En la sección 1.2.19 donde dice "Debe permitir reducir falsos positivos y evaluar de forma dinámica el nivel de riesgo considerando la habilidad de unificar y correlacionar: Eventos, información proveniente de herramientas de análisis de vulnerabilidades y criticidad de los activos o dispositivos."
Solicitamos respetuosamente aclarar si la solución debe incluir incluir un modulo de vulnerability. En caso de no incluir. Solicitamos atendiendo el monto del proyecto que la solución deba incluir el modulo de vulnerability, ya que consideramos esencial para la prevención de incidentes de ciberseguridad.
En la sección 1.2.19 donde dice "Debe permitir reducir falsos positivos y evaluar de forma dinámica el nivel de riesgo considerando la habilidad de unificar y correlacionar: Eventos, información proveniente de herramientas de análisis de vulnerabilidades y criticidad de los activos o dispositivos."
Solicitamos respetuosamente aclarar si la solución debe incluir incluir un modulo de vulnerability. En caso de no incluir. Solicitamos atendiendo el monto del proyecto que la solución deba incluir el modulo de vulnerability, ya que consideramos esencial para la prevención de incidentes de ciberseguridad.
Favor ajustarse a las especificaciones técnicas establecidas en el PBC. En el mismo no se solicita ningún módulo adicional de gestión de vulnerabilidades. Sin embargo, se exige que la solución SIEM soporte plena integración con soluciones de gestión de vulnerabilidades especializados, a fin de que la información de estas soluciones pueda ser utilizada en la correlación, detección temprana y mitigación de eventos e incidentes de ciberseguridad.
2
ITEM 1
1.1.7 Dice "Debe poseer capacidad propia (almacenamiento integrado) que permita almacenar estos eventos por lo menos por 6 meses y capacidad para conectarse a una solución SAN redundante por iSCSI (10GbE UTP), para aumentar su capacidad de almacenamiento"
Solicitamos respetuosamente a la convocante poner como opcional, la capacidad de conectase a un storage SAN e indicar la necesidad máxima de storage para almacenamiento del appliance. Encontramos que este punto limita la oportunidad de otras soluciones distintas a splunk por lo que reduce la cantidad de oferentes.
1.1.6
Debe soportar el crecimiento a por lo menos 18.000 EPS, pudiendo ser estos activados solo con la introducción de alguna clave y/o licencia y sin que sea necesario cambiar de dispositivo o agregar hardware al mismo.
El crecimiento en la capacidad de análisis EPS va muy de la mano en la cantidad del hardware disponible. Solicitamos indicar la capacidad de EPS máximo a modo de adecuar el hardware a lo solicitado.
1.1.7 Dice "Debe poseer capacidad propia (almacenamiento integrado) que permita almacenar estos eventos por lo menos por 6 meses y capacidad para conectarse a una solución SAN redundante por iSCSI (10GbE UTP), para aumentar su capacidad de almacenamiento"
Solicitamos respetuosamente a la convocante poner como opcional, la capacidad de conectase a un storage SAN e indicar la necesidad máxima de storage para almacenamiento del appliance. Encontramos que este punto limita la oportunidad de otras soluciones distintas a splunk por lo que reduce la cantidad de oferentes.
1.1.6
Debe soportar el crecimiento a por lo menos 18.000 EPS, pudiendo ser estos activados solo con la introducción de alguna clave y/o licencia y sin que sea necesario cambiar de dispositivo o agregar hardware al mismo.
El crecimiento en la capacidad de análisis EPS va muy de la mano en la cantidad del hardware disponible. Solicitamos indicar la capacidad de EPS máximo a modo de adecuar el hardware a lo solicitado.
Favor ajustarse a las especificaciones técnicas establecidas en el PBC. El Banco Central ha invertido de manera sostenida en los pasados años en capacidad de almacenamiento externo de tecnología especializada, por lo cual es requerido que la solución ofrecida soporte almacenamiento externo con el tipo de conexión indicada. Esto se alinea a nuestros objetivos de contar con toda información relevante para investigaciones forenses de ciberseguridad, aprovechando al máximo la inversión ya efectuada. No se establece un crecimiento máximo de la plataforma, en el entendido de que los requerimientos mínimos son suficientes para el planeamiento realizado para los próximos 3 años, además de no limitar la participación de ningún oferente.
