Puerto de la Bahía de Cádiz · se abordó el Plan de Adecuación al ENS dela APBC, se incluyó un...

Puerto de laBahía de Cádiz

Autoridad Portuaria de la Bahía de Cádiz

1

CONTRATO DE SERVICIOS. ASISTENCIA TÉCNICA PARA EL SUMINISTRO E IMPLANTACIÓN DE UN NUEVO EQUIPAMIENTO PARA LA MEJORA EN LA GESTIÓN DE LA SEGURIDAD PERIMETRAL TIC DE LA RED INFORMÁTICA CORPORATIVA DE LA AUTORIDAD PORTUARIA DE LA BAHÍA DE CÁDIZ (Ref. CA-041-17)

PLIEGO DE PRESCRIPCIONES TÉCNICAS

Í N D I C E: 1. ANTECEDENTES .................................................................................................. 2 2. JUSTIFICACIÓN DE LA NECESIDAD ................................................................... 4 3. OBJETIVOS A CONSEGUIR ................................................................................. 6 4. OBJETO DEL PLIEGO .......................................................................................... 7 5. ALCANCE DE LOS TRABAJOS ............................................................................ 8 6. DESCRIPCIÓN DE LOS TRABAJOS. ................................................................... 9

6.1 SITUACIÓN ACTUAL ..................................................................................... 9 6.2 SITUACIÓN FINAL ....................................................................................... 10 6.3 REQUERIMIENTOS TÉCNICOS .................................................................. 10

6.3.1 REQUERIMIENTO GENÉRICOS .......................................................... 11 6.3.2 REQUERIMIENTOS ESPECÍFICOS ..................................................... 11

6.4 REQUERIMIENTOS FUNCIONALES ........................................................... 19 6.4.1 REQUERIMIENTOS GENÉRICOS ........................................................ 19

7. DESARROLLO Y EJECUCIÓN DE LOS TRABAJOS. ......................................... 19 8. IMPLANTACIÓN DEL SISTEMA ......................................................................... 21 9. FORMACIÓN. ...................................................................................................... 22 10. DOCUMENTACIÓN FINAL A ENTREGAR. ..................................................... 23 11. RECEPCIÓN DEL PROYECTO ....................................................................... 24 12. SOPORTE Y MANTENIMIENTO ...................................................................... 24 13. SEGUIMIENTO Y CONTROL. ......................................................................... 24 14. PERIODO DE GARANTÍA:............................................................................... 25 15. PROPIEDAD INTELECTUAL. .......................................................................... 26 16. CONFIDENCIALIDAD DE LOS TRABAJOS..................................................... 26 17. PROTECCIÓN DE DATOS .............................................................................. 26 18. TRANSFERENCIA DE CONOCIMIENTO Y TECNOLOGÍA. ............................ 29 19. PRESUPUESTO. ............................................................................................. 29 20. PLAZO DE REALIZACIÓN. .............................................................................. 29



2

1. ANTECEDENTES

La Autoridad Portuaria de la Bahía de Cádiz (APBC) dispone desde hace muchos

años dentro de su Infraestructura Tecnológica que proporciona soporte a la Red

Informática Corporativa (RIC) de un equipamiento indispensable y clave para la

interconexión de sistemas de información conforme a los denominados Sistemas de

Protección de Perímetro (SPP), entendidos como aquellas plataformas tecnológicas

compuestas por una arquitectura heterogénea de recursos hardware y software,

también denominados Dispositivos de Seguridad de Perímetro (DPP), que tienen la

finalidad de mediar (analizar y proteger) en el tráfico de entrada y salida en dichos

puntos de interconexión.

Dicho equipamiento ha venido transformándose en el tiempo en función de distintos

factores, entre los que destacan la propia evolución de la tecnología y el mercado, los

niveles de seguridad requeridos, los servicios prestados y las normativas aplicables.

Entre dichas normativas aplicables destaca especialmente el Esquema Nacional de

Seguridad (ENS) que, con la finalidad de crear las condiciones necesarias de

confianza en el uso de medios electrónicos a través de medidas para garantizar la

seguridad de los sistemas, los datos, las comunicaciones y los servicios, establece la

obligatoriedad de proteger el perímetro de los sistemas a interconectar, en particular si

se utilizan redes públicas total o parcialmente, así como de analizar los riesgos

derivados de la interconexión de los sistemas controlando su punto de unión, con la

propuesta y disposición de un marco de referencia y apoyo en la serie de documentos

STIC-CCN (para el objeto de este expediente según las recomendaciones y

nomenclatura de la Guía CCN-STIC-811).

En el caso concreto de la APBC, en los orígenes, la RIC constaba de un número muy

limitado de equipos con un direccionamiento único, pocas conexiones externas y sin

necesidad de enrutamiento, por lo que los problemas de interconexión de sistemas se

resolvían puntualmente con dispositivos de Conexión Directa (DPP-0) o de Filtros de

Paquetes (DPP-1).



3

En el devenir del tiempo esta RIC fue creciendo y evolucionando hasta que en el año

2003 la APBC procedió a la publicación y prestación de servicios electrónicos al

exterior. Este hecho conllevó un gran cambio en la arquitectura tecnológica disponible

para implantar una configuración tipo SPP-2 (Zona Desmilitarizada) basada en el

principio de la doble protección en la que ya es necesaria la utilización de dispositivos

Cortafuegos (DPP-2) y Guarda o Proxy (DPP-3).

En aquella primera implantación se dispusieron elementos hardware para ambos tipos

de dispositivos. Con posterioridad se ha pasado por distintas plataformas y distintas

versiones acorde al crecimiento del catálogo de servicios y sistemas de la APBC.

En relación al dispositivo Proxy (DPP-3) el equipo inicial se virtualizó cuando la APBC

dispuso de esta tecnología. Con escasa evolución operativa, funcional y de servicio

este dispositivo no necesita adecuación.

