INFORME Nº 011-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la contratación del servicio de soporte técnico, actualización y mantenimiento del software Check Point, es el Departamento de Soporte Técnico de la Gerencia de Tecnologías de Información de esta Superintendencia. 2. Nombre y Cargo del Responsable de la Evaluación El analista responsable de la evaluación es el Sr. Edgar Pajuelo Rubina, Técnico de Redes y Comunicaciones del Departamento de Soporte Técnico, de la Gerencia de Tecnologías de Información. 3. Fecha La fecha del presente informe es el 18 de febrero de 2014. 4. Justificación La Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS), para el cumplimiento de sus funciones de regulación y supervisión de los Sistemas Financiero, de Seguros y del Sistema Privado de Pensiones, así como para prevenir y detectar el Lavado de Activos y Financiamiento del Terrorismo, cuenta con el software Check Point, del fabricante Check Point Software Technologies LTD., el cual es utilizado como herramienta de seguridad perimetral para la red de datos institucional. Actualmente, como parte de su infraestructura tecnológica, la Superintendencia cuenta con licencias de los siguientes productos de software Check Point, los cuales están integrados al cluster de firewall principal Check Point: Check Point FireWall Blade Check Point FireWall Blade for High Availability Check Point Network Policy Management Blade Check Point Endpoint Policy Management Blade Check Point Acceleration and Clustering Blade Check Point Acceleration and Clustering Blade for High Availability Check Point Logging and Status Blade Check Point IPS Blade Secondary Check Point IPS Blade for High Availability Check Point Workflow Blade managing up to 10 gateways Check Point IPSEC VPN Blade for High Availability Check Point Identity Awareness Software Blade Check Point Endpoint Remote Access VPN Software Blade Check Point User Directory Software Blade Adicionalmente, para las licencias adquiridas, se cuenta con el servicio de garantía, soporte técnico y mantenimiento, incluyendo la actualización de versiones. Este servicio es prestado Los Laureles Nº 214 - Lima 27 - Perú Telf. : (511) 6309000 Fax: (511) 6309239
directamente por el fabricante o por sus representantes autorizados, a fin de mantener la garantía sobre los productos, lo cual lo califica como especializado. Desde su adquisición en el año 1998, el software Check Point ha cumplido satisfactoriamente con las expectativas de esta Gerencia, llegando a convertirse en una importante herramienta de seguridad informática para la protección de la red de datos de la Superintendencia. De esta manera, este software forma parte esencial de la plataforma tecnológica de la Superintendencia. En el año 2011, el firewall principal Check Point fue implementado en una configuración de misión crítica, es decir, en un esquema de Alta Disponibilidad (High Availability) y Alto Rendimiento (Cluster Acceleration). Esta configuración ha permitido mantener la continuidad de servicios informáticos y optimizar los recursos disponibles. Así mismo, ha hecho posible la incorporación de nuevas tecnologías de protección, referidas a la seguridad para contenidos Web. Por otro lado, durante los años 2010 y 2011, se implementaron diversos servicios para acceder remotamente a las aplicaciones de la Superintendencia, tales como los Sistemas Corporativos (SISCOR), el Sistema de Trámite Documentario (STD), el Generador de Reportes en Excel, los datamarts de Oracle Business Intelligence (OBI), entre otros. Estos servicios han permitido a los analistas mejorar la productividad en sus labores de visita de inspección y acceder así, de manera remota a través de Internet, a las aplicaciones de tipo cliente-servidor, las cuales inicialmente no fueron diseñadas para su uso externo o a través de la Internet. Además, el Sistema de Telefonía IP cuenta con la funcionalidad de Softphone o Teléfono IP vía software, el cual permite a los analistas realizar llamadas desde sus computadoras portátiles para comunicarse con cualquier anexo institucional. Todas estas comunicaciones y accesos a los servicios y aplicaciones, se realizan bajo un entorno seguro de autenticación y encriptación de la información entre los usuarios remotos y la Superintendencia. Durante el año 2012, se implementaron los requerimientos por parte de los usuarios para acceder remotamente a aplicaciones que normalmente son de uso interno, tales como el Sistema de Gestión Documental (SISGED), aplicaciones para soporte a las visitas de inspección (TeamMate), sistemas de archivos compartidos en red (File Server) y aplicaciones de colaboración tales como el cliente de correo Microsoft Outlook, el cual cuenta con mayores funcionalidades y almacenamiento, a diferencia de la interfaz Web OWA (Outlook Web Access). Todas estas aplicaciones sirven de apoyo directo a los analistas encargados de realizar