DISCOS PARA REPOTENCIACIÓN DE SERVIDORES TIPO II DEL SISTEMA SCADA, INDICAN:
LOTE 4.1, ESPECIFICACION TECNICA DTE/ISC/25/20240530, ADQUISICIÓN DE
DISCOS PARA REPOTENCIACIÓN DE SERVIDORES TIPO II DEL SISTEMA
SCADA, INDICAN:
El proveedor deberá contar en su plantel, Técnicos Certificados en el producto y
formar parte de la nómina con al menos 1 (un) año de antigüedad.
Solicitamos respetuosamente a la convocante aclarar si los técnicos certificados en el
“producto” deben ser en base al hardware (Servidores DELL) o si se refieren a la
plataforma de VMware VSAN, es decir, si deben ser presentados certificados de la
marca DELL o VMware, esto a fin de poder presentar correctamente la documentación
respectiva.
31-01-2025
06-03-2025
DISCOS PARA REPOTENCIACIÓN DE SERVIDORES TIPO II DEL SISTEMA SCADA, INDICAN:
LOTE 4.1, ESPECIFICACION TECNICA DTE/ISC/25/20240530, ADQUISICIÓN DE
DISCOS PARA REPOTENCIACIÓN DE SERVIDORES TIPO II DEL SISTEMA
SCADA, INDICAN:
El proveedor deberá contar en su plantel, Técnicos Certificados en el producto y
formar parte de la nómina con al menos 1 (un) año de antigüedad.
Solicitamos respetuosamente a la convocante aclarar si los técnicos certificados en el
“producto” deben ser en base al hardware (Servidores DELL) o si se refieren a la
plataforma de VMware VSAN, es decir, si deben ser presentados certificados de la
marca DELL o VMware, esto a fin de poder presentar correctamente la documentación
respectiva.
Sírvanse considerar para la elaboración de sus ofertas la siguiente aclaración. Los técnicos deberán estar certificados en el hardware y software.
42
DISCOS PARA REPOTENCIACIÓN DE SERVIDORES TIPO II DEL SISTEMA SCADA, INDICAN:
LOTE 4.1, ESPECIFICACION TECNICA DTE/ISC/25/20240530, ADQUISICIÓN DE
DISCOS PARA REPOTENCIACIÓN DE SERVIDORES TIPO II DEL SISTEMA
SCADA, INDICAN:
El proveedor deberá contar en su plantel, Técnicos Certificados en el producto y
formar parte de la nómina con al menos 1 (un) año de antigüedad para dar soporte
local en caso de que se requiera.
Entendemos que al ser solicitados “técnicos certificados” para dar soporte local en
caso de que se requiera NO serán aceptadas las credenciales de ventas/preventas
para dar cumplimiento a lo solicitado, los mismos deberán ser certificados del tipo
técnico para considerarse valido, favor confirmar si nuestra apreciación es correcta a
fin de presentar la documentación respectiva.
31-01-2025
06-03-2025
DISCOS PARA REPOTENCIACIÓN DE SERVIDORES TIPO II DEL SISTEMA SCADA, INDICAN:
LOTE 4.1, ESPECIFICACION TECNICA DTE/ISC/25/20240530, ADQUISICIÓN DE
DISCOS PARA REPOTENCIACIÓN DE SERVIDORES TIPO II DEL SISTEMA
SCADA, INDICAN:
El proveedor deberá contar en su plantel, Técnicos Certificados en el producto y
formar parte de la nómina con al menos 1 (un) año de antigüedad para dar soporte
local en caso de que se requiera.
Entendemos que al ser solicitados “técnicos certificados” para dar soporte local en
caso de que se requiera NO serán aceptadas las credenciales de ventas/preventas
para dar cumplimiento a lo solicitado, los mismos deberán ser certificados del tipo
técnico para considerarse valido, favor confirmar si nuestra apreciación es correcta a
fin de presentar la documentación respectiva.
