El suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes serán suministrados por el proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el contrato.

Los bienes suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.

El proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la contratante, mediante notificación a la misma de dicho rechazo.

1. El Oferente debe proveer una solución de Servicio de SOC 8x5 en las ubicaciones físicas que designe el BNF. Para cubrir el soporte 7x24 que requiere este tipo de solución, el oferente deberá cubrir el horario nocturno o fuera de oficina en forma In-House en el oferente.

2. El escenario de implementación del SOC BNF debe ser In-House.

3. El proveedor debe implementar el servicio SIEM para el SOC que permita escalar nuevas incorporaciones de instituciones y sus contextos de seguridad sin que esto represente aumento de costos en licenciamiento. En cualquiera de los casos, el modelo de licenciamiento, si lo hubiera, debe ser tal a no requerir renovaciones o suscripciones adicionales o posteriores a la finalización del contrato

4. El Servicio de SOC debe aportar como mínimo un dashboard con métricas básicas, además debe permitir la creación de nuevos dashboard informacionales para todo el equipo del SOC.

5. Sistema de Ticket y gestión de Incidentes: el Proveedor, también dentro del contrato del SOC, debe realizar la implementación de un sistema de tickets de incidentes que debe ser integrado a los sistemas del SOC.

6. El servicio de SOC debe incorporar al menos una herramienta de Orquestación / automatización (SOAR) que permita a los analistas de operaciones trabajar casos junto a los analistas de manejo de incidentes. Las herramientas de SOAR debe ser interoperable con todos los demás elementos del proyecto que el Oferente propone y las que están mencionadas en las presentes especificaciones.

7. El SOAR debe permitir 12 usuarios analistas, como mínimo, en modalidad MSSP.

8. El servicio de SOAR debe incluir y/o el proveedor encargarse de la configuración y personalización de los conectores para una cantidad ilimitada playbooks, sin costo adicional.

9. El proveedor debe ofrecer una capacitación en el uso y manejo del SOAR y en el lenguaje de construcción de playbooks.

Plataforma de repositorio seguro de evidencia:

1. El Proveedor debe contar con un mecanismo o plataforma de gestión centralizada y segura de evidencia, integrable con los demás elementos del SOC, en la que los analistas podrán almacenar las evidencias o materiales de apoyos obtenidos o generados en el marco de la gestión de un incidente o investigación, incluido, pero no limitado a: logs, copias de archivos, artefactos maliciosos, imágenes o capturas, informes, etc. El Servicio podría formar parte o ser una funcionalidad nativa de alguno de los demás elementos proporcionados por el Oferente.
2. El proveedor debe contar con mecanismos de trazabilidad detallados que permitan identificar mínimamente qué usuario realizó las siguientes operaciones (las que apliquen): subida y/o creación, accesos o lecturas, descargas, eliminaciones, ediciones. Igualmente debe contar con trazabilidad de las acciones propias de los usuarios, incluido, pero no limitado a: altas, bajas y modificaciones de usuarios, cambios de configuración y otras operaciones administrativas.
3. La arquitectura de la plataforma debe incluir un cliente que pueda sincronizar de manera automática las evidencias almacenadas con el sistema de archivos de la PC del analista, mínimamente para Windows 10 o superior, MacOS y Linux (distribuciones basadas en Debian y RHEL)

Capa de Adquisición

Generalidades:

1. El oferente debe proveer herramientas de despliegue que contemple los mecanismos para la captación de eventos relevantes en las redes y sistemas de las Sucursales y/o oficinas periféricas, pudiendo estos mecanismos ser: sensores y/o colectores, plataformas SIEM, o la integración a un SIEM existente.

2. Para cada sucursal que se solicite incorporar, el Oferente debe realizar una caracterización de la infraestructura que le permita proponer una arquitectura de despliegue que garantice que cada sucursal sea vista como un único contexto de seguridad. Esta arquitectura deberá permitir el despliegue de un collector de logs en casa matriz en casa matriz en alta disponibilidad, segmentando las redes y servicios de cada sucursal para poder así identificar los orígenes y dependencias de las distintas sucursales.

3. Cada vez que el BNF desee incorporar una sucursal, éste comunicará al proveedor por los medios habilitados para el efecto, tales como correo electrónico, teams, u otros medios de recepción comprobable a cargo de la dependencia requirente).

