-La solución debe proporcionar supervisión y monitoreo de la actividad de las bases de datos para gestionar la seguridad de las mismas.

Página 1 de 6

SECRETARÍA DISTRITAL DE MOVILIDAD CONTRATO DE PRESTAMO BID No. 2136/OC-CO

PROYECTO APOYO INSTITUCIONAL AL SISTEMA INTEGRADO DE TRANSPORTE PÚBLICO DOCUMENTO DE ACLARACIONES NÚMERO DOS

PROCESO SDM –LPN No.BID 014 de 2013

OBJETO:“Adquisición y puesta en funcionamiento de la infraestructura de gestión de seguridad de la información para el Sistema de Movilidad Urbano regional – SIMUR., para los fines pertinentes.”

PREGUNTAS Y RESPUESTAS

PREGUNTA 1. Existe un porcentaje específico sobre el valor del contrato para la póliza de seriedad?

Respuesta 1.

Ver

respuesta a la pregunta 10 del Documento de Aclaraciones Número Uno.

PREGUNTA 2.

PREMISAS:

1. De acuerdo al numeral 3.1 se tiene "Para la protección de bases de datos se requiere una solución

orientada la supervisión y análisis de vulnerabilidades sobre las bases de datos."

2. Los pliegos incluyen la instalación de firewalls

SOLICITUD:

Debido a que el objetivo del appliance de seguridad para las bases de datos es la "supervisión y análisis

de vulnerabilidades" según numeral 3.1 y se tiene la opción de incluir un firewall para controlar y

bloquear los accesos a las bases de datos desde las redes o usuarios específicos, solicitamos realizar las

siguientes modificaciones sobre el numeral 3.1.5:

-La solución debe proporcionar supervisión y monitoreo de la actividad de las bases de datos

para gestionar la seguridad de las mismas.

- La solución debe ser capaz de realizar búsqueda automática de bases de datos.

- La solución debe permitir programar búsqueda de bases de datos periódicos con el fin de evitar

la inclusión de Bases de datos falsas a la infraestructura.

- La solución debe ser capaz de

descubrir

los datos confidenciales de las bases de datos y

etiquetarlos de acuerdo a las políticas de seguridad de la organización

- La solución debe ser capaz de examinar la infraestructura de base de datos y descubrir

vulnerabilidades.

Página 2 de 6

- La solución debe ser capaz de encontrar vulnerabilidades como parches faltantes, privilegios

mal configurados y cuentas predeterminadas.

- La solución debe ser capaz de producir un informe detallado de los resultados de las

vulnerabilidades encontradas e incluir las recomendaciones para solucionarlos.

-La solución debe contar con un mecanismo de actualización de las vulnerabilidades existentes

en la industria que garantice un análisis de vulnerabilidades real

-La solución debe ser capaz de establecer una línea base de configuración de las bases de datos y

generar auditoria basada en dicha línea base de configuración.

-

La solución debe permitir detectar, en tiempo real, las acciones no autorizadas o sospechosas

por parte de cuentas privilegiadas y ataques de extraños o usuarios falsos

-La solución debe ser capaz de identificar a usuarios de la aplicación cuando realizan cambios no

autorizados en las bases de datos mediante aplicaciones propietarias.

-La solución debe permitir ser gestionada por el personal de seguridad de la información sin la

intervención de los administradores de las bases de datos (DBAs).

-

La solución debe permitir alertar y auditar control sobre los cambios relacionados a la

estructura de bases de datos y sus usuarios, incluyendo DDL (data definition languages) y DCL

(data control languages).

-La solución debe poseer una interfaz que permita un rápido muestreo de incidentes de

seguridad, y que mantenga un registro de los incidentes abiertos, con su nivel de gravedad y

duración de los incidentes

encontrados en las Bases de datos.

Respuesta 2.

Las especificaciones técnicas señaladas en el documento de licitación, son las mínimas a

ser cumplidas por los oferentes. En cuanto a las modificaciones propuestas por usted nos permitimos

dar la siguiente respuesta:

-

En cuanto a la modificación propuesta:

“La solución debe proporcionar supervisión y monitoreo

de la actividad de las bases de datos para gestionar la seguridad de las mismas”

, la SDM requiere

como lo establece en el numeral 3.5.1 de las especificaciones técnicas del documento de

licitación que se realice la supervisión de las bases de datos en tiempo real.

