En item 14 de las EETT dice: "Debe proveer protección basada en modelos de seguridad positivo que evalúe los requerimientos hacia la aplicación, contra una lista que contenga la URI y métodos permitidos, bloqueando todos aquellos requerimientos que no se encuentren explícitamente definidos." Consulta: Cuando indica "modelo de seguridad positivo", y posteriormente menciona una "lista de URI y metodos permitidos". Se refiere a una lista blanca o positivo indica acciones de seguridad personalizadas que indicará la convocante ?
En item 14 de las EETT dice: "Debe proveer protección basada en modelos de seguridad positivo que evalúe los requerimientos hacia la aplicación, contra una lista que contenga la URI y métodos permitidos, bloqueando todos aquellos requerimientos que no se encuentren explícitamente definidos." Consulta: Cuando indica "modelo de seguridad positivo", y posteriormente menciona una "lista de URI y metodos permitidos". Se refiere a una lista blanca o positivo indica acciones de seguridad personalizadas que indicará la convocante ?
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. Correcto, el modelo de seguridad positivo se implementa mediante una lista blanca de URI y métodos permitidos. La convocante proporcionará la lista base durante la implementación.
75
Planilla de EETT Nº 160525-1, item 16
En item 16 de las EETT dice: " .... página de bloqueo por defecto la cual es mostrada a usuarios identificados como atacantes que intentan acceder la aplicación, debe permitir también la opción de personalizar la página de bloqueo por medio de redireccionamiento a un sitio web específico". Consulta: Como las amenazas son multiples y variadas, por no decir infinitas, la personalizacion debe realizarse por cada amenaza ?, o se debe hacer por agrupamiento y tipos de amenazas?. Cual es la cantidad maxima de personalizacion de amenazas que se establece ?. En el PBC no se indica.
En item 16 de las EETT dice: " .... página de bloqueo por defecto la cual es mostrada a usuarios identificados como atacantes que intentan acceder la aplicación, debe permitir también la opción de personalizar la página de bloqueo por medio de redireccionamiento a un sitio web específico". Consulta: Como las amenazas son multiples y variadas, por no decir infinitas, la personalizacion debe realizarse por cada amenaza ?, o se debe hacer por agrupamiento y tipos de amenazas?. Cual es la cantidad maxima de personalizacion de amenazas que se establece ?. En el PBC no se indica.
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. La personalización de la página de bloqueo debe poder realizarse por tipo de amenaza o agrupamiento, sin límite máximo de personalizaciones, siempre que sea configurable desde el portal.
76
Planilla de EETT Nº 160525-1, item 18
En item 18 de las EETT dice: "La solución deberá permitir al administrador, crear acciones personalizadas de manera a incorporar patrones específicos que desee tratar como eventos de seguridad". Consulta: como las amenazas pueden ser infinitas, no existentes aán etc. Una vez establecidas las configuraciones dinamicas que provee una solucion con IA. Como se dirime que bloqueo o acciones se realizaran si el administrador incorpora acciones personalizadas que no pueden competir con una IA Global que autoaprende y tiene una mayor Base de Datos, de ataques que ocurren a nivel mundial?. De buena Fe al administrador puede incorporar patrones que contradicen o son mas limitados que una IA. Cual prevalece ?
En item 18 de las EETT dice: "La solución deberá permitir al administrador, crear acciones personalizadas de manera a incorporar patrones específicos que desee tratar como eventos de seguridad". Consulta: como las amenazas pueden ser infinitas, no existentes aán etc. Una vez establecidas las configuraciones dinamicas que provee una solucion con IA. Como se dirime que bloqueo o acciones se realizaran si el administrador incorpora acciones personalizadas que no pueden competir con una IA Global que autoaprende y tiene una mayor Base de Datos, de ataques que ocurren a nivel mundial?. De buena Fe al administrador puede incorporar patrones que contradicen o son mas limitados que una IA. Cual prevalece ?
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. Las acciones personalizadas del administrador prevalecen sobre las acciones automáticas de la IA, según lo permitido en el ítem 18 de las EETT.
78
Planilla de EETT Nº 160525-1, item 20
En item 20 de las EETT dice: "La solución debe estar basada en una tecnología de WAAP que utilice un modelo de seguridad positivo, que aprenda automáticamente los patrones de actividades legítimas de los usuarios, construya automáticamente políticas de seguridad diseñadas para permitir esas actividades y bloquee cualquier acción que se desvíe de estos patrones de comportamiento legítimo.". A su vez en Item 18 habilita al administrador a crear acciones, idem a consulta 76. Cual prevalece?, lo creado por el administrador o la IA del Waap ?. Indicarlo
En item 20 de las EETT dice: "La solución debe estar basada en una tecnología de WAAP que utilice un modelo de seguridad positivo, que aprenda automáticamente los patrones de actividades legítimas de los usuarios, construya automáticamente políticas de seguridad diseñadas para permitir esas actividades y bloquee cualquier acción que se desvíe de estos patrones de comportamiento legítimo.". A su vez en Item 18 habilita al administrador a crear acciones, idem a consulta 76. Cual prevalece?, lo creado por el administrador o la IA del Waap ?. Indicarlo
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. Las configuraciones manuales del administrador (ítem 18) tienen prioridad sobre las políticas automáticas de IA (ítem 20).