3
Consulta licencias
en el punto 2.1.2 hace referencia a
Se requiere una solución de Protección de Bases de Datos (Firewall de Base de datos) basado en agente o agente-controlador para al menos 20 instancias de base de datos
Podría la convocante aclarar el numero de servidores ya sean físicos o virtuales donde corren las instancias de Base de Datos, ya que nuestra solución no se licencia por instancias, sino por cantidad de servidores de DB.-
en el punto 2.1.2 hace referencia a
Se requiere una solución de Protección de Bases de Datos (Firewall de Base de datos) basado en agente o agente-controlador para al menos 20 instancias de base de datos
Podría la convocante aclarar el numero de servidores ya sean físicos o virtuales donde corren las instancias de Base de Datos, ya que nuestra solución no se licencia por instancias, sino por cantidad de servidores de DB.-
"Tal como establece el PBC, la cantidad mínima de instancias de base de datos requeridas es de 20 (veinte); favor considerar que, en atención a las buenas prácticas de seguridad, siempre es recomendable instalar un servidor principal y uno secundario para cada instancia a fin de soportar HA".
4
Consulta de Solucion SIEM
- (Item 1.1.3 + 1.1.9 + 2.1.3 + 2.1.5)Tanto para SIEM como para el firewall de la base de datos, el cliente solicita el hardware y luego informa que hará que el hardware esté disponible.
- (item 1.5.2) El cliente solicita solo mantenimiento, pero no informa la respuesta al incidente. Podría preguntarle al cliente si solo espera soporte de configuración SIEM? El texto deja en claro que no está pidiendo un equipo de respuesta a incidentes.
- (Item 1.1.25) Cliente no habla cual herramienta de ITSM tenemos que hacer la implantacion de SIEM y Firewall de banco de datos. Es nuestro ITSM o del cliente? Si es la solución del cliente, cuál sería?
- Es conocido, que en el mercado solo una marca de SIEM licencia por flujos por minuto. En el requerimiento 1.1.5 se menciona que se debe soportar una cantidad de EPS y, al mismo tiempo, flujos por minuto. Por favor, especificar si se refiere que se puede licenciar por EPS y/o Flujos por minuto
- En el requerimiento 1.1.9 se solicita Alta Disponibilidad. ¿Ambos equipos de Alta Disponibilidad se encontrarán en un único sitio geográfico, o serán dos distintos?
- En el requerimiento 1.3.2, se solicita tener plantillas de reporte de estándares internacionales. ¿Cuáles estándares se necesitan?
- En el requerimiento 1.2.44 especifican "Debe permitir enlazar directamente fuentes externas como Bugtraq, ICE, CVE, Datastorm, MSDB y otros.". A que se refieren con enlazar directamente ? Que tipo de enlace ? Que esperan de este requerimiento funcional específicamente ?
- Por favor indicar los tiempos requeridos de retención de datos. Especificar retención online y offline teniendo en cuenta que la retención en línea se refiere a la cantidad de días en que se necesita tener la información inmediatamente disponible para búsquedas/correlación, y la retención offline corresponde la cantidad de días en que se necesita tener la información disponible en forma poco frecuente, en un archive externo que solo se consultará excepcionalmente. El requerimiento 1.1.7 menciona 6 meses de capacidad de almacenamiento pero no da mayores especificaciones. Este dato es fundamental para las definiciones de sizing y arquitectura.
- (Item 1.1.3 + 1.1.9 + 2.1.3 + 2.1.5)Tanto para SIEM como para el firewall de la base de datos, el cliente solicita el hardware y luego informa que hará que el hardware esté disponible.
- (item 1.5.2) El cliente solicita solo mantenimiento, pero no informa la respuesta al incidente. Podría preguntarle al cliente si solo espera soporte de configuración SIEM? El texto deja en claro que no está pidiendo un equipo de respuesta a incidentes.
- (Item 1.1.25) Cliente no habla cual herramienta de ITSM tenemos que hacer la implantacion de SIEM y Firewall de banco de datos. Es nuestro ITSM o del cliente? Si es la solución del cliente, cuál sería?
- Es conocido, que en el mercado solo una marca de SIEM licencia por flujos por minuto. En el requerimiento 1.1.5 se menciona que se debe soportar una cantidad de EPS y, al mismo tiempo, flujos por minuto. Por favor, especificar si se refiere que se puede licenciar por EPS y/o Flujos por minuto
- En el requerimiento 1.1.9 se solicita Alta Disponibilidad. ¿Ambos equipos de Alta Disponibilidad se encontrarán en un único sitio geográfico, o serán dos distintos?
- En el requerimiento 1.3.2, se solicita tener plantillas de reporte de estándares internacionales. ¿Cuáles estándares se necesitan?
- En el requerimiento 1.2.44 especifican "Debe permitir enlazar directamente fuentes externas como Bugtraq, ICE, CVE, Datastorm, MSDB y otros.". A que se refieren con enlazar directamente ? Que tipo de enlace ? Que esperan de este requerimiento funcional específicamente ?
- Por favor indicar los tiempos requeridos de retención de datos. Especificar retención online y offline teniendo en cuenta que la retención en línea se refiere a la cantidad de días en que se necesita tener la información inmediatamente disponible para búsquedas/correlación, y la retención offline corresponde la cantidad de días en que se necesita tener la información disponible en forma poco frecuente, en un archive externo que solo se consultará excepcionalmente. El requerimiento 1.1.7 menciona 6 meses de capacidad de almacenamiento pero no da mayores especificaciones. Este dato es fundamental para las definiciones de sizing y arquitectura.