En relación al dispositivo Cortafuegos (DPP-2) desde un primer momento se eligió la

solución empresarial de CheckPoint. Inicialmente a través de un “appliance” de Nokia

sobre el que estaba instalado el FW-1. Con posterioridad se migró a una plataforma

basada en Windows sobre la que se instaló la versión R55. Con el progresivo y

continuo aumento de las necesidades de conexión, la privacidad de la información y la

criticidad de la seguridad perimetral, resultó necesario la actualización hacia una

arquitectura en capas que posibilitara la inclusión de otros módulos para asegurar el

análisis de amenazas y la gestión de las políticas de acceso, que se consiguió con la

versión R75 en un servidor físico dedicado HP Proliant con varias interfaces de red. En

la actualidad, considerando que este equipamiento deberá estar sujeto a constante

evolución, este dispositivo consta de:

• Servidor físico obsoleto: Servidor HP Proliant DL 380

• Sistema Operativo Windows 2012 R2

• Software CheckPoint versión R77 con los siguientes módulos contratados:

o IPS (Intrusion Pevention System)

o URL y Control de Aplicaciones



4

Relacionado con lo anterior, en un Expedientes previo a éste (CA-045-15), en el que

se abordó el Plan de Adecuación al ENS de la APBC, se incluyó un módulo adicional

para una consultoría específica sobre la Seguridad Perimetral TIC de la Organización.

Como resultado del mismo, además de otras acciones ya realizadas por técnicos

propios, la consultoría determinó que, para la categoría de los sistemas existentes, la

arquitectura y configuración del SPP de la APBC es la correcta (SPP-2), si bien el

dispositivo concreto que la soporta (DPP-2) es inadecuado para las prestaciones que

se necesitan, recomendando su actualización.

En resumen, la actual plataforma tecnológica que soporta el SPP de la APBC:

• No es adecuada para los requerimientos exigidos por el ENS

• Necesita una actualización hardware y software para poder evolucionar

2. JUSTIFICACIÓN DE LA NECESIDAD

En el ámbito tecnológico actual, la complejidad y criticidad de las infraestructuras

telemáticas que dan cobertura a los activos TIC que soportan los procesos de negocio

de cualquier Organización está en continua evolución, ocurriendo que, para asegurar

las mejores condiciones de seguridad, disponibilidad y funcionamiento, necesitan estar

actualizados y soportados.

En este sentido, la renovación del equipamiento SPP de la APBC, además de suponer

una inversión en seguridad TIC siempre aconsejada y necesaria, se justifica para

superar la actual situación descrita en los Antecedentes. En relación a esta última:

Requerimientos dispositivos DPP-2 Plan Adecuación ENS APBC:

La consultoría ya realizada propone la actualización del dispositivo actual por un nuevo

diseño en Alta Disponibilidad mediante un “Cluster” que permita un continuo y eficaz

aseguramiento de los servicios.



5

Esta propuesta implica la Implementación de un Cortafuegos de Nueva Generación

(NGFW), entendido como aquellos dispositivos DPP-2 en los que son capaces de

coexistir las siguientes características:

• detectar y bloquear ataques sofisticados a través de la definición de políticas a

nivel de aplicación, protocolo y puerto,

• que además de las funcionalidades tradicionales también permitan gestionar

funcionalidad UTM (Universal Threat Management) más otras como control de

ancho de banda, inspección HTTPS, SSL y TLS, prevención DLP, protección

de amenazas conocidas y desconocidas, gestión VPN, etc…,

• y que también, bien de forma nativa o mediante módulos o herramientas

adicionales, posibiliten otras funcionalidades más avanzadas como habilitación

segura de aplicaciones, clasificación de tráfico, facilidad de gestión, reducción

de la cantidad de reglas, disminución del coste total de propiedad, prevención

de pérdida de datos, prevención de intrusiones, filtro de contenidos, defensa

basada en reputación y, por supuesto, mayor seguridad.

La implantación de este nuevo equipamiento de seguridad en la APBC, además de

que se han convertido en un DEBER SER para las empresas de hoy en día ante el

tamaño, incidencia y peligrosidad de las amenazas cibernéticas, permitiría a la

Organización disponer de un producto de última generación en ciclo de vida que

habilitaría la actualización y mantenimiento del mismo así como la integración de

módulos adicionales que pudieran aumentar la funcionabilidad, fiabilidad y seguridad

de su protección perimetral TIC.

Actualización del dispositivo actual para poder evolucionar:

La gran mayoría de los proveedores del mercado aconsejan la implantación de los

dispositivos DPP-2 tipo NGFW como el descrito anteriormente (y necesario para la

APBC) en máquinas físicas, a ser posible en modo nativo (“appliances”) y no en

entornos virtualizados.



6

En la APBC, con un parque de servidores corporativos consolidado y virtualizado, ya

no se disponen de máquina físicas de última generación para cubrir esta necesidad,

en menor medida redundantes para poder garantizar la Alta Disponibilidad. Sólo existe

la actual, obsoleta con recursos muy limitados que ni siquiera permitirían habilitar

todas las nuevas funcionalidades muy necesarias como la inspección SSL.

La implantación de este nuevo equipamiento de seguridad en la APBC, constituido por

elementos hardware y software en modo nativo para un rendimiento óptimo según las

recomendaciones, permitiría a la Organización disponer de una plataforma SPP

específica integrada en la RIC con un alto nivel de procesamiento para satisfacer el

incremento de las necesidades planteadas para mayor seguridad y capacidad de las

comunicaciones y el volumen de información que debe gestionarse, así como la

posibilidad de integración y control de nuevas herramientas de seguridad TIC (sonda).

3. OBJETIVOS A CONSEGUIR

Los objetivos que se persiguen con esta Asistencia Técnica para el suministro e

implantación de un nuevo equipamiento de Seguridad Perimetral en la RIC de la

APBC, que deben interpretarse dentro del marco global de modernización técnica y

administrativa del Organismo, se relacionan a continuación.

• Disponer de una plataforma tecnológica SPP operativa y actualizada que

soporte la seguridad perimetral TIC de la Organización.

• Superar las limitaciones técnicas y funcionales reportadas en la plataforma

tecnológica actualmente operativa.

• Atender los requerimientos del Plan de Adecuación al ENS.

• Considerar una solución integral, no soluciones independientes, que cubran las

necesidades para la gestión de la seguridad y las comunicaciones

• Gestionar la seguridad de accesos en la RIC de la APBC mejorando tanto el

rendimiento como el nivel de protección con tecnologías de inspección

profunda de tráfico, identificación de aplicaciones de usuario, antivirus,

aplicación de políticas de autorización, y filtrado y prevención de intrusiones.



