparente combina las aproximaciones top down y bottom up de la evaluación de riesgo. Esta metodología única permite a la organización clasificar las amenazas que una aproximación aislada no puede cubrir. Otros servicios de Consultoría de Seguridad Análisis de exposición a servidores internos Auditoria a aplicaciones web Evaluación de seguridad a red interna Evaluación de red Inalámbrica Evaluación a Equipos de Comunicaciones Análisis de Cortafuegos Análisis a IDS/IPS Revisión Topológica de Red Diseño Un conjunto estructurado de servicios para lo cuales se emplean técnicas de análisis basados en el estado del arte de las tecnologías de la información para construir sistemas robustos y seguros basados en los requerimientos de los Clientes. Políticas y Procedimientos Este servicio permite proporcionar asistencia a nuestros clientes en el desarrollo de políticas y procedimientos de seguridad para la protección de la información en sus diversos estados de usuarios internos y externos. Las políticas y procedimientos se realizan para ser cumplidas por todas las áreas de negocios de la organización y para proteger la información y ser una herramienta para la continuidad Operacional. Diseño de topología Seguras Este servicio entrega una propuesta de diseño de la topología de red informática del Cliente con las consideraciones de seguridad planteadas en estándares internacionales, recomendaciones de vendors y la experiencia de Novared en implementaciones de este tipo. Se considera para el diseño de la topología mantener los niveles de integridad, disponibilidad y confidencialidad en los activos de información de la organización. Se evalúan los antecedentes tanto desde el punto de vista de la seguridad como de la disponibilidad de servicios. 9

10 Implementación Un conjunto de servicios que implementa efectivamente y eficientemente variados componentes de las tecnologías de la seguridad después de ser comprobados en un ambiente controlado de laboratorio. Las variadas tecnologías de la seguridad incluyen pero no están limitadas a las siguientes: Soluciones Firewall IDS/IPS Soluciones VPN Soluciones PKI Segurización de plataforma Soluciones Single Sign On (SSO) Soluciones de Identity Managemet Soluciones de Correlación de eventos Soluciones de Filtro de Contenido Soluciones Antivirus y Antispam Sistemas de Gestión de Seguridad Centralizados Mantenimiento y Gestión Servicios que permiten al Cliente efectivamente y eficientemente gestionar su infraestructura de seguridad. Estos incluyen: Estudio y análisis forense. Es un servicio de investigación post incidente que busca identificar a o los perpetradores de brechas de seguridad. Servicio de respuesta ante incidentes. Es un servicio de respuesta ante incidente y mitigación, el cual permite al Cliente tomar una posición preactiva para enfrentar los incidentes de seguridad. La metodología de Novared entrega a los Clientes de políticas herramientas y asistencia en línea en relación con incidentes de seguridad. Servicios gestionados de seguridad - Administración y monitoreo de Firewalls y VPN (Check Point, Fortinet) - Administración y monitoreo de IDS/IPS (IBM ISS, Fortinet) - Administración y monitoreo de AV/AS (McAfee, Ironport, Fortinet) - Administración, monitoreo y correlación de eventos avanzada de plataformas de seguridad y activos críticos de los clientes Educación Los servicios de educación de Novared están dirigidos a atenuar los riesgos de la seguridad de la información proporcionando programas de entrenamiento y de educación en el área de la seguridad de la información para los encargados de negocio y el personal técnico y no técnico. 10

11 Por estos motivos, NOVARED se presenta como una empresa capaz de brindar un servicio de calidad, cumpliendo con los requerimientos planteados y entregando valor agregado, tales como asesoria continua, capacitación y soporte en las distintas necesidades que los clientes requieran Aliados tecnológicos / representaciones Para logran un servicio de primera calidad, orientado a dar soluciones integrales para las necesidades del cliente, Novared a fomentado la creación de alianzas estratégicas con empresas relacionadas, asimismo, se ha encargado de la representación de los mejores productos para satisfacer las exigentes demandas de su mercado objetivo. Dentro de las alianzas y representaciones que destacan en Novared tenemos: 11

