Anexo Técnico Servicios de Correlación de Eventos

Proyecto:

SERVICIOS DE CORRELACION DE EVENTOS

Documento: PARTIDA ÚNICA.- Anexo para bases de licitación

Fecha: Septiembre – 2014

Elaborado por: Ing. Israel Garrido Castillo

Ing. Jorge Arturo Tokunaga Pérez

Revisión:

Autorización:

Ing. Israel Garrido Castillo

Subgerente de Innovación Tecnológica

Lic. José Aurelio Muñoz Beltran

Gerente de Administración Integral de Infraestructura y Servicio

Ing. Alfredo Victor Burgos Menéndez

Director Adjunto de Desarrollo Tecnológico

Contenido

CONTENIDO ................................................................................................................................................. 2

1. OBJETIVO............................................................................................................................................. 3

2. VIGENCIA ............................................................................................................................................. 3

3. DESCRIPCIÓN DEL SERVICIO ................................................................................................................. 3

3.1. LUGAR DE ENTREGA DEL SERVICIO .................................................................................................... 3

3.2. CARACTERÍSTICAS TÉCNICAS ............................................................................................................. 4

4. SERVICIO DE INSTALACIÓN Y PUESTA A PUNTO DE LA INFRAESTRUCTURA. ...................................... 11

4.1. FASE I PLANEACIÓN ....................................................................................................................... 11

4.2. FASE II DISEÑO DE INTERCONEXIÓN ............................................................................................... 12

4.3. FASE III IMPLEMENTACIÓN ............................................................................................................. 12

4.4. FASE IV PRUEBAS Y VERIFICACIÓN .................................................................................................. 13

4.5. FASE V TRANSFERENCIA DE CONOCIMIENTOS Y OPERACIÓN......................................................... 13

5. ENTREGABLES .................................................................................................................................... 15

5.1. MEMORIA TÉCNICA ......................................................................................................................... 15

5.2. CAPACITACIÓN .............................................................................................................................. 16

6. SERVICIO EFECTIVAMENTE OTORGADO ............................................................................................. 18

6.1. ATENCIÓN DE INCIDENTES .............................................................................................................. 18

6.2. SOLICITUD DE SERVICIO EN SITIO .................................................................................................... 18

7. ENTREGABLES .................................................................................................................................... 18

7.1. REPORTE DE INCIDENTE .................................................................................................................. 19

7.2. ENTREGABLE MENSUAL DE INCIDENTES O FALLAS ......................................................................... 19

8. ANEXOS INFRAESTRUCTURA .......................................................... ¡ERROR! MARCADOR NO DEFINIDO.

8.1. ANEXO I - DOCUMENTACIÓN TÉCNICA ............................................... ¡ERROR! MARCADOR NO DEFINIDO.

8.2. ANEXO II - TABLA DE PRECIOS OFERTADOS POR EL LICITANTE ........................................................ 20

8.3. ANEXO III - FORMATO DE REPORTE DE INCIDENTE .......................................................................... 20

PARTIDA ÚNICA

SERVICIOS DE CORRELACION DE EVENTOS

1. OBJETIVO

LA CONVOCANTE requiere de los servicios de correlación de eventos por medio de una solución

unificada de seguridad ofreciendo descubrimiento de activos, detección de vulnerabilidades,

monitoreo de comportamiento, detección de amenazas y contextualización de la seguridad. Todo

correlacionado para ofrecer capacidades ya integradas de seguridad, proporcionando una visibilidad

de la infraestructura tecnológica a nivel de seguridad.

Deberá ejecutar la recolección y ordenamiento de la información que se genere y realice la

correlación por firmas así como correlación cruzada de eventos y/o incidencias de seguridad para

hacer valoraciones sobre el estado de la red o buscar patrones que sirvan para detectar si es

atacada.

2. VIGENCIA

EL LICITANTE deberá considerar una vigencia a partir de la firma de contrato y hasta el 31 diciembre

del 2014.