7

• Gestión eficiente del tráfico de la RIC de la APBC.

• Resaltar la importancia de la tecnología en la APBC en relación a la gestión y

soporte de sus procesos de negocio, más la necesidad de seguir invirtiendo y

evolucionando en ciberseguridad.

• Considerar la importancia de esta plataforma tecnológica SPP en la necesidad

de tenerla siempre actualizada y en soporte de mantenimiento para disponer

de sus adaptaciones y mejoras con el menor esfuerzo posible.

• Implantación de sistemas que proporcione una mejor planificación de la

respuesta a contingencias con reducción de riesgos de fallo.

• Implantación de sistemas orientados a la disposición, gestión y análisis on-line

de la información.

• Implantación de sistemas que confluyan con el mercado para garantizar la

convivencia de los mismos con otras herramientas relacionadas.

• Coherencia con la implantación actual favoreciendo el control y gestión de los

administradores del sistema.

4. OBJETO DEL PLIEGO

El objeto del presente Pliego de Prescripciones Técnicas es describir los trabajos y

fijar las condiciones técnicas que regirán el “CONTRATO DE SERVICIOS.

ASISTENCIA TÉCNICA PARA EL SUMINISTRO E IMPLANTACIÓN DE UN

NUEVO SISTEMA DE PROTECCIÓN PERIMETRAL (SPP) PARA LA RED

INFORMÁTICA CORPORATIVA (RIC) DE LA AUTORIDAD PORTUARIA DE

LA BAHÍA DE CÁDIZ”

El objeto del Contrato es la realización de una Asistencia Técnica que incluya el

suministro de los productos, incluidas licencias y/o suscripción, y servicios necesarios

que permita conseguir los objetivos marcados con anterioridad y con el cumplimiento

de los requerimientos técnicos y funcionales que se describirán a continuación.



8

5. ALCANCE DE LOS TRABAJOS

El alcance de los productos y servicios a contratar descritos en el presente Expediente

consistirán en una Asistencia Técnica que básicamente contemple:

• Suministro e implantación de un dispositivo Cortafuegos (SPP-2) tipo NGFW

compuesto de hardware y software en alta disponibilidad a integrar en la RIC

de la APBC como elemento principal de seguridad.

Dentro de este tratamiento genérico se habrá de considerar:

• Suministro del equipamiento propuesto, con todos los componentes adicionales

que se necesiten, incluido licenciamiento.

• Interconexión del nuevo equipamiento en la arquitectura general de la RIC

según las recomendaciones del proveedor y las especificaciones de la APBC.

• Instalación y configuración de todos los módulos y funcionalidades del nuevo

equipamiento de acuerdo a la solución propuesta y requerimientos de la APBC.

• Pruebas de funcionamiento y explotación.

• Importación de la actual configuración en explotación en el equipamiento actual

con traslado de políticas y reglas.

• Migración del servicio actual sin incidencia operativa.

• Discontinuidad y apagado del equipamiento de soporte del servicio actual.

• Consideración y disponibilidad de los Servicios Profesionales necesarios y

suficientes para llevar a cabo con éxito todas las actividades del proyecto.

• Realización de todos los trabajos en paralelo a la disposición actual con

supervisión de los técnicos de la APBC en entornos diferentes.

Por supuesto, con carácter general, todos estos trabajos deberán completarse con:

• Elaboración y presentación de toda la documentación y entregables del

proyecto, definidos según corresponda y con las referencias y certificados

correspondientes.



9

• Formación al equipo TIC de la APBC.

• Definición y aplicación de los Servicios Profesionales que cada Licitador

considere oportunos para cubrir el conjunto de los requerimientos técnicos y

funcionales descritos en este Expediente.

El alcance de estos trabajos se realizará en una única fase de forma continua y

homogénea tanto para todos los productos a suministrar e implantar como para las

medidas propuestas y los entregables del proyecto.

6. DESCRIPCIÓN DE LOS TRABAJOS.

En el ámbito del Contrato amparado por el presente Pliego, para cumplir con el Objeto,

Objetivos y Alcance del mismo, los trabajos a desarrollar para la prestación de esta

Asistencia Técnica para la APBC, además del cumplimiento de lo ofertado en las

propuestas de cada Licitador, deberán cumplir y desarrollarse siguiendo

escrupulosamente las estipulaciones de la APBC.

Una descripción detallada de estos trabajos y su cobertura, su incidencia con la

situación actual, la repercusión en la situación final que se desea alcanzar, así como la

descripción los requerimientos técnicos y funcionales que se exigen a los mismos, se

describen a continuación en este mismo apartado.

6.1 SITUACIÓN ACTUAL

Basado en el alcance los todos los trabajos implicados, la situación actual del

desarrollo de estos productos es la siguiente:

En la APBC se dispone de un equipamiento SPP conforme a las necesidades de la

Organización constituido en una arquitectura SPP-2 también conforme y refrendada

por el Plan de Adecuación al ENS pero que incorpora a un dispositivo Cortafuegos

DPP-2 muy mejorable y que no cumple con los requerimientos de dicho Plan en

relación a la categoría de los sistemas a proteger.



10

Para ampliar la información anterior, las Empresas Licitadoras, si lo consideraran

necesario, en fase de oferta y/o al inicio del proyecto, podrán plantear ante la División

TIC e Innovación la realización de un análisis y consultoría para contrastar o extender

los datos suministrados en este Pliego.

6.2 SITUACIÓN FINAL

Basado en los objetivos a alcanzar y el alcance de los trabajos a desarrollar, la

situación final habrá de contemplar el correcto cumplimiento de los primeros y la

efectiva aplicación de los segundos, así como la entrega y disposición de todos los

productos y resultados generados.

Para ello la APBC pretende la sustitución del actual dispositivo Cortafuegos DPP-2 por

medio de un nuevo elemento equivalente de última tecnología tipo NGFW compuesto

por hardware y software en modo nativo y en alta disponibilidad que, además de

proporcionar todas las funcionalidades de estos nuevos dispositivos, atienda los

requerimientos de Plan de Adecuación al ENS y las nuevas necesidades operativas de

la Organización.

