IBM Managed Security Services for Unified Threat Management

Transcripción

1 Descripción del Servicio IBM Managed Security Services for Unified Threat Management 1. Visión General del Servicio Los IBM Managed Security Services for Unified Threat Management (llamados MSS for UTM o Servicio ) se destinan a proporcionar supervisión y soporte de dispositivos unificados de gestión de amenazas (llamados Agentes ) en una gama de plataformas y tecnologías. MSS for UTM se destina a ser un dispositivo de seguridad completo, dividido en dos paquetes distintos: Paquete de Protección incluye soporte de firewall y IPS (Sistema de Prevención de Intrusiones) y ayuda a bloquear ataques tradicionales como worms e invasores y el Paquete de Contenido incluye la gestión y soporte de los módulos de filtración Web, antispam y antivirus. Ese paquete ayuda a los Clientes a eliminar s no solicitados y contenido Web discutible y proporciona protección contra amenazas más nuevas como el robo de identidad ( phishing ), virus y spyware. IBM ofrece cada paquete de MSS en los siguientes niveles de servicio alternativos. MSS for UTM Standard; MSS for UTM Select y MSS for UTM Premium, ambos descritos con más detalles a continuación. Los detalles del pedido del Cliente (por ejemplo: los servicios solicitados (incluyendo los niveles de servicio), el período de contrato y los cargos) se especificarán en un Pedido. Las definiciones de la tecnología específica del Servicio se encuentran en IBM soportará los siguientes dispositivos del producto, según sea aplicable: a. Sistema de Detección y Prevención de Intrusiones ( IDS/IPS ) El IDS/IPS es un sistema de gestión de seguridad para computadoras y redes diseñado para recolectar y analizar información de varias áreas de una computadora o red para ayudar a identificar y bloquear posibles infracciones de seguridad (es decir, intrusiones (ataques desde fuera de la organización) y mal uso (ataques desde dentro de la organización)). b. firewall Un dispositivo proyectado para permitir o denegar solicitudes de acceso de acuerdo con una política de seguridad establecida y proporcionar posibilidades de enrutamiento para dirigir el tráfico de la red. Muchos firewalls incluyen un conjunto completo de dispositivos de red (por ejemplo: regrabación de dirección y puerto). c. Redes Privadas Virtuales ( VPNs ) Una VPN utiliza redes públicas de telecomunicaciones para realizar comunicaciones de datos privadas a través de cifrado. La mayoría de las implementaciones usan Internet como la infraestructura pública y una gama de protocolos especializados para soportar telecomunicaciones privadas a través de Internet. d. alta disponibilidad Para ayudar a proteger contra anomalías de hardware y proporcionar alta disponibilidad, se pueden configurar y desplegar dos Agentes de protección: uno totalmente operacional y otro a la espera, como reserva para asumir la función en el caso de que el primer Agente falle. Algunos agentes pueden desplegarse como clústers, de forma que los dos Agentes operen y compartan la carga de la red. e. antispam La tecnología antispam se destina a minimizar el volumen de spam que va a los buzones del usuario. Los filtros de spam usan firmas de spam, algoritmos de detección y análisis heurístico para reducir el volumen de mensajes indeseados y ayudar a eliminar el contenido discutible. INTC Página 1 de 19

2 f. filtración Web La filtración Web ayuda al Cliente a bloquear el contenido discutible, mitigar amenazas transmitidas por la Web y regir la conducta de uso de la Web del personal supervisado por el Agente gestionado. g. antivirus Los sistemas de antivirus de gateway exploran varias clases de transferencias de archivo, como páginas Web, tráfico de e intercambios por el protocolo de transferencia de archivos ( FTP ) para detectar worms, virus y otras formas de malware. IBM prestará los siguientes servicios para soportar los dispositivos de productos mencionados arriba, según sea aplicable: h. Inicio del proyecto, evaluación e implementación Durante el despliegue e inicio del Servicio, IBM trabajará junto con el Cliente para ayudar a definir políticas de seguridad adecuadas, ayudar a instalar y configurar los Agentes y comprobar la operación correcta del dispositivo antes de realizar la transición de los firewalls al Centro de Operaciones de Seguridad ("SOC"). i. gestión de políticas Los firewalls sólo protegen los Hosts cuando están configurados correctamente para su entorno de red. IBM presta servicios de gestión de políticas para ayudar al Cliente a mantener los firewalls configurados con una política de seguridad válida; IBM mantiene registros de todos los cambios. j. gestión de dispositivos IBM mantendrá el Agente al supervisar la disponibilidad y aplicarle las actualizaciones del proveedor. k. supervisión de eventos de seguridad Los dispositivos de gestión unificada de amenazas (denominados UTMs ) pueden generar un alto volumen de alertas en respuesta a las condiciones de seguridad para las cuales están configurados. El riesgo real que corresponde a una determinada condición detectada por un firewall no siempre es claro; no es práctico bloquear, como configuración predeterminada, todos los datos que pueden ser perjudiciales. La supervisión y el análisis adicional proporcionados por los analistas de seguridad de IBM 24 horas al día, todos los días, ayudan a cubrir esa brecha de seguridad al mantener el enfoque en las alertas que pueden ser importantes, validar esas alertas como probables incidentes de seguridad y escalar esos probables Incidentes de Seguridad al cliente. l. gestión de vulnerabilidad Vulnerabilidades son debilidades en dispositivos de red y aplicaciones de servidor/ host en el entorno del Cliente. IBM proporcionará servicios de gestión de vulnerabilidad para ayudar a identificar y remediar esas vulnerabilidades. m. Servicio de Análisis de Amenazas IBM Internet Security Systems X-Force IBM facilitará informaciones de inteligencia al cliente basadas en cosas como investigaciones originales realizadas por el equipo de investigación y desarrollo IBM X-Force, actividad mundial de las amenazas según la identificación del Centro Global de Operaciones de Amenazas IBM e investigaciones secundarias provenientes de otros recursos públicos y privados. n. Virtual-SOC El Virtual-SOC es una interfaz Web que actúa como interfaz del Cliente para gestionar el firewall, alertas, registros, informes, solicitudes de cambio de política y otros tipos de tiquetes de servicio. La tabla a continuación presenta una visión general de los dispositivos del producto de Servicio referentes a los paquetes de Protección y Contenido. Tabla 1 Paquetes de MSS for UTM Dispositivos del Producto Incluido en el paquete de Protección? Incluido en el paquete de Contenido? Incluido si el Cliente se suscribe a los dos paquetes? Gestión de Prevención de Sí No Sí INTC Página 2 de 19

3 Intrusiones Gestión de firewall y VPN Sí No Sí Gestión de filtración Web No Sí Sí Gestión antispam No Sí Sí Gestión de antivirus No Sí Sí La tabla a continuación presenta una visión general de los dispositivos del producto MSS for UTM referentes a los niveles de servicio Standard, Select y Premium. Tabla 2 Dispositivos del Producto Dispositivo Nivel Standard Nivel Select Nivel Premium Soporte a VPNs de sitio a sitio Hasta 2 túneles Hasta 2 túneles Ilimitado Soporte a VPN de Cliente/ SSL Hasta 20 usuarios online en cualquier momento Hasta 50 usuarios online en cualquier momento Ilimitado La tabla a continuación presenta una visión general de los servicios MSS for UTM, referentes a los niveles de servicio Standard, Select y Premium, prestados en soporte a los dispositivos del producto mencionados arriba. Tabla 3 Servicios Servicio Nivel Standard Nivel Select Nivel Premium Inicio del proyecto, evaluación e implementación Ancho de banda soportado (rendimiento sólo del firewall) Incluido Incluido Incluido Hasta 100 Mbps 500 Mbps 1 Gbps o más Gestión de políticas Cambios de política y configuración para 1 paquete Ventana de mantenimiento de política/configuración Cambios extras de política con 2do paquete Número de políticas 2 por mes No 1 1 por puerto 4 por mes Sí 1 1 por puerto Ilimitado Sí N/D 1 por par de puertos Gestión de Dispositivos Almacenamiento/disponibilidad de registro Actualizaciones de Aplicaciones/Sistema Operativo Fuera de Banda Hasta 1 año Sí Opcional Hasta 7 años Sí Obligatorio Hasta 7 años Sí Obligatorio Supervisión de eventos de seguridad Supervisión automatizada Supervisión automatizada y análisis humano opcional 24x7 en tiempo real Supervisión automatizada y análisis humano opcional 24x7 en tiempo real INTC Página 3 de 19