Sírvanse considerar para la elaboración de sus ofertas, remitirse a lo especificado en la Adenda N°2.
43
DISCOS PARA REPOTENCIACIÓN DE SERVIDORES TIPO II DEL SISTEMA SCADA, INDICAN:
LOTE 4.1, ESPECIFICACION TECNICA DTE/ISC/25/20240530, ADQUISICIÓN DE
DISCOS PARA REPOTENCIACIÓN DE SERVIDORES TIPO II DEL SISTEMA
SCADA, INDICAN:
“Ampliación de soporte de los servidores Tipo II del Sistema SCADA.”
Solicitamos respetuosamente a la convocante indicar el nivel de garantía que deberá
ser cotizado para la ampliación de soporte de los servidores tipo II del sistema SCADA
(PowerEdge R740xd), establecer si los mismos serán de 5x9 (básico) o 7x24
(producción) a fin de poder cotizar correctamente lo solicitado.
31-01-2025
06-03-2025
DISCOS PARA REPOTENCIACIÓN DE SERVIDORES TIPO II DEL SISTEMA SCADA, INDICAN:
LOTE 4.1, ESPECIFICACION TECNICA DTE/ISC/25/20240530, ADQUISICIÓN DE
DISCOS PARA REPOTENCIACIÓN DE SERVIDORES TIPO II DEL SISTEMA
SCADA, INDICAN:
“Ampliación de soporte de los servidores Tipo II del Sistema SCADA.”
Solicitamos respetuosamente a la convocante indicar el nivel de garantía que deberá
ser cotizado para la ampliación de soporte de los servidores tipo II del sistema SCADA
(PowerEdge R740xd), establecer si los mismos serán de 5x9 (básico) o 7x24
(producción) a fin de poder cotizar correctamente lo solicitado.
Sírvanse considerar para la elaboración de sus ofertas la siguiente aclaración: Favor remitirse a la respuesta de la consulta N° 35.
44
LOTE 6 ITEM 1 PUESTO DE OPERADOR
En las especificaciones técnicas del Lote 6, item 1, puesto de operador, en el apartado: 2- CARACTERÍSTICAS AMBIENTALES, FACTOR DE FORMA Y
ALIMENTACIÓN - La convocante solicita lo siguiente: Temperatura de operación entre 5 a 40 °C. Rogamos a la convocante reconsiderar éste rango de temperatura y aceptar equipos que cuente con un rango de 5 a 35°C. Esto permitirá la participación de potenciales marcas de nivel mundial.
En las especificaciones técnicas del Lote 6, item 1, puesto de operador, en el apartado: 2- CARACTERÍSTICAS AMBIENTALES, FACTOR DE FORMA Y
ALIMENTACIÓN - La convocante solicita lo siguiente: Temperatura de operación entre 5 a 40 °C. Rogamos a la convocante reconsiderar éste rango de temperatura y aceptar equipos que cuente con un rango de 5 a 35°C. Esto permitirá la participación de potenciales marcas de nivel mundial.
Sírvanse considerar para la elaboración de sus ofertas, remitirse a lo especificado en la Adenda N°2.
45
LOTE 6 ITEM 1 PUESTO DE OPERADOR
En las especificaciones técnicas del Lote 6, item 1, puesto de operador, en el apartado: 3- CARACTERÍSTICAS TÉCNICAS - La convocante solicita lo siguiente: Fuente de alimentación redundante interna de ≥ 1450 W, hasta 90 % de eficacia, PFC activo.
Respetuosamente solicitamos a la convocante aceptar equipos que cuenten con una sola fuente para soportar la carga total del equipo. Entendemos que éstos equipos estarán operando bajo un ambiente energético controlado (Generador, UPS, etc), por lo que la posibilidad de falla de la fuente se convierte en prácticamente nula, por este motivo, para dar apertura a potenciales oferentes y a reconocidas marcas de nivel mundial, realizamos ésta solicitud.