3. DESCRIPCIÓN DEL SERVICIO

LA CONVOCANTE requiere de los servicios de correlación de eventos descrita a continuación:

TABLA 1. DESCRIPCIÓN DEL SERVICIO

DESCRIPCIÓN SERVICIO MONTO

MENSUAL

Servicios de correlación de eventos para monitoreo de dispositivos e implementación en centro de datos

1

3.1. LUGAR DE PRESTACIÓN DEL SERVICIO

Los sitios que EL LICITANTE deberá contemplar para la prestación de los servicios los cuales

pueden incluir: instalación, configuración, mantenimiento preventivo y correctivo,la puesta a punto

así como el traslado (en caso de requerirse) para proporcionar este servicio son:

La CONVOCANTE podrá disponer del servicio en las siguientes direcciones:

1.- Insurgentes Sur 1089, Colonia Nochebuena, Delegación Benito Juárez, 03720 Ciudad de México,

Distrito Federal

2.- Av. San Fernando #37, Col. Toriello Guerra, Delegación Tlalpan, C.P. 14050, Ciudad de México,

Distrito Federal

3.2. CARACTERÍSTICAS TÉCNICAS

El Servicio ofertado deberá cubrir las siguientes características y funcionalidades mínimas

necesarias descritas en el presente documento; así como también en caso de requerirse el servicio

de instalación, configuración, puesta a punto de su operación y mantenimiento preventivo y

correctivo.

La instalación, configuración y puesta a punto de los servicios ofertados correrá a cargo de EL

LICITANTE para garantizar que la solución se implementa bajo las mejores prácticas y asegurar su

correcta operación.

EL LICITANTE deberá contar con un Centro de Atención durante la vigencia del contrato, debiendo

proporcionar el soporte técnico para mantenimiento preventivo y correctivo, a través del cual LA

CONVOCANTE pueda levantar reportes para solicitar soporte en sitio en caso de falla así como

recibir asesoría técnica telefónica (ilimitada e inmediata).

Las funcionalidades descritas y requeridas por LA CONVOCANTE para la totalidad de este anexo

se consideran mínimas y deben ser cubiertas al 100% por cada una de las soluciones propuestas

por cada participante, y debidamente respaldadas por documentación técnica del fabricante

referenciada con catálogos, manuales y publicaciones en el sitio web del fabricante.

EL LICITANTE deberá incluir todos los cables, accesorios y/o aditamentos necesarios para la

correcta operación y funcionalidad de los servicios solicitados.

EL LICITANTE deberá incluir todos los conectores necesarios para la correcta conectividad entre

equipos y será proporcionado por LA CONVOCANTE.

EL LICITANTE deberá de considerar en su propuesta todas las actualizaciones (updates, upgrades

y demás elementos en software sobre el mismo release o en release diferente) que realice el

fabricante respecto al servicioobjeto de esta licitación y en su caso deberá llevarlos a cabo al

momento de su estabilidad durante la vigencia del contrato, así también se hace énfasis que en caso

de que la solución por cuestiones propias de operación requiera software o hardware adicional EL

LICITANTE deberá realizar la actualización de los módulos que sean necesarios para la

estabilización del equipo sin costo alguno para LA CONVOCANTE hasta lograr la estabilización del

servicio, considerando en su propuesta los costos asociados.

Los servicios ofertados deberán cumplir a cabalidad con los requisitos y funci

El Servicio debe ser capaz de gestionar y procesar la información recolectada, basándose en

fórmulas a fin de proporcionar al usuario la información necesaria a través de reportes listos para ser

auditados.

Generación de reportes de procesamiento, repositorio y visualización a través de diferentes

formatos: PDF Adobe, Excel, HTML.

Gestión basada en interfaz web.

Exportación de documentos de auditoría de seguridad, análisis de riesgos y controles de

seguridad de aplicación.

Métricas e indicadores presentados y formalizados para el cumplimiento de las normas ISO

2700X, PCI, Sarbanex-Oxley

Los reportes de métricas e indicadores bajo demanda y en tiempo real sean generados a través de

un mapeo de correlación entre las reglas de los controles y la información de la norma aplicada.

El servicio deberá ser capaz de integrarse con active directory y soportar alta disponibilidad

El servicio debe contemplar como mínimo el uso de los siguientes componentes:

Sensores

Este elemento es el encargado de recolectar información de la red y enviarla al servidor SIEM para

su almacenamiento y proceso. Son desplegados en diferentes nodos de la red, para monitorizar su

actividad y deben contener:

1. Detectores de bajo nivel y monitores que, pasivamente (sin afectar al rendimiento de la red)

recolecten datos buscando patrones.

2. Escáneres que pueden buscar vulnerabilidades en la red activamente.

3. Agentes que reciben datos (logs) de máquinas, dispositivos y aplicaciones, incluso

propietarias así como plugins específicos para cada tipo de log que se traten a efectos de

recepción, normalización y envío tanto en formato original como normalizado.

Sean capaces de recolectar información (logs) sin ser intrusivos, aunque a veces sea necesario

instalar agentes en las máquinas monitorizadas. Cada sensor desplegado permita monitorizar al

menos 4 puntos de red.

Se incluya software para la detección de intrusos, monitorización de red y anomalías. Se encargan

también de la recolección de logs y envío de eventos normalizados al servidor.