4 Gestión de vulnerabilidad Exploración trimestral de 1 IP Exploración trimestral de 2 IPs Exploración trimestral de 3 IPs Servicio de Análisis de Amenazas IBM Internet Security Systems X-Force Virtual-SOC 1 licencia para el servicio de inteligencia de seguridad del Servicio de Análisis de Amenazas X-Force Proporciona acceso en tiempo real para comunicaciones MSS for UTM Términos Generales MSS for UTM está constituido por dos paquetes distintos (Protección y Contenido); se ofrece cada paquete en tres niveles de servicio distintos (Standard, Select y Premium). Los Clientes que necesitan de ambos paquetes deben contratarlos en el mismo nivel de servicio. 2. Responsabilidades de IBM 2.1 Despliegue e Inicio Los términos y condiciones establecidos en esa sección intitulada Despliegue e Inicio se aplican a ambos paquetes (Protección y Contenido) en todos los tres niveles de servicio (Standard, Select y Premium) Recolección de Datos Durante el despliegue e inicio, IBM trabajará con el Cliente para desplegar un nuevo Agente o iniciar la gestión de un Agente ya existente Inicio del Proyecto IBM enviará al Cliente un de bienvenida y realizará una llamada inicial para: presentar a los contactos del Cliente el especialista en despliegue IBM que se ha asignado; establecer las expectativas y comenzar a evaluar los requisitos y el entorno del Cliente. IBM proporcionará un documento llamado Requisitos de Acceso a la Red, que detalla cómo IBM se conectará remotamente a la red del Cliente y describirá los requisitos técnicos específicos para habilitar ese acceso. Normalmente, IBM se conecta a través de métodos de acceso estándar por Internet; sin embargo, se puede usar una VPN de sitio a sitio, si es adecuado Evaluación Recolección de Datos IBM proporcionará un formulario al Cliente para que documente informaciones detalladas para la configuración inicial del Agente y de los dispositivos de Servicio asociados. La mayoría de las preguntas será de carácter técnico y ayudará a determinar el diseño de la red del Cliente, los Hosts de la red y las políticas de seguridad deseadas. Una parte de los datos solicitados reflejará la organización del Cliente y contendrá los contactos de seguridad y las vías de escalamiento. Evaluación del Entorno A través de la información facilitada, IBM trabajará con el Cliente para comprender su entorno y crear una política de seguridad y configuración para el Agente. Si se está migrando de un agente ya existente a un agente más nuevo, IBM usará la configuración y política del Agente ya existente. Durante esa evaluación, IBM puede recomendar ajustes a la política del Agente o al diseño de la red para aumentar la seguridad. IBM recomienda que se desplieguen todos los agentes alineados, en el perímetro de la red. Si el Agente no ofrece la posibilidad de firewall o está implementado con la posibilidad de firewall inhabilitada, IBM recomienda que se despliegue el Agente detrás de un firewall. La colocación fuera del firewall puede exigir el ajuste de la política para eliminar altos volúmenes de alarmas falsas y puede limitar la capacidad de IBM de implementar ciertas estrategias de protección. Si el cliente elige desplegar el Agente en el modo pasivo, la protección que él proporciona puede disminuir substancialmente. En el caso de que el Cliente elija realizar la transición a un despliegue INTC Página 4 de 19

5 alineado posteriormente, esa transición requerirá un anuncio con antecedencia debido al esfuerzo adicional que será necesario. IBM trabajará con el cliente para ayudar a determinar la configuración ideal del Agente sobre la base de la configuración de red y firewall del Cliente y de las amenazas más activas en todo el mundo (según lo determinado por el Centro de Operaciones de Amenazas Globales IBM). IBM puede ajustar la política para reducir el número de alarmas falsas, si es necesario. Evaluación del Agente ya Existente En el caso de que IBM asuma la gestión de un Agente ya existente, debe evaluarlo para asegurar que cumple con algunas especificaciones. IBM puede requerir la actualización del software del Agente o del Contenido de Seguridad para prestar el Servicio. Otros criterios necesarios pueden involucrar la añadidura o remoción de aplicaciones y cuentas de usuario Implementación Configuración en IBM En el caso de los Agentes comprados a través de IBM a la época del despliegue, una buena parte de la definición de la configuración y políticas tendrá lugar en las instalaciones de IBM. Para los Agentes ya existentes que ya estén en uso, el Cliente tendrá la opción de enviarlos a IBM para que se configuren en las instalaciones de IBM. Instalación Aunque la instalación física y el cableado sean responsabilidad del Cliente, IBM proporcionará soporte en directo, por teléfono y , y ayudará al Cliente a encontrar los documentos de proveedores que detallan el procedimiento de instalación del Agente. Ese soporte se debe planificar con antecedencia para asegurar la disponibilidad de un especialista en despliegue. Mediante solicitud del Cliente y por una tarifa adicional, IBM prestará servicios de instalación física. Configuración Remota Cuando asume la gestión de un Gestor de Agentes ya existente, IBM normalmente realiza la configuración en forma remota. Esa configuración puede incluir el registro del Agente en la infraestructura de los IBM Managed Security Services. Se puede requerir que el Cliente cargue físicamente los soportes físicos Transición al SOC Una vez que el Agente esté configurado, instalado e implementado físicamente y conectado a la infraestructura de IBM Managed Security Services, IBM ofrecerá al Cliente la opción de una demostración de las posibilidades del Virtual-SOC y de la realización de tareas comunes. La etapa final del despliegue del Servicio ocurre cuando el SOC asume la gestión y el soporte del Agente y la relación con el cliente. En ese momento, la etapa de soporte y gestión continua del Servicio comienza oficialmente. IBM presenta el Cliente al personal del SOC por teléfono. 2.2 Gestión y soporte contínuo - General Con excepción de lo declarado específicamente abajo, los términos y condiciones establecidos en esa sección intitulada Gestión y soporte contínuo - General se aplican a ambos paquetes (Protección y Contenido) en todos los tres niveles de servicio (Standard, Select y Premium). IBM prestará el Servicio durante la vigencia inicial del contrato, tras el establecimiento del entorno del Servicio y durante la vigencia de cualquier renovación contractual Gestión de Políticas De acuerdo con la política de seguridad y la configuración desarrollada durante el despliegue y el inicio, IBM mantendrá una política de seguridad consistente para todas las funciones del agente gestionadas por IBM. Cambios Todos los cambios de política y configuración en las funciones gestionadas del Agente serán realizados únicamente por IBM. Los clientes que se suscriben a un paquete (o Protección o bien Contenido) pueden solicitar cambios de políticas (según se especifica abajo) al enviar una solicitud de cambio de política a través del Virtual- SOC. El número permitido de cambios de política es lo siguiente: INTC Página 5 de 19

