Pliego de Bases Técnicas

Transcripción

1 Securización del Puesto Cliente y Migración de la Plataforma de administración centralizada de los clientes antivirus. Fecha: Febrero de 2010 Referencia: 012/2010 EJIE S.A. Mediterráneo, 14 Tel * Fax Vitoria-Gasteiz Posta-kutxatila / Apartado: Vitoria-Gasteiz Este documento es propiedad de EJIE, S.A. y su contenido es confidencial. Este documento no puede ser reproducido, en su totalidad o parcialmente, ni mostrado a otros, ni utilizado para otros propósitos que los que han originado su entrega, sin el previo permiso escrito de EJIE, S.A.. En el caso de ser entregado en virtud de un contrato, su utilización estará limitada a lo expresamente autorizado en dicho contrato. EJIE, S.A. no podrá ser considerada responsable de eventuales errores u omisiones en la edición del documento. i/15

2 Contenido Capítulo/sección Página 1 Introducción Perfil de la compañía Objeto del contrato Documentos relacionados 5 2 Situación Actual 6 3 Objeto del Contrato Definición de la Estrategia de Securización Analizar el entorno Solución de Protección del puesto cliente Despliegue de la solución Migrar la Plataforma de admón. centralizada de los clientes antivirus 8 4 Especificación de la respuesta al Pliego de Condiciones Contenido Forma Respuesta Visitas a Referencias Valoración de ofertas Condiciones de seguridad 12 5 Precio de la Solución 13 6 Plazo de Ejecución 14 7 ANEXO 1 Cond. Grales. Para la Cont. De materiales y/o servicios 15 8 ANEXO 2 Modelo de Proposición económica 16 ii/15

3 1 Introducción 1.1 Perfil de la compañía EJIE, empresa pública del Gobierno Vasco contribuye, mediante la prestación de servicios informáticos, a conseguir una Administración Pública Vasca moderna y eficiente, construyendo y manteniendo la infraestructura de los Sistemas de Información y posibilitando su continuidad y seguridad en base a un personal cualificado y a unos recursos y costes adecuados a la demanda. EJIE, tiene como meta final la consecución de la satisfacción de sus clientes, para ello se ha impuesto como objetivos permanentes los siguientes: Prestar servicios de manera eficiente y con calidad, asegurando el cumplimiento de los plazos de respuesta y un nivel "cero" de reclamaciones e incidencias. Prestar servicios competitivos en relación al sector, en base a la permanente adecuación de los servicios internos al ámbito de actuación y asignando los recursos óptimos mediante la aplicación de los principios de racionalidad, especialidad y eficiencia. Integrarse activamente con sus clientes en un entorno de transparencia, comunicación y con objetivos comunes: comprensión del problema, enfoque adecuado y resolución satisfactoria. Obtener una imagen corporativa de servicio eficiente, de calidad y de empresa en punta tecnológica en el sector. 1.2 Objeto del contrato Los puestos cliente de la Red Corporativa Administrativa del Gobierno Vasco (RCAGV) disponen actualmente de herramientas que ofrecen funcionalidades de antivirus, de protección de acceso, de desbordamiento de búfer y cortafuegos personal. Se ha detectado que estas herramientas no son suficientes para proteger física y lógicamente los dispositivos y los datos que contienen, aún estando dichos dispositivos en la red administrativa (seguridad perimetral) y/o en edificios corporativos. Para completar la protección de los puestos cliente, existe otro conjunto de tecnologías como el Control de Acceso a la Red (NAC), la Protección de datos Móviles (MDP), la Prevención de la pérdida de Datos (DLP), el control de puertos/dispositivos y la encriptación de discos/datos que dotarían de mayor seguridad al dispositivo cliente. Se ve necesario definir una estrategia de protección de puesto teniendo en cuenta los requerimientos de seguridad para los diferentes perfiles de usuarios (equipos, datos) del ámbito corporativo y las diferentes tecnologías existentes. Así mismo, se pretende adoptar las tecnologías resultantes en un grupo reducido como puedan ser los portátiles y/o los usuarios que trabajen con información confidencial y sensible. Además, existe la necesidad de migrar la plataforma actual de administración centralizada de los antivirus cliente debido a que la versión instalada se encuentra actualmente fuera de soporte y a la necesidad de incorporar nuevas funcionalidades. El objeto del pliego es la contratación de los servicios profesionales para definir una estrategia de securización de los dispositivos clientes corporativos, para implantar una solución (con sus licencias si procede) de protección a un grupo reducido (según necesidad) de usuarios/puestos con mayores requerimientos de seguridad y para migrar la plataforma de administración centralizada de los clientes antivirus actualmente en uso. 4/15