las visitas en las entidades supervisadas y aquellos que realizan labores fuera de la Superintendencia. Como resultado, esta Gerencia inició las coordinaciones para la implementación de una red de datos que ofreciera servicios remotos (red privada virtual, VPN), con un alto nivel de seguridad y de protección de información. Durante el año 2013, se implementaron clientes remotos con accesos VPN (Endpoint Security VPN) a través del firewall principal Check Point, como parte de las mejoras en la seguridad de las comunicaciones y para la incorporación de nuevos servicios sobre un medio público, tal como es la Internet. Este acceso VPN está integrado con Check Point User Directory Software Blade, el cual brinda funcionalidades que se utilizan en los clientes VPN, con la finalidad de crear políticas de seguridad y reglas de manera granular en el firewall principal, identificando el origen de los usuarios y limitando el acceso a las aplicaciones a los cuales el cliente VPN tiene permiso. Así mismo, la autenticación de los clientes VPN, en conjunto con el producto Check Point User Directory Software Blade, permite la autenticación integrada a través del Directorio Activo (de Microsoft Windows) de la Superintendencia. El Directorio Activo es el principal soporte de autenticación de los usuarios de la red de datos de la Superintendencia. así, la gestión de los usuarios que ingresen remotamente será centralizada sobre el Directorio Activo actual, aplicando Los Laureles Nº 214 - Lima 27 - Perú Telf. : (511) 6309000 Fax: (511) 6309239 2/6
políticas tales como roles de acceso, caducidad de cuenta o contraseña y ventanas horarias de acceso. En este contexto, la Gerencia de Tecnologías de Información manifiesta la necesidad de continuar utilizando el software Check Point como herramienta principal de seguridad perimetral de la red de datos de la Superintendencia, para lo cual se debe contar con el servicio de soporte técnico, actualización y mantenimiento respectivo, a fin de atender las necesidades de seguridad informática y obtener las últimas modificaciones y actualizaciones que el fabricante del software libere durante la vigencia del contrato. 5. Alternativas Desde su adquisición en el año 1998, el software Check Point ha cumplido satisfactoriamente con las expectativas de esta Gerencia, llegando a convertirse en una importante herramienta de seguridad informática para la protección de la red de datos de la Superintendencia. De esta manera, este software forma parte esencial de la plataforma tecnológica de la Superintendencia. En ese sentido, desde el año 2006, a través de los Informes Técnicos Previo de Evaluación de Software Nº 006-2006-ST, N 002-2008-GTI, N 007-2011-GTI y Nº 021-2013-GTI, elaborados por la Gerencia de Tecnologías de Información (GTI), la Superintendencia ha contratado el servicio de soporte técnico, actualización y mantenimiento del software Check Point, cuyas licencias y productos han sido adquiridos gradualmente desde el año 1998. De esta forma, se ha asegurado la correcta operatividad, funcionamiento, soporte técnico y actualización de versiones del software, reduciendo así la posibilidad de obsolescencia tecnológica y preservando el valor económico de la inversión realizada. Como resultado, mediante Resolución SBS Nº 2650-2013, de fecha 30 de abril de 2013, se aprobó la estandarización del uso del software y del servicio de soporte técnico, actualización y mantenimiento del software Check Point en la Superintendencia, cumpliendo para ello lo dispuesto por la Directiva N 010-2009-OSCE/CD, que refiere los lineamientos para la contratación que hace referencia a una determinada marca o tipo particular de producto o servicio. Esta estandarización fue necesaria para la renovación del servicio de soporte técnico, actualización y mantenimiento del software Check Point y la adquisición de licencias adicionales. De esta manera, se ha confirmado la decisión de la Superintendencia en continuar utilizando el software Check Point como herramienta de seguridad informática para la protección de la red de datos de la Superintendencia. Por ello, si bien existen en el mercado alternativas disponibles de software de seguridad perimetral, resulta conveniente aprovechar la tecnología disponible y ya en uso en la Superintendencia, del fabricante Check Point. De esa manera, se reduciría el riesgo de incompatibilidad entre soluciones y/o tecnologías de diferentes fabricantes, lo cual podría afectar la continuidad de las operaciones de la Superintendencia. Por lo tanto, considerando que esta Gerencia y la Superintendencia han solicitado anteriormente la estandarización del software Check Point, y mediante la Resolución Nº 2650-2013, de fecha 30 de abril de 2013, se estandarizó el uso, soporte técnico, actualización y mantenimiento del software Check Point por un periodo de tres (03) años y, considerando que se debe mantener el dicha plataforma de software como herramienta informática para la seguridad perimetral de la red de datos de la Superintendencia, no se evaluarán alternativas para su reemplazo, debido al nivel de inversión realizado, a los servicios implementados y al costo y riesgo operativo que implicaría migrar hacia o adquirir otro software. Los Laureles Nº 214 - Lima 27 - Perú Telf. : (511) 6309000 Fax: (511) 6309239 3/6