En las especificaciones técnicas del Lote 6, item 1, puesto de operador, en el apartado: 3- CARACTERÍSTICAS TÉCNICAS - La convocante solicita lo siguiente: Fuente de alimentación redundante interna de ≥ 1450 W, hasta 90 % de eficacia, PFC activo.
Respetuosamente solicitamos a la convocante aceptar equipos que cuenten con una sola fuente para soportar la carga total del equipo. Entendemos que éstos equipos estarán operando bajo un ambiente energético controlado (Generador, UPS, etc), por lo que la posibilidad de falla de la fuente se convierte en prácticamente nula, por este motivo, para dar apertura a potenciales oferentes y a reconocidas marcas de nivel mundial, realizamos ésta solicitud.
Sírvanse considerar para la elaboración de sus ofertas, remitirse a lo especificado en la Adenda N°2.
46
Eliminación de la Exigencia de Soporte Nativo para Protocolos Industriales en Firewalls
¿Por qué se exige que el firewall tenga soporte nativo para los protocolos IEC 61850, DNP3, Modbus TCP, Synchrophasor (IEEE C37.118), cuando estos protocolos son manejados en dispositivos específicos de redes industriales, como gateways SCADA y switches industriales?
Justificación Técnica:
Los firewalls perimetrales no procesan protocolos industriales: Según la norma IEC 62443, la segmentación de red en sistemas industriales establece que los dispositivos de seguridad IT (como firewalls) deben proteger la infraestructura OT sin interferir con la funcionalidad de los protocolos de automatización (Krotofil & Gollmann, 2013 (https://doi.org/10.1109/ICCCS.2013.6560704)).
Los protocolos IEC 61850 y DNP3 son gestionados por sistemas SCADA/Gateways, no por firewalls perimetrales: Según estudios de ciberseguridad en entornos industriales (Cardenas et al., 2016 (https://doi.org/10.1145/2991079)), el tráfico OT se segmenta y protege a través de seguridad en capas, donde el firewall protege la red, pero no necesita inspeccionar protocolos específicos de automatización.
Firewalls como Check Point Quantum y Cisco Firepower 4100 permiten la inspección del tráfico OT a través de DPI, sin requerir soporte nativo para protocolos industriales.
Propuesta de Modificación: Sustituir la exigencia de soporte nativo para IEC 61850/DNP3 por la capacidad de realizar inspección de tráfico OT mediante DPI (Deep Packet Inspection), permitiendo la participación de múltiples fabricantes.
03-02-2025
06-03-2025
Eliminación de la Exigencia de Soporte Nativo para Protocolos Industriales en Firewalls
¿Por qué se exige que el firewall tenga soporte nativo para los protocolos IEC 61850, DNP3, Modbus TCP, Synchrophasor (IEEE C37.118), cuando estos protocolos son manejados en dispositivos específicos de redes industriales, como gateways SCADA y switches industriales?
Justificación Técnica:
Los firewalls perimetrales no procesan protocolos industriales: Según la norma IEC 62443, la segmentación de red en sistemas industriales establece que los dispositivos de seguridad IT (como firewalls) deben proteger la infraestructura OT sin interferir con la funcionalidad de los protocolos de automatización (Krotofil & Gollmann, 2013 (https://doi.org/10.1109/ICCCS.2013.6560704)).
Los protocolos IEC 61850 y DNP3 son gestionados por sistemas SCADA/Gateways, no por firewalls perimetrales: Según estudios de ciberseguridad en entornos industriales (Cardenas et al., 2016 (https://doi.org/10.1145/2991079)), el tráfico OT se segmenta y protege a través de seguridad en capas, donde el firewall protege la red, pero no necesita inspeccionar protocolos específicos de automatización.
Firewalls como Check Point Quantum y Cisco Firepower 4100 permiten la inspección del tráfico OT a través de DPI, sin requerir soporte nativo para protocolos industriales.