En el mismo sentido que antes, para ampliar la información anterior, así como para

comprobar tanto la aplicabilidad y gobernanza de las medidas a implementar como

también comprobar la convergencia e integración del equipamiento TIC, las Empresas

Licitadores, si lo consideraran necesario, en fase de oferta y/o al inicio del proyecto,

podrán plantear ante la División TIC e Innovación la realización de un análisis y

consultoría para concretar cualquiera de sus propuestas.

6.3 REQUERIMIENTOS TÉCNICOS

Teniendo en cuanta la homogeneidad y completitud de los trabajos a desarrollar, que

se quieren extender a los productos y resultados previstos, se consideran

requerimientos técnicos tanto genéricos como específicos.



11

6.3.1 REQUERIMIENTO GENÉRICOS

Los trabajos amparados por esta Asistencia Técnica para la APBC deberán cumplir

con los siguientes requerimientos genéricos mínimos:

• Escalable y actualizable en todos sus resultados de forma que éstos últimos

constituyan la base para las futuras renovaciones normativas que fueran de

aplicación por la evolución tecnológica o legislativa.

• Completa y en modalidad “llave en mano”, incluyendo todos los productos y

servicios contratados, todos los entregables desarrollados y todos los

componentes adicionales tanto para la correcta aplicación de todas las

medidas implementadas como para la posterior implantación de los planes de

mejora y futuro recomendados.

• Acorde a las metodologías, productos, servicios y gestión de los sistemas y

tecnologías de la información y las comunicaciones en la APBC con

identificación previa de la gestión de riesgos y cambios.

• Las especificaciones técnicas descritas en este apartado serán consideradas

mínimas para el cumplimiento de las condiciones del presente Pliego.

6.3.2 REQUERIMIENTOS ESPECÍFICOS

Los requerimientos técnicos específicos de esta Asistencia Técnica se analizan en

detalle a continuación para cada uno de los productos y servicios descritos en el

Alcance de los Trabajos.

En el supuesto que ya se solicita un dispositivo DPP-2 tipo NGFW, sus características

técnicas específicas deben cumplir la siguiente relación de requisitos:

Consideraciones básicas y comunes:

Asegurando el siguiente cumplimiento de mínimos:

• Solución con arquitectura en Alta Disponibilidad (HA)



12

• Solución de seguridad perimetral con “sandboxing” para la protección frente a

amenazas conocidas y desconocidas.

• Solución que proporcione diferentes mecanismos de “cluster”, para su

despliegue según mejor se adapte a la red. Al menos cada uno de los

siguientes: activo/pasivo, activo/activo en modo “unicast” (siendo uno de los

equipos un "pivot" que distribuya el tráfico), activo/activo “multicast”, VRRP.

• Solución con posibilidad de identificar aplicaciones web/URL en base al

certificado emitido por el servidor.

• Solución con capacidad de crecimiento y actualización mediante paquetes de

alto rendimiento y capacidad para implementar cortafuegos virtuales.

Plataforma de gestión de la seguridad:


• Entidad certificadora interna x.509 CA (Certificate Autority) con capacidad de

generar certificados en los “gateways” y usuarios para permitir un autenticación

sencilla para crear VPNs y autenticar la comunicación entre los diferentes

elementos de la solución de seguridad.

• Disponer de mecanismos para facilitar a la organización de las políticas de

reglas, por ejemplo utilizando etiquetas y/o títulos de sección.

• Opción de añadir alta disponibilidad de la plataforma de gestión, disponiendo

de un servidor en “standby”, que automáticamente sincronice con el principal

sin hacer uso de elementos externos de almacenamiento ni balanceo.

• Permitir que la regla de seguridad este activa durante un intervalo de tiempo y

fecha/hora de expiración.

• Permitir definir grupos de objetos con exclusiones de otros grupos.

• Permitir la administración diferida; independencia en la gestión de las reglas de

acceso y las de seguridad.

• Permitir que más de un administrador trabaje de forma simultánea en modo

escritura sobre la misma política de seguridad y haciendo uso del mismo tipo

de interface.



13

• Permitir definir dos capas de reglas acceso sobre una misma política,

totalmente diferenciadas, pudiendo indicar que usuarios puedan administrar

cada una de ellas.

• Gestión se realizará desde un servidor aparte y no desde los propios Firewalls.

• La gestión no podrá realizarse mediante HTTPS.

• Capacidad de granular el control de acceso pudiendo definir que un

administrador solo tenga control sobre un conjunto de reglas especifico.

• Capacidad de presentar tanto la parte de “logging” como de “reporting” desde

un navegador HTML sin acceder a la gestión de políticas.

• Capacidad de visualizar los logs específicos de una regla en la misma vista en

la que se visualizan las políticas.

• Constituir una plataforma de gestión unificada para los “clusters” de la parte

externa y el “cluster” de la parte interna.

• Admitir configurar reglas en base a distintos orígenes de usuarios, grupos o

máquinas de Directorio Activo, sin necesidad de especificar la dirección IP.

Para esto debe poder obtener esta identidad de todas y cada una de las

siguientes formas: conexión directa con un “Domain Controller” desde el

equipo, sin necesidad de agente; conexión mediante un agente instalado en un

equipo externo; obtención mediante un agente de “Terminal Server”; obtención

mediante “RADIUS Accounting”.

• En relación con el punto anterior, deben poder identificarse usuarios que

accedan desde un Terminal Server, mediante un agente instalado en este

servidor que relacione el tráfico generado con su puerto origen y usuario

correspondiente.

• Compartir identidades de usuario de Directorio Activo entre varios

“firewalls/gateways”, sin necesidad de agente externo y sin necesidad de que

cada uno de ellos haga las mismas consultas.

• Poder limitar el ancho de banda de subida o bajada en la misma base de reglas

de firewall de aplicaciones, de forma que para una determinada aplicación, no

se permita más de cierto ancho de banda, de subida o bajada. Es

imprescindible que esto se pueda definir como acción por regla en la propia

base de reglas.



14

• Proporcionar un contador de cuántas veces hizo "match" cada regla (“hit

count”) en el panel de configuración de la base de reglas.

• Proporcionar la funcionalidad propia de correlación de logs y eventos,

unificando los logs de los clúster centrales y los distribuidos.