-

En cuanto a la modificación propuesta:

“

La solución debe ser capaz de

descubrir

los datos

confidenciales de las bases de datos y etiquetarlos de acuerdo a las políticas de seguridad

Página 3 de 6

de la organización”

el requerimiento mínimo de la SDM es

“

La solución debe ser capaz

de

clasificar

los datos confidenciales de las bases de datos y etiquetarlos de acuerdo a las

políticas de seguridad de la organización”

, si el proceso de descubrimiento permite la

identificación de los datos considerados confidenciales, la solución cumpliría con el

requisito mínimo solicitado por la entidad.

-

En la modificación

“La solución debe permitir detectar, en tiempo real, las acciones no autorizadas

o sospechosas por parte de cuentas privilegiadas y ataques de extraños o usuarios falsos”

para la

SDM si la solución propuesta contempla las actividades de detectar y bloquear las acciones no

autorizadas con la integración de todos sus componente, la solución cumple con el requisito

mínimo solicitado por la entidad. En las especificaciones técnicas se debe explicar en que

condiciones se cumple con los diferentes requerimientos de orden técnico.

-

En cuanto a la modificación

“La solución debe permitir debe permitir alertar y auditar control

sobre los cambios relacionados a la estructura de bases de datos y sus usuarios, incluyendo DDL

(data definition languages) y DCL (data control languages).”

La SDM requiere que la solución

permita como mínimo definir políticas de acceso granular que limiten el acceso a tablas

especificas basadas en el inicio de sesión del sistema operativo, dirección IP o MAC aplicación de

origen horas del día, protocolo de red y tipo de comando SQL, sin que ello limite la utilización de

los lenguajes de control especificados en las bases de datos.

Es importante señalar que las viñetas 2, 3, 5, 6, 7, 8, 9, 11 y 12 no son sujetas de aclaración

pues el interesado no presento observaciones o ajustes sobre las mismas.

PREGUNTA 3.

En el numeral 3.1.4 SOLUCIÓN DE ENDPOINT, mencionan en Funcionalidades, como

requerimiento “

Tener un agente que permita conectarse de forma segura contra los firewalls perimetrales

de la entidad (via VPN), si los usuarios se encuentran fuera de la oficina.”

¿Esperan que los agentes de

EndPoint tengan incluido un agente de VPN para conexión remota a través de VPN IPSec?

Respuesta 3.

Si, tal como se establece en el literal 3.1.4 solución de End Point en el numeral 3.

Especificaciones técnicas.

PREGUNTA 4.

En el numeral 3.1.4 SOLUCIÓN DE ENDPOINT, mencionan en Funcionalidades, como

requerimiento “

Tener un agente que permita conectarse de forma segura contra los firewalls perimetrales

de la entidad (via VPN), si los usuarios se encuentran fuera de la oficina.”

¿En caso de ser afirmativa la

respuesta anterior, que marca, modelo y versión de firewall recibirá dichos clientes de VPN?

Respuesta 4.

El documento de licitación en el literal 3.1.1 de l numeral 3. Especificaciones técnicas

señala que en la solución se requieren 2 servidores tipo appliance de virtualización firewall de nueva

generación, la solución EndPoint propuesta debe conectarse a los equipos ofertados por el

proponente.

Página 4 de 6

PREGUNTA 5.

En el numeral 3.1.4 SOLUCIÓN DE ENDPOINT, mencionan en Funcionalidades, como

requerimiento “

Contar con un mecanismo, que eduque al usuario (según su perfil) en las políticas de

protección de datos.”

¿A qué se refieren específicamente con éste requerimiento?

Respuesta 5.

Cuando se violen políticas de seguridad el agente debe notificar al usuario de la

violación mediante mecanismos como ventanas emergentes, notificaciones por correo electrónico,

mensajes en barras de estado u otro mecanismos de las soluciones propuestas.

PREGUNTA 6.

En el numeral 3.1.6 SERVIDOR CON SOFTWARE DE MONITOREO DE ESTADO DE RED Y

SISTEMAS Y ANÁLISIS DE VULNERABILIDADES, mencionan en Componente, como requerimiento “

Consola

integral de monitoreo de eventos de seguridad de la información y análisis de vulnerabilidades tipo open

source.”