6. Análisis Comparativo Técnico Dado que esta Gerencia considera que se debe mantener el software Check Point como herramienta de seguridad perimetral de la red de datos de la Superintendencia, para lo cual se ha estandarizado (a través de la Resolución SBS N 2650-2013, de fecha 30 de abril de 2013) el servicio de soporte técnico, actualización y mantenimiento del software Check Point, no se realizará el análisis comparativo técnico basado en la Parte 3: Proceso de Evaluación de Software de la Guía de Evaluación de Software, aprobada por Resolución Ministerial N 139-2004-PCM, al no ser posible su aplicación, puesto que no se evaluarán alternativas para el reemplazo del software Check Point. Esta excepción está contemplada en el Reglamento de la Ley Nº 28612, Ley que Regula el Uso, Adquisición y Adecuación del Software en la Administración Pública, y será comunicada a la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI), tal como está establecido en el mencionado Reglamento. La necesidad de que el servicio de soporte técnico, actualización y mantenimiento del software Check Point sea provisto por el mismo fabricante o por un distribuidor autorizado para tal fin, responde a que es indispensable asegurar los siguientes puntos: El soporte técnico es prestado por personal del fabricante o del distribuidor que, formalmente, está autorizado por el fabricante para revisar código fuente, librerías, modificar programas o resolver problemas, asumiendo la responsabilidad de los cambios realizados. De esta forma, no se pierde la garantía sobre el software. La condición de distribuidor autorizado asegura que el personal está en capacidad de resolver problemas recurriendo a las fuentes de información provistas por el fabricante, algo a lo que un distribuidor no autorizado no tendría acceso. La actualización de las versiones del software garantiza su vigencia tecnológica en el tiempo, además de permitir el acceso a mejoras en la funcionalidad del software, en beneficio de los usuarios. Un distribuidor autorizado comparte con el fabricante, por contrato, la responsabilidad sobre el desempeño del software y cualquier eventualidad que el mismo pueda originar. En ese sentido, todo incidente de orden técnico o funcional es atendido por el fabricante, a través de su distribuidor original, el cual provee las instrucciones o realiza los contactos con el fabricante. En ese sentido, contar con un servicio de soporte provisto por el fabricante del software, garantiza la correcta operatividad, funcionamiento, soporte técnico y actualización de versiones del software. Caso contrario, la inversión realizada podría estar en riesgo de pérdida ante la eventualidad de una falla o error, que no estaría cubierta por la garantía del fabricante al no contar la Superintendencia con un servicio que permita atender estos requerimientos. Adicionalmente, este servicio no puede ser brindado por otra empresa, debido a que no se contaría con la autorización (por derechos de propiedad intelectual) para modificar el software, por lo cual la contratación de un servicio de soporte brindado por una empresa no autorizada resultaría contraproducente, desde el punto de vista operativo y económico. 7. Análisis Comparativo de Costo Beneficio Dado que esta Gerencia considera que se debe mantener el software Check Point como herramienta de seguridad perimetral de la red de datos de la Superintendencia, para lo cual se Los Laureles Nº 214 - Lima 27 - Perú Telf. : (511) 6309000 Fax: (511) 6309239 4/6
ha estandarizado (a través de la Resolución SBS N 2650-2013, de fecha 30 de abril de 2013) el servicio de soporte técnico, actualización y mantenimiento del software Check Point, no se realizará el análisis comparativo de costo-beneficio, puesto que no se evaluarán alternativas para el reemplazo del software Check Point. A partir de las cotizaciones solicitadas a la empresa SecureSoft, representante autorizado para comercializar el software Check Point, se determinó el costo del soporte local y el costo de la contratación del servicio de soporte técnico, actualización y mantenimiento del software Check Point, ascendiente a US$44,510.44 incluyendo los impuestos de Ley. Adicionalmente, en vista de que los servidores de red de uso específico (es decir, que sólo pueden ser utilizados para el software Check Point) que albergan la plataforma actual de seguridad perimetral Check Point fueron adquiridos en el año 2008, éstos requieren ser renovados por vigencia tecnológica y, adicionalmente, para reducir