SIEM

(Security information and event management, por sus siglas en inglés)

Permite la monitorización y la correlación de eventos en tiempo real, que pueda recibir eventos tanto

de las herramientas incluidas en sus sensores como de dispositivos comerciales o aplicaciones

propietarias, por medio del uso de plugins configurables, tanto específicos como genéricos. Sus

funciones principales serán:

1. Tareas generales como: normalizar, priorizar, recolectar y, evaluar el riesgo.

2. Ejecutar el motor de correlación: basado en reglas, el cual permita correlacionar información

de múltiples fuentes distintas y generar alertas confirmadas.

3. El mantenimiento preventivo y correctivo y las tareas externas, tales como backups, backups

programados, inventario online o lanzamiento de escaneos.

4. Envío de logs en formato normalizado a la Base de Datos de Tiempo Real.

Dicho SIEM será el encargado de recibir los eventos detectados por los sensores, evaluar el riesgo

de los mismos y ejecutar el motor de correlación. También permitirá la definición de políticas para la

notificación o actuación como reenvío de logs en bruto al logger, se debe incluir una consola de

administración

Logger

Se encargará del almacenamiento masivo de logs utilizando escritura directa a disco, de firmar

digitalmente dichos logs y de verificar su integridad y custodia.

Se utilizará para:

1. Almacenar los logs en su formato original, firmados, comprimidos y cifrados de forma

centralizada.

2. Servir los resultados de las búsquedas lanzadas sobre la estructura jerárquica del

almacenamiento (file system).

Incluye el software correspondiente de acceso a los datos y sistema de consultas.

Considerar que el log original se almacena como un campo más de la base de datos del módulo

SIEM, el ciclo de rotación de la misma es corto, mientras que con el módulo LOGGER incorporado

se podrán mantener on-line los logs originales generados durante un periodo muy largo de tiempo.

(12 meses)

La firma criptográfica de la información orientada a verificar la integridad de ésta se produce mediante

OpenSSL haciendo uso por defecto del algoritmo RSA, se salva un hash SHA1 la longitud de la firma

es de 1024 bits, esto será completamente configurable, permitiendo el uso de otros algoritmos con

otras dimensiones en bits.

El modo de firmado establecido en la implantación es por bloque, se almacenan ficheros completos

y se firman por defecto.

El servicio de correlación de eventos deberá incluir el licenciamiento necesario para cumplir con las

funcionalidades y requerimientos mínimos solicitados.

Si la solución incluye algún tipo de licenciamiento, éste deberá ser efectivo durante un periodo

mínimo de 12 meses a partir de la puesta a punto.

El servicio ofertado por EL LICITANTE deberá considerar un appliance de propósito específico.

El producto ofertado por EL LICITANTE deberá de cumplir con todas las características descritas en

el punto 3.2. de este documento, si la propuesta técnica no cumple con alguna de estas

características la propuesta será desechada.

Así también, deberá cumplir los siguientes requerimientos de un SIEM:

1. El sistema deberá permitir recolección de registros de eventos de todos los dispositivos de

red sin necesidad de escribir código (desarrollo) para agentes de integración, aquellos

dispositivos que no sean soportados de fábrica se debe suministrar una herramienta que

permita incluirlos.

2. El sistema deberá estar orientado a recolección de registros de eventos para operaciones

de seguridad y de cumplimiento de regulaciones (GPG 13, ISO 27001/27002, SOX, FISMA,

PCI DSS, HIPAA, etc.).

3. Se debe recolectar y almacenar el 100% de los datos de cada plataforma.

4. La solución debe demostrar capacidad de custodia de los registros de eventos, es decir, que

se guarden de manera segura, confiable e inalterable y puedan ser datos adecuados para

evidencia digital.

5. Deberá contar con administración basada en una interfaz Web.

6. Los registros de eventos se deberán almacenar en formato nativo (RAW).

7. Deberá estar en capacidad de recolectar eventos de las siguientes fuentes:

a. Syslog, Syslog NG

b. SNMP

c. Formatted log files

d. Comma/tab/space delimited, other

e. ODBC conexión hacia bases de datos remotas

f. Push/pull XML files via HTTP

g. Windows event logging API

h. CheckPoint OPSEC interface

i. Cisco Router, Pix, Ips, NetFlow.

8. El sistema debe comprimir los datos almacenados con una tasa 10:1 real de almacenamiento

en disco.

9. La solución deberán contar con discos duros internos en configuración de RAID 5 o RAID 6

y deberá permitir el uso de disco externo como medio de almacenamiento adicional para

cumplir con los requerimientos de retención de información.