¿Necesariamente la solución a ofrecer debe ser Open Source?

Respuesta 6.

Si , porque este tipo de soluciones no limita el número de direcciones IP que pueden estar

bajo la supervisión del software de monitoreo. De igual forma se está dando cumplimiento a la política

de orden distrital en el uso de este tipo de soluciones.

PREGUNTA 7.

En el numeral 3.1.6 SERVIDOR CON SOFTWARE DE MONITOREO DE ESTADO DE RED Y

SISTEMAS Y ANÁLISIS DE VULNERABILIDADES, mencionan en Elementos para Monitorear, como

requerimiento “

Ilimitado (sin límite para el número de elementos de configuración a supervisar).”

¿Sabiendo que la solución a ofrecer no es Open Source y por ende no posee licenciamiento ilimitado, a

cuantas direcciones IP se les llevaría a cabo el análisis de vulnerabilidades?

Respuesta 7.

Ver respuesta 6

PREGUNTA 8.

En el numeral 3.1.1, se solicita:

Favor aclarar si la solución propuesta ya debe incluir estos 10 firewalls virtuales o puede ser una solución

sin

firewall

virtuales

y

que

a

futuro

se

le

pueda

licenciar

esta

funcionalidad.

De igual forma si la respuesta es que incluya esta funcionalidad de firewalls virtuales, favor aclarar

cuantos firewalls virtuales se deben configurar?

Página 5 de 6

Favor aclarar si es necesario cotizar los 2 puertos de 10 Gigas o se debe cotizar solo los 8 puertos

10/100/100 ?

Respuesta 8

. Como se establece en el numeral 3. Especificaciones técnicas, literal 3.1.1 servidor tipo

appliance la solución debe crecer mínimo hasta 10 sistemas virtuales de igual forma como se señaló en

el numeral cuarto de la adenda 1 se deberán instalar, configurar y poner en funcionamiento cuatro (4)

firewall virtuales que se definirán en conjunto con la SDM.

En cuanto a la pregunta de interfaces y conectividad la solución propuesta deberá tener mínimo 8

puestos 10/100/1000 y si el oferente lo considera puede incluir dentro de su propuesta los puertos de

10G.

PREGUNTA.9

-2.4 Servicios conexos Servidor tipo appliance de protección de bases de datos nos

permitimos hacer las siguientes preguntas de aclaración:

-

Cuantas son las transacciones por segundo de estas bases de datos o en su defecto el número de

cores (nucleos) de los procesadores asignados a cada una de estas bases de datos.

-

Las 3 bases de datos están en un mismo servidor o de lo contrario por favor especificar en

cuantos servidores están.

-

Las 3 bases de datos están en el mismo sitio físicamente?

-

Las 3 bases de datos están en servidores físicos o virtuales?

-

Las 3 bases de datos están en cluster o stand alone?

-

Cuantos son los segmentos de red que debemos monitorear por los que pasan el tráfico hacia /

desde los servidores de base de datos?

-

Qué tipo de interfaces tienen los servidores con las 3 bases de datos, es decir, fibra óptica a Giga

o 10G, o cobre?

-

Es posible tener un diagrama de red con la topología donde se incluyan los 3 servidores?

-

Qué tipo de base de datos es: Oracle, SQL??? Qué versión?

Respuesta 9

. Como se explicó en la respuesta No 4 del documento de aclaraciones número uno, la

solución propuesta incluye cuatro bases de datos, sus características técnicas y las de la infraestructura

tecnológica que las soportan se encuentran en dicho numeral.

Las bases de datos están en el mismo sitio físicamente, se encuentran en servidores físicos, su

configuración es stand alone ninguna esta en cluster, todas las bases de datos están en el mismo

Página 6 de 6

segmento y VLAN, los usuarios en diferentes segmentos, las interfaces de todos los servidores son en

cobre y las bases de datos son ORACLE.

Elaboró: Juan Carlos Alarcon Suescún – Consultor Experto en Seguridad de la Información SDM Ana Milena Granados Rodriguez – Ingeniera Especializada SDM

Revisó: Catherine Ruiz - Especialista de adquisiciones Crédito BID 2136 Claudia Isabel Osorio - Coordinadora crédito BID2136