ADMINISTRACIÓN Y MONITOREO

EL “Licitante” ganador deberá proveer los servicios de Administración y Monitoreo de los dispositivos de Seguridad nuevos y existentes mencionados en el apartado 2 mencionados en cada una de las etapas en horario 7X24X365 en forma remota.

3.1 Definición de Administración y Monitoreo

El “Licitante adjudicado”debe de entender por gestión y monitoreo de la seguridad las siguientes tareas y/o servicios generales:

• La visualización e interacción en línea desde un punto remoto, de los dispositivos de seguridad propuestos (En este documento no están solicitando ningún dispositivo de seguridad) y propios del “Instituto”, observando sus funciones principales, desempeños, bitácoras, alarmas, eventos y reportes para conservar su mejor funcionamiento y desempeño todo el tiempo posible conforme a los niveles de servicio requeridos.

• El entendimiento y control completos de las configuraciones de los equipos involucrados, incluyendo el control de los cambios en dichas configuraciones.

• La solución a fallas de manera remota o en sitio, según se requiera así como la realización de las tareas de mantenimiento preventivo al menos 1 vez al año en sitio, que sean necesarias para cumplir los niveles de servicio.

• Los procesos y procedimientos para mantener los niveles de disponibilidad y servicio solicitados.

3.2 Monitoreo de la disponibilidad de la infraestructura de seguridad

Se deberán incluir esquemas de monitoreo continuo a la disponibilidad de los dispositivos de seguridad, de modo tal que se identifiquen fallas de los equipos de que puedan afectar los mecanismos de protección a la información del “Instituto”. Este monitoreo deberá realizarse desde el centro de operación de seguridad (SOC) y deberá operar activamente reportando cualquier falla de manea inmediata, permitiendo cumplir con las métricas de servicio comprometidas con el “Instituto”.

El centro de operación de seguridad (SOC) deberá incluir esquemas de monitoreo (hardware y software) fuera de banda que permitan tener acceso a los dispositivos perimetrales en caso de falla del enlace de Internet.

3.3 Monitoreo de la utilización de los recursos

Este servicio complementario al monitoreo de la disponibilidad, deberá permitir conocer más a fondo la utilización de los recursos de los elementos de red y servidores bajo contrato. De esta forma, se deberán monitorear variables dentro del dispositivo como nivel de utilización (RAM, utilización de CPU, disco, cache), que determinen el rendimiento del elemento o dispositivo. Si los valores monitoreados rebasaran alguno de los umbrales predefinidos, entonces se dispara una notificación con el fin de tomar acciones correctivas o en caso de alcanzar la capacidad máxima del dispositivo notificar a los responsables del Instituto para que estos tomen las acciones pertinentes.

Por lo anterior el monitoreo deberá mostrar también tendencias en el tiempo de las variables de cada uno de los dispositivos administrados.

3.4 Servicio de Monitoreo de Intrusiones

• El servicio de monitoreo de Intentos de Intrusión debe funcionar en un esquema 24X7X365

• Se deberá integrar un esquema de alerta temprana de las vulnerabilidades existentes, esta alerta temprana deberá llegar al menos vía correo electrónico y deberá incluir una descripción de la vulnerabilidad, si dicha vulnerabilidad ya fue aceptada por el fabricante así como las recomendaciones para minimizar el riesgo de impacto por dicha vulnerabilidad en el ambiente del “Instituto”.

• Se debe incluir un módulo de colección, normalización, cifrado y envío de los eventos de seguridad. Este envío deberá realizarse de manera automática y segura hacia el centro de operación de seguridad (SOC).

• El centro de operación de seguridad (SOC) deberá contar con especialistas de seguridad que analicen los eventos de seguridad e identifiquen patrones de intentos de ataque, explotación de servicios y propagación de códigos maliciosos.

• Los analistas de seguridad deberán contar con esquemas de rotación para hacer más eficiente los métodos de detección de incidentes de seguridad (Esto deberá ser validado durante la visita al SOC).

• Los analistas de seguridad deberán contar con mecanismos de escalación al detectar incidentes de seguridad.

• Al detectar un incidente de seguridad se deberán contar con mecanismos de notificación al personal del “Instituto” de modo tal que sea este personal quien autorice los cambios de configuración (para los dispositivos administrados) en caso de ser necesario.

• Los analistas de seguridad solo deberán tener acceso a las interfases configuración de las soluciones de seguridad cuando se requiera hacer cambios en las reglas, aplicación de parches o mantenimiento al mismo, para el análisis de los eventos de seguridad deberán basarse en la lectura de los registros de eventos de seguridad colectados.

• El SOC deberá contar con un área de especialistas que analicen las vulnerabilidades en sistemas operativos y aplicaciones de modo tal que este proceso permita reconocer explotación a nuevas vulnerabilidades.

El sistema utilizado deberá ser un sistema integrado compuesto por aplicaciones de monitoreo, análisis, consolas de administración, sistema de correlación, reporteo y notificaciones y deberá ser capaz de manejar tickets de servicio y deberá integrar procesos basados en Normas internacionales y de mejores practicas, como ITIL.