• Proporcionar un mecanismo propio sencillo, integrado en su propia consola,

para gestión de cumplimiento normativo y buenas prácticas. Debe proporcionar

informes de cumplimiento de, al menos, las siguientes normativas: ISO 27001,

ISO 27002, ISO/IEC 27001/2013, NERC CIP, PCI DSS, CobiT, etc. La política

de seguridad de monitorizará de forma continua y automática, indicando el

grado de cumplimiento en cada una de sus normas y la acción a tomar para

configurarla adecuadamente.

Servicio IPS (Intrusion Prevention System):


• Disponer de un mecanismo de bypass configurable de forma gráfica, que

permita definir un umbral para CPU y memoria, con el objetivo de que si en

algún momento o la memoria o la CPU supera dicho umbral, la función de IPS

quede inhabilitada automáticamente proporcionando más recursos al equipo.

• Capacidad de añadir una excepción directamente desde el propio log del

evento, evitando tener que ir a la configuración especifica de excepciones.

• Estar recomendado por compañías independientes de análisis de IPS del

mercado, como NSS Labs.

• Opción de proteger solo los hosts internos, de forma que pueda activarse

rápidamente con una sola casilla de configuración, que solo se apliquen las

protecciones de IPS que correspondan para proteger a la red interna.

• Proporcionar al menos dos perfiles/políticas que puedan ser utilizados

inmediatamente.

• Disponer de mecanismo “fail-open” basado en software, configurable según

umbrales de uso de CPU y memoria, a definir mediante el propio interfaz

gráfico de configuración.



15

• Soportar excepciones de red basadas en origen, en destino o en una

combinación de ambos, de forma que sobre este tráfico no se aplique ninguna

protección de IPS. También debe poder permitir establecer excepciones por

protecciones específicas de IPS, independientemente del origen o destino y sin

necesidad de configurar ninguna regla en la base de reglas de firewall.

• Disponer de un mecanismo centralizado de correlación de eventos y reporting,

del mismo fabricante, y que permita correlar eventos de IPS con las de otras

funcionalidades y equipos del mismo fabricante, como Control de Aplicaciones,

URL Filtering, AntiVirus, Anti-Bot, Firewall, etc.

• Configurar perfiles con una política global que active o desactive las

protecciones en base a los siguientes criterios: impacto de rendimiento,

severidad, nivel de confiabilidad y tipo de protección: cliente o servidor.

• Capaz de realizar captura de paquetes para protecciones específicas, para su

posterior investigación.

• Proporcionar protección de protocolos de voz sobre IP.

• Incluir un mecanismo pata importar firmas SNORT, con un máximo de por lo

menos 2000 firmas.

• Permitir al administrador bloquear fácilmente tráfico entrante y/o saliente

basado en países, sin necesidad de gestionar manualmente los rangos de IP

correspondientes al país.

• Disponer una GUI de gestión con capacidad de pasar fácilmente a la definición

de firmas del IPS pulsando directamente sobre los logs del IPS

Servicio SSO con soluciones Cloud:


• Posibilidad de hacer SSO con servicios en la nube; entre ellos google apps y

office 365.

Servicio VPN (Virtual Private Network):




16

• Capacidad para ejercer de terminador de túneles IPSec (LANtoLAN y

ClientoLAN) con algoritmos de encriptación e integración en LDAP.

• Capacidad de configurar de forma gráfica comunidades de VPN site-site con

varias topologías.

• Paquete mínimo de 10 usuarios, con posibilidades de ampliación de licencias,

indicando características de adquisición y costes adicionales.

Control de aplicaciones:


• Proporcionar la mayor capacidad de identificación y control, permitiendo al

administrador crear políticas granulares, basadas en usuarios/grupos. Debe de

tener capacidad de detección de más de 7500 aplicaciones nativas y más de

255.000 sub-aplicaciones y widgets.

• Posibilidad de que el cliente final pueda definir sus propias reglas de control por

aplicaciones propias y/o específicas. Capacidad de definir reglas de filtraje que

incluyan múltiples categorías.

• Capacidad de limitar el ancho de banda de una aplicación pudiendo controlar

tanto el volumen de tráfico de la subida como la bajada sobre la misma regla

de acceso que la aplicación.

Prevención de entrada de malware de dia zero (Zero-day malware)


• Prevenir la entrada de amenazas de día zero de forma dinámica antes de que

se genere una firma estática, tanto para smtp como http y sin hacer uso de

ningún agente en el pc de usuario ni en cualquier otro elemento que no sea el

cortafuego principal. El objetivo es evitar que se infecte el llamado “paciente

zero” y que el malware llegue a entrar en la organización.

• Proporcionar tecnología de emulación (“sandboxing”) con capacidad de análisis

tanto a nivel de Sistema operativo, como de CPU.



17

• Disponer de un motor de análisis de amenazas de día zero con soporte para

documentos de tamaño superior a 101Mb.

• Complementar con el tratamiento de contenido activo en ficheros ofimáticos y

PDFs que entren por correo electrónico. La herramienta ha de poder

configurarse para que pueda extraer todo el contenido dinámico del fichero

(macros, javascripts, formularios,…) e incluso entregar el fichero en formato

PDF al usuario. Dicha acción se debe de realizar en tiempo real sobre el propio

Gateway en un tiempo inferior a 5sg. En caso de que el usuario tenga que

acceder al fichero original, es necesario garantizar que el usuario podrá

rescatar el fichero de forma autónoma, siempre y cuando el módulo de

sandboxing haya indicado que el fichero no es malicioso, este proceso debe de

quedar registrado.

Identificación reactiva frente a amenazas


• La solución propuesta ha de proporcionar de forma explícita un módulo para

identificar maquinas infectadas, identificando conexiones contra C&C

(Command & Control).

• Identificar y proporcionar herramientas adicionales que cubran las todas estas

necesidades, aunque no formen parte de este pliego, por lo que no debe de

estar incluida en el alcance económico.

Capacidades


• Distribución enracable, con todos los elementos necesarios.