10. El sistema deberá permitir la clasificación de los dispositivos monitoreados.

11. El sistema deberá estar diseñado para soportar altas cargas de: eventos mínimo 2,500 EPS,

dispositivos y prever picos.

12. El sistema debe estar en la capacidad de permitir el acceso inmediato y en tiempo real a la

información.

13. El sistema no deberá usar agentes externos o instalación de software en los dispositivos a

monitorear.

14. El sistema debe permitir, para efecto de almacenamiento de información histórica, la

conexión con sistema de almacenamiento externo.

15. El sistema deberá ser escalable y soportar crecimiento de dispositivos así como flujo de

registros de eventos.

16. El sistema deberá instalarse en esquema de alta disponibilidad.

17. El sistema deberá soportar arquitecturas distribuidas en componentes (recolectores,

manejadores de datos y analizadores), soportando el re-uso en el momento de un cambio

de arquitectura.

18. El sistema deberá ser orientado a la facilidad de instalación, configuración y mantenimiento

preventivo y correctivo.

19. El sistema deberá estar en la posibilidad de generar alertas en tiempo real basados en reglas

de correlación definidas.

20. El sistema debe estar en capacidad de tener una visión holística de la gran cantidad de

dispositivos y formatos de recolección de log’s; esto para minimizar la complejidad y mejorar

la eficiencia del análisis de este tipo de información; todo lo anterior para asegurar que el

sistema esté en la capacidad de correlacionar eventos que por sí solos no revistarían riesgo

alguno, pero que visto en varios dispositivos si podría significar riesgos y/o ataques. Las

correlaciones que debe implementar el sistema deben buscar patrones de eventos en

múltiples dispositivos, en líneas de tiempo puntuales para reducir falsos positivos en

herramientas de propósito específico.

21. El sistema debe incluir reglas de correlación preconfiguradas y parametrizables para

ataques/riegos/fallas comunes tales como:

a. Ataques de fuerza bruta.

b. Actividades sospechosas de logins por sistemas WEB

c. Actividad multicasting sospechosa

d. Requerimientos http muy largos

e. Gran cantidad de requerimientos http no estándares

f. Cantidad inusual de conexiones a una Base de Datos

g. Múltiples logins fallidos desde una misma estación de trabajo

h. Intentos fallidos de login de forma intensa.

i. Patrones de gusanos informáticos (Ej: W32.Blaster, SQL, Scanning, etc.)

j. Vulnerabilidades conocidas (SSH)

k. Cuentas de Windows creadas y eliminadas en menos de X horas (Ej; 24 horas)

l. No reinicio de servidores Windows.

m. Malware Trojan.

n. Ataques DoS

o. Otros

22. Las reglas pre-configuradas deberán ser actualizadas por el fabricante y deberán basarse

en los ataques, riegos y fallas más comunes.

23. La definición de reglas de negocio deberán basarse en reglas correlacionadas.

24. El sistema debe incluir reglas de correlación sobre las mejores prácticas que existen en el

mercado.

25. Deberá manejar definiciones de vulnerabilidades de los dispositivos integrados a la solución.

26. Las alertas generadas por el sistema deberán poderse enviar en los siguientes formatos:

a. Generación de un archivo de Texto

b. Envío de una trama SNMP

c. Envío de un Correo electrónico por SMTP

d. Reenvío de mensajes de syslog a un dispositivo externo

e. Ejecución de un comando

f. Asignación de una Tarea

27. La solución deberá incluir un sistema de respuesta a incidentes basado orientado a CSIRT

(Computer Security Incident Response Teams) permitiendo tener una solución escalable a

Nivel de Centros de Operación de Seguridad (SOC) y/o Centro de Operaciones de Red

(NOC)

28. El manejador de incidentes deberá permitir la gestión o la integración con una herramienta

para la gestión de casos por medio de flujos de trabajo, con mínimo el siguiente ciclo de vida

del incidente:

a. Notificación

b. Organización, categorización y priorización del incidente.

c. Análisis

d. Recolección de datos forenses.

e. Seguimiento y/o rastreo

f. Remediación.

29. El sistema debe proveer una base predefinida de reportes estándar que permitan su

aprovechamiento desde el inicio de la puesta en producción

30. El sistema deberá permitir programar la ejecución y entrega de los reportes construidos.

31. El sistema deberá proveer reportes de auditoria pre-construidos basados en leyes de

cumplimiento como ISO 27001/27002, SOX, FISMA, PCI DSS, HIPAA, etc.