Tecnología Lado Cliente:

1. 1. Para el despliegue de sensores y/o colectores:

   a. Los sensores y/o colectores podrían ser físicos o virtuales

   b. El sensor y/o colector debe ser capaz de capturar tráfico de red en formato de pcap y/o soluciones que soporte NetFlow.

   c. El sensor y/o colector debe ser capaz de interpretar logs distintos dispositivos en el escenario tecnológico de la institución que sean de interés para el SOC (evtx, syslog).

   d. El sensor y/o colector debe poder integrarse con la plataforma de SIEM propuesta. Además, es deseable que el sensor y/ o colector sea compatible con la mayor cantidad de tecnologías de SIEM, por ejemplo, basado en el stack ELK.

   e. El sensor y/o colector debe ser capaz de almacenar logs y/o pcaps con una retención de al menos unas 3

   semanas.

   f. El sensor y/o colector debe contar con una interfaz web de gestión y/o soluciones que soporten gestión vía interfaz del sistema operativo.

   g. El sensor y/o colector debe ser compatible con el monitoreo por agentes y agentless en los activos de interés para la institución y/o para el SOC.

2. Por cada sucursal, el proveedor debe personalizar la configuración del servidor y/o agentes, incluyendo mínimamente los parámetros establecidos conforme a parámetros que serán definidos de común acuerdo con el BNF, incluido, pero no limitado a:
   1. escaneos periódicos
   2. colección de logs
   3. monitoreo de integridad de archivos, incluido la auditoría de who-data
   4. funcionalidades de detección de anomalía y malware
   5. Securización y hardening conforme la documentación oficial, como mínimo.

3. El proveedor debe proporcionar un módulo de auditoría continua y automatizada de vulnerabilidades que permita realizar un monitoreo proactivo, conocer la superficie de exposición, detectar vulnerabilidades. El módulo debe permitir auditar a partir de un rango de IP pública o dominio / sub-dominio. El módulo debe permitir auditar una cantidad ilimitada de IP o dominios.
   1. El módulo debe permitir el descubrimiento del stack tecnológico y servicio detrás de dicha IP o dominio, mediante técnicas de escaneo activos.
   2. El módulo mínimamente debe cubrir:
      1. escaneo de vulnerabilidades web (OWASP Top 10)
      2. fuzzing web
      3. escaneo de vulnerabilidades conocidas basado en servicios, mapeadas a CVE
   3. Debe permitir realizar el control y seguimiento de vulnerabilidades identificadas, incorporando un proceso de auditoría continua a través de históricos de evolución de éstas.
   4. Debe contar con un panel de Control, con roles de usuarios (administrador y de solo lectura)
   5. El panel de administración central web debe permitir al BNF tener la visibilidad total sobre las instancias de las sucursales clientes, así como informaciones estadísticas globales e informes técnicos y ejecutivos.
   6. Debe permitir generar alertas o notificaciones (correo electrónico u otro mecanismo) para el envío de los resultados del descubrimiento y evolución de vulnerabilidades

Inteligencia de Amenazas:

1.   El proveedor debe implementar un servicio cuya plataforma o módulo de inteligencia de amenazas (CTI) integre las diversas fuentes de inteligencia, tanto públicas como privadas (provistas como parte del servicio de centro de operaciones de seguridad SOC, conforme especificaciones)
2. La plataforma o módulo CTI del proveedor debe permitir a los analistas integrar información técnica (TTPs y observables) e información no-técnica (mínimamente información sobre la víctima, categorías, etc), relacionando cada pieza de información con su fuente primaria que lo sustente (un reporte, un evento MISP, etc.), permitiendo también la relación entre diferentes piezas de información. Mínimamente, debe ser posible establecer los siguientes atributos a cada observable:

1. Hora y fecha de primera aparición (First seen)
2. Hora y fecha de última aparición (Last seen)
3. Nivel de confianza del observable
4. Descripción del observable

3. La plataforma o módulo CTI del proveedor puede estar incluida y/o ser un componente nativo del SIEM o SOAR o ser mediante una plataforma o instalación separada.