6 Nivel Standard hasta dos cambios de política por mes natural Nivel Select hasta cuatro cambios de política por mes natural Nivel Premium cambios de política ilimitados por mes natural Los Clientes que se suscriben al paquete Protección y al Contenido, en el nivel Standard o Select, pueden solicitar un cambio adicional por mes además del número que se indica arriba. Se pueden proporcionar cambios de política adicionales por una tarifa adicional. Tras el final del mes natural, los cambios de política no utilizados se consideran nulos y no pueden pasar al mes siguiente. Ventanas de Mantenimiento Además, los clientes en el nivel de servicio Select o Premium pueden especificar un período para que IBM implemente un único cambio de política o configuración. El Cliente puede especificar el tiempo inicial y el tiempo final de la ventana, pero ésta debe tener por lo menos 30 minutos de duración. Si el Cliente no especifica el tiempo final de la ventana de mantenimiento, IBM comenzará la implementación del cambio de política solicitado en 30 minutos del tiempo inicial de la ventana. Si el Cliente especifica el tiempo inicial y final, IBM comenzará a implementar el cambio de política dentro de la ventana de mantenimiento. Cambios Urgentes de Política Los Clientes del nivel de servicio Premium pueden solicitar un cambio urgente de política por mes, para cada Agente gestionado por IBM, durante la vigencia del contrato. Los cambios urgentes no utilizados no pasan al mes natural siguiente. A los Clientes de los niveles de servicio Standard y Select, se les proporcionarán cambios urgentes de política por una tarifa adicional. El cliente debe enviar las solicitudes de cambio urgente a través del Virtual-SOC, siguiendo los procedimientos normales de envío de cambios. Durante el envío electrónico de la solicitud de cambio, el cambio debe estar claramente identificado como una emergencia. Tras el envío electrónico, un contacto de seguridad autorizado debe realizar una llamada de seguimiento al SOC y escalar el envío de cambio al estado de emergencia Gestión de Dispositivos IBM será el único suministrador de gestión de dispositivos en el ámbito de software para el agente. Con acceso de raíz/súper usuario/administrador al dispositivo, un sistema fuera de banda y un Agente soportado instalado en el dispositivo, IBM mantendrá el conocimiento del estado del sistema, aplicará parches y actualizaciones de sistema operativo, resolverá los problemas del dispositivo y trabajará con el Cliente para ayudar a asegurar la disponibilidad del dispositivo. IBM supervisará la disponibilidad del Agente, dependiendo de la plataforma, avisará al Cliente cuando se atinjan ciertos umbrales de utilización y supervisará el dispositivo 24 horas al día, los 7 días de la semana. Se proporcionarán actualizaciones regulares y automáticas para el software y firmware cuando sea aplicable. Mediante solicitud del Cliente y por una tarifa adicional, IBM proporcionará asistencia onsite. Conectividad de Gestión Todos los registros, eventos y datos de gestión de seguridad se desplazan entre el SOC y el Agente gestionado a través de Internet. Siempre que es posible, los datos transmitidos por Internet se cifran mediante fuertes algoritmos de cifrado que son el estándar de la industria. Solicitudes de conectividad por medios alternativos (por ejemplo: circuito de datos privado y/o VPN) se tendrán en cuenta caso por caso. Pueden aplicarse tarifas mensuales adicionales para cumplir requisitos de conexión fuera de la conectividad estándar dentro de banda. Plataformas de Gestión En muchos casos, IBM usará una plataforma de gestión en sus instalaciones para gestionar el agente. En el caso de los productos IBM Proventia, IBM normalmente usará la infraestructura de gestión IBM SiteProtector para controlar la política y configuración del Agente, obtener actualizaciones del Agente y recibir datos del Agente en forma segura a través de un recopilador de eventos de SiteProtector (llamado Event Collector ). INTC Página 6 de 19

7 En algunos casos, puede ser que el cliente ya use el SiteProtector y opte por conectar el agente al Event Collector en sus instalaciones. Luego, el Event Collector del Cliente se conectará a la infraestructura de SiteProtector en IBM. Se conoce esa configuración como apilada. El cliente que elija usar la configuración apilada de SiteProtector estará sujeto a responsabilidades adicionales. Almacenamiento de Registro El Sistema de Protección X-Force ( XPS ) actúa como un depósito de datos de evento provenientes de varios dispositivos de seguridad, aplicaciones y plataformas. La infraestructura mantiene las protecciones necesarias para la separación lógica de los datos por dispositivo y por Cliente. Los eventos y registros de seguridad se almacenan en forma nativa en un formato comprimido, para preservar los datos brutos originales. A medida que se graba en el disco cada registro y evento de seguridad, se genera automáticamente un hash exclusivo para verificar la integridad de los datos. Al final de cada período de 24 horas, se crea una suma de comprobación de todos los hashes generados a lo largo del día, que actúa como una instantánea de la actividad del día anterior. El Cliente puede especificar períodos de retención exactos "por dispositivo" en incrementos de un año. Todos los tiempos de retención especificados presuponen que se ha mantenido un contrato activo de Servicio para evento de seguridad y origen de registro. Entrega de Eventos y Registros de Seguridad IBM recuperará los datos del Cliente, mediante su solicitud, desde la Infraestructura de los IBM Managed Security Services y los almacenará en soportes físicos cifrados para entrega a una ubicación especificada. IBM cobrará las tarifas de consultoría actuales o tarifas negociadas previamente referentes a todo el tiempo y los materiales empleados restaurar y preparar los datos en el formato solicitado por el Cliente. Supervisión de Estado y Disponibilidad IBM supervisará la disponibilidad del Agente a través de un conjunto de Agentes. En el caso de algunas plataformas, IBM supervisará la secuencia de datos proveniente del Agente y las interfaces administrativas de sondeo en el Agente. Si se pierde el contacto con un dispositivo gestionado, se inician verificaciones adicionales basadas en tiempo para validar el corte. En el caso de varias plataformas, IBM instalará un software de supervisión en el Agente que supervisa el estado y rendimiento del sistema. En esos despliegues, IBM analizará y responderá a medidas clave tales como: capacidad del disco duro (si se aplica); utilización de CPU; utilización de memoria y disponibilidad de procesos. En el caso de que esas verificaciones confirmen un corte o problemas en el estado del sistema, se crea un tiquete de problema y se avisa a un analista de seguridad de IBM para que comience la investigación. El estado de todos los tiquetes de estado del sistema está disponible a través del Virtual-SOC. Notificación de Corte Si no se puede contactar el Agente a través de los medios estándar dentro de banda, se avisará al Cliente por teléfono a través de un procedimiento de escalamiento predeterminado. Tras el escalamiento por teléfono, IBM comienza a investigar los problemas relacionados con la configuración o funcionalidad del dispositivo gestionado. Actualizaciones de Aplicación/Sistema Operativo Periódicamente, IBM tendrá que instalar parches y actualizaciones de software para mejorar el rendimiento del dispositivo, habilitar otras funcionalidades y resolver posibles problemas de aplicación. La aplicación de esos parches y actualizaciones puede requerir tiempo de inactividad de la plataforma o asistencia del Cliente. Si es necesario, IBM establece una ventana de mantenimiento antes de esas actualizaciones y el anuncio expresa claramente los impactos del mantenimiento planificado y los requisitos específicos del Cliente. Actualizaciones del Contenido de Seguridad Para asegurar la identificación correcta de las amenazas más actuales, IBM actualiza periódicamente las plataformas de seguridad con el Contenido de Seguridad más reciente. El Contenido de Seguridad INTC Página 7 de 19

8 proporcionado en la forma de nuevas comprobaciones o firmas para los módulos de IPS, antispam y antivirus y de nuevas listas de URL para el módulo de filtración Web, aumenta las posibilidades de seguridad del agente. A criterio de IBM, las actualizaciones del Contenido de Seguridad pueden descargarse e instalarse en la plataforma de seguridad en cualquier momento. Esa operación es transparente a los usuarios. Solución de Problemas del Dispositivo Si el agente no funciona como se espera o si se detecta que es el posible origen de un problema relacionado con la red, IBM examinará su configuración y funcionalidad para buscar posibles problemas. La resolución de problemas puede consistir en un análisis offline realizado por IBM o en una sesión de resolución activa de problemas entre IBM y el Cliente. IBM intentará resolver los problemas técnicos en la forma más apropiada y factible. Si se descarta la posibilidad de que el Agente es el origen de un determinado problema, IBM no participará más en la solución de problemas. Acceso Fuera de Banda El acceso fuera de banda ( OOB ) es un dispositivo opcional pero muy recomendable que ayuda el SOC en el diagnóstico de posibles problemas en el dispositivo del OA. La implementación de OOB requiere que el cliente compre un dispositivo de OOB con soporte de IBM y proporcione una línea telefónica analógica para conectividad. OOB es un dispositivo opcional en el nivel Standard del Servicio, pero es necesario en los niveles Select y Premium. Si el Cliente ya tiene una solución de OOB, IBM la usará para obtener acceso OOB a los dispositivos gestionados, bajo las siguientes condiciones: la solución es aprobada por IBM; la solución no proporciona a IBM el acceso a ningún dispositivo no gestionado; el uso de la solución no requiere la instalación de software especializado; el Cliente proporciona instrucciones detalladas para acceder a los dispositivos gestionados por IBM y el Cliente es responsable de todos los aspectos de la gestión de la solución OOB Gestión de Vulnerabilidad El servicio de Gestión de Vulnerabilidad ( VMS ) es un servicio electrónico prestado en forma remota que explora automáticamente los dispositivos del perímetro Internet del cliente incluidos en el ámbito para detectar vulnerabilidades conocidas. Cada exploración resulta en varios informes completos destinados a identificar posibles debilidades, evaluar el riesgo relativo de la red y hacer recomendaciones para gestionar las vulnerabilidades identificadas. IBM le solicitará al cliente que confirme que es propietario de todas las direcciones IP a ser exploradas, antes de la exploración inicial de la misma. Para cada Agente adquirido, el cliente recibirá una exploración remota trimestral para evaluación de vulnerabilidad para hasta cinco direcciones IP. Se pueden encontrar detalles del VMS en la Descripción de Servicio intitulada IBM Vulnerability Management Service, documento número Z xx, que se puede encontrar en Alta Disponibilidad (Opcional) La Alta Disponibilidad ( HA ) aumenta la fiabilidad del Servicio al soportar la implementación de Agentes redundantes en el entorno gestionado del Cliente. La añadidura de HA al Servicio requiere la compra de un segundo Agente y tarifas de gestión continua. También puede requerir cambios en el Agente, licenciamiento de software, requisitos de dirección IP o tarifas de servicios gestionados. El Servicio no soporta soluciones de HA no integradas de terceros. HA es un dispositivo opcional disponible por una tarifa adicional. Implementaciones de Activo/Pasivo Las implementaciones activo/pasivo aumentan la confiabilidad de la solución de gateway de Agente a través de la redundancia. En esa configuración, se configura un segundo Agente como espera en caliente, listo para comenzar a actuar en la red si el Agente primario presenta una anomalía crítica de hardware o software. En ese caso de ejemplo, la migración tras error esta diseñada para ser automática INTC Página 8 de 19