• Rendimiento (condiciones de laboratorio):

o Firewall: 50 Gbps.

o IPS: 13 Gbps.

o NGFW: 11 Gbps

o Threat Prevention: 6 Gbps



18

o VPN: 10 Gbps.

o 150.000 conex/sec.

o 3/6/12M concurrent connections

• Conectividad: Puertos con al menos la siguiente distribución:

o 8 puertos GbE Base-T.

o 1 puerto Ligths-Out para configuración remota.

o 1 puerto de consola de gestión.

o 1 puerto USB 3.0

o 1 slots de expansión para puertos 10GbE Fiber

• 8 BG RAM, con capacidad de expansión hasta 32 GB

• 1 HDD 512 GB, con capacidad de expansión para otro similar

• 1 AC power Supply

Licenciamiento y Soporte


• Inclusión de todo el licenciamiento necesario, tanto por adquisición como por

suscripción cuando corresponda, para garantizar el funcionamiento de todos

los requerimientos mínimos de la solución propuesta.

• Las licencias por suscripción deben incluir el primer año de servicio y el coste

de renovación, valorándose las ampliaciones de este plazo.

• Se deberá considerar dentro del alcance del proyecto un servicio de soporte

durante el primer año de servicio, indicando el nivel de servicio propuesto.

• El soporte deberá ser proporcionado por el mismo integrador, por lo que deberá

disponer de las acreditaciones CCSP/CSP que lo garanticen.

Otras propuestas de servicios. Mejoras:

En relación a esta última actividad no se consideran trabajos mínimos, si bien se

valorará especialmente las propuestas de mejora sobre los productos y servicios

cubiertos por este Pliego así como cualquier otro que las Empresas Licitadoras crean

que se debe contemplar en el ámbito de este Expediente.



19

6.4 REQUERIMIENTOS FUNCIONALES

Teniendo en cuanta la homogeneidad de los trabajos previstos, que se quiere extender

a los productos y resultados previstos, sólo se considera un conjunto mínimo de

requerimientos funcionales genéricos.

6.4.1 REQUERIMIENTOS GENÉRICOS

La solución buscada estará dotada de las siguientes características generales:

• El proyecto y sus entregables se consideran como un conjunto único.

• Previa definición del flujo de eventos y determinación de las interacciones

previstas con el personal y Unidades Organizativas de la APBC.

• Garantía de crecimiento, escalabilidad y estabilidad para las nuevas

consultorías o auditorías que se necesitaran.

• Análisis de la información obtenida en las reuniones con el personal implicado,

teniendo en cuenta los objetivos del proyecto y los recursos disponibles, con

redacción de toda esta información entendible al alcance de todos.

• Las transformaciones a realizar en los Sistemas TIC para alcanzar los objetivos

marcados y cumplir con los requisitos establecidos deberán realizarse sin

interceder en los sistemas en explotación.

• Las horas de consultoría en las instalaciones de la APBC se considerarán de

formación continua para los responsables TIC de la Organización.

7. DESARROLLO Y EJECUCIÓN DE LOS TRABAJOS.

Los trabajos, en su conjunto y en cada una de sus partes, se desarrollarán y

ejecutarán con estricta sujeción al presente Pliego de Prescripciones Técnicas, al

Pliego de Cláusulas Generales que lo acompaña, la Ley 30/2007, a la orden FOM

1698/2013, y a las Normas Oficiales que en él se citan.



20

La APBC designará un Responsable Técnico para la coordinación del proyecto, la

monitorización de los trabajos y los productos y resultados de esta Asistencia Técnica.

Dicho Responsable Técnico de la APBC desempeñará funciones directoras y

establecerá los criterios y líneas generales de actuación de la Empresa Adjudicataria,

siempre conforme a su propuesta final, a fin de que la implantación del suministro y del

servicio se realice de manera correcta.

Para ello, dicha propuesta final deberá describir en detalle, como mínimo, lo siguiente:

• Solución técnica: con referencias a los productos y servicios suministrados para

garantizar la cobertura de los requerimientos planteados en este Pliego.

• Gestión del proyecto: indicando la metodología a utilizar, especificando fases,

plazos, recursos, hitos, tareas y entregables del Plan del Proyecto.

• Evaluación y control del proyecto: en términos de coste, tiempo y alcance

planteado, incidiendo en la definición, planificación, ejecución, implantación,

pruebas, documentación, formación y entrega de trabajos contratados.

Durante el desarrollo del Contrato se deberán mantener reuniones periódicas que

permitan organizar y validar el avance del proyecto, así como la entrega periódica de

la documentación relativa a actas de reuniones, planificaciones, estudios, análisis,

desarrollos, manuales, y cualesquiera otras que el Responsable Técnico del proyecto

requiera. La periodicidad será determinada por éste último.

Durante la ejecución de los trabajos objeto del Contrato y en la fase de soporte

técnico, el Adjudicatario se compromete, en todo momento, a facilitar a las personas

designadas por el Responsable Técnico del proyecto la información y documentación

que éstas soliciten.

El impacto que supone la implantación de una plataforma como la que es objeto de

este Pliego hace necesario que, a lo largo de la ejecución de todo el proyecto, se

gestione el cambio que conlleva. Dicho cambio se deberá evaluar en:

• Organización y arranque del proyecto



21

• Creación de la estructura de gestión y equipos de trabajo

• Difusión del proyecto

La APBC exigirá la disponibilidad absoluta e inmediata y la dedicación exclusiva del

equipo propuesto para el proyecto durante el desarrollo y ejecución del mismo.

Todos los trabajos se llevarán a cabo en las instalaciones de la Empresa Adjudicataria

y de la APBC. En este último caso, se considerará como horario de servicio el de

acceso a las instalaciones de la APBC.

Para el desarrollo de los trabajos, el Adjudicatario utilizará sus propias licencias de uso

de las herramientas necesarias para el proyecto, así como de las herramientas

auxiliares y utilidades que pudiera necesitar.

8. IMPLANTACIÓN DEL SISTEMA

Una vez realizado el suministro de todos los componentes del nuevo sistema,

incluyendo toda la documentación, y concluidas con éxito todas las pruebas definidas

en el correspondiente Plan de Pruebas destinadas a certificar que el sistema cumple

con todos las especificaciones funcionales y técnicas, se procederá a la implantación

del mismo en el entorno de producción.

Dicha implantación se realizará según el enfoque global del servicio descrito en las

ofertas y cumpliendo las especificaciones de la descripción metodológica propuesta en

el correspondiente Plan de Implantación. En el caso en que dicha metodología esté

basada en el uso de herramientas informáticas, la oferta incluirá todas las licencias de

uso que fuesen necesarias.