los costos del servicio de soporte técnico y mantenimiento de hardware extendido. A partir de las cotizaciones solicitadas, el costo de la renovación del hardware compatible con la plataforma de seguridad perimetral Check Point es de US$23,305.00, incluyendo los impuestos de Ley. 8. Conclusiones Las conclusiones del presente informe son las siguientes: La Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS), para el cumplimiento de sus funciones de regulación y supervisión de los Sistemas Financiero, de Seguros y del Sistema Privado de Pensiones, así como para prevenir y detectar el Lavado de Activos y Financiamiento del Terrorismo, cuenta con el software Check Point, del fabricante Check Point Software Technologies LTD., el cual es utilizado como herramienta de seguridad perimetral para la red de datos institucional. Actualmente, como parte de su infraestructura tecnológica, la Superintendencia cuenta con diversas licencias de diferentes productos de software Check Point, las cuales cumplen diversas funciones para el aseguramiento de integridad y confidencialidad de las comunicaciones. Desde el año 2006, a través de los Informes Técnicos Previo de Evaluación de Software Nº 006-2006-ST, N 002-2008-GTI, N 007-2011-GTI y Nº 021-2013-GTI, elaborados por la Gerencia de Tecnologías de Información (GTI), la Superintendencia ha contratado el servicio de soporte técnico, actualización y mantenimiento del software Check Point, cuyas licencias y productos han sido adquiridos gradualmente desde el año 1998. De esta forma, se ha asegurado la correcta operatividad, funcionamiento, soporte técnico y actualización de versiones del software, reduciendo así la posibilidad de obsolescencia tecnológica y preservando el valor económico de la inversión realizada. Mediante Resolución SBS N 2650-2013, de fecha 30 de abril de 2013, se aprobó la estandarización del uso y del servicio de soporte técnico, actualización y mantenimiento del software Check Point en la Superintendencia, cumpliendo para ello lo dispuesto por la Directiva N 010-2009-OSCE/CD, que refiere los lineamientos para la contratación que hace referencia a una determinada marca o tipo particular de producto o servicio. Esta estandarización fue necesaria para la renovación del servicio de soporte técnico, actualización y mantenimiento del software Check Point. De esta manera, se ha confirmado la decisión de la Superintendencia en continuar utilizando el software Check Point como herramienta de seguridad informática para la protección de la red de datos de la Superintendencia. Los Laureles Nº 214 - Lima 27 - Perú Telf. : (511) 6309000 Fax: (511) 6309239 5/6
Esta Gerencia considera que se debe mantener el software Check Point como herramienta de seguridad perimetral de la red de datos de la Superintendencia, y no se evaluarán alternativas para su reemplazo, debido al nivel de inversión realizado, a los servicios implementados y al costo y riesgo operativo que implicaría migrar hacia o adquirir otro software. Esta excepción está contemplada en el Reglamento de la Ley Nº 28612, Ley que Regula el Uso, Adquisición y Adecuación del Software en la Administración Pública, y será comunicada a la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI), tal como está establecido en el mencionado Reglamento. Otro factor a tener en cuenta y que favorece a la alternativa de mantener el software Check Point como herramienta de seguridad perimetral de la red de datos de la Superintendencia, es el valor intangible relacionado al nivel de conocimientos (know how) que posee el personal técnico, lo cual no ha sido valorizado económicamente y que refuerza la alternativa mencionada. El servicio de soporte técnico, actualización y mantenimiento garantiza la atención de problemas o fallas en el software, a cargo del propio fabricante. De esta manera, se asegura la correcta funcionalidad y operatividad del software, al contar con un servicio de soporte técnico, actualización y mantenimiento que permita canalizar consultas técnicas y reporte de fallas, directamente al fabricante. También, este servicio permite la actualización del software a las nuevas versiones liberadas, lo cual garantiza su funcionalidad al reducir la posibilidad de obsolescencia tecnológica, lo cual preserva el valor económico de la inversión realizada. Por lo expuesto, se requiere la contratación del servicio de soporte técnico, actualización y mantenimiento del software de seguridad perimetral Check Point, servicio necesario para asegurar la correcta operatividad, funcionamiento, soporte técnico y actualización de versiones del software, el cual es utilizado como herramienta de seguridad perimetral para la red de datos de la Superintendencia. 9. Firmas Igor Sakuma Carbonel Gerente de Tecnologías de Información Edgar Pajuelo Rubina Técnico de Redes y Comunicaciones Los Laureles Nº 214 - Lima 27 - Perú Telf. : (511) 6309000 Fax: (511) 6309239 6/6