9 y casi instantánea. Las configuraciones activo/pasivo se recomiendan para entornos de misión crítica con cargas de tráfico bajas o medianas. Implementaciones de Activo/Activo Los clústers activo/activo aumentan la fiabilidad y el rendimiento de los Agentes gestionados al usar los dos Agentes para manipular simultáneamente el tráfico de red. En esa configuración, cada Agente maneja una parte de los paquetes de red, determinados por un algoritmo de equilibrio de carga. Si un Agente falla, el otro está diseñado para manejar automáticamente todo el tráfico hasta la restauración del Agente fallido. Las configuraciones activo/activo se recomiendan para entornos de misión críticas con altos volúmenes de tráfico y/o grandes variaciones en la utilización de la red Servicio de Análisis de Amenazas X-Force El Servicio XFTAS proporciona una gestión proactiva de seguridad a través de la evaluación completa de las condiciones de las amenazas online globales y análisis detallados. El Servicio facilita informaciones acerca de amenazas, provenientes de los SOCs, de datos confiables de inteligencia del equipo de investigación y desarrollo IBM X-Force, del Centro de Operaciones de Amenazas Globales IBM y de investigaciones secundarias realizadas por otros recursos públicos y privados. Esa combinación ayuda a identificar el carácter y la gravedad de amenazas de Internet externas. Además de los alertas y datos de inteligencia de X-Force, cada contacto de seguridad registrado recibirá informaciones detalladas acerca de métricas de puertos de Internet en tiempo real, desfiguraciones Web, actividades de worms y virus y un análisis diario de las condiciones de amenazas en Internet. Para cada contacto de seguridad autorizado, el Cliente recibirá una licencia para el Servicio de Análisis de Amenazas de X-Force durante la vigencia del contrato Virtual-SOC El Virtual-SOC es una interfaz basada en Web diseñado para posibilitar el suministro de detalles clave del servicio y soluciones de protección bajo demanda. El Virtual-SOC está estructurado para proporcionar una vista consolidada de la postura de seguridad global del Cliente. El portal tiene capacidad de fusionar datos de varias regiones geográficas o tecnologías en una interfaz común, lo que permite análisis amplio, emisión de alertas, remediación e informe. El Virtual-SOC proporciona acceso en tiempo real para comunicaciones, como creación de tiquetes, manejo de eventos, respuesta a incidentes, presentación de datos, generación de informes y análisis de tendencias. Informes El Cliente tendrá acceso a informaciones completas acerca del Servicio, a través del Virtual-SOC, para revisar los tiquetes de servicios e Incidentes de Seguridad en cualquier momento. Una vez al mes, IBM producirá un informe resumido que incluye: a. número de acuerdos de nivel de servicio ( SLAs ) invocados y cumplidos; b. número y tipo de solicitudes de servicio; c. lista y resumen de tiquetes de servicio; d. número de Incidentes de Seguridad detectados, prioridad y estado y e. lista y resumen de Incidentes de Seguridad. 2.3 Gestión y Soporte Contínuo Especifico para el Paquete Los términos y condiciones establecidos en esa sección intitulada Gestión y Soporte Contínuo Especifico para el Paquete se aplican al paquete de Protección o bien al de Contenido de MSS for UTM (según se especifica abajo). Con excepción de lo especificado a continuación, los términos y condiciones establecidos en esa sección se aplican a todos los tres niveles de servicio (Standard, Select y Premium) Prevención de Intrusiones Los términos y condiciones establecidos en la sección intitulada Prevención de intrusiones se aplican sólo a los Clientes que contrataron el paquete de Protección de MSS for UTM. La tecnología de prevención de intrusiones permite al agente identificar los ataques. Si el Agente está instalado en forma alineada, puede ayudar a bloquear ataques de red. INTC Página 9 de 19

10 Gestión de Políticas IBM configurará y mantendrá una política de Prevención de Intrusiones basada en el Agente y nivel de servicio adquiridos, que permitirá nuevas verificaciones de seguridad tras el lanzamiento de las actualizaciones del contenido de seguridad. En forma predeterminada, las políticas están configuradas para detectar y bloquear actividades críticas de ataque, exploits asociados a worms de propagación en masa y firmas de denegación de servicio ( DoS ). Si la configuración del Agente produce resultados indeseables (p. ej. un alto número de falsos positivos, datos irrelevantes o el bloqueo inadvertido de tráfico legítimo), IBM puede tomar medidas proactivas para ajustarla. Esos cambios son necesarios pues cantidades excesivas de datos de IDS/IPS pueden eclipsar una actividad real de ataque o afectar el rendimiento global de un dispositivo. Los clientes de MSS for UTM en el nivel de servicio Premium también pueden sacar provecho del soporte a varias políticas en algunos Dispositivos de UTM. Si la plataforma desplegada proporciona esa posibilidad y si no existen limitaciones ambientales o técnicas los clientes pueden desplegar el dispositivo en una configuración que permita como máximo una política por par de puertos cuando el dispositivo está desplegado en una configuración alineada. Políticas adicionales pueden resultar en más tarifas mensuales recurrentes de servicio. Supervisión y Escalamientos Todos los ataques identificados por la política del Agente, incluyendo datos completos, serán relatados a través del Virtual-SOC. Si el Agente está desplegado en alineación con la funcionalidad de Prevención de Intrusiones, muchos de esos ataques son bloqueados y no requieren acciones posteriores. Ya que la actividad maliciosa ocurre 24 horas al día, todos los días, y el bloqueo de tráfico es una ocurrencia regular, no habrá escalamientos producidos por el bloqueo exitoso de la entrada del tráfico indeseado. IBM también soporta el análisis automatizado de ciertas plataformas. En el caso de esos agentes soportados, IBM genera alertas sobre la base de los eventos de seguridad entrantes. Esos eventos de seguridad llamarán la atención del analista de IBM, para que realice una revisión. Ataques actuables y validados serán tratados como Incidentes de Seguridad y luego se escalarán a los contactos designados por el Cliente a través de y/o aviso de mensaje de texto basado en . El Virtual-SOC permite que los Clientes vean y emitan informes sobre esas alertas y proporciona un sistema de tiquete con todas las funciones para manejar e escalar internamente los Incidentes de Seguridad. Supervisión Total (opcional) Las políticas buscan eventos críticos, actividad maliciosa de prioridad mediana y baja, actividad sospechosa y mal uso de la red. El cliente puede solicitar cambios de políticas para habilitar posibilidades adicionales de detección o prevención, modificar acciones de respuesta y realizar el ajuste fino del tipo de información que el módulo de Prevención de Intrusiones recibe. Si el agente desplegado tiene capacidad de manejar el soporte a varias políticas y si no existen limitaciones ambientales el Cliente puede desplegar el Agente en una configuración que permita como máximo una política por par de puertos cuando el Agente está desplegado en una configuración alineada. Políticas adicionales además de las cifras máximas establecidas pueden resultar en más tarifas mensuales recurrentes de servicio. IBM supervisará todos los eventos de seguridad generados por el agente, validarlos y, si es necesario, crear un tiquete te incidente de seguridad todo ello 24 horas al día, todos los días. Opciones de Supervisión Dispositivo Sólo Informes Supervisión Completa Supervisión de eventos de seguridad 24 x 7 Escalamientos de Incidentes de Seguridad Supervisión automatizada mediante sistemas inteligentes Por tras la identificación y validación Supervisión automatizada con análisis 24 x 7 en tiempo real realizada por personas Por teléfono y/o , según la prioridad del evento INTC Página 10 de 19