79
Planilla de EETT Nº 160525-1, item 21
En item 21 de las EETT dice: "Debe incluir una protección que enmascare o bloquee información confidencial proveniente de la aplicación.". Consulta: Como se determina que una informacion es confidencial, a fin de que el Waap lo pueda enmascarar?. Por principio todo es confidencial, pero por ejemplo: un reconocimiento a un funcionario, que posteriormente la misma convocante publicita en las redes sociales no es confidencial. Indicar como aplica el criterio.
En item 21 de las EETT dice: "Debe incluir una protección que enmascare o bloquee información confidencial proveniente de la aplicación.". Consulta: Como se determina que una informacion es confidencial, a fin de que el Waap lo pueda enmascarar?. Por principio todo es confidencial, pero por ejemplo: un reconocimiento a un funcionario, que posteriormente la misma convocante publicita en las redes sociales no es confidencial. Indicar como aplica el criterio.
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. La información confidencial será definida por la convocante durante la implementación. El WAAP debe permitir configurar patrones o campos sensibles (ej. datos personales, financieros) para enmascarar o bloquear.
81
Planilla de EETT Nº 160525-1, item 22
En item 22 de las EETT dice: "La solución debe poseer un mecanismo de Fingerprinting ...". El Navegador Tor impide que se genere una huella digital diferente para cada usuario. Consulta: como debe cubrirse este requisito para el cual es ineficaz el Fingerprinting ?.
En item 22 de las EETT dice: "La solución debe poseer un mecanismo de Fingerprinting ...". El Navegador Tor impide que se genere una huella digital diferente para cada usuario. Consulta: como debe cubrirse este requisito para el cual es ineficaz el Fingerprinting ?.
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. El mecanismo de fingerprinting debe complementarse con otras técnicas de identificación (ej. comportamiento, cookies, headers) cuando el navegador Tor impida la generación de huellas únicas.
82
Planilla de EETT Nº 160525-1, item 15
En item 15 de las EETT dice: "La solución debe incluir protección basada en inteligencia de amenazas con la posibilidad de activarse o desactivarse y que permita crear excepciones de IP que deban ser excluidas de dichas listas". Los pasos para que la inteligencia de Amenazas sea efectiva son: Descubirmiento, recoleccion y analisis, procesamiento, analisis en profunidad, distribucion dentro de la convocante y retroalimentacion. Consulta 1: La convocante tiene los RRHH para realizar estos pasos para que la inteligencia de amenazas sea efectiva?, o la misma debe ser automatica y provista por el fabricante ?. Consulta 2: Cual es el criterio para activar y sobre todo desactivar esta inteligencia ?
En item 15 de las EETT dice: "La solución debe incluir protección basada en inteligencia de amenazas con la posibilidad de activarse o desactivarse y que permita crear excepciones de IP que deban ser excluidas de dichas listas". Los pasos para que la inteligencia de Amenazas sea efectiva son: Descubirmiento, recoleccion y analisis, procesamiento, analisis en profunidad, distribucion dentro de la convocante y retroalimentacion. Consulta 1: La convocante tiene los RRHH para realizar estos pasos para que la inteligencia de amenazas sea efectiva?, o la misma debe ser automatica y provista por el fabricante ?. Consulta 2: Cual es el criterio para activar y sobre todo desactivar esta inteligencia ?
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. La inteligencia de amenazas debe ser automática y provista por el fabricante. El criterio de activación/desactivación será definido por la convocante según el nivel de riesgo y falsos positivos.
84
Planilla de EETT Nº 160525-1, item 1
En item 1 de las EETT consulta: a) Se pueden instalar agentes ?, 2) Que se debe considerar ante rollback por errores de propagacion del DNS ?
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. a) No se requieren agentes según el ítem 1 de las EETT.
b) El proveedor debe garantizar un plan de rollback en caso de fallos en la propagación DNS.
86
Planilla de EETT Nº 160525-1, item 2
En item 2 de las EETT consulta: 1) se pueden compartir certificados digitales en este modelo?, 2) Los requerimientos van directamente hacia la aplicación sin pasar por intermediarios?, 3) Que medidas de seguridad se deben considerar en este flujo API-directo ?
En item 2 de las EETT consulta: 1) se pueden compartir certificados digitales en este modelo?, 2) Los requerimientos van directamente hacia la aplicación sin pasar por intermediarios?, 3) Que medidas de seguridad se deben considerar en este flujo API-directo ?
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. No se comparten certificados en el modelo basado en API (ítem 2). Las solicitudes van directo a la aplicación. Debe implementarse autenticación, cifrado y monitoreo continuo.
88
Planilla de EETT Nº 160525-1, item 3
En item 3 de las EETT, consulta: Como se debe tratar las vulnerabilidades nuevas no catalogadas ?
Sírvanse considerar para la elaboración de sus ofertas lo siguiente: Remitirse a lo establecido en la ADENDA Nº1. La solución debe detectar y bloquear vulneraciones basándose en comportamiento anómalo y aprendizaje automático, no solo en firmas conocidas.