1. El modelo de licenciamiento (si lo hubiera), debe permitir un crecimiento y escalabilidad tanto en la cantidad de fuentes de información integradas como en la cantidad de datos ingestados, sin que esto represente aumento de costos en licenciamiento.
2. Debe permitir importar y exportar datos en formato csv y txt, como mínimo. También debe permitir exportar reportes en formato pdf.
3. Debe también contar con conectores que permitan una integración simple con plataformas y fuentes conocidas, tanto de datos IoC y IoA, como de enriquecimiento de datos. Mínimamente debe contar con conectores y/o integración nativa con:
   1. 1. CVE Database
      2. MISP
      3. MITRE ATT&CK
      4. VirusTotal
      5. URLHaus
      6. CISA Known Exploited Vulnerabilities Database
      7. HybridAnalysis
      8. Cukoo Sandbox
      9. Alguna plataforma de enriquecimiento sobre información sobre IPs (whois, reputación, histórico DNS, etc.)

Igualmente, debe contar con una API que permita construir la integración a otras plataformas. El proveedor deberá integrar la plataforma con los demás elementos del SOC, tal que permita enriquecer automáticamente el análisis e investigaciones de los analistas.

El SOC debe incorporar integraciones con Feeds de Inteligencia de amenazas comerciales (al menos 2) incluidos dentro del precio. La suscripción debe ser válida durante 12 meses desde su activación

Capa DFIR y Threat Hunting:

1. El proveedor debe proveer un servicio cuya solución o plataforma para la adquisición de evidencia forense de manera rápida, escalable y remota, así como también todas las acciones de triage durante la investigación de un ataque.
2. El Servicio debe contar con una solución o plataforma que permita un número ilimitado de analistas y un número ilimitado de análisis.
3. Debe permitir la adquisición y análisis de sistemas Windows, distribuciones de Linux y MacOS

1. Debe permitir mínimamente:
   1. Ejecución de herramientas de triage en remoto bajo demanda
   2. Ejecución de reglas YARA en los sistemas investigados
   3. Consulta de claves de registro
   4. Consulta de existencia de ficheros
   5. Realización de volcados de memoria en remoto bajo demanda
2. Todas las funcionalidades y capacidades de análisis y obtención de datos y evidencias deben poder ser ejecutados de manera remota y de manera masiva y/o automatizable en todos los equipos de la red a analizar.

Calibración y soporte:

1. El proveedor debe proveer la documentación y entrenamiento teórico-práctico respecto a los procedimientos de calibración de las plataformas, que permita ajustar los mecanismos de detección, defensa y respuesta a los escenarios de tecnologías a implementarse en el SOC, asegurando una transferencia de conocimiento completa al staff del BNF.
2. El proveedor debe calibrar todos los elementos del SOC basado en el framework MITRE ATT&CK
3. Con el objetivo de proporcionar evidencia cuantificable del progreso de las operaciones del SOC, así como los esfuerzos de las instituciones clientes, el servicio debe permitir generar, como mínimo, las siguientes métricas:

1. El proveedor debe proveer un Servicio que permita ver todas las vistas de dashboard con las métricas definidas arriba en un panel y debe configurarlo de esta manera, asegurando la transferencia de conocimiento para la generación de otras métricas y otras vistas por parte del BNF en un futuro.
2. Dentro del Servicio, el proveedor debe garantizar la asistencia técnica y soporte, durante toda la vigencia contractual, no limitado a:

1. Resolución de problemas o dudas respecto a la configuración de los componentes.
2. Resolución de errores en el funcionamiento del servicio respecto al comportamiento esperado, conforme las presentes especificaciones
3. Actualización y/o instalación de parches del stack tecnológico, conforme estos fueran disponibilizados por los fabricantes

Transferencia de conocimiento:

1. El proveedor debe encargarse de realizar una transferencia de conocimiento mínima de la plataforma y tecnologías de SOC, a todo el staff del SOC, incluido, pero no limitado a: analistas de todos los niveles, Security Engineer, Coordinador o Director SOC. Dicha transferencia de conocimiento debe incluir mínimamente:
   1. Explicación detallada de la arquitectura y topología de la solución instalada, con sus diferentes elementos (hardware/software)
   2. Entrenamiento teórico-práctica de la configuración, calibración y operación de cada uno de los elementos
2. Las sesiones de capacitación deben realizarse in-situ.
3. El proveedor debe proporcionar a la institución cliente un manual o guía tanto de usuario/operador como de administrador, de cada una de las herramientas que componen el SOC. La documentación deberá estar en formato digital o virtual (link a página web).