11 Configuración de la política de IDS/IPS Actividad maliciosa de alta prioridad Actividad de alta, mediana y baja prioridad (incluyendo actividad sospechosa y mal uso de la red) Firewall Los términos y condiciones establecidos en esta sección intitulada Firewall se aplican sólo a los clientes que contrataron el paquete de Protección de MSS for UTM. El módulo de firewall se destina a impedir que el tráfico malicioso e indeseado entre en el punto de control o salga de él. El Servicio identifica y bloquea el acceso a ciertas aplicaciones y datos que tratan de entrar a la red del cliente, a través de inspección con estado (también conocida como filtración dinámica de paquetes ). Política de Seguridad Durante el proceso inicial de configuración y despliegue, IBM trabajará con el Cliente para crear una política personalizada de acuerdo con las necesidades específicas de la organización. Las políticas del módulo de firewall soportan la creación de reglas estándar (p. ej., origen, destino, servicio y acción), agrupaciones de objetos y protocolos y configuraciones de traducción de dirección de puerto/red. Se define un único cambio de configuración/ política de firewall como cualquier solicitud autorizada para añadir o modificar una regla con cinco o menos objetos de red o IP en una única solicitud. Cualquier solicitud de cambio que requiera la añadidura de seis o más objetos de red o IP o la manipulación de dos reglas o más se considerará como dos solicitudes o más. Si la solicitud se aplica a cambios fuera de la política de firewall basada en reglas, cada solicitud enviada se considerará como un único cambio, dentro de los límites razonables. Cuentas de Autenticación La funcionalidad específica del firewall frecuentemente permite autenticar las cuentas de usuario para habilitar el acceso a través de proxies de aplicación o para el uso de protocolos específicos. IBM soportará la habilitación de esa funcionalidad; sin embargo, la gestión de las cuentas de usuario es responsabilidad de los contactos de seguridad autorizados por el Cliente. Para simplificar ese proceso, es conveniente que los Clientes integren al firewall un servidor de autenticación de terceros. Ese servidor será gestionado por el Cliente y simplificará el proceso de gestión de cuentas al expandir las opciones disponibles de la administración de usuarios. Los temas de IBM relacionados con la autenticación de protocolos y proxies de aplicaciones también se extienden a las posibilidades de VPN de SSL y clientes. Notificaciones y Alertas Ciertas plataformas de firewall permiten que se generen s y/ o interrupciones de SNMP y se los envíen desde el dispositivo cuando ocurran ciertos eventos relacionados con firewall. Al seguir el procedimiento estándar de solicitud de cambio, el Cliente puede solicitar a IBM que configure la plataforma de firewall para que entregue s a una dirección designada o genere interrupciones de SNMP. Esa configuración está sujeta a la aprobación de IBM, que no se denegará sin un motivo razonable. Sin embargo, se denegará la solicitud si la configuración produce un efecto adverso en la capacidad de la plataforma de proteger el entorno de red, entre otras razones. Así como en otras configuraciones de dispositivo, los cambios en las configuraciones de notificación y alerta de la plataforma se considerarán como una solicitud de cambio de política Soporte de VPN Los términos y condiciones establecidos en esa sección intitulada Soporte de VPN se aplican sólo a los clientes que contrataron el paquete de Protección de MSS for UTM. El dispositivo de VPN permite que las VPNs soportadas basadas en servidor o en cliente se conecten al Agente y ayuda a habilitar la transmisión segura de datos en redes no confiables, a través de la comunicación de sitio a sitio. La configuración predeterminada de esa función activa esa posibilidad en el Agente gestionado e incluye la configuración inicial de hasta dos sitios remotos. Tras la configuración inicial, cada configuración de VPN de sitio a sitio se considera como un cambio de política. IBM soporta métodos de autenticación estática para las configuraciones de VPN de cliente y de sitio a sitio. La autenticación estática también incluye el uso de la implementación ya existente del servidor de autenticación Radius del Cliente. Actualmente no hay soporte para la autenticación basada en certificado como parte de la configuración de servicios de VPN. INTC Página 11 de 19

12 VPNs de Sitio a Sitio Se define una VPN de sitio a sitio como una VPN creada entre el agente y otro dispositivo de cifrado soportado. Las VPNs de sitio a sitio ayudan a proteger la conectividad de redes enteras al construir un túnel entre la plataforma de firewall gestionada y otro punto final de VPN compatible. Se pueden establecer VPNs de sitio a sitio entre: dos agentes con capacidad de VPN gestionados por IBM o un punto final gestionado por IBM y un punto final no gestionado por IBM. Se cobrará una tarifa única por la configuración inicial de un punto final de gestionado a no gestionado. En el caso de que haya problemas en el túnel de VPN tras la configuración, IBM trabajará con los contactos del Cliente y del proveedor para identificar, diagnosticar y resolver problemas de rendimiento y problemas relacionados con IBM. VPNs de Cliente Las VPNs de cliente ayudan a proporcionar conectividad segura en una red protegida, desde una única estación de trabajo con las credenciales de acceso y el software adecuado de una VPN de cliente. Las VPNs de cliente ayudan a permitir que trabajadores remotos accedan a los recursos de la red interna sin el riesgo de acceso no autorizado o comprometimiento de datos. Para los clientes de MSS for UTM, el número permitido de conexiones simultáneas de VPN de cliente es lo que sigue: Nivel Standard hasta 20 Nivel Select hasta 50 Nivel Premium ilimitado (dentro de las restricciones de la plataforma) IBM soporta implementaciones de VPN de cliente a través de un modelo de habilitación. IBM trabajará con el Cliente para configurar y probar los cinco primeros usuarios de la VPN de cliente. Tras el éxito en la conectividad de esos cinco usuarios, el Cliente será responsable de la administración de usuarios en el caso de individuos que requieren una conexión de VPN de cliente. IBM ofrecerá al Cliente una demostración de las posibilidades de gestión de usuarios de la plataforma de firewall desplegada (si se aplica) y ayudará a proporcionar los niveles de acceso adecuados y el software necesario para concluir la configuración. Las soluciones de VPN de cliente normalmente requieren la instalación de una aplicación de VPN de cliente en las estaciones de trabajo específicas que forman parte del túnel protegido. El Agente desplegado está diseñado para determinar las aplicaciones específicas de VPN de cliente que deben ser soportadas. Algunas aplicaciones de VPN de cliente pueden estar disponibles a través de sus respectivos proveedores sin costo adicional, mientras que otras son licenciadas por usuario. El Cliente es el único responsable de la adquisición, instalación y costos asociados a cualquier software de VPN de cliente. VPNs de Capa de Sockets Seguros ( SSL ) SSL VPNs son una clase de VPN de cliente; cada SSL VPN se tiene en cuenta en la cuota de VPN de cliente. Las SSL VPNs ayudan a proporcionar conectividad segura a los recursos de la compañía desde cualquier computador personal ( PC ) habilitado para la Web, sin necesidad de una aplicación dedicada de VPN de cliente. Eso permite que los trabajadores remotos accedan a los recursos de la compañía desde un PC conectado a Internet. Diferentemente de lo que ocurre en la seguridad de Protocolo de Internet ( IPsec ) convencional, las SSL VPNs no requieren la instalación de un software especializado de cliente en los computadores de los usuarios. IBM soporta implementaciones de SSL VPN a través de un modelo de habilitación. IBM trabajará con el Cliente para configurar y probar los cinco primeros usuarios de la SSL VPN. Tras el éxito en la conectividad de esos cinco usuarios, el Cliente será responsable de la administración de usuarios en el caso de individuos que requieren una conexión de SSL VPN. IBM ofrecerá al Cliente una demostración de las posibilidades de gestión de usuarios de la plataforma de firewall desplegada (si se aplica) y proporcionará los niveles de acceso adecuados y el software necesario para concluir la configuración Filtración Web Los términos y condiciones establecidos en esa sección intitulada Filtración Web se aplican sólo a los clientes que contrataron el paquete de contenido de MSS for UTM. INTC Página 12 de 19