Propuesta de Modificación: Sustituir la exigencia de soporte nativo para IEC 61850/DNP3 por la capacidad de realizar inspección de tráfico OT mediante DPI (Deep Packet Inspection), permitiendo la participación de múltiples fabricantes.
Sírvanse considerar para la elaboración de sus ofertas, remitirse a lo especificado en la Adenda N°2.
47
Eliminación de la Exigencia de Protocolos de Enrutamiento Avanzado en Firewalls
¿Por qué se exige que el firewall perimetral maneje protocolos de enrutamiento avanzados (EIGRP, IS-IS, MPLS, NHRP, L2TPv3, DMVPN), cuando estas funciones corresponden a routers y no a dispositivos de seguridad perimetral?
Justificación Técnica:
Función de los Firewalls vs. Routers: Según la literatura de arquitectura de redes (Tanenbaum & Wetherall, 2020 (https://www.pearson.com/store/p/computer-networks/P100000240863)), los firewalls protegen los perímetros de la red mientras que los routers manejan la conectividad de ruteo dinámico. Incluir protocolos de ruteo en firewalls va en contra del principio de segmentación de funciones en seguridad.
Separación de Funciones de Red: IEEE (2019) (https://standards.ieee.org/standard/802_1Q-2019.html) recomienda que los protocolos avanzados de ruteo sean manejados por routers dedicados y no por firewalls, para evitar vulnerabilidades de configuración y problemas de latencia en entornos de seguridad crítica.
Compatibilidad con OSPF y BGP es suficiente: Fabricantes líderes como Palo Alto, Fortinet, Cisco y Check Point soportan OSPF y BGP, que son protocolos estándar de interconexión de redes. Sin embargo, NHRP y IS-IS son exclusivos de redes de transporte y no deberían ser exigidos en firewalls.
Propuesta de Modificación: Eliminar la exigencia de MPLS, NHRP, IS-IS, DMVPN y L2TPv3 y permitir únicamente OSPF y BGP como protocolos de ruteo en firewalls. (Que sean opcionales)
03-02-2025
06-03-2025
Eliminación de la Exigencia de Protocolos de Enrutamiento Avanzado en Firewalls
¿Por qué se exige que el firewall perimetral maneje protocolos de enrutamiento avanzados (EIGRP, IS-IS, MPLS, NHRP, L2TPv3, DMVPN), cuando estas funciones corresponden a routers y no a dispositivos de seguridad perimetral?
Justificación Técnica:
Función de los Firewalls vs. Routers: Según la literatura de arquitectura de redes (Tanenbaum & Wetherall, 2020 (https://www.pearson.com/store/p/computer-networks/P100000240863)), los firewalls protegen los perímetros de la red mientras que los routers manejan la conectividad de ruteo dinámico. Incluir protocolos de ruteo en firewalls va en contra del principio de segmentación de funciones en seguridad.
Separación de Funciones de Red: IEEE (2019) (https://standards.ieee.org/standard/802_1Q-2019.html) recomienda que los protocolos avanzados de ruteo sean manejados por routers dedicados y no por firewalls, para evitar vulnerabilidades de configuración y problemas de latencia en entornos de seguridad crítica.
Compatibilidad con OSPF y BGP es suficiente: Fabricantes líderes como Palo Alto, Fortinet, Cisco y Check Point soportan OSPF y BGP, que son protocolos estándar de interconexión de redes. Sin embargo, NHRP y IS-IS son exclusivos de redes de transporte y no deberían ser exigidos en firewalls.
Propuesta de Modificación: Eliminar la exigencia de MPLS, NHRP, IS-IS, DMVPN y L2TPv3 y permitir únicamente OSPF y BGP como protocolos de ruteo en firewalls. (Que sean opcionales)
Sírvanse considerar para la elaboración de sus ofertas, remitirse a lo especificado en la Adenda N°2.
