-La solución debe proporcionar supervisión y monitoreo de la actividad de las bases de datos para gestionar la seguridad de las mismas.

Transcripción

1 SECRETARÍA DISTRITAL DE MOVILIDAD CONTRATO DE PRESTAMO BID No. 2136/OC-CO PROYECTO APOYO INSTITUCIONAL AL SISTEMA INTEGRADO DE TRANSPORTE PÚBLICO DOCUMENTO DE ACLARACIONES NÚMERO DOS PROCESO SDM LPN No.BID 014 de 2013 OBJETO: Adquisición y puesta en funcionamiento de la infraestructura de gestión de seguridad de la información para el Sistema de Movilidad Urbano regional SIMUR., para los fines pertinentes. PREGUNTAS Y RESPUESTAS PREGUNTA 1. Existe un porcentaje específico sobre el valor del contrato para la póliza de seriedad? Respuesta 1. Ver respuesta a la pregunta 10 del Documento de Aclaraciones Número Uno. PREGUNTA 2. PREMISAS: 1. De acuerdo al numeral 3.1 se tiene "Para la protección de bases de datos se requiere una solución orientada la supervisión y análisis de vulnerabilidades sobre las bases de datos." 2. Los pliegos incluyen la instalación de firewalls SOLICITUD: Debido a que el objetivo del appliance de seguridad para las bases de datos es la "supervisión y análisis de vulnerabilidades" según numeral 3.1 y se tiene la opción de incluir un firewall para controlar y bloquear los accesos a las bases de datos desde las redes o usuarios específicos, solicitamos realizar las siguientes modificaciones sobre el numeral 3.1.5: -La solución debe proporcionar supervisión y monitoreo de la actividad de las bases de datos para gestionar la seguridad de las mismas. - La solución debe ser capaz de realizar búsqueda automática de bases de datos. - La solución debe permitir programar búsqueda de bases de datos periódicos con el fin de evitar la inclusión de Bases de datos falsas a la infraestructura. - La solución debe ser capaz de descubrir los datos confidenciales de las bases de datos y etiquetarlos de acuerdo a las políticas de seguridad de la organización - La solución debe ser capaz de examinar la infraestructura de base de datos y descubrir vulnerabilidades. Página 1 de 6

2 - La solución debe ser capaz de encontrar vulnerabilidades como parches faltantes, privilegios mal configurados y cuentas predeterminadas. - La solución debe ser capaz de producir un informe detallado de los resultados de las vulnerabilidades encontradas e incluir las recomendaciones para solucionarlos. -La solución debe contar con un mecanismo de actualización de las vulnerabilidades existentes en la industria que garantice un análisis de vulnerabilidades real -La solución debe ser capaz de establecer una línea base de configuración de las bases de datos y generar auditoria basada en dicha línea base de configuración. -La solución debe permitir detectar, en tiempo real, las acciones no autorizadas o sospechosas por parte de cuentas privilegiadas y ataques de extraños o usuarios falsos -La solución debe ser capaz de identificar a usuarios de la aplicación cuando realizan cambios no autorizados en las bases de datos mediante aplicaciones propietarias. -La solución debe permitir ser gestionada por el personal de seguridad de la información sin la intervención de los administradores de las bases de datos (DBAs). -La solución debe permitir alertar y auditar control sobre los cambios relacionados a la estructura de bases de datos y sus usuarios, incluyendo DDL (data definition languages) y DCL (data control languages). -La solución debe poseer una interfaz que permita un rápido muestreo de incidentes de seguridad, y que mantenga un registro de los incidentes abiertos, con su nivel de gravedad y duración de los incidentes encontrados en las Bases de datos. Respuesta 2. Las especificaciones técnicas señaladas en el documento de licitación, son las mínimas a ser cumplidas por los oferentes. En cuanto a las modificaciones propuestas por usted nos permitimos dar la siguiente respuesta: - En cuanto a la modificación propuesta: La solución debe proporcionar supervisión y monitoreo de la actividad de las bases de datos para gestionar la seguridad de las mismas, la SDM requiere como lo establece en el numeral de las especificaciones técnicas del documento de licitación que se realice la supervisión de las bases de datos en tiempo real. - En cuanto a la modificación propuesta: La solución debe ser capaz de descubrir los datos confidenciales de las bases de datos y etiquetarlos de acuerdo a las políticas de seguridad Página 2 de 6