32. Los reportes se deberán poder enviar por correo electrónico.

33. El sistema deberá poder exportar los datos en formato estándar para uso con otras

herramientas (CSV, PDF)

34. El sistema deberá permitir agrupar los dispositivos monitoreados para la facilidad de uso.

35. El sistema deberá permitir el uso de roles y perfiles para el acceso a los recursos de la

herramienta de los usuarios.

36. El sistema deberá ser capaz de determinar el comportamiento de los sistemas monitoreados

para generar referencias base y aprender con el tiempo de dichos comportamientos.

37. Debe soportar de forma nativa la recolección de registros de eventos desde

aplicaciones/dispositivos de seguridad, sistemas operativos, bases de datos y elementos de

red.

38. Deberá contar con un módulo de análisis forense en donde se pueda ver los datos históricos

y/o en tiempo real.

39. La base de datos debe estar incluida en el precio de la solución y se espera que sea auto

gestionado para no incurrir en costos y tiempos de DBA´s para su mantenimiento preventivo

y correctivo.

40. Integración con soluciones de DLP (Data Lost Preventions - Prevención de pérdida de datos)

propias y de otros fabricantes.

41. Debe tener integración con Active Directory, para permitir el acceso a usuarios del AD

existente.

42. Que la aplicación tenga soporte para SAN y NAS.

4. SERVICIO DE INSTALACIÓN Y PUESTA A PUNTO DEL

SERVICIO

LA CONVOCANTE requiere de la instalación y puesta a punto de la solución ofertada, así mismo

deberá proporcionar EL LICITANTE un plan de trabajo que defina las fases de planeación, diseño,

implementación y operación de dicha infraestructura.

La instalación de la solución se definirá por las siguientes fases:

Fase I: Planeación.

Fase II: Diseño.

Fase III: Implementación.

Fase IV: Pruebas y verificación.

Fase V: Transferencia de conocimientos y operación.

4.1. FASE I PLANEACIÓN

EL LICITANTE deberá realizar la planeación del proyecto para la puesta a punto del servicio ofertado,

tomando como mínimo las siguientes actividades:

Deberá proporcionar el plan de comunicación que se establecerá durante la implementación del servicio.

Deberá proporcionar una matriz RASCI (Responsable, Accountable, Supporting, Consulted, Informed) para la implementación, identificación de responsables, ejecutores e informadores del proyecto.

Deberá proporcionar una matriz de escalamiento la cual deberá incluir el nombre del responsable, puesto, teléfono y dirección de correo electrónico, misma que deberá ser válida tanto en la instalación como en la operación de las soluciones.

Deberá proporcionar una matriz de riesgos, misma que deberá contener las estrategias de mitigación.

Elaborar un plan de trabajo en donde se incluirán todas las etapas necesarias para la implementación del servicio.

Y todas aquellas tareas necesarias en esta fase del proyecto que EL LICITANTE considere necesarias.

4.2. FASE II DISEÑO DE INTERCONEXIÓN

El LICITANTE deberá realizar el diseño de la interconexión del servicio ofertado, el cual será definida

en conjunto con el personal que LA CONVOCANTE designe. El diseño deberá ser realizado de

acuerdo a las mejores prácticas del fabricante y cumpliendo con las necesidades de LA

CONVOCANTE, tomando como mínimo las siguientes actividades:

Diseño de alto nivel que muestre la topología de red a utilizar.

Diseño de bajo nivel que muestre la interconexión del servicioofertada.

Recomendaciones del fabricantepara el diseño de la interconexión de los equipos.

Diagrama general de interconexión de la solución.

Definición de protocolos a usarse en la fase de implementación.

Arquitectura física y lógica.

Levantamiento de información.

Definición de requerimientos físicos para la instalación del servicio

EL LICITANTE deberá proporcionar un recurso certificado en el servicio ofertado que participe en esta fase

Y todas aquellas tareas necesarias en esta fase del proyecto que EL LICITANTE considere necesarias para su buen término.

4.3. FASE III IMPLEMENTACIÓN

EL LICITANTE deberá realizar la implementación del servicio ofertado de acuerdo al plan de trabajo

prestablecido, tomando como mínimo las siguientes actividades:

Plan de implementación de la infraestructura.

Instalación de equipos. (si aplica)

Interconexión de la solución.

Configuración tipo de la solución.

Configuración de protocolos.

Configuración de reglas.

Configuración de parámetros básicos para monitoreo y administración vía web

Recomendaciones para las mejores prácticas que el fabricante de la infraestructura emita.


Y todas aquellas tareas o configuraciones necesarias en esta fase del proyecto que EL LICITANTE considere necesarias para su buen término.

