DESCRIPCION Fecha: Bogotá DC., Marzo 4 de 2008 Dependencia que Oficina de Informática proyectó: Asunto: El FONDO NACIONAL DE AHORRO requiere la adquisición de software para la administración de LOGs y monitoreo de seguridad, que incluya la configuración, pruebas, instalación, administración, soporte y mantenimiento. La solución a contratar debe permitir identificar de manera anticipada eventos de acceso, disponibilidad e integridad del hardware, software e información y teniendo como premisa principal que estos sistemas (software) deben garantizar una correcta integración con el sistema COBIS con el fin de no poner en riesgo la operación y rendimiento del sistema. 1. DEFINICIÓN DE LA NECESIDAD Atendiendo las necesidades de monitoreo de seguridad informática de la plataforma COBIS y en cumplimiento de la regulación establecida por la circular externa 052 del 2007 Requerimientos mínimos de seguridad y calidad en el manejo de la información de la Superintendencia Financiera de Colombia. El Fondo Nacional de Ahorro Carlos Lleras Restrepo no es ajeno a la necesidad de administrar y regular de manera correcta las necesidades de seguridad informática para el sistema COBIS toda vez que como se desprende de las funciones y del objetivo de la Entidad su operación se soporta en la plataforma integral COBIS, siendo esta la herramienta más importante para cumplir con la función del FNA, esta razón obliga a mantener un adecuado monitoreo con el fin de controlar de los riesgos inherentes a la seguridad informática asociados a la operación diaria del sistema COBIS. Pág. 1/8
Además mediante los estudios realizados en el proyecto de GAP a la seguridad del sistema COBIS se demostró que el FNA no cumple con las necesidades mínimas requeridas por la Superindencia Financiera de Colombia en materia de Seguridad Informática, según la circular externa 052 de octubre de 2007 en la cual exige el cumplimiento de los criterios de seguridad bajo la norma ISO27001 y el estándar ISO17799; además de un monitoreo constante de la disponibilidad de los sistemas, así como también de los monitoreos de control de acceso e integridad de los servicios y datos, y considerando que COBIS es la herramienta mas importante para la operación del FNA se demuestra la necesidad de enfocar las acciones de seguridad hacia las necesidades de mantener en operación el sistema COBIS. Como soporte a este documento se anexa la circular externa 052 de octubre de 2007 emitida por la Superintendencia Financiera de Colombia relacionado directamente con los requerimientos de Seguridad Informática en los entes vigilados y con el cual se desvirtúa de manera directa la suposición de que la circular emitida para SARO cubre las necesidades de un área de seguridad informática. Cualquier proyecto que se inicie por el FNA para garantizar la seguridad informática de sus objetivos se debe encontrar correctamente regulado y aprobado por la alta dirección, la forma correcta de cubrir esta necesidad es implementando un manual de políticas que soporte las decisiones a corto y largo plazo, por estas razones: El FONDO NACIONAL DE AHORRO requiere contratar los servicios de una empresa especializada en seguridad informática para COBIS con un mínimo de 10 años de experiencia en COBIS y Seguridad Informática que se encuentre alineada bajo los estándares ISO27001, ISO17799, COBIT e ITIL para la instalación de sistemas de monitoreo de seguridad y administración de LOGs que permitan identificar de manera Pág. 2/8
anticipada eventos de acceso, disponibilidad e integridad de el hardware, software e información y teniendo como premisa principal que estos sistemas deben garantizar una correcta integración con el sistema COBIS con el fin de no poner en riesgo la operación y rendimiento del sistema. Considerando que la plataforma actual del FNA es AIX 5.1 con motor de base de datos Sybase ASE 12.5 y KERNEL 3.3.0 de COBIS, la Oficina de Informática debe garantizar una adecuada y efectiva protección de todos estos recursos y de la información que ellos administran, es necesario contar con un mapa de riesgos y vulnerabilidades general que permitan medir los eventos que pudieran comprometer la seguridad de los sistemas y de la información, así, como también una fuente de información que se puede utilizar como insumo para detectar fallas de seguridad en COBIS. 2. DEFINICIÓN TÉCNICA: El software para la administración de LOGs y monitoreo de seguridad debe permitir identificar de manera anticipada eventos de acceso, disponibilidad e integridad de el hardware, software e información y teniendo como premisa principal que estos sistemas (software) deben garantizar una correcta integración con el sistema COBIS con el fin de no poner en riesgo la operación y rendimiento del sistema. El cual esta conformado por lo siguiente: Configuración, pruebas, instalación en producción del framework de monitoreo de seguridad de AKIRA. Configuración, pruebas, instalación en producción del sistema de administración de LOGs de AKIRA-LOG. Pág. 3/8