3 de la organización el requerimiento mínimo de la SDM es La solución debe ser capaz de clasificar los datos confidenciales de las bases de datos y etiquetarlos de acuerdo a las políticas de seguridad de la organización, si el proceso de descubrimiento permite la identificación de los datos considerados confidenciales, la solución cumpliría con el requisito mínimo solicitado por la entidad. - En la modificación La solución debe permitir detectar, en tiempo real, las acciones no autorizadas o sospechosas por parte de cuentas privilegiadas y ataques de extraños o usuarios falsos para la SDM si la solución propuesta contempla las actividades de detectar y bloquear las acciones no autorizadas con la integración de todos sus componente, la solución cumple con el requisito mínimo solicitado por la entidad. En las especificaciones técnicas se debe explicar en que condiciones se cumple con los diferentes requerimientos de orden técnico. - En cuanto a la modificación La solución debe permitir debe permitir alertar y auditar control sobre los cambios relacionados a la estructura de bases de datos y sus usuarios, incluyendo DDL (data definition languages) y DCL (data control languages). La SDM requiere que la solución permita como mínimo definir políticas de acceso granular que limiten el acceso a tablas especificas basadas en el inicio de sesión del sistema operativo, dirección IP o MAC aplicación de origen horas del día, protocolo de red y tipo de comando SQL, sin que ello limite la utilización de los lenguajes de control especificados en las bases de datos. Es importante señalar que las viñetas 2, 3, 5, 6, 7, 8, 9, 11 y 12 no son sujetas de aclaración pues el interesado no presento observaciones o ajustes sobre las mismas. PREGUNTA 3. En el numeral SOLUCIÓN DE ENDPOINT, mencionan en Funcionalidades, como requerimiento Tener un agente que permita conectarse de forma segura contra los firewalls perimetrales de la entidad (via VPN), si los usuarios se encuentran fuera de la oficina. Esperan que los agentes de EndPoint tengan incluido un agente de VPN para conexión remota a través de VPN IPSec? Respuesta 3. Si, tal como se establece en el literal solución de End Point en el numeral 3. Especificaciones técnicas. PREGUNTA 4. En el numeral SOLUCIÓN DE ENDPOINT, mencionan en Funcionalidades, como requerimiento Tener un agente que permita conectarse de forma segura contra los firewalls perimetrales de la entidad (via VPN), si los usuarios se encuentran fuera de la oficina. En caso de ser afirmativa la respuesta anterior, que marca, modelo y versión de firewall recibirá dichos clientes de VPN? Respuesta 4. El documento de licitación en el literal de l numeral 3. Especificaciones técnicas señala que en la solución se requieren 2 servidores tipo appliance de virtualización firewall de nueva generación, la solución EndPoint propuesta debe conectarse a los equipos ofertados por el proponente. Página 3 de 6