4.4. FASE IV PRUEBAS Y VERIFICACIÓN

Para las pruebas de verificación del correcto funcionamiento de la red, EL LICITANTE deberá

considerar como mínimo lo siguiente:

Deberá generar el protocolo de pruebas para demostrar el funcionamiento de las configuraciones realizadas, el objetivo de este protocolo es para que EL LICITANTE entregue la solución operando correctamente.

Inspeccionar físicamente que todos los componentes se encuentren operando correctamente.


Y todas aquellas tareas o pruebas de verificación necesarias en esta fase del proyecto que EL LICITANTE considere necesarias para su buen término.

4.5. FASE V TRANSFERENCIA DE CONOCIMIENTOS

Este servicio deberá ser proporcionado por EL LICITANTE y deberá considerar como mínimo los

siguientes aspectos:

La transferencia de conocimientos deberá realizarse sobre el diseño, implementación y configuración de la solución ofertada.

La transferencia de conocimientos deberá impartirse en un periodo no mayor a 8 (ocho) días hábiles después de que se hayan concluido las pruebas de verificación de funcionalidad. En caso de incumplimiento en las fechas de la conclusión de la fase se harán conforme al apartado de penalizaciones.

La transferencia de conocimientos deberá ser impartida dentro de las instalaciones de LA CONVOCANTE o en un punto de mutuo acuerdo entre las partes.

EL LICITANTE deberá proporcionar el material necesario (manuales, presentaciones, folletos, fichas técnicas, entre otros), para llevar a cabo la transferencia de conocimientos.

EL LICITANTE deberá entregar la memoria técnica de la instalación, configuración y operación.

EL LICITANTE ganador deberá proporcionar el material necesario (manuales, presentaciones, folletos, fichas técnicas, entre otros), para llevar a cabo la capacitación; dicha capacitación deberá de ser en la administración del servicio ofertado.

EL LICITANTE ganador deberá integrar en el plan de trabajo todas aquellas actividades necesarias para la correcta operación y funcionalidad de la solución ofertada, y cualquier actividad que no haya sido descrita en el plan de actividades y que sea necesaria para la correcta operación e integración de la solución, sin que ello genere cargos extras para LA CONVOCANTE.

FASE 1 FASE II FASE III FASE IV FASE V

PLANEACIÓN DISEÑO DE

INTERCONEXIÓN IMPLEMENTACIÓN PRUEBAS Y VERIFICACIÓN

TRANSFERENCIA DE CONOCIMIENTOS Y

OPERACIÓN

Inicia a partir de la emisión

del fallo.

Duración de 3 semanas máximo.

Duración de 1

semana máximo.



Duración de 1 semana máximo.

5. ENTREGABLES

La siguiente tabla describe la base de entregables que EL LICITANTE deberá entregar en las fechas

especificadas; EL LICITANTE podrá agregar a esta lista, los entregables que considere necesarios

de acuerdo al plan de trabajo establecido en conjunto con LA CONVOCANTE.

TABLA 2. PLAN DE ENTREGABLES

FASE ID ENTREGABLE FECHA DE ENTREGA

MEDIO

Fase I

E-01 Plan de Trabajo

PRIMERA SEMANA DESPUÉS

DEL FALLO

Electrónico e impreso

E-02 Matriz RASCI SEGUNDA SEMANA DESPUÉS

DEL FALLO


E-03 Matriz de riesgos Electrónico e impreso

E-04 SOW (SCOPE OF WORK)


Fase II E-05 Reporte de levantamiento de información

SEGUNDA SEMANA DESPUÉS

DEL FALLO


Fase III E-06

Plan de implementación y ejecución de la implementación

SEGUNDA SEMANA DESPUÉS

DEL FALLO


Fase IV E-07 Protocolo de pruebas de funcionalidad de la solución

TERCERA DESPUÉS

DEL FALLO

Electrónico e impreso (2 juegos)

Fase V

E-08 Taller de transferencia de conocimientos

QUINTA SEMANA DESPUÉS

DEL FALLO


E-09 Memoria Técnica Electrónico e impreso

LA CONVOCANTE realizará los pagos calendarizados conforme a mes vencido

EL LICITANTE deberá considerar 4 (cuatro) semanas como tiempo máximo para la entrega de la

soluciónsolicitada después del fallo

5.1. MEMORIA TÉCNICA

EL LICITANTE adjudicado deberá entregar en la fecha establecida, en medio impreso y en

electrónico, la memoria técnica de lo realizado (en formato de documento Microsoft Word y en

Acrobat Reader), está deberá contener al menos los siguientes tópicos:

Plan de trabajo programado y real.

