INFORME Nº 044-2012-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la adquisición e implementación de una solución de prevención de fuga de información (Data Leak Prevention DLP) es la Gerencia de Tecnologías de Información (GTI) de esta Superintendencia. 2. Nombre y Cargo del Responsable de la Evaluación El analista responsable de la evaluación es el Sr. Manuel Escudero Cervantes, Analista de Seguridad Informática de la Gerencia de Tecnologías de Información (GTI). 3. Fecha La fecha del presente informe es el 05 de noviembre de 2012. 4. Justificación Debido a sus labores de supervisión, la Superintendencia de Banca, Seguros y AFP (SBS) es repositoria de información con carácter sensible y confidencial. Aún cuando la plataforma de seguridad informática de la Superintendencia permite reducir el riesgo de que esta información sea atacada o sujeto de filtración, el número de amenazas existentes, tales como extracción no autorizada o espionaje, se incrementa cada día. Adicionalmente, la sofisticación de las técnicas utilizadas por los posibles atacantes incrementa el número y los tipos de riesgos a los que la información está expuesta, especialmente en aquellas estaciones de trabajo que, por sus funciones, se encuentran al acceso del público o a usuarios externos a la Superintendencia. Esta problemática hace necesaria la implementación de una solución tecnológica que permita minimizar los riesgos de extracción no autorizada de la información institucional, independientemente de la tecnología utilizada para ello o del formato o del medio electrónico en el que se encuentre almacenado. Dicha herramienta deberá contar con parámetros de evaluación y monitoreo de la solución, incluyendo la verificación del correcto acceso a los sistemas de información, así como permitir mejoras y cambios futuros en su diseño. Los resultados de estas actividades permiten, incluso, implementar planes de educación dirigidos a los usuarios finales, relacionados a reforzar la cultura de seguridad de la información existente en la institución. En este contexto, la Gerencia de Tecnologías de Información (GTI) manifiesta la necesidad de adquirir e implementar una solución de prevención de fuga de información (Data Leak Prevention DLP), que permita asegurar la información con carácter sensible y confidencial de la Superintendencia. 5. Alternativas De acuerdo a lo descrito en los párrafos anteriores, en el Anexo Nº 01 se presentan las características técnicas de la solución a adquirir. Para realizar el análisis comparativo técnico y de costo-beneficio, se eligieron los siguientes productos:
RSA Data Loss Prevention Suite Websense Data Security Suite CA DataMinder Suite De esta manera, se han evaluado las características técnicas de los productos mencionados, habiéndose verificado el nivel de cumplimiento con lo solicitado y su integración con la plataforma tecnológica de la Superintendencia actualmente en uso. 6. Análisis Comparativo Técnico Adjunto al presente informe, se encuentra el Anexo Nº 01, en el que se comparan las características técnicas de las alternativas evaluadas para los productos de software seleccionados, para lo cual se ha tomado como base la Parte 3: Proceso de Evaluación de Software de la Guía de Evaluación de Software, aprobada por Resolución Ministerial N 139-2004-PCM. En dicho análisis, se presentan los resúmenes de los aspectos evaluados, habiéndose considerado los datos oficiales proporcionados por los fabricantes, información obtenida desde fuentes de información oficiales y los resultados de las pruebas efectuadas a las soluciones evaluadas. 7. Análisis Comparativo de Costo Beneficio En el Anexo N 02, se presentan los costos de los productos evaluados, los cuales han sido proporcionados para dos de ellos por los distribuidores locales de RSA y Symantec. Cabe señalar que estos costos son referenciales y han sido estimados para un período de tres (03) años de servicio de soporte técnico, actualización de versiones y mantenimiento. 8. Conclusiones Las conclusiones del presente informe son las siguientes: La información de la Superintendencia requiere ser protegida contra intentos de extracción no autorizada y ataques de índole informático, independientemente del formato electrónico en el que se encuentre almacenada. La implementación de una solución de prevención de fuga de información (Data Leak Prevention DLP) permitirá implementar políticas flexibles para minimizar el riesgo de extracción no autorizada de la información de la Superintendencia. Así mismo, permitirá implementar planes de educación dirigidos a los usuarios finales, relacionados reforzar la cultura de seguridad de la información existente en la institución. Los nuevos proyectos a desarrollar por la Gerencia de Tecnologías de Información durante los próximos meses requieren de una plataforma segura, para garantizar la integridad de la información procesada y almacenada en la misma. El servicio de soporte técnico, actualización y mantenimiento garantiza la atención de problemas o fallas en el software, a cargo del propio fabricante. De esta manera, se asegura la correcta funcionalidad y operatividad del software, al contar con un servicio de soporte, actualización y mantenimiento que permita canalizar consultas técnicas o reportar fallas en el mismo, directamente al fabricante. También, este servicio permite la actualización del software a las nuevas versiones liberadas, lo cual garantiza su funcionalidad al reducir la posibilidad de obsolescencia tecnológica, lo cual preserva el valor económico de la inversión realizada.
Por lo expuesto, se requiere la adquisición de una solución de prevención de fuga de información (Data Leak Prevention DLP) para la Superintendencia, con su respectivo servicio de soporte técnico, actualización y mantenimiento, por un período de tres (03) años. 9. Firmas Igor Sakuma Carbonel Gerente de Tecnologías de Información Manuel Escudero Cervantes Analista de Seguridad Informática
ANEXO Nº 01 ANÁLISIS COMPARATIVO TÉCNICO Características Técnicas Permite la administración del sistema través de interfaces gráficas Compatible con plataformas MS Windows (32 y 64-bit), físicos y virtuales Monitoreo y protección de información para datos en Uso, Movimiento y Reposo Integrable con LDAP y MS Active Directory Permite descubrimiento y búsqueda de información, tanto en servidores (incluyendo bases de datos), como en estaciones de trabajo Respuesta a intentos de extracción de datos por red, dispositivos de almacenamiento externo y periféricos Opciones de respuesta ofrecida en tiempo real: Monitorear, Justificar, Bloquear, Cuarentena, Alertar, Encriptar Protección de archivos independiente del formato, de la aplicación y del SO Ofrece protección para equipos fuera de la LAN institucional Notifica automáticamente al usuario final y/o a los usuarios administradores cada vez que detecta un intento de extracción de datos Permite generar cuentas de usuarios con roles de administración controlada Se integra con soluciones de encriptamiento TLS, egrc, SEM, SIEM y Service Desk Permite la generación y despliegue de informes y reportes de eventos centralizada Servicio de Instalación, Configuración y Capacitación Servicio de Soporte On Site 24x7 Se integra con la plataforma actual de red de la SBS Requerido Deseable RSA Websense CA
ANEXO Nº 02 RESUMEN ECÓNOMICO DE LAS ALTERNATIVAS EVALUADAS Nº Alternativa Cantidad de Licencias Valor de Servicio 1 RSA Data Loss Prevention Suite 900 US$350,000 2 WEBSENSE Data Security Suite 900 US$165,014.74 3 CA Data Minder Suite 900 US$315,390