4 1.3 Documentos relacionados Políticas de seguridad de los Sistemas de Información para Empresas Proveedoras. 5/15

5 2 Situación Actual El puesto escritorio corporativo actual está basado en el Sistema Operativo Microsoft Windows XP Service Pack 2 con el paquete ofimático de Microsoft Office 2003 y se completa con un antivirus McAfee VirusScan Enterprise, lector de PDFs de Acrobat y reproductor multimedia Real. Definimos el ámbito corporativo a los PCs que estando en la RCAGV, pertenecen al Directorio Activo corporativo y se le aplican todos los procesos del ciclo de vida del PC ya predefinido. Actualmente existen cerca de equipos de Departamentos, Organismos Autónomos y Sociedades Públicas del Gobierno Vasco dentro de este ámbito. El puesto, además de software, está sujeto a unas configuraciones que lo securizan parcialmente: Actualización de Parches de Seguridad: Se utilizan los servicios de WSUS y Microsoft SMS 2003 para distribuir los parches de seguridad entre los PCs corporativos. Directivas de Grupo del Directorio Activo: Al estar los usuarios y los PCs en el dominio Windows del Directorio Activo, se aplican diferentes Directivas de Grupo que permiten configurar el puesto base y las características de los usuarios. Se configuran permisos de usuario, configuración del Navegador Web, configuración del firewall de Windows, etc. Suite McAfee cliente (McAfee VirusScan Enterprise WorkStation 8.5i/8.7i y Agente v4): Gestionado centralizadamente (epolicy Orchestrator v3.6.1), ofrece servicio de antivirus, protección de acceso, protección contra desbordamiento de búfer, análisis de correo, etc. Hay que tener en cuenta que la plataforma de administración centralizada del antivirus actual gestiona los clientes de los PCs corporativos (cerca de 7.000) y de los servidores Windows de la organización (cerca de 200). Existen otros servicios de seguridad de McAfee como el antivirus para el correo electrónico GroupShield que actualmente no se gestionan centralizadamente. Además, existen otros componentes de seguridad perimetral que aseguran indirectamente al puesto cliente impidiendo el acceso a la red corporativa de código identificado como maligno. Se detecta que estas protecciones no son suficientes para las amenazas del software malintencionado actual. La existencia, cada vez mayor, de dispositivos móviles (portátiles, PDAs, teléfonos móviles) y nuevos almacenamientos externos como memorias USB, CDs o DVDs, multiplica los escenarios (como, por ejemplo, el robo de portátil) donde los datos sensibles pueden verse comprometidos (perdidos o robados). Dentro de la seguridad de los dispositivos cliente (también llamados EndPoints) definimos dos niveles: Protección de los Datos: Sistemas y procedimientos para proteger la información privada y cumplir con requerimientos de auditoría. Normalmente se aplica a dispositivos móviles ya que tienen más riesgos de robo o extravío. Prevención ante la Pérdida de Información (DLP): Tecnologías que realizan inspecciones del contenido de la información (en reposo o en movimiento) y que pueden realizar acciones de remedio como, por ejemplo, un aviso, bloqueo o encriptación de dicha información. Se ve necesario abordar inicialmente (en esta primera fase) la Protección de datos (mediante, por ejemplo, técnicas de encriptación), completando así las tecnologías ya existentes, y quedando para una segunda fase la Prevención antes la pérdida de información (DLP). Lograríamos así, por lo menos, impedir el acceso a la información en escenarios de pérdida o robo de portátiles, almacenamientos externos, etc. 6/15