Servicios de operaciones:

1. El proveedor debe presentar una propuesta de Servicios de Operaciones con dotación mínima de Personal Operativo basada en especificaciones de la siguiente tabla:

Los criterios de cada perfil se encuentran en Capacidad Técnica

• • • SOC Analyst  cantidad 1 (uno)
    • Security Engineer cantidad 1 (uno)
    • SOC Manager/CSIRT Director cantidad 1 (uno)

2. Cada perfil será incorporado de acuerdo a cada orden de servicio emitidas por el BNF. La empresa presentará el CV del personal propuesto de acuerdo a cada perfil y debe contar con la aprobación del BNF.
3. La experiencia mínima indicada en la tabla anterior es orientativa, será responsabilidad del Oferente asegurar la correcta selección basado tanto en cualidades académicas, de experiencia y habilidades duras y blandas conforme al rol esperado. La exigencia de la experiencia específica podría modificarse en caso de que el perfil de un candidato propuesto tuviera otro tipo de cualidad, ya sea académica o de habilidades específicas, que fueran más provechosas para el rol, de común acuerdo con el BNF.
4. Dicho personal debe prestar servicio en las instalaciones del BNF, a tiempo completo (carga laboral de 40 horas), en turnos distribuidos para cubrir un rango horario de oficina a ser definidas por el BNF. Así también se debe contemplar un servicio de SOC 7x24x365 in-House del oferente para cubrir en horarios fuera de producción, entiéndase feriados, sábados o domingos.
   1. El trabajo remoto podría ser autorizado por BNF en casos particulares, de común acuerdo entre las partes, si es que resultara más provechoso para el BNF.
5. Los analistas deben seguir los procedimientos definidos y acordados por el BNF, pudiendo éstos ser actualizados durante todo el contrato, como parte del proceso de mejora continua de las operaciones del SOC.
6. En caso de que el analista renuncie, la empresa debe reemplazarlo por un perfil de características y/o capacidades equivalentes o mejores, en un plazo no mayor de 30 (treinta) días.

Traspaso de conocimiento del personal de SOC

El oferente debe prever el traspaso continuo de conocimiento sobre las nuevas amenazas o métodos para la mitigación de eventos a todo el personal incorporado por éste, así como también a los analistas actuales del BNF en materia de ciberseguridad incluido, pero no limitado a:

1. 1. Seguridad en redes, software y sistemas
   2. Gestión de incidentes, desde nivel básico a avanzado
   3. Threat hunting y forense
   4. Análisis de malware
   5. Inteligencia de amenazas
   6. Operaciones de Red Team / Blue Team / Purple Team

Obs.: Atendiendo que los nombres de cursos y la manera de expresar el contenido puede variar, la lista previa es referencial y enunciativa; el contenido específico deberá ser acordado con el BNF durante el proyecto.

El traspaso de conocimiento será preferentemente virtual, auto-gestionada (self-paced) y deberá prever laboratorios y ejercicios prácticos. Los temarios deben guardar relación directa con el rol y responsabilidades que la persona realiza.

• Los cursos, ya sea individualmente o en su conjunto, debe ser mayor a 80 (ochenta) horas o su equivalente en créditos CPE (Educación Profesional Continua) o similar.
• El BNF deberá poder supervisar en todo momento el progreso de las personas:

1. Cursos iniciados y culminados
2. La capacitación continua cubrirá, como máximo, 10 (diez) personas.
3. -   Una vez terminada la capacitación, se expedirán certificados a los participantes.

El Servicio de SOC, deberá contar mínimamente con los siguientes componentes

No aplica. 

No aplica

No aplica

No aplica

• Serán presentados: 12 informes
• Frecuencia:  mensual

Planificación de indicadores de cumplimiento:

La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de las bases y condiciones, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.

1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.

2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.

3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad requerida, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.

En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.

La comunicación de la adjudicación a los oferentes será como sigue:

1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.

2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.

3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.

4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.

5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.

Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.

La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.

La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.

La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.