Si durante la fase de paso a producción se pusieran de manifiesto deficiencias que no

hubieran sido descubiertas durante las pruebas, no se procederá al despliegue

generalizado del sistema hasta que dichas deficiencias fueran resueltas por el

Adjudicatario, sin coste adicional para la APBC, y con posibilidad de imposición de las



22

penalizaciones recogidas en el presente Pliego si ello supusiera retrasos en los hitos

y/o plazos de ejecución del proyecto.

La metodología utilizada debe permitir que la infraestructura de la plataforma,

hardware y software, contemplen la posibilidad de la realización de prototipos del

sistema de cara a facilitar las labores de validación y definición de las especificaciones

por parte de los usuarios.

El proceso de implantación y despliegue generalizado del sistema deberá ajustarse a

los distintos procesos definidos, o que se definan con posterioridad, por los

responsables de los Sistemas TIC de la APBC en la intención de minimizar la

interacción del nuevo sistema con otros sistemas que ya están en producción.

En particular, en ningún caso se realizarán paradas de servicio de los sistemas en

producción para la implantación de cualquier componente del nuevo proyecto,

debiendo consensuarse con el Responsable Técnico de la APBC los mejores

momentos para hacerlo, aún fuera del horario de servicio si fuera necesario, y sin que

estos posibles retrasos en los hitos y la implantación del proyecto pudieran ser

achacables a la APBC de manera alguna.

9. FORMACIÓN.

Las Empresas Licitadoras deberán ofertar un Plan de Formación como complemento

de esta Asistencia Técnica para instruir al personal técnico de la APBC que se

determine. En particular, dicho Plan de Formación deberá incluir:

• Nombre, contenido y duración de los cursos.

• Perfiles de formadores y personal al que va dirigido.

• Ciclos, plazas, condiciones de acceso y modalidad.

La formación deberá impartirse en modo presencial en las dependencias que designe

la APBC, proporcionando la documentación necesaria para ello, no considerándose



23

propuestas inferiores a 10 horas. Debido al carácter de la Asistencia Técnica, con gran

parte de trabajos de consultoría, la formación propuesta podrá simultanearse con el

resto de los trabajos a desarrollar.

Adicionalmente podrán ofertarse otras propuestas formativas “on-line” que

complementen la formación propuesta.

10. DOCUMENTACIÓN FINAL A ENTREGAR.

La documentación final a entregar incluirá, como mínimo, los siguientes documentos:

• Documentación entregable del proyecto:

o Memoria Descriptiva del proyecto y la arquitectura del sistema.

o Descripción Técnica detallada del proyecto y de sus elementos

o Especificaciones Técnicas de hardware y software.

o Relación de licencias de uso de la plataforma.

o Informes de integración con tecnología y servicios actuales.

o Manuales de usuario y administración de los nuevos sistemas.

o Planes Específicos: de Acción, de Adecuación, de Pruebas, de

Contingencia, de Continuidad del Negocio y de Concienciación.

o Cualquier otra que se considere.

• Documentación Administrativa:

o Plan de Gestión del Cambio

o Manual de Procedimientos

o Plan de Difusión y Comunicación.

La entrega de dicha documentación se realizará a la finalización de los trabajos, en

papel y soporte electrónico (en un formato estándar), no considerándose finalizado el

proyecto hasta entonces. Dicha documentación será requerimiento obligatorio para la

aceptación, recepción y abono de los trabajos desarrollados. Además, siempre que la

APBC lo estime conveniente, el Adjudicatario se compromete a entregar resultados

parciales de los trabajos desarrollados.



24

11. RECEPCIÓN DEL PROYECTO

Una vez terminada esta Asistencia Técnica, se haya entregado toda la documentación

exigida, y se hayan realizado los cursos de formación, el Responsable Técnico del

proyecto preparará el Acta de Recepción del mismo y propondrá el acto para la firma

entre el Adjudicatario y la APBC.

En dicho acto también se firmarán y aprobarán los entregables presentados y los

Planes de Adecuación previstos.

12. SOPORTE Y MANTENIMIENTO

Tras la firma del Acta de Recepción del proyecto se dará por cerrada una primera

versión del mismo y se iniciarán las fases de Soporte y Mantenimiento.

El Adjudicatario ofrecerá, con cargo el proyecto, un servicio de soporte mediante los

niveles de servicio estándar que considere durante un plazo mínimo de un (1) año tras

la recepción del mismo que deberá valorar para todo tipo de consultas relacionadas

con el alcance y ámbito de aplicación de esta Asistencia Técnica.

13. SEGUIMIENTO Y CONTROL.

Para ejercer las funciones de seguimiento, control e inspección que se deriven del

desarrollo del Contrato que se establezca, la APBC cuenta con su Responsable

Técnico ante la empresa y con todos los medios personales y materiales de la

Organización.

No obstante, la APBC podrá tomar en cualquier momento las medidas de control que

considere oportunas para la vigilancia del correcto cumplimiento de las obligaciones a



25

que está sometido el Adjudicatario como consecuencia del presente Pliego y de las

que se contemplen en el Contrato que de él se derive.

Cualquier infracción o incumplimiento del Contrato será comunicado al Adjudicatario a

través de su representante ante la APBC, mediante la correspondiente acta de

incidencias que deberá ser, en cualquier caso, aceptada y firmada por él mismo.

Será suficiente motivo de rescisión de Contrato, el levantamiento de cinco actas

documentadas y probadas de incumplimiento de Contrato. En dicho supuesto la

Empresa Adjudicataria procederá en un plazo máximo de 30 días a cesar en la

ejecución de los servicios contratados, sin que la APBC se vea obligada a satisfacer

cantidad alguna en concepto de indemnización y, en todo caso, con pérdida de la

fianza por parte del Adjudicatario.

14. PERIODO DE GARANTÍA:

El Adjudicatario deberá garantizar la buena calidad de los productos que suministre e

implante, la plena operatividad y funcionalidad de todos los componentes del nuevo

proyecto según las necesidades y requerimientos de la APBC, así como la corrección

de errores de software por un periodo de dos (2) años. Se valorará la ampliación de

dicho plazo. Si durante el mismo se observasen defectos imputables a las

características de los productos suministrados o implantados, el Adjudicatario estará

obligado a reponer los que hayan resultado inadecuados o defectuosos.