12 2. Propuesta de Servicios 2.1. Especificaciones técnicas Objeto El presente pliego tiene por objeto la contratación del servicio de 20 horas profesionales para las tareas que se detallan a continuación: a ser ejecutada en la Dirección de Informática.(sita en el Estado Mayor General de la Fuerza Aérea Argentina Com. Pedro Zanni 250 PB of 094 AMA) y en las demás dependencias que se definan. VPN - Topología: Estrella - Tipo: Site to Site / Acceso remoto - Características técnicas: Check Point VPN-1(TM) & FireWall-1(R) NGX (R62) - Build 120 kernel: NGX (R62) - Build Tipo de encriptación: IPSec Forma de Prestación del servicio TAREAS Se deberá instalar, configurar y realizar las pruebas correspondientes del software para establecer redes privadas virtuales (VPN) entre el generador Firewall-1 (NGX R-62) y como clientes firewalls Linux Fedora core (iptables) con IP fija e IP dinámica y clientes Windows XP con IP dinámica. Las provisiones para el objeto de la presente contratación tendrán vigencia, a partir de la notificación de la orden de compra En el caso que la tarea sea finalizada antes de completarse las horas contratadas, el remanente será empleado implementación de nuevos clientes o para soporte. La Contratista queda obligada a ejecutar los trabajos completos y adecuados a su fin, en la forma que se infiere en los presentes documentos. ETAPAS: La implementación será realizada en 2 (dos) etapas en la forma OJT (On Job Training): - 1ra. ETAPA: será realizada por el Proveedor asistiendo a la misma el personal del Organismo designado a tal efecto. La misma consistirá en establecer una conexión entre el generador de VPNs y 2 (dos) sitios. - 2da. ETAPA: será realizada por el personal del Organismo siendo supervisado por el personal Proveedor. IMPORTANTE: La tarea se considerará cumplimentada una vez que se cumpla con la totalidad de los requisitos señalados anteriormente. 12

13 Requisitos Técnicos de los oferentes PERSONAL El personal de la empresa contratista deberá: 1) ser idóneo y la empresa contratista deberá presentar antecedentes, cursos, etc. 2) acreditar fehacientemente la realización de servicios similares de características técnicas - operativa a la concursada. Asimismo, se designará uno o más responsables (administradores de proyecto) con facultades para que actúen como nexo con el personal del Organismo. El Organismo podrá solicitar al Proveedor por causas justificadas el cambio de personal que el Contratista asigne para el cumplimiento de este servicio. En este caso el proveedor se obliga a sustituir a dicho personal. INFORME DE LOS TRABAJOS REALIZADOS: El Contratista deberá presentar un informe al Organismo, sobre la ejecución de los trabajos, detallando los realizados y toda otra información que tenga que ver con los servicios y trabajos objeto de la contratación. Se deberán incluir: - Configuración de los servicios. - Logs de las conexiones. - Documentación descriptiva de la configuración. CONFIDENCIALIDAD DE LA INFORMACIÓN: Con respecto a cualquier información que ambas partes contratantes identifiquen como reservada y sea entregada por una de las partes a la otra para cualesquiera de los fines de esta contratación, el Organismo y el Contratista se comprometen a mantenerla en forma confidencial Servicios incluidos Consultoría Check Point Propuesta Base para VPN Consideraciones especiales: Dado que la versión R62 ya no está soportada por Check Point, cualquier problema que demande abrir un caso con el fabricante estará sujeto a una previa migración de la plataforma a la versión R65 HFA60 para lograr su resolución (la apertura del caso será responsabilidad del proveedor de soporte actual de FFAA y para ello debe tener la suscripción de Chekc Point vigente). Adjuntamos como alternativa una propuesta de migración a R65 la cual recomendamos realizar antes de comenzar con las tareas solicitadas en el presente pliego. Para las VPN de Acceso Remoto será necesario instalar en los Microsoft Windows XP el cliente Check Point SecuRemote. 13

14 Novared configurará todo lo necesario para cumplir con el presente pliego. Las tareas estarán limitadas a la plataforma Check Point, quedando la configuración de los sitios remotos y/o los Windows XP a entera responsabilidad de la FFAA. Para establecer las VPN site to site con IP dinámica es necesario utilizar certificados como método de autenticación. Para esto hay que contar con una entidad certificante externa compatible con Check Point. Consultoría Check Point Propuesta Alternativa Migración a R65 y VPN Adicionalmente a lo solicitado se incluye la migración del Firewall a la versión R65 de Check Point Cotización Renglón Nº Cantidad Unidad de Medida Descripción Cantidad Ofertada Precio Unitario IVA Total 1 1,00 C/U Iservicio de implementación de red privada Según Especificaciones Técnicas Anexo Alfa Base Alternativa 1 1,00 $ % $ ,00 $ % $

15 3. Condiciones Comerciales Los valores de los servicios están expresados en pesos e incluyen el IVA El plazo para el comienzo de los servicios es de 10 días luego de recibida la orden de compra. Se estipula como lugar de prestación de los servicios el área del AMBA. Con la conformidad del cliente de los servicios brindados, Novared S.A. procederá a la facturación de los servicios mencionados. En un plazo de 30 días después de la fecha de emisión de la factura, el cliente procederá al pago total de la factura mediante cheque al día en pesos o transferencia bancaria. Esta cotización tiene validez por 60 días, después de lo cual las condiciones comerciales pueden ser modificadas 15