48
Ajuste del Requerimiento de Throughput de 70Gbps
Consulta: ¿Por qué se exige un throughput ≥ 70 Gbps, cuando este rendimiento no es necesario para funciones de inspección profunda (IPS, VPN) en un entorno SCADA?
Justificación Técnica:
Firewalls deben evaluarse según su rendimiento por función: Según Gartner (2023) (https://www.gartner.com/reviews/market/network-firewalls), el rendimiento en firewalls debe ser analizado por capacidades específicas (IPS, VPN, DPI), en lugar de imponer un umbral de throughput total.
El tráfico SCADA no requiere 70 Gbps: Según estudios en redes industriales (Stouffer, Lightman & Abrams, 2015 (https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final)), el tráfico en entornos SCADA es bajo (<5 Gbps en la mayoría de las implementaciones).
Ejemplo: Firewalls como Fortinet FortiGate 600E (55 Gbps VPN, 18 Gbps IPS) o Palo Alto PA-5250 (30 Gbps IPS, 45 Gbps VPN) pueden ser adecuados sin necesidad de alcanzar los 70 Gbps generales.
Propuesta de Modificación: Permitir firewalls con rendimiento segmentado en IPS, VPN y DPI, en lugar de exigir un throughput total de 70 Gbps.
Consulta: ¿Por qué se exige un throughput ≥ 70 Gbps, cuando este rendimiento no es necesario para funciones de inspección profunda (IPS, VPN) en un entorno SCADA?
Justificación Técnica:
Firewalls deben evaluarse según su rendimiento por función: Según Gartner (2023) (https://www.gartner.com/reviews/market/network-firewalls), el rendimiento en firewalls debe ser analizado por capacidades específicas (IPS, VPN, DPI), en lugar de imponer un umbral de throughput total.
El tráfico SCADA no requiere 70 Gbps: Según estudios en redes industriales (Stouffer, Lightman & Abrams, 2015 (https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final)), el tráfico en entornos SCADA es bajo (<5 Gbps en la mayoría de las implementaciones).
Ejemplo: Firewalls como Fortinet FortiGate 600E (55 Gbps VPN, 18 Gbps IPS) o Palo Alto PA-5250 (30 Gbps IPS, 45 Gbps VPN) pueden ser adecuados sin necesidad de alcanzar los 70 Gbps generales.
Propuesta de Modificación: Permitir firewalls con rendimiento segmentado en IPS, VPN y DPI, en lugar de exigir un throughput total de 70 Gbps.
Sírvanse considerar para la elaboración de sus ofertas, remitirse a lo especificado en la Adenda N°2.
49
¿Cuál es la justificación técnica para exigir compatibilidad exclusiva con Fortinet en 3.2.1
La exigencia de compatibilidad exclusiva con dispositivos Fortinet en la cláusula 3.2.1 representa una restricción a la libre competencia, limitando la participación de otros fabricantes como Palo Alto, Cisco y Check Point.
Según Tanenbaum & Wetherall (2020), la interoperabilidad en redes debe basarse en estándares abiertos como OSPF, BGP y SNMP, lo que permite que distintos fabricantes puedan coexistir sin inconvenientes. Tanenbaum, A., & Wetherall, D. (2020). Computer Networks. Pearson. (https://www.pearson.com/store/p/computer-networks/P100000240863)
La IEC 62443-3-3 establece que la seguridad en redes OT debe estar basada en segregación lógica y segmentación de tráfico, lo que no requiere la estandarización en un único proveedor (IEC, 2019). IEC 62443-3-3 (https://www.iso.org/standard/78465.html)
Se solicita a la ANDE y a la CAF como ente financiador, un mejor análisis para permitir la compatibilidad con otros fabricantes mediante estándares abiertos (OSPF, BGP, SNMP) sin limitar la oferta a Fortinet.