En todos los casos la garantía de los productos utilizados contará desde la firma del

Acta de Recepción del proyecto, y en ningún caso dicho plazo de garantía contará

desde la adquisición o instalación física de dichos elementos.

La garantía incluirá todos los mantenimientos preventivos especificados por el

fabricante, y las reparaciones necesarias, con la sustitución de elementos deteriorados

por cualquier avería que pudiera producirse.



26

Durante este periodo se garantizará igualmente el mantenimiento correctivo de los

trabajos realizados, encaminado a corregir los errores del software, así como el

mantenimiento evolutivo o de actualización legal (cambios de normativa) que fueran

necesarios.

15. PROPIEDAD INTELECTUAL.

Todos los derechos de propiedad intelectual y de ‘Copyrigth’ que se puedan derivar de

los trabajos de implantación del nuevo producto, sin considerar ni a éste ni a sus

licencias, serán propiedad exclusiva de la APBC, que podrá bien reproducirlos o

divulgarlos total o parcialmente, bien utilizarlos para otras iniciativas, proyectos o

convenios, obligándose las partes a otorgar el documento oportuno cuando éste sea

necesario, para la debida constancia pública de este hecho ante cualquier Organismo

o Registro de cualquier ámbito.

El Adjudicatario será responsable de los daños y perjuicios que se deriven del

incumplimiento de esta obligación.

16. CONFIDENCIALIDAD DE LOS TRABAJOS.

Todos los trabajos que desarrolle el Adjudicatario en esta Asistencia Técnica para la

APBC tienen carácter confidencial, según las directrices y recomendaciones de

mejores prácticas en la gestión de la seguridad de la información definidas en el

estándar ISO-17799, por lo que deberá adoptar los medios necesarios para evitar su

difusión fuera del ámbito de influencia de la APBC.

17. PROTECCIÓN DE DATOS

En la medida en que la prestación y cumplimiento del presente Contrato impliquen el

acceso del Adjudicatario a datos de carácter personal incorporados a ficheros de los



27

que sea titular la APBC, el tratamiento de dichos datos por parte del Adjudicatario

deberá realizarse en la forma y condiciones siguientes:

• El acceso del Adjudicatario a los datos del fichero para la prestación de

servicios pactados en el Contrato no tendrá la consideración legal de

comunicación o cesión de datos a los efectos previstos en la Ley Orgánica

15/1999, de 23 de diciembre, de Protección de Datos de Carácter Personal

(LOPD), sino de acceso por cuenta de tercero según lo previsto en dicha Ley.

• Los datos del fichero serán propiedad exclusiva de la APBC, extendiéndose

esta propiedad a cuantas elaboraciones realice el Adjudicatario con ocasión del

cumplimiento del Contrato.

• A efectos de la prestación de servicios por parte del Adjudicatario a la APBC, el

primero tendrá la condición de encargado del tratamiento y se sujetará al deber

de confidencialidad y seguridad de los datos personales a los que tenga

acceso conforme a la normativa que resulte aplicable, obligándose

específicamente a lo siguiente:

o Utilizar y aplicar los datos personales con la finalidad exclusiva del

cumplimiento del objeto del Contrato.

o Adoptar las medidas de índole técnica y organizativa necesarias

establecidas en la Ley LOPD y en las normas reglamentarias que la

desarrollen, que garanticen la seguridad de los datos personales y

eviten su alteración, pérdida, acceso o tratamiento no autorizado,

habida cuenta del estado de la tecnología, la naturaleza de los datos

objeto de tratamiento y los riesgos a qué los mismos estén expuestos,

ya provengan de la acción humana o del medio físico o natural.

o Aplicar las medidas de seguridad del nivel que correspondan en función

de los datos a tratar de conformidad con lo previsto en el Real Decreto

1720/2007, de 21 de diciembre, por el que se aprueba el desarrollo de

la LOPD.

o Mantener la más absoluta confidencialidad sobre los datos personales a

los que tenga acceso para la prestación de servicios así como los que

resulten de su tratamiento cualquiera que sea el soporte en el que se

hubieran obtenido.



28

o No comunicar ni ceder los datos del fichero a otra persona, ni siquiera

para su conservación, debiendo destruir los datos personales a los que

haya tenido acceso, así como los que resulten derivaos de su

tratamiento, al igual que cualquier soporte o documento en los que

conste algún dato de carácter personal objeto de tratamiento, salvo que

la APBC solicite expresamente su devolución.

o Guardar secreto profesional de todos los datos de carácter personal que

conozca o a los que tenga acceso en la ejecución del Contrato.

Igualmente, se obliga a custodiar e impedir el acceso a los datos de

carácter personal a cualquier tercero ajeno. Las anteriores obligaciones

se extienden a toda persona que pudiera intervenir en cualquier fase del

tratamiento por parte del Adjudicatario.

o Comunicar y hacer cumplir a sus empleados las obligaciones

contenidas en los apartados anteriores y, en particular, las relativas al

deber de secreto y medidas de seguridad.

El Adjudicatario se comprometerá a comunicar de forma urgente cualquier posible fallo

que detecte en su sistema de tratamiento y gestión de la información que haya tenido

o pueda tener como consecuencia la puesta en conocimiento de terceros de

información confidencial obtenido durante la ejecución del Contrato.

Asimismo, a la finalización del Contrato el Adjudicatario quedará obligado a la entrega,

o destrucción en caso de ser solicitada, de cualquier información obtenido o generada

como consecuencia de la prestación del servicio objeto del Contrato.

En la intención de obtener el máximo de garantías respecto a la capacidad de las

Empresas Licitadoras para el cumplimiento de la LOPD y la confidencialidad de los

trabajos, se valorará muy positivamente que dichas empresas tengan implantado un

Sistema de Seguridad de la Información, certificado según la norma UNE ISO/IEC

27001, por una Entidad de Certificación debidamente acreditada en España.

Puerto de la Bahía de Cádiz · se abordó el Plan de Adecuación al ENS dela APBC, se incluyó un...

Documents

Transcript of Puerto de la Bahía de Cádiz · se abordó el Plan de Adecuación al ENS dela APBC, se incluyó un...