13 La filtración Web se destina a tratar del contenido de Internet que puede ser discutible. A través de la tecnología de análisis de contenido, el Agente gestionado puede proporcionar control de contenido basado en políticas. La habilitación de la filtración Web puede requerir licencias adicionales para el Agente, de las cuales el Cliente es el único responsable. Configuración Para que la filtración Web sea efectiva, el Agente debe estar posicionado en un lugar donde el tráfico Web del usuario pase por los dispositivos antes de llegar al destino pretendido. Eso permite que el módulo de filtración Web compare el URL solicitado con la base de datos de contenido para confirmar que el destino solicitado es autorizado. Durante el proceso inicial de configuración y despliegue, IBM trabajará con el Cliente para crear una política personalizada de acuerdo con las necesidades específicas de la organización. Lo que sigue es una visión general de los dispositivos que se extienden por todas las soluciones de filtración Web soportadas: Antispam Listas de categoría una selección de las categorías de contenido que se deben bloquear; Listas blancas de destino sitios específicos que se deben permitir aun si forman parte de una categoría de contenido prohibida; Listas negras de destino sitios específicos que se deben bloquear aun si forman parte de una categoría de contenido permitida y Lista blanca de origen direcciones de IP específicas que se deben excluir de la filtración de contenido. Los términos y condiciones establecidos en esa sección intitulada Antispam se aplican sólo a los clientes que contrataron el paquete de contenido de MSS for UTM. Las posibilidades antispam integradas de varios agentes comprueban los mensajes de entrantes y salientes para detectar firmas, patrones y conductas conocidas de spam. El Agente debe estar posicionado en un lugar donde el pase por el dispositivo antes de llegar al gateway de correo. Ello ayuda a impedir que mensajes indeseados perjudiquen el rendimiento y la disponibilidad del gateway de correo. Aunque la función principal de la tecnología antispam es eliminar la publicidad no solicitada, la mayor parte de la misma también filtra intentos de phishing (es decir, con el objetivo de engañar a los usuarios y hacer que liberen sus datos privados). Normalmente, los s de phishing afirman ser de un servicio legítimo, pero encaminan al usuario a un Web site malicioso que recolecta sus datos personales. Normalmente, se puede configurar la política antispam para incluir en la lista blanca o lista negra direcciones de y dominios específicos, según se desee. Dichas configuraciones se destinan a permitir que los mensajes provenientes de esos dominios y direcciones de siempre pasen o siempre sean suprimidas por el módulo antispam, respectivamente. IBM trabajará directamente con el Cliente para recopilar los datos necesarios para que la empresa cree listas blancas y listas negras personalizadas y ajustadas a las necesidades específicas del Cliente. La habilitación de la funcionalidad antispam puede requerir licencias adicionales del proveedor del Agente, de las cuales el cliente es el único responsable Antivirus Los términos y condiciones establecidos en esa sección intitulada Antivirus se aplican sólo a los clientes que contrataron el paquete de Contenido de MSS for UTM. El soporte de antivirus se destina a minimizar el riesgo de la presencia de código malicioso en el flujo de datos de la red. Los gateways de Antivirus se pueden ser configurados para explorar el tráfico de Web, y transferencia de archivos y se destinan a bloquear la transmisión de archivos que contienen cualquier cantidad de amenazas designadas. La mayoría de los escáneres antivirus también bloquean formas comunes de spyware y varias clases de worms de red. La habilitación de la funcionalidad de antivirus puede requerir licencias adicionales para el Agente, de las cuales el Cliente es el único responsable. INTC Página 13 de 19

14 Configuración Para que las implementaciones de antivirus sean efectivas, el Agente debe estar posicionado en un lugar donde el tráfico entrante y el tráfico del usuario pasen por los dispositivos antes de llegar al destino pretendido. Eso permite que el Agente compare el tráfico supervisado con la conducta y/o las firmas de virus conocidos. Durante el proceso inicial de configuración y despliegue, IBM trabajará con el Cliente para crear una política personalizada de acuerdo con las necesidades específicas de la organización. 3. Responsabilidades del Cliente Aunque IBM va a trabajar con el cliente para desplegar e implementar el Agente, como también gestionar el Agente, se exigirá que el Cliente trabaje con IBM de buena fe y ayude a IBM en algunas situaciones, según se solicite. 3.1 Despliegue e Inicio Durante el despliegue, el Cliente trabajará con IBM para desplegar un nuevo Agente o iniciar la gestión de un Agente ya existente, según sea aplicable. El Cliente participará en una llamada inicial programada para presentar a los miembros del equipo, definir expectativas y empezar el proceso de evaluación. Se requerirá que el Cliente rellene un formulario para facilitar informaciones detalladas acerca de la configuración de red (incluyendo aplicaciones y servicios para los Hosts en la red protegida) y trabaje con IBM de buena fe para evaluar con exactitud el entorno y la red del Cliente. El Cliente debe proporcionar contactos dentro de la organización y especificar una vía de escalamiento en la misma, en el caso de que IBM necesite ponerse en contacto. El Cliente debe asegurar que cualquier Agente ya existente cumpla con las especificaciones de IBM y debe trabajar para cumplir con las recomendaciones acerca de los requisitos de red y acceso de red del Cliente, en el caso de que sean necesarios cambios para asegurar estrategias de protección factibles. Si IBM asume la gestión de un Agente ya existente, puede requerir la actualización del software o contenido de seguridad del Agente para prestar el servicio. Otros criterios necesarios pueden involucrar la añadidura o remoción de aplicaciones y cuentas de usuario. El Cliente será el único responsable de dichos upgrades, añadiduras o remociones. Aunque IBM vaya a proporcionar soporte y orientación, el Cliente es responsable de la instalación física y del cableado de todos los Agentes, a menos que ese servicio se preste como un proyecto de asesoría de IBM PSS. Si el Cliente elige desplegar la funcionalidad de VPN de cliente del Proventia MX, éste es responsable de la instalación efectiva y de algunas pruebas del software de VPN de cliente, con el soporte de IBM. El Cliente es responsable de adquirir cualquier software de VPN de cliente directamente del proveedor, aunque IBM pueda hacer recomendaciones y orientar al Cliente respecto a un contacto de proveedor apropiado. 3.2 Gestión y Soporte Contínuo Gestión de Políticas El Cliente reconoce que IBM es la única parte que es responsable de cambiar la política y/o configuración del agente y que tiene la autoridad para hacerlo. Aunque IBM pueda ayudar, el Cliente es responsable de su propia estrategia de seguridad de red, incluyendo los procedimientos de respuesta a incidentes, como investigaciones y mitigación de intrusiones Gestión de Dispositivos Si el Cliente desea habilitar el dispositivo de HA del Servicio, éste acepta comprar un segundo Agente y pagar por su gestión continua. El cliente es responsable de mantener contractos actuales de mantenimiento de hardware y software. Entorno Físico El Cliente debe proporcionar un entorno seguro y físicamente controlado para el Agente. Se puede requerir que los clientes del nivel de Servicio Standard que opten por no desplegar una solución de OOB proporcionen una asistencia activa respecto al Agente para fines de solución de problemas y/o diagnóstico de dificultades técnicas. INTC Página 14 de 19