6 3 Objeto del Contrato Con el objetivo de aumentar la seguridad en los puestos escritorios corporativos, impedir el acceso no autorizado a los datos almacenados en el mismo y migrar la consola de administración de antivirus actual, se definen como objetivos globales del proyecto: Definir una estrategia de Securización del puesto cliente. Analizar el entorno (inventario) y definir diferentes niveles de protección. Proteger a un grupo reducido de usuarios/dispositivos para que ante una pérdida o robo del mismo (o un almacenamiento externo) no sea posible el acceso a los datos que almacenen. Obtener una solución poco compleja, fácilmente administrable y con un impacto mínimo para el usuario final. Migración de la Plataforma de Administración centralizada de los clientes Antivirus actual (McAfee epolicy Orchestrator) 3.1 Definición de la Estrategia de Securización Dentro de las tecnologías tradicionales de protección de puesto final encontramos las herramientas, ya desplegadas en el ámbito corporativo, de AntiVirus y los cortafuegos personales. Para mayor seguridad de los puestos finales, han ido evolucionando diferentes tecnologías hasta ofrecer, además de las anteriores funcionalidades: Capacidades de Control de Acceso a la Red (NAC), encriptación completa de discos y DLP (Prevención ante la pérdida de información). Para abordar una protección del puesto completando objetivos de forma progresiva, se ve necesario definir una estrategia de Securización de puesto final donde además de reconocer lo que es un puesto final (PC, pda, móvil, etc.), se analicen las diferentes tecnologías existentes en este ámbito, se estudie lo que es información sensible y se defina un mapa de ruta de implantación de las diferentes tecnologías en diferentes fases. Esta estrategia cubrirá a todos los dispositivos llamados de punto final (EndPoint), donde además de tratar los dispositivos físicos en sí (ordenadores, móviles, etc.) se tendrá en cuenta el sistema operativo de los mismos (por ejemplo, la evolución del MS Windows XP corporativo hacia otros sistemas como MS Windows 7 o GNU/Linux) o la evolución del antivirus corporativo actual (McAfee). 3.2 Analizar el entorno A la hora de definir la estrategia de Securización, es clave conocer el entorno de aplicación del mismo. Por lo tanto, es necesario analizar e inventariar los puestos finales teniendo en cuenta factores como: Tipo de dispositivo (PC sobremesa, portátil, agenda, móvil, ), perfil de usuario (vip, usuarios avanzado, etc.), tipo de información con la que trabaja, etc. Este inventario debe servir para poder definir una estrategia de Securización fiable y conocer, con exactitud, el número de dispositivos a los que se les implantaría, en esta primera fase, la solución de encriptación seleccionada. En este apartado definiríamos a su vez los diferentes niveles de protección por perfil de dispositivo/usuario. 7/15

7 3.3 Solución de Protección del puesto cliente Hay que tener en cuenta que, actualmente, todos los PCs ya disponen de un antivirus (y su correspondiente agente de gestión centralizada) instalado y que no se plantea su sustitución. Se está buscando una solución que complemente a lo ya existente, no que lo sustituya. A la hora de seleccionar la solución o soluciones de protección del puesto final, se tendrán en cuenta factores como: Capacidades de encriptación de la información (carpetas/ficheros) y/o discos o almacenamientos removibles. Gestión centralizada y con agentes con consumo reducido de recursos en el puesto final. La solución deberá ser poco compleja, fácilmente administrable y con un impacto mínimo para el usuario final. Sería deseable que se integrara con las soluciones de gestión ya existentes. Solución escalable y con disponibilidad de informes. Integración con las propuestas de prevención (DLP), de intrusos, Control de puertos (USB, ) o con las capacidades de cortafuegos personal definidas en la estrategia del primer apartado. Servicio, soporte y visión de evolución. Además de proponer la Solución, se detallará el coste en licencias para poder cubrir el primero de los escenarios, expuesto en el siguiente punto, de encriptación de la información/discos a un número conocido (600) de dispositivos/usuarios. 3.4 Despliegue de la solución Dentro de la estrategia de Securización se ve necesario, a desarrollar en esta primera fase, la implantación de la(s) tecnología(s) seleccionada(s) en un grupo reducido de usuarios (PCs portátiles y/o usuarios con información sensible) que pueden ser cerca de 600 (de los PCs corporativos). En este primer despliegue se aplicarían únicamente tecnologías de encriptación con el objetivo principal de que ante una pérdida o robo del dispositivo, la información almacenada en estos 600 dispositivos, no sea accesible por el personal no autorizado. Antes de empezar con el despliegue, será necesario definir las directivas de encriptación correspondientes y personalizar el entorno afectado. Es deseable que estas tareas de consultoría sean realizadas con la colaboración del fabricante de la solución. 3.5 Migrar la Plataforma de admón. centralizada de los clientes antivirus La plataforma McAfee epolicy Orchestrator versión actualmente en uso, permite administrar la seguridad de los sistemas y los datos de forma centralizada, además de ofrecer despliegue de seguridad, administración de directivas e informes de seguimiento. Actualmente, existen 2 consolas desplegadas que controlan clientes MS Windows XP y 200 servidores Microsoft Windows en diferentes redes con varios repositorios distribuidos. 8/15