03-02-2025
06-03-2025
¿Cuál es la justificación técnica para exigir compatibilidad exclusiva con Fortinet en 3.2.1
La exigencia de compatibilidad exclusiva con dispositivos Fortinet en la cláusula 3.2.1 representa una restricción a la libre competencia, limitando la participación de otros fabricantes como Palo Alto, Cisco y Check Point.
Según Tanenbaum & Wetherall (2020), la interoperabilidad en redes debe basarse en estándares abiertos como OSPF, BGP y SNMP, lo que permite que distintos fabricantes puedan coexistir sin inconvenientes. Tanenbaum, A., & Wetherall, D. (2020). Computer Networks. Pearson. (https://www.pearson.com/store/p/computer-networks/P100000240863)
La IEC 62443-3-3 establece que la seguridad en redes OT debe estar basada en segregación lógica y segmentación de tráfico, lo que no requiere la estandarización en un único proveedor (IEC, 2019). IEC 62443-3-3 (https://www.iso.org/standard/78465.html)
Se solicita a la ANDE y a la CAF como ente financiador, un mejor análisis para permitir la compatibilidad con otros fabricantes mediante estándares abiertos (OSPF, BGP, SNMP) sin limitar la oferta a Fortinet.
Sírvanse considerar para la elaboración de sus ofertas, remitirse a lo especificado en la Adenda N°2.
50
¿Por qué se exige soporte nativo para IEC 61850 en 3.6.15, cuando los estándares industriales indican que debe manejarse en sistemas SCADA?
El firewall no forma parte del sistema SCADA. Es un dispositivo perimetral que maneja el tráfico en capas.
IEC 61850 es un protocolo de automatización de subestaciones eléctricas diseñado para la comunicación en sistemas SCADA, no para firewalls perimetrales (IEC, 2019). IEC 61850 Standard (https://www.iec.ch/dyn/www/f?p=103:38:0::::FSP_ORG_ID:1273)
Según Stouffer, Lightman & Abrams (2015), los firewalls no deben manejar tráfico SCADA directamente, sino que deben integrarse con IDS/IPS industriales para la inspección de tráfico OT. Stouffer, K., Lightman, S., & Abrams, M. (2015). Guide to Industrial Control Systems Security. NIST. (https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final)
Se solicita a la ANDE y a la CAF como ente financiador, un mejor análisis para permitir una oferta acorde a los estándares de seguridad e interoperabilidad basados en diseños y recomendaciones citadas. Favor eliminar la exigencia de soporte nativo para IEC 61850 y permitir firewalls que puedan inspeccionar tráfico OT mediante DPI o integración con IDS externos.
03-02-2025
06-03-2025
¿Por qué se exige soporte nativo para IEC 61850 en 3.6.15, cuando los estándares industriales indican que debe manejarse en sistemas SCADA?
El firewall no forma parte del sistema SCADA. Es un dispositivo perimetral que maneja el tráfico en capas.
IEC 61850 es un protocolo de automatización de subestaciones eléctricas diseñado para la comunicación en sistemas SCADA, no para firewalls perimetrales (IEC, 2019). IEC 61850 Standard (https://www.iec.ch/dyn/www/f?p=103:38:0::::FSP_ORG_ID:1273)
Según Stouffer, Lightman & Abrams (2015), los firewalls no deben manejar tráfico SCADA directamente, sino que deben integrarse con IDS/IPS industriales para la inspección de tráfico OT. Stouffer, K., Lightman, S., & Abrams, M. (2015). Guide to Industrial Control Systems Security. NIST. (https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final)
Se solicita a la ANDE y a la CAF como ente financiador, un mejor análisis para permitir una oferta acorde a los estándares de seguridad e interoperabilidad basados en diseños y recomendaciones citadas. Favor eliminar la exigencia de soporte nativo para IEC 61850 y permitir firewalls que puedan inspeccionar tráfico OT mediante DPI o integración con IDS externos.