3.5 Funcionalidades requeridas para los servicios de Administración 3.5.1 Administración de consolas de seguridad y Control de cambios

El “Licitante” adjudicado deberá:

• Ser responsable de la configuración inicial, las recomendaciones de seguridad para endurecer las consolas de administración de las soluciones a monitorear, así como de la administración del ciclo de vida de las soluciones (parches y actualizaciones).

• Administrar remotamente las consolas de seguridad del “Instituto”, de manera segura. Estas consolas podrán ser, por ejemplo: Consolas de Firewalls, IDS, IPS, etc.

• Deberá realizar todos los cambios necesarios a las configuraciones, reglas, filtros, políticas de los dispositivos de seguridad, las veces que se requiera para mantener un funcionamiento adecuado de los dispositivos con el fin de evitar, contener y erradicar cualquier tipo de actividad o flujo de datos que pudiera comprometer y/o impactar la confidencialidad, disponibilidad e integridad de la información clave de negocio del “Instituto” y permitir todo aquel tráfico de datos enfocado a las actividades sustantivas del “Instituto” mediante procesos claramente definidos y proveer al “Instituto” de 3 diferentes formas para solicitar cambios, generación de reportes, alta de usuarios, etc. siendo al menos de forma telefónica segura, por correo electrónico seguro y a través del portal donde se muestre la información del “Instituto”.

3.6 Servicio de Administración de Incidentes

• Al comienzo del servicio, el personal del “Licitante” adjudicado trabajará con el “Área Solicitante” del “Instituto” para determinar las necesidades y amenazas para la zona

protegida. Estas necesidades serán utilizadas para convertirlas en configuraciones tecnológicas de los dispositivos de control de acceso y de monitoreo de intrusiones.

• El licitante ganador deberá incluir mecanismos para la colección del registro de los eventos, deberá incluir un proceso de normalización y envío cifrado hacia el centro de operaciones de seguridad, de modo tal que con esta información se pueda determinar si existen incidentes o no.

• El licitante ganador deberá incluir tecnología para hacer correlación de eventos, de modo tal que el proceso de análisis de incidentes sea automatizado y con un rango mínimo de error. Un analista de seguridad deberá realizar análisis de los eventos después de ser correlación.

• Ante la detección de un ataque, el “Licitante adjudicado”deberá analizar el ataque y determinar el proceso de remediación, aplicando políticas y configuraciones en los dispositivos de acceso y de prevención de intrusos.

• Si por alguna razón la acción de remediación supusiera efectuar cambios en componentes no cubiertos por los Servicios de Monitoreo de Infraestructura de Red, el personal del “Licitante” adjudicado deberá notificar al “Instituto” o a quien este determine de las acciones requeridas para ayudar a mitigar el ataque.

• Las fases cubiertas en esta sección deberán incluir al menos:

Identificación del incidente

Contención inicial del incidente

Recuperación de los sistemas afectados

Notificación de cambios que se deberán realizar por personal del “Instituto” ó de terceros.

• Dentro de las principales actividades de este procedimiento deberán estar las de verificar todas aquellas tareas de contención realizadas para disminuir o detener el impacto del incidente ocurrido para que los dispositivos regresen a su operación normal incluyendo:

Pérdida de configuraciones de los dispositivos / elementos de seguridad. se llevará a cabo la restauración de las mismas a partir de los respaldos realizados con anterioridad.

Desconexión o desconectado de equipos, se llevará a cabo la conexión de los mismos.

Baja de servicios, se procederá a darlos de alta nuevamente.

Ejecución de cambios temporales, a través de la ejecución del proceso de “rollback” de los mismos.

• Deberá identificar, contener, recuperar sistemas de seguridad, dar seguimiento, documentar y erradicar los incidentes de seguridad que se presenten en la red del “Instituto”, así como todas aquellas actividades sospechosas que pudiesen ser un riesgo para la información propiedad del “Instituto”.

3.7 Control de Cambios en los Servicios Administrados

El proceso de administración de cambios deberá ser usado por el “Licitante adjudicado”para asegurar métodos y procedimientos estandarizados para la autorización, documentación y ejecución de todos los cambios. El objetivo de la administración del cambio será la de realizar los cambios necesarios de una manera eficiente y con procesos estándares.

El objetivo será agregar, remover o modificar debidamente todas las partes de configuraciones de los dispositivos de seguridad que lo necesiten, con el fin de permitir el flujo adecuado de las aplicaciones del negocio, y bloquear toda aquella actividad o flujo de datos ajeno o perjudicial

para el mismo. Todo cambio realizado deberá ser debidamente documentado para su posterior consulta y así mantener una base o memoria técnica actualizada al día, de las configuraciones que se tienen en los dispositivos.

3.8 Actividades mínimas en el servicio de administración y monitoreo de la seguridad.

• Generación inicial de reglas y/o políticas de seguridad de las tecnologías a implementar. El deberá realizar un inventario de las aplicaciones y servicios que fluyan por cada uno de los SITIOS a proteger, asociando con cada uno de ellos las reglas y/o políticas de seguridad para que permitan fluir los procesos de negocio del “Instituto”. Dichas reglas y/o políticas se deberán generar y establecer bajo el visto bueno de la institución.