15 Los clientes de los niveles de servicio Select y Premium deben desplegar una solución de OOB. El cliente acepta actuar junto con IBM una vez al año para revisar la configuración actual de hardware de los dispositivos gestionados e identificar las actualizaciones necesarias. Esas actualizaciones se basarán en los cambios identificados en los requisitos de sistema operativo y aplicaciones. Entorno de Red El Cliente es responsable de realizar los cambios en el entorno de red que se pactaron sobre la base de las recomendaciones de IBM. Se exige que el Cliente mantenga siempre una conexión a Internet activa y totalmente funcional y asegure que el Agente esté accesible por Internet a través de una dirección IP dedicada y estática. El servicio de acceso a Internet y los circuitos de transporte de telecomunicaciones son responsabilidad exclusivamente del Cliente. El Cliente es responsable de asegurar que el tráfico de red deseado y los segmentos aplicables estén configurados para enrutar el tráfico de red pasando por el Agente. Plataformas de Gestión Los Clientes que albergan su propia infraestructura de SiteProtector: a. deben configurar un flujo de eventos hacia IBM, por Internet; b. deben asegurar que sus Event Collectors tengan direcciones IP exclusivas y enrutables para encaminar eventos a IBM; c. deben tener un Event Collector dedicado a los dispositivos que IBM supervisará en nombre del Cliente. Ese Event Collector no debe recibir eventos de dispositivos para los cuales el cliente no contrató gestión o supervisión; d. deben proporcionar a IBM acceso administrativo total al servidor de aplicaciones de SiteProtector, a través de la consola de SiteProtector, para obtener actualizaciones y controlar las políticas; e. se les puede requerir que actualicen la infraestructura de SiteProtector para transferir datos a la infraestructura de los IBM Managed Security Services y f. no deben cambiar la política o configuración del Agente fuera del procedimiento establecido para solicitar cambios Soporte de VPN Para las conexiones de VPN a sitios no gestionados por IBM, el cliente debe proporcionar un formulario de Configuración del sitio de VPN rellenado. La VPN se configurará de acuerdo con las informaciones facilitadas. La solución de problemas de conectividad de sitios remotos está estrictamente limitada a los sitios gestionados por IBM Compilación de Datos El Cliente permite que IBM recolecte, reúna y compile datos de registro de eventos de seguridad para analizar tendencias y amenazas reales o posibles. IBM puede compilar (o combinar de otra manera) esos datos de registro de eventos de seguridad con datos similares de otros clientes a condición de que esos datos se compilen o combinen en una forma que no revele, de ninguna manera, los datos como algo que se pueda atribuir al Cliente. 4. Acuerdos de Nivel de Servicio Los SLAs de IBM establecen objetivos de tiempo de respuesta y contramedidas para incidentes de seguridad resultantes del Servicio. Los SLAs entran en vigor cuando se concluye el proceso de despliegue, se configura el dispositivo como live y se realiza exitosamente la transición del soporte y la gestión del dispositivo al SOC. Las compensaciones de SLA están disponibles desde que el cliente cumpla con sus obligaciones, según se definen en esa Descripción de Servicios. 4.1 Garantías del SLA Las garantías del SLA descritas abajo abarcan las métricas concernientes a la prestación del Servicio. A menos que se declare explícitamente a continuación, no se aplican garantías adicionales de ninguna clase a los servicios prestados bajo esta Descripción de Servicio. Las únicas compensaciones para el incumplimiento de las garantías del SLA están especificadas en la sección intitulada Compensaciones de SLA a continuación. INTC Página 15 de 19

16 a. Garantía de identificación de Incidentes de Seguridad (disponible sólo para la opción de servicio completo de supervisión) IBM identificará todos los Incidentes de Seguridad con prioridad de nivel 1, 2 y 3 sobre la base de los datos del Agente recibidos por los SOCs. IBM determinará si un evento es un Incidente de Seguridad sobre la base de los requisitos comerciales, la configuración de la red y la configuración del Agente del Cliente. b. Garantía de respuesta a Incidentes de Seguridad (se aplica a todos los niveles de servicio, con o sin la opción de supervisión completa) - IBM responderá como sigue a todos los Incidentes de Seguridad identificados: (1) Opción de servicio sólo informes IBM responderá a todos los incidentes de seguridad identificados dentro de 30 minutos a partir de la identificación. Se le avisará al contacto de Incidentes de Seguridad del Cliente acerca de Incidentes de Seguridad con prioridad 1, 2 y 3. (2) Opción de servicio supervisión completa IBM responderá a todos los Incidentes de Seguridad identificados dentro de 15 minutos a partir de la identificación. Se le avisará por teléfono al contacto para Incidentes de Seguridad designado por el Cliente en el caso de los Incidentes de Seguridad con Prioridad 1 y por en el caso de los Incidentes con Prioridad 2 y 3. Durante el escalamiento de un Incidente de Seguridad con Prioridad 1, IBM seguirá intentando comunicarse con el contacto designado por el Cliente hasta que logre contactarlo o se agoten todos los contactos del escalamiento. Las actividades operacionales relacionadas con los Incidentes de Seguridad y las respuestas son documentadas y reciben la indicación de fecha y hora en el sistema de tiquetes de problema de IBM, el cual debe ser usado como única fuente autorizada de información para los fines de esa garantía de SLA. c. Garantía de acuse de recibo de solicitud de cambio de política IBM acusará el recibo de solicitud de cambio de política del cliente dentro de dos horas a partir del recibimiento por IBM. Esa garantía sólo está disponible a las solicitudes de cambio de política enviadas por un contacto de seguridad válido, de acuerdo con los procedimientos establecidos. d. Garantía de implementación de la solicitud de cambio de política: (1) Nivel Standard se implementarán las solicitudes de cambio de política del Cliente dentro de 24 horas a partir de su recibimiento por IBM, a no ser que se las haya puesto en un estado de espera debido a la insuficiencia de las informaciones necesarias para implementar la solicitud de cambio de política que se envió. (2) Niveles Select y Premium se implementarán las solicitudes de cambio de política del Cliente dentro de ocho horas a partir de su recibimiento por IBM, a no ser que se las haya puesto en un estado de espera debido a la insuficiencia de las informaciones necesarias para implementar la solicitud de cambio de política que se envió. Esa garantía sólo está disponible a las solicitudes de cambio de política enviadas por un contacto de seguridad válido, de acuerdo con los procedimientos establecidos. Además, esa garantía se basa en la hora de la implementación efectiva, no en la hora que se avisó al Cliente respecto a la conclusión de la solicitud. e. Garantía de implementación de solicitudes de cambios urgentes (disponible sólo al nivel de servicio Premium) IBM implementará las solicitudes de cambios urgentes del cliente dentro de dos horas a partir de la declaración de emergencia realizada por el Cliente (por teléfono) tras el envío del cambio a través del Virtual-SOC. Esa garantía sólo está disponible a las solicitudes de cambio de política enviadas por un contacto de seguridad válido, de acuerdo con los procedimientos establecidos. Además, esa garantía se basa en la hora de la implementación efectiva, no en la hora que se avisó al Cliente respecto a la conclusión de la solicitud. IBM avisará prontamente por teléfono, , fax, buscapersonas o respuesta electrónica a través del Virtual-SOC al Cliente cuando implemente una solicitud de cambio y seguirá intentando comunicarse con el contacto designado por el Cliente hasta que logre contactarlo o se agoten todos los contactos del escalamiento. f. Garantía de supervisión proactiva del sistema: INTC Página 16 de 19

17 (1) Nivel Standard se le avisará al cliente dentro de 30 minutos a partir del momento que IBM determina que el dispositivo de UTM gestionado del Cliente no está accesible a través de la conectividad estándar dentro de banda. (2) Niveles Select y Premium se le avisará al Cliente dentro de 15 minutos a partir del momento que IBM determina que el dispositivo de UTM gestionado del cliente no está accesible a través de la conectividad estándar dentro de banda. IBM se comunicará con el contacto designado por el cliente mediante un método elegido por IBM. Durante el escalamiento de un corte de servicio, IBM seguirá intentando comunicarse con el contacto designado por el Cliente hasta que logre contactarlo o se agoten todos los contactos del escalamiento. g. Garantía de actualización proactiva del contenido de seguridad: (1) Nivel Standard IBM comenzará la aplicación de las nuevas actualizaciones del Contenido de Seguridad dentro de 72 horas a partir del momento que el proveedor publica la actualización como algo disponible a todos. (2) Niveles Select y Premium IBM comenzará la aplicación del nuevo Contenido de Seguridad dentro de 48 horas a partir del momento que el proveedor publica la actualización como algo disponible a todos. Tabla 3 Resumen de los SLAs Acuerdo de Nivel de Servicio Standard Select Premium Garantía de identificación de incidentes de seguridad (sólo para la opción supervisión completa ) Garantía de respuesta a incidentes de seguridad Garantía de acuse de recibo de la solicitud de cambio de política Aplicable Opción "sólo informes" respuesta dentro de 30 minutos Opción "supervisión completa" respuesta dentro de 15 minutos Acuse de recibo dentro de 2 horas a partir del recibimiento Garantía de implementación de la solicitud de cambio de política Implementación dentro de 24 horas a partir del recibimiento Implementación dentro de 8 horas a partir del recibimiento Implementación dentro de 8 horas a partir del recibimiento Garantía de implementación de la solicitud de cambio urgente No disponible No disponible Implementación dentro de 2 horas a partir de la declaración de emergencia Garantía de supervisión proactiva del Agente Garantía de actualización proactiva del Contenido de Seguridad Aviso dentro de 30 minutos Comienza actualizaciones dentro de 72 horas Aviso dentro de 15 minutos Comienza actualizaciones dentro de 48 horas 4.2 Compensaciones de SLA Se emitirá un crédito como la única compensación para el incumplimiento de cualquiera de las garantías descritas en la sección Garantías del SLA durante cualquier mes natural. El Cliente no puede obtener más que un crédito para cada SLA por día, en una forma que no supere un total, referente a todos los SLAs de dólares de Estados Unidos o lo equivalente en moneda local, en un determinado mes natural. INTC Página 17 de 19