Configuración, pruebas, instalación en producción de GENMON-SL, sistema de monitoreo de seguridad para eventos de transacciones en línea. Configuración, pruebas, instalación en producción del modulo de monitoreo de seguridad en el control de acceso del sistema AKIRA-GENMON, GENMON-S. Configuración, pruebas, instalación en producción del modulo de monitoreo de seguridad en el control de cambios del sistema AKIRA-GENMON, GENMON- SC. Configuración, pruebas, instalación en producción de GENMON-I, sistema de validación y monitoreo de integridad de la información de COBIS. Administración soporte y mantenimiento por un periodo de seis (6) meses sobre las aplicaciones instaladas con el fin de transferir el conocimiento a los funcionarios del FNA. Capacitación a los funcionarios del FNA en los temas de Administración y operación de AKIRA-GENMON. Ver requerimientos Técnicos (cuadros de Excel) 3. LAS CONDICIONES DEL CONTRATO SERIAN LAS SIGUIENTES La adquisición de software para la administración de LOGs y monitoreo de seguridad, que incluya la configuración, pruebas, instalación, administración, soporte y mantenimiento. Pág. 4/8
4. ESTUDIO DE MERCADO Con el fin de dar transparencia al proceso de Contratación, se hace un estudio de precios de mercado, el cuál está inicialmente sustentado en los precios presentados en la cotización de la firma INFOGEX LTDA, quien manifiesta ser la única empresa autorizada para ofrecer los servicios de distribución, mercadeo, soporte y mantenimiento de la solución GENMON DE SEGURIDAD PARA COBIS bajo la norma ISO27001 necesarios para soportar la operatividad del Sistema Integral Bancario COBIS, para Colombia. Se anexa Cámara de Comercio. Empresa Contactada Nombre del Teléfono Valor incluido IVA Contacto INFOGEX LTDA Jorge Enrique Russi 311-5425583 $298,600,000.00 5. PRESUPUESTO ESTIMADO El valor estimado para efectuar esta contratación es de DOSCIENTOS NOVENTA Y OCHO MILLONES SEISCIENTOS MIL PESOS MONEDA CORRIENTE ($298.600.000,oo) incluido IVA, valores que se encuentran incluidos en la vigencia de 2008 por el rubro 2.1.2.2.1. Adquisición servicios operativos. Este Valor corresponde a la cotización presentada por la empresa que manifiesta tener la exclusividad para ofrecer estos servicios. 6. RIESGO Los riesgos que atañen al FNA y que pueden presentarse en el desarrollo del Contrato son: Incumplimiento en la entrega del software por parte del Contratista Mala calidad del software adquirido Pág. 5/8
Que las personas que emplea el contratista para la prestación del servicio aleguen tener vínculo laboral con el FNA. Se exigirá al Contratista garantía única de seriedad de la oferta y como mínimo garantía única de cumplimiento y/o adicionales acorde a definición del FNA. 7. ESTUDIO JURÍDICO De acuerdo con los dispuesto en el Artículo 14 de la Ley 1150 de 2007, el FNA se encuentra exceptuado de aplicar el Estatuto General de Contratación por ser Empresa Industrial y Comercial del Estado de carácter financiero, que compite con el sector privado nacional, correspondiéndole sin embargo aplicar, en desarrollo de su actividad contractual, los principios de la función administrativa y de la gestión fiscal de que tratan los Artículos 209 y 267 de la Constitución Política, además del Régimen de inhabilidades e incompatibilidades previsto para la contratación estatal, como lo dispone el Artículo 13 de la Ley 1150 citada. Se firma por los que intervienen en este estudio: ASPECTOS TECNICOS: EDGAR AUGUSTO FUERTES PUERTO JOHN JAIRO LEAL OSPINA Jefe Oficina de Informática Coordinador Grupo Producción y Seguridad Pág. 6/8
ALEXANDRA OLAYA DAJER MARTINEZ RAFAEL NORBERTO RUEDA OSWALDO MIDEROS ARGOTE SARA JANETH TORRES ROJAS Coordinador Grupo Desarrollo, soporte y mantenimiento Coordinador Grupo Gestión de Proyectos y atención de requerimientos CLAUDIA PATRICIA HERNÁNDEZ DIAZ ORLANDO CAMINO OCHOA Informática JUAN Profesional Oficina de FREDDY LEONARDO SÁNCHEZ TRIANA DARIO MALDONADO BENÍTEZ Coordinador Grupo Redes y Ofimática Informática RUBEN Profesional Oficina de LUIS ALBERTO ESPÍTIA GIL SALINAS CASTRO Informática JORGE ENRIQUE Profesional Oficina de Pág. 7/8
ALVARO HERNANDO CORTES VIVAS ARRÁZOLA MONTES Informática ENRIQUE Profesional Oficina de ASPECTOS JURIDICOS: VIRGILIO ALFONSO HERNÁDEZ CASTELLANOS Jefe Oficina Jurídica. Revisó: MAYERLY CONSUELO LÓPEZ MAHECHA JIMÉNEZ HERNÁNDEZ Líder de Presupuesto y Procesos de Contratación Tecnológicos Oficina de Informática ALEXANDRA Profesional Pág. 8/8