8 Existen varias razones para tener que realizar una migración de las mismas a la última versión (4.5): La versión desplegada en el entorno corporativo (v3.6.1) se encuentra, desde el 1 de Enero de 2010, fuera de soporte del fabricante (McAfee). Se pretende evolucionar la versión de los clientes actuales y poder distribuir nuevas soluciones de seguridad. Se pretende incorporar a la gestión centralizada del epo otros servicios de McAfee actualmente en uso como el antivirus para correo electrónico GroupShield de los servidores (11) de MS Exchange. Permite obtener informes de seguimiento más detallados. Puede ocurrir que la solución de protección del puesto cliente (encriptación) seleccionada dependa, para su distribución y administración centralizada, de que la migración de la Plataforma McAfee epolicy Orchestrator se haya realizado. Por ello, y si así fuera, se deberá tener en cuenta a la hora de planificar las diferentes fases del proyecto. Igual que en el caso de la solución de encriptación, antes de empezar con la migración de las consolas, será necesario realizar un estudio de la solución actual, de la futura y la definición de los procedimientos necesarios para la migración de las consolas y los equipos. Es deseable que estas tareas sean realizadas con la colaboración del propio fabricante de la solución. 9/15

9 4 Especificación de la respuesta al Pliego de Condiciones 4.1 Contenido La respuesta al Pliego de Condiciones debe incluir una propuesta (incluyendo oferta de precio) basada en la información de este Pliego de Condiciones y en la experiencia del suministrador en proyectos similares. La respuesta al Pliego de Condiciones debe estar basada en productos con disponibilidad general a 1 de enero de Todos los productos y/o servicios que no tienen el estatus de "tecnología probada" tienen que ser caracterizados explícitamente como tal en la respuesta al Pliego de Condiciones. "Tecnología probada", tal y como se entiende en este documento, se refiere a productos cuyo correcto funcionamiento ha sido probado en la práctica y referenciado por al menos tres clientes de tamaño, complejidad y requerimientos similares a los de EJIE. Además de las preguntas formuladas por EJIE, será muy apreciada una actitud creativa y la aportación de ideas en la respuesta al Pliego de Condiciones. Están invitados a tener esto en cuenta al elaborar su respuesta al Pliego de Condiciones. 4.2 Forma EJIE requiere que las respuestas al Pliego de Condiciones sean en castellano. Si así lo desean, se permite a los suministradores que proporcionen información adicional, como descripciones de productos e información de referencia, solamente en inglés. Todos los documentos que formen parte de la respuesta al Pliego de Condiciones tendrán que estar identificados al menos por un título, un número de documento y su fecha de publicación. Dentro de cada documento, todas las páginas deben mostrar el título del documento y el número de página. Se presentará al menos dos copias impresas y la misma información en dispositivo magnético (CD). 4.3 Respuesta Dentro del alcance de este Pliego de Condiciones, esperamos que los siguientes objetivos sean desarrollados y valorados por el suministrador: Estrategia de Securización de los puestos clientes del ámbito corporativo. Selección y Despliegue de la Solución y de las licencias (solo para el grupo reducido) que cubran los requerimientos planteados. Migración de la Plataforma de Administración de Antivirus Cliente actual. Definición Inicial del Proyecto. 10/15