1.1.3 Favor remitirse a lo establecido en el PBC. Conforme se indica en el mismo, en ambos Items el Proveedor deberá entregar todo el hardware necesario para la puesta en producción del equipamiento primario o principal. En el caso de que el BCP requiera el HA en el futuro, el hardware necesario será entregado por el BCP, por lo que esto no se solicita en el PBC.
1.5.2 Favor remitirse a lo establecido en el PBC. El soporte solicitado es para la implementación y mantenimiento de la herramienta ofrecida, lo que debe incluir soporte del fabricante.
1.1.25 Favor remitirse a lo establecido en el PBC. El propio de SIEM debe ofrecer las funcionalidades de gestión de incidentes y workflow. No se solicita ningún software adicional para este punto.
1.1.5 Favor remitirse a lo establecido en el PBC. Se aclara que el BCP está en conocimiento de que existen diferentes modelos de licenciamiento para soluciones SIEM: Por EPS, por cantidad de dispositivos, por FPM, por cantidad de conectores, por usuarios, entre otros. En el PBC se ofrece suficiente información de referencia para que cualquier solución reconocida del mercado pueda cotizar una versión de licenciamiento adecuada a las necesidades del BCP. Si desde el punto de vista del licenciamiento, el EPS o FPM no es relevante para el fabricante de la solución ofrecida, favor detallarlo en la oferta. Sin embargo, en ningún caso pueden ser limitantes de la funcionalidad requerida.
1.1.9 Favor remitirse a los términos del PBC. La solución debe soportar alta disponibilidad de modo integrado, sin necesidad de software de terceros.
1.3.2 Favor remitirse a la Adenda del PBC.
1.2.44 Favor remitirse a la Adenda del PBC.
1.1.7 Favor remitirse a la Adenda del PBC.
5
ITEM 1
En el punto 1.3.26 describen "Debe contar con una base preinstalada de reportes y permite creación de reportes distribuidos." A que se refieren con el concepto de "reportes distribuídos" ?
En el punto 1.3.26 describen "Debe contar con una base preinstalada de reportes y permite creación de reportes distribuidos." A que se refieren con el concepto de "reportes distribuídos" ?
Favor ajustarse a lo establecido en el PBC. Lo indicado significa que el SIEM soporta la funcionalidad de distribución de los reportes de manera automática a grupos o usuarios de interés.
6
ITEM N°1 Solución SIEM
Para el Punto: 1.1.9. Favor confirmar si se requerirá configurar el/los appliances en modo HA desde el inicio de los trabajos o esta configuración se podrá hacer/entregar en etapas futuras del proyecto.
Para el Punto: 1.1.9. Favor confirmar si se requerirá configurar el/los appliances en modo HA desde el inicio de los trabajos o esta configuración se podrá hacer/entregar en etapas futuras del proyecto.
Favor ajustarse a lo establecido en el PBC. No es requerido desde el principio del proyecto. Sin embargo, se deben prever los servicios para una fase o etapa futura.
7
ITEM N°1 Solución SIEM
Punto: 1.1.16. Favor Indicar cual sería un caso de uso de correlación basados en machine learning o inteligencia artificial.
Favor remitirse a lo establecido en la Adenda del PBC.
8
ITEM N°1 Solución SIEM
Puntos: 1.2.15 y 1.2.23.
Favor confirmar si para estos puntos se considerarán cubierto si se hace mediante la integración de una fuente de datos del cliente que traiga la información requerida.
Puntos: 1.2.15 y 1.2.23.
Favor confirmar si para estos puntos se considerarán cubierto si se hace mediante la integración de una fuente de datos del cliente que traiga la información requerida.
No. Favor remitirse al PBC. Para estas funcionalidades no debe ser requerida una fuente de información externa. La propia solución SIEM debe disponer de capacidades avanzadas de descubrimiento de aplicaciones, incluidas las Shadow IT, gracias a, por ejemplo, inspección de flujos de red o similares.
9
ITEM N°1 Solución SIEM
Punto: 1.2.20.
Si bien la herramienta de correlación no posee un asistente, posee un pool de casos de uso de fábrica que reduce la ocurrencia de estos eventos acelerando el proceso de puesta en marcha de la solución. ¿Se podría tratar esto como un caso equivalente a tener un asistente?
Punto: 1.2.20.
Si bien la herramienta de correlación no posee un asistente, posee un pool de casos de uso de fábrica que reduce la ocurrencia de estos eventos acelerando el proceso de puesta en marcha de la solución. ¿Se podría tratar esto como un caso equivalente a tener un asistente?