Instalación de la solución.

Diagrama de red físico.

Diagrama de red lógico.

Configuración de la solución.

Resultado de los protocolos de prueba.

Directorio de escalamiento para el reporte de fallas y problemas técnicos.

En caso de incumplimiento EL LICITANTE se hará acreedor a sanción económica conforme se indica

la sección de Servicios Efectivamente Otorgados.

5.2. CAPACITACIÓN

EL LICITANTE deberá incluir la capacitación a nivel de certificación de la solución para al menos 2 (dos) personas que LA CONVOCANTE designe. La capacitación básica deberá programarse y ejecutarse durante las primeras 6 (seis) semanas a partir de la emisión de fallo. La capacitación se llevará a cabo en un lugar acordado por las partes, pudiéndose llevar a cabo tanto en las instalaciones de LA CONVOCANTE como en las de EL LICITANTE.

CARACTERÍSTICAS MÍNIMAS DEL CENTRO DE SOPORTE DEL PROVEEDOR

EL LICITANTE debe contar con un Centro de Atención que brinde el servicio en un horario 8x5 de

lunes a viernes durante la vigencia del contrato, debiendo proporcionar el soporte técnico que

corresponda al horario y vigencia de la contratación del servicio, a través del cual LA CONVOCANTE

pueda levantar reportes para solicitar soporte en sitio en caso de falla y Asesoría Técnica Telefónica

(ilimitada e inmediata).

En caso de que EL LICITANTE no pueda resolver el problema y se requiera el apoyo directo del

fabricante, LA CONVOCANTE deberá tener acceso por medio de EL LICITANTE a los servicios de

soporte y atención del fabricante, así como acceso a su centro de atención.

SOLICITUDES DE SERVICIO

Entiéndase como solicitud de servicio, de forma enunciativa más no limitativa, toda aquella que LA

CONVOCANTE solicite a la mesa de ayuda de EL LICITANTE y que no sea motivo de incidente

activo.

Dentro de estas solicitudes de servicio están las siguientes:

Solicitud de desempeño del equipo.

Solicitud de revisión de LOGS del equipo.

Solicitud de reportes de incidentes y/o problemas con la solución.

Y cualquier solicitud relacionada con el servicio.

Estas solicitudes deben ser atendidas conforme al nivel de atención indicado en la sección niveles

de servicio.

NIVELES DE ATENCIÓN Y SERVICIO

Los niveles atención y de servicio requeridos por LA CONVOCANTE que deberán cumplir e incluir

los proveedores en su propuesta técnica, se especifican a continuación, debiendo considerar lo

siguiente:

TABLA 3. NIVELES DE ATENCIÓN Y SERVICIO

DESCRIPCIÓN DESCRIPCIÓN NIVEL APLICABLE

CORRELACIÓN DE EVENTOS

Asistencia en sitio de personal de EL LICITANTE en caso de incidente fuera del horario del personal en sitio o para el caso de personal de 2° nivel.

Como máximo 8 (ocho) horas, después del levantamiento del reporte.

Atención telefónica para la atención de incidentes o problemas

Inmediata sin catalogar el tipo de solicitud

Niveles de atención a solicitudes de servicio.

8x5 cinco días a la semana, ocho horas diarias (de lunes a viernes de 09:00 a 18:00 hrs.)

Los reportes de incidentes que llegarán a presentarse durante la vigencia del contrato se validarán en su cierre mediante la aprobación del mismo por el responsable que LA CONVOCANTE designe.

El nivel de atención del servicio y disponibilidad de forma mensual deberá ser del 99.45%, en caso de no cumplir con este nivel de atención para la solución de incidentes, fallas, problemas o cualquier situación que afecte la operación de la infraestructura, EL LICITANTE será acreedor a la aplicación del servicio efectivamente otorgado.

6. SERVICIO EFECTIVAMENTE OTORGADO

EL LICITANTE se compromete a cumplir con todos los puntos indicados, en caso contrario, se hará

acreedor a la aplicación de la deductiva correspondiente al servicio afectado por incumplimiento,

conforme se indica en cada uno de los siguientes apartados, independientemente de la aplicación

de las penas convencionales a que sea acreedor en los términos del contrato que se derive del

presente procedimiento.

6.1. ATENCIÓN DE INCIDENTES

Para aquellos casos en los cuales EL LICITANTE incumpla con los tiempos de atención y solución

de incidentes o problemas con la solución ofertada, que sea atribuible al licitante e incumpla con el

nivel de atención solicitado, el servicio efectivamente otorgado por cada minuto de afectación será

calculado con la siguiente fórmula:

SEO = 100% del precio total del servicio

(30 días)(24 ℎ𝑜𝑟𝑎𝑠)× el número de horas de atraso

El descuento económico por el servicio efectivamente otorgado al licitante se reflejará en la

facturación mensual en la que haya ocurrido el evento.