10 En la respuesta técnica al Pliego de Condiciones, se deberá proporcionar: 1 Introducción y presentación de la oferta con los objetivos, alcances y propuestas. 2 Modelo de organización del servicio global con: a. Órganos de gestión b. Responsable de las diferentes áreas de actividad c. Relaciones entre ellos y con EJIE, así como las funciones principales de los responsables d. Propuesta de gestión y seguimiento del servicio 3 Propuesta del calendario 4 Equipo de trabajo, con Currículum Vitae de todo el personal propuesto, incluyendo conocimientos de idioma, y experiencia en proyectos similares. 5 Propuesta de implantación, hitos, puntos de control, duración, entregables, experiencias y recomendaciones 6 Presentación de empresa y adecuación al servicio demandado a. Estructura de empresa b. Implantación y medios en Euskadi c. Orientación de negocio d. Experiencias e. Certificaciones e información de garantías de calidad 7 Identificación de mejoras y propuesta que a entender del licitador incrementan el valor añadido de sus ofertas respecto de lo demandado en este pliego 8 Se debe confeccionar el modelo de Proposición Económica del Anexo II. 9 Todos los precios vendrán sin IVA. Toda la información de productos, whitepapers y otra documentación será añadida como apéndices. Se requiere que el documento principal sea proporcionado en papel y en formato electrónico, y entregado en EJIE. 4.4 Visitas a Referencias EJIE podría desear visitar a clientes de referencia, si es posible dentro del estado español o en países vecinos. 4.5 Valoración de ofertas Los criterios de adjudicación que servirán de base para la valoración de las propuestas, así como sus pesos de ponderación se recogen a continuación. Para la evaluación de las propuestas se establece un criterio de ponderación con una puntuación máxima de 100 puntos. A continuación se detalla la puntuación y aspectos que se tendrán en cuenta para la adjudicación del trabajo: 11/15

11 Característica Objeto de valoración Puntos Oferta Económica 40 Conocimiento en proyectos y entornos tecnológicos similares 35 Entendimiento y Enfoque del proyecto 15 Planificación y equipo de Trabajo 10 Entendimiento y enfoque del proyecto: Se valorará globalmente la calidad y el valor técnico del proyecto presentado. A tal efecto se tendrán en cuenta los siguientes extremos: contenido, alcance, planteamiento de la solución, detalle y concreción de la oferta. Planificación y metodología del trabajo: Se detallará el programa de trabajo del equipo de trabajo, así como la relación individualizada de los componentes del equipo de trabajo a aportar por la empresa licitadora, certificando las titulaciones académicas y profesionales de sus componentes, la garantía de continuidad y estabilidad laboral del citado equipo durante la vigencia del contrato. Conocimiento en proyectos y entornos tecnológicos similares: Se valorará la participación del equipo de trabajo en proyectos con contenido tecnológico similar al actual. Oferta económica: Se calcula en relación a oferta mínima presentada. Aplicando la siguiente fórmula: P = Pm * (Min / Of) Puntuación = Máxima Puntuación (Oferta Mínima / Oferta a valorar) 4.6 Condiciones de seguridad EJIE S.A. proporcionará acceso a sus sistemas informáticos y entregará la información y documentación necesaria para poder llevar a cabo los Servicios especificados, debiendo la empresa adjudicataria comprometerse a no utilizar para otros fines que los recogidos en el presente Pliego de Condiciones Técnicas, así como a no extraerla, cederla, publicarla o venderla total o parcialmente, ni en soporte informático ni en papel, debiendo proceder a la devolución de los soportes de la información facilitados por EJIE, S.A:, así como a la descarga de la misma de los equipos informáticos (si existieran), una vez se dé por concluido el trabajo. En cumplimiento de la Ley Orgánica de Protección de Datos, se deberá cumplir la Política de Seguridad de los Sistemas de Información que dispone EJIE para las Empresas Proveedoras de Servicios. 12/15

12 5 Precio de la Solución El importe total máximo de la adjudicación sin IVA será de ,00 En documento separado y siguiendo lo establecido en el modelo de Pliego/Hoja de Cláusulas Administrativas se deberán incluir: Importe Total de la oferta Económica: con y sin I.V.A. Relación completa de los costes contenidos en la propuesta, indicando: o Número de horas por persona y categoría/perfil. o Coste hora por categoría/perfil. Categoría y/o Precio Unitario Horas Importe Importe Perfil Euros / Hora Dedicadas Neto IVA Incluido Jefe de Proyecto Analista Funcional Analista Técnico Analista-Programador Programador Diseñador. TOTAL Precio/Medio Total Horas Total Neto Tota con IVA 13/15

13 6 Plazo de Ejecución El plazo de ejecución será de 4 meses desde la adjudicación del contrato. 14/15

14 7 ANEXO 1 Cond. Grales. Para la Cont. De materiales y/o servicios Las condiciones generales de contratación se encuentran publicadas en la WEB de EJIE en la siguiente dirección 15/15

15 8 ANEXO 2 Modelo de Proposición económica El modelo de proposición económica se encuentra publicado en la WEB de EJIE en la siguiente dirección 16/15