4 PREGUNTA 5. En el numeral SOLUCIÓN DE ENDPOINT, mencionan en Funcionalidades, como requerimiento Contar con un mecanismo, que eduque al usuario (según su perfil) en las políticas de protección de datos. A qué se refieren específicamente con éste requerimiento? Respuesta 5. Cuando se violen políticas de seguridad el agente debe notificar al usuario de la violación mediante mecanismos como ventanas emergentes, notificaciones por correo electrónico, mensajes en barras de estado u otro mecanismos de las soluciones propuestas. PREGUNTA 6. En el numeral SERVIDOR CON SOFTWARE DE MONITOREO DE ESTADO DE RED Y SISTEMAS Y ANÁLISIS DE VULNERABILIDADES, mencionan en Componente, como requerimiento Consola integral de monitoreo de eventos de seguridad de la información y análisis de vulnerabilidades tipo open source. Necesariamente la solución a ofrecer debe ser Open Source? Respuesta 6. Si, porque este tipo de soluciones no limita el número de direcciones IP que pueden estar bajo la supervisión del software de monitoreo. De igual forma se está dando cumplimiento a la política de orden distrital en el uso de este tipo de soluciones. PREGUNTA 7. En el numeral SERVIDOR CON SOFTWARE DE MONITOREO DE ESTADO DE RED Y SISTEMAS Y ANÁLISIS DE VULNERABILIDADES, mencionan en Elementos para Monitorear, como requerimiento Ilimitado (sin límite para el número de elementos de configuración a supervisar). Sabiendo que la solución a ofrecer no es Open Source y por ende no posee licenciamiento ilimitado, a cuantas direcciones IP se les llevaría a cabo el análisis de vulnerabilidades? Respuesta 7. Ver respuesta 6 PREGUNTA 8. En el numeral 3.1.1, se solicita: Favor aclarar si la solución propuesta ya debe incluir estos 10 firewalls virtuales o puede ser una solución sin firewall virtuales y que a futuro se le pueda licenciar esta funcionalidad. De igual forma si la respuesta es que incluya esta funcionalidad de firewalls virtuales, favor aclarar cuantos firewalls virtuales se deben configurar? Para el mismo numeral Página 4 de 6

5 Favor aclarar si es necesario cotizar los 2 puertos de 10 Gigas o se debe cotizar solo los 8 puertos 10/100/100? Respuesta 8. Como se establece en el numeral 3. Especificaciones técnicas, literal servidor tipo appliance la solución debe crecer mínimo hasta 10 sistemas virtuales de igual forma como se señaló en el numeral cuarto de la adenda 1 se deberán instalar, configurar y poner en funcionamiento cuatro (4) firewall virtuales que se definirán en conjunto con la SDM. En cuanto a la pregunta de interfaces y conectividad la solución propuesta deberá tener mínimo 8 puestos 10/100/1000 y si el oferente lo considera puede incluir dentro de su propuesta los puertos de 10G. PREGUNTA Servicios conexos Servidor tipo appliance de protección de bases de datos nos permitimos hacer las siguientes preguntas de aclaración: - Cuantas son las transacciones por segundo de estas bases de datos o en su defecto el número de cores (nucleos) de los procesadores asignados a cada una de estas bases de datos. - Las 3 bases de datos están en un mismo servidor o de lo contrario por favor especificar en cuantos servidores están. - Las 3 bases de datos están en el mismo sitio físicamente? - Las 3 bases de datos están en servidores físicos o virtuales? - Las 3 bases de datos están en cluster o stand alone? - Cuantos son los segmentos de red que debemos monitorear por los que pasan el tráfico hacia / desde los servidores de base de datos? - Qué tipo de interfaces tienen los servidores con las 3 bases de datos, es decir, fibra óptica a Giga o 10G, o cobre? - Es posible tener un diagrama de red con la topología donde se incluyan los 3 servidores? - Qué tipo de base de datos es: Oracle, SQL??? Qué versión? Respuesta 9. Como se explicó en la respuesta No 4 del documento de aclaraciones número uno, la solución propuesta incluye cuatro bases de datos, sus características técnicas y las de la infraestructura tecnológica que las soportan se encuentran en dicho numeral. Las bases de datos están en el mismo sitio físicamente, se encuentran en servidores físicos, su configuración es stand alone ninguna esta en cluster, todas las bases de datos están en el mismo Página 5 de 6

6 segmento y VLAN, los usuarios en diferentes segmentos, las interfaces de todos los servidores son en cobre y las bases de datos son ORACLE. Elaboró: Juan Carlos Alarcon Suescún Consultor Experto en Seguridad de la Información SDM Ana Milena Granados Rodriguez Ingeniera Especializada SDM Revisó: Catherine Ruiz - Especialista de adquisiciones Crédito BID 2136 Claudia Isabel Osorio - Coordinadora crédito BID2136 Aprobó: Bismark Benjamin Buenaños Mosquera Jefe Oficina de Información Sectorial Página 6 de 6