18 Compensaciones de identificación de Incidentes de Seguridad, respuesta a Incidentes de Seguridad, acuse de recibo de solicitud de cambio de política, implementación de solicitud de cambio de política, implementación de solicitud de cambio urgente, supervisión proactiva del sistema y actualización proactiva del contenido de seguridad Si IBM no cumple con alguna de esas garantías, se emitirá un crédito correspondiente a los cargos aplicables de un día de la tarifa mensual de supervisión relativa al dispositivo afectado. Tabla 4 Resumen de SLAs y Compensaciones Acuerdos de Nivel de Servicio Compensaciones de MSS for UTM (todos los niveles de servicio) Garantía de identificación de Incidentes de Seguridad Garantía de respuesta a incidentes de seguridad Garantía de acuse de recibo de la solicitud de cambio de política Garantía de implementación de la solicitud de cambio de política Se pone 1 día de la tarifa mensual de supervisión referente al paquete y nivel de servicio de MSS for UTM que el cliente contrató en el haber del cliente. Garantía de implementación de solicitud de cambios urgentes (sólo nivel Premium) Garantía de supervisión proactiva del sistema Garantía de actualización proactiva del Contenido de Seguridad 4.3 Mantenimiento del Portal en Forma Planificada y de Emergencia Mantenimiento planificado designa cualquier mantenimiento: a. acerca del cual se avisa al Cliente por lo menos cinco días antes o b. realizado durante la ventana de mantenimiento mensual estándar en el segundo sábado de cada mes, de las 8:00 a las 16:00, horario del Este de Estados Unidos. Se le avisará al contacto designado por el Cliente acerca del mantenimiento planificado. Ninguna declaración de la sección intitulada Acuerdos de Nivel de Servicio impedirá IBM de realizar el mantenimiento de emergencia según sea necesario. Durante ese mantenimiento de emergencia, el punto de contacto principal del Cliente afectado recibirá un aviso dentro de 30 minutos a partir del inicio del mantenimiento de emergencia y dentro de 30 minutos de la conclusión de cualquier mantenimiento de emergencia. 4.4 Exclusiones y Estipulaciones de SLAs Información de Contacto con el Cliente Varios SLAs requieren que IBM notifique al contacto designado por el cliente tras la ocurrencia de ciertos eventos. En el caso de que ocurra uno de esos eventos, el Cliente es el único responsable de facilitar a IBM la información de contacto exacta y actual relativa a los contactos designados. La información de contacto actual registrada está disponible a los contactos autorizados a través del Virtual-SOC. IBM estará exento de las obligaciones establecidas en esos SLAs si la información de contacto facilitada a IBM está desactualizada debido a la acción u omisión del cliente Notificaciones de Cambio en la Red/Servidor del Cliente El cliente es responsable de notificar IBM con antecedencia respecto a cualquier cambio de red o servidor en el entorno del firewall. Si no es posible notificar con antecedencia, se exige que el Cliente notifique IBM de los cambios dentro de siete días naturales a partir de la realización de los cambios en el servidor o la red. Se realiza la notificación mediante el envío o actualización de un tiquete crítico de servidor a través del Virtual-SOC. Si el cliente no notifica IBM como se indica arriba, todas las compensaciones de SLA se consideran nulos y sin efecto. INTC Página 18 de 19

19 4.4.3 Tráfico de Red Aplicable a los SLAs Ciertos SLAs tratan de prevención, identificación y escalamiento de incidentes de seguridad. Esos SLAs presuponen que el tráfico llegó correctamente al firewall y, por tanto, el firewall tiene la capacidad de procesar el tráfico de acuerdo con la política instalada y generar un evento registrado. El tráfico que no pasa por un firewall (en forma lógica o electrónica) o no genera un evento registrado no está cubierto por esos SLAs Conformidad e Informes de SLA La conformidad del SLA y las compensaciones asociadas se basan en entornos de red, conectividad de Internet y circuito y firewalls totalmente funcionales, como también servidores configurados correctamente. Si la no conformidad del SLA es producida por un hardware o software de CPE (incluyendo todo y cualquier Agente), todas las compensaciones de SLA se consideran nulas y sin efecto. IBM proporcionará informes de conformidad del SLA a través del Virtual-SOC Prueba de las Posibilidades de Supervisión y Respuesta El Cliente puede probar las posibilidades de supervisión y respuesta de IBM al realizar actividades de reconocimiento, ataques a la red o sistema y/o comprometimientos del sistema simulados o reales. Esas actividades pueden ser iniciadas directamente por el Cliente o por un tercero contratado, sin aviso previo a IBM. Los SLAs no se aplican al período de esas actividades; las compensaciones no serán pagables en el caso de que no se cumpla con las garantías asociadas. 5. Objetivos de Nivel de Servicio Los objetivos de nivel de servicio IBM (denominados SLOs ) establecen objetivos sin efecto obligatorio referentes al suministro de ciertos dispositivos del Servicio. Los SLOs entran en vigor cuando se concluye el proceso de despliegue, se configura el dispositivo como live y se realiza exitosamente la transición del soporte y la gestión del dispositivo al SOC. IBM se reserva el derecho de modificar esos SLOs con un aviso por escrito con 30 días de antecedencia. a. Virtual-SOC IBM proporciona un objetivo de accesibilidad del 99,9% relativo al Virtual-SOC fuera de los horarios detallados en la sección intitulada Mantenimiento del Portal en Forma Planificada y de Emergencia. b. Emergencia de Internet En el caso de que IBM declare una emergencia de Internet, el objetivo de IBM es notificar, por , a los puntos de contacto designados por el Cliente dentro de 15 minutos a partir de la declaración de emergencia. Esa notificación incluye un número de rastreo de incidentes, número de teleconferencia y hora que IBM realizará una sesión informativa acerca de la situación. Durante las emergencias de Internet declaradas, IBM realizará una sesión informativa acerca de la situación a través de una teleconferencia en vivo y proporcionará un resumido para facilitar informaciones que el Cliente puede usar para proteger su organización. Sesiones informativas sobre la situación tras el inicio de una emergencia de Internet reemplazan cualquier exigencia de que IBM proporcione escalamientos específicos para cada cliente respecto a eventos directamente relacionados con la emergencia de Internet declarada. Durante una emergencia de Internet, IBM comunicará todos los incidentes con otros niveles de prioridad a través de sistemas automatizados como , buscapersonas y correo de voz. Se reanudarán las prácticas estándar de escalamiento cuando termine la emergencia de Internet declarada. El fin de un estado de emergencia se caracteriza por una reducción del nivel de AlertCon a AlertCon 2 o una notificación por enviada a un contacto de seguridad autorizado del cliente. 6. Otros Términos y Condiciones IBM se reserva el derecho de modificar los términos de esta Descripción de Servicio en cualquier momento. Si dicha modificación reduce el ámbito o nivel del Servicio que se está prestando (por ejemplo: eliminación de un Servicio prestado anteriormente o aumento del tiempo de respuesta a Incidentes de Seguridad), IBM proporcionará un anuncio con por lo menos 30 días de antecedencia a través del portal Web de ISS u otros medios electrónicos. INTC Página 19 de 19