6.2. SOLICITUD DE SERVICIO EN SITIO

En caso de incumplimiento por documentación faltante, o que esta no cubra los requisitos mínimos

estipulados, EL LICITANTE tendrá un tiempo máximo de 12 horas, posterior a la notificación por

parte de LA CONVOCANTE para solventar el requerimiento, posterior a esto, por cada día de retraso

en la presentación de los documentos, reportes, evidencia, etc., solicitados; el servicio efectivamente

otorgado por cada día de atraso será calculado con la siguiente fórmula:

SEO = 100% del precio total de la infraestructura

(30 días)(24 ℎ𝑜𝑟𝑎𝑠)× el número de horas de atraso

El monto de descuento del servicio efectivamente otorgado por incumplimiento en el servicio de

solicitudes se tomará de la facturación mensual.

7. ENTREGABLES

7.1. REPORTE DE INCIDENTE

EL LICITANTE adjudicado se compromete a entregar en un lapso no mayor a 12 (doce) horas,

posterior a la falla o incidente, los reportes que LA CONVOCANTE solicite, en referencia a eventos

(fallas o incidentes), que provoquen la interrupción del servicio ofertado. Este reporte deberá ser

realizado en formato Microsoft Word y Acrobat Reader, como se muestra en el ANEXO III, cubriendo

todos los tópicos que en este documento se indican, incluyendo evidencia visual (en caso de

incidente de causa mayor) o bien, “print screen”, de la pantalla donde se pueda observar la evidencia

que el o los equipos reportan (en caso de falla).

El reporte deberá ser a entera satisfacción de LA CONVOCANTE, en caso contrario, LA

CONVOCANTE entregará evidencia contundente sobre la falta en la que el reporte incurre y a partir

de este momento EL LICITANTE tendrá 12 (doce) horas máximo para la entrega del reporte

solicitado, y si EL LICITANTE volviera a incurrir, se hará acreedor a sanción conforme se indica en

la sección Servicio Efectivamente Otorgado.

7.2. ENTREGABLE MENSUAL DE INCIDENTES O FALLAS

EL LICITANTE ganador se compromete a entregar el resumen de incidentes que sobre la

infraestructura ofertada se pudieran presentar, en formato Microsoft Excel, indicando en estos, por

columna, los siguientes datos y tiempos:

Número de ticket

Hora de Inicio de Ticket.

Hora de Fin de Incidente.

Hora de Fin de Reporte.

Tiempo total real y porcentaje de afectación

Causa raíz de la Afectación.

Resumen del seguimiento (bitácora).

Personal de LA CONVOCANTE quien valida el cierre.

Solución y acción correctiva.

Este reporte será validado por el área que LA CONVOCANTE designe para que se emitan los

cambios que sean necesarios, sin que estos, modifiquen la esencia real del contenido del ticket o

reporte.

Al finalizar el mes se entregará, por parte del LICITANTE adjudicado el reporte concentrado de los

reportes mensuales, ya totalmente validados, el cual, deberá ser entregado durante los primeros 5

(cinco) días naturales, al inicio de cada mes.

En caso de incumplimiento EL LICITANTE se hará acreedor a sanción económica conforme se indica

en la sección de Servicios Efectivamente Otorgados.

7.3. ANEXO II - TABLA DE PRECIOS OFERTADOS POR EL LICITANTE

TABLA 4. PRECIO DE SOLUCIÓN OFERTADA

Tipo de Solución Cantidad Precio total del

servicio

Correlación de eventos 1

PRECIO TOTAL

7.4. ANEXO III - FORMATO DE REPORTE DE INCIDENTE

EL LICITANTE ganador deberá de realizar los reportes de incidentes derivados a fallas en la solución

objeto del contrato de mantenimiento preventivo y correctivo preventivo y correctivo, en dichos

reportes se deberá de incluir al menos los siguientes rubros que a continuación se enlistan.

I. Objetivo

II. Antecedentes

III. Acciones Realizadas

IV. Causa raíz del incidente

[Se debe anexar evidencia visual]

V. Solución y Acción Correctiva

VI. Afectación

o TIEMPO TOTAL DE AFECTACIÓN REAL DEL INCIDENTE:

o INICIO DE INCIDENCIA:

o FIN DE INCIDENCIA:

VII. Glosario de Términos

Documents

Anexo Técnico Servicios de Correlación de Eventos