• Generación de memoria técnica. El “Licitante adjudicado”deberá generar la documentación de la memoria técnica la cual incluirá el diagrama o diseño de la implementación de las tecnologías por SITIO a proteger, la configuración de cada una de las herramientas instaladas, y las políticas y/o reglas de seguridad aplicadas.

• Generación de procedimientos operativos para respuesta a incidentes y atención al cliente; así como definición de reportes tipo que serán entregados al “Instituto”.

3.9 Metodología

El “Licitantes” adjudicado deberá utilizar una herramienta basada en la metodología ITIL (Information Technology Infrastructure Library) que soporte los procesos para el Soporte y Entrega del Servicio, con el fin de llevar el control y de la infraestructura de Seguridad, de tal manera que se cuente con información fiable y actualizada de los niveles de servicio y la configuración que guarda la Infraestructura administrada de acuerdo a los siguientes procesos.

• Administración de incidentes

• Administración de problemas

• Administración de cambios

• Administración de niveles de servicio

• Administración de capacidades

3.10 Correlación de eventos y manejo de incidentes

El SOC deberá de contar con una herramienta de uso específica para SOC de correlación que le permita correlacionar la información de todos los dispositivos a monitorear y administrar, ofreciendo reportes de diferentes niveles:

• Correlación intra-cliente

• Correlación a nivel nacional

• Correlación con amenazas a nivel internacional

• Correlación de amenazas con información de vulnerabilidades

EL “Licitante” deberá mediante una carta bajo protesta de decir verdad mencionar la tecnología de correlación que posee, y que la utilizará a lo largo de la vigencia del contrato para prestar los servicios,

así como que la mantendrá actualizada a las últimas versiones, actualizaciones y con el contenido de amenazas actualizado.

Asimismo, deberá proveer la información necesaria para realizar análisis Forense, este podrá ser requerido bajo demanda por el “Instituto” al “Licitante adjudicado”.

El sistema deberá permitir la notificación al “Instituto”, sobre las actividades sospechosas que pudieran presentarse en la infraestructura administrada por el centro de operación de la seguridad (SOC).

El sistema deberá ser capaz de generar reportes de anomalías en el tráfico que cruza los dispositivos administrados basados en patrones de tráfico establecidos en los últimos 30 días por puerto.

3.11 Análisis de Vulnerabilidades

El “Licitante” ganador deberá de proveer un servicio de Análisis y administración de Vulnerabilidades al “Instituto”, como parte de los servicios administrados para al menos 128 direcciones IP para las cuales se deberá proveer una herramienta que realice el análisis de las vulnerabilidades, establezca un base- line y muestre a través del tiempo la disminución de las vulnerabilidades en los dispositivos analizados. Deberá proveer un workflow que permita la asignación de responsables para cada dispositivo IP analizado.

Será responsabilidad del prestador de los servicios la mitigación de las vulnerabilidades en los dispositivos de seguridad administrados y para aquellos dispositivos que están fuera de su ámbito de administración deberá notificarlos a los responsables para que estos procedan a planear acciones correctivas, disminuyendo la posibilidad de un ataque que explote dichas vulnerabilidades.

La herramienta a utilizar deberá identificar y notificar de nuevas vulnerabilidades, que sean susceptibles de ataques, virus, y malware en general que pueda impactar a los sistemas de red del “Instituto”.

La herramienta al notificar la vulnerabilidad deberá también generar las recomendaciones de mitigación a seguir.

La herramienta deberá ser capaz de analizar al menos los siguientes dispositivos: Firewalls

IPS IDS

Sistemas operativos Windows, Solaris, AIX, Linux Bases de Datos, etc.

La herramienta deberá tener una gran exactitud demostrada por algún estándar tal como Six Sigma

3.12 Portal

• El “Licitante adjudicado” deberá de proveer al “Instituto” con un portal al cual se tenga acceso seguro por medio de autenticación de doble factor y en base a roles y perfiles definidos de la siguiente información:

• Acceso vía Web a las bitácoras de logs de todos los dispositivos involucrados en la solución por lo menos por un periodo de 3 meses; además de que estas deberán ser entregadas en medio

magnético trimestralmente, estos deberán servir al Instituto para efectos de cumplimiento a normativas y/o auditoria interna o para efectos forenses

• Configuración actualizada de los dispositivos de Seguridad Administrados.

• Reporte de las principales vulnerabilidades y amenazas detectadas en los últimos días.

• Reporte global de la seguridad.

• Indicadores del estado de los dispositivos de seguridad administrados, así como de tendencias.

• Durante la operación en todo momento se deberá tener acceso a reportes detallados de los servicios de la solución de seguridad con el fin de contar con información precisa para determinar de manera proactiva riesgos sobre la solución de seguridad implantada como parte de este servicio. Estos reportes serán al menos los siguientes:

1. Reporte de la actividad de los firewalls. Donde se presenten los principales protocolos que