1

Licitación Pública No. DG-LP-0012019 Anexo 2

LÍNEA DE SERVICIO INFRAESTRUCTURA CENTRALIZADA

2

Tabla de Contenido

1 GLOSARIO .......................................................................................................................................................3

2 Línea de Servicio Infraestructura Centralizada ............................................................................................. 11

2.1 Componentes por Servicio de la Línea Infraestructura Centralizada .................................................. 12

2.1.1 DESCRIPCIÓN DEL SERVICIO DE CONECTIVIDAD SD-WAN E INTERNET ........................................... 13

2.1.2 DESCRIPCIÓN DEL SERVICIO DE DATA CENTER ................................................................................ 17

2.2 Requisitos de la Línea Infraestructura Centralizada ............................................................................ 21

3

1 GLOSARIO Término Descripción

Administración (1) Corresponde al proceso de planeación, organización, gestión y control del uso de los recursos para lograr el suministro de los servicios TIC, que se plantean en el objeto del presente proceso contractual.

Ambiente de preproducción (2)

Es el ambiente final antes de poner el software en producción, aquí las aplicaciones son probadas en condiciones de hardware muy parecidas a las de producción

Ambiente de producción (2)

Es donde finalmente se despliegan las aplicaciones y quedan en operación para ser utilizadas por los usuarios.

Ambiente de Pruebas (2)

Es donde se prueban las aplicaciones por parte del equipo de QA (Aseguramiento de Calidad), es donde se deben detectar todos los bugs (errores) o incidencias funcionales y no funcionales, de manera que el software pueda llegar a producción libre de bugs y cumpliendo con todos los requerimientos funcionales.

Aprovisionamiento El aprovisionamiento comprende los procesos de planeación, instalación, configuración, pruebas y puesta a disposición del servicio en operación.

ANS (Acuerdo de Nivel de Servicio) (3)

Un Acuerdo entre un Proveedor de Servicios de TI y un Cliente. El SLA (Service Level Agreement en inglés) describe el Servicio de TI, documenta las Metas de Niveles de Servicio y especifica las responsabilidades del Proveedor de Servicios de TI y del Cliente. Un único ANS puede cubrir varios Servicios de TI o múltiples Clientes.

Aplicación (1)

Programa que provee funciones requeridas por un Servicio TI. Cada aplicación podría ser parte de más de un servicio TI. Una aplicación se puede ejecutar en uno o más Servidores o Clientes. El SENA cuenta con aplicaciones tales como SOFIA PLUS, sistemas Administrativo y Financiero, SNE, CRM, Seven y CompromISO.

Backup (1) Es una copia de los datos originales que se realiza con el fin de disponer de un medio de recuperarlos en caso de su pérdida.

BCP (Business Continuity Plan) (4)

Plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre.

Calidad (1)

Característica de un producto, Servicio o Proceso para proporcionar su propio valor. Por ejemplo, un Componente hardware puede ser considerado de alta Calidad si rinde según lo esperado y proporciona la fiabilidad requerida. La Calidad de un Proceso requiere la capacidad para medir su Eficacia y Eficiencia, o incluso para mejorarlas si resultase necesario.

Centro de Datos (1)

Es el espacio donde se concentran los componentes de infraestructura tecnológica (servidores, soluciones de seguridad, sistemas de almacenamiento, respaldo, infraestructura de red) en los cuales se ejecutan los sistemas de información (aplicaciones), se procesan y almacenan los datos con su contenido.

CMDB (Configuration Management Database) (1)

Base de datos de la Gestión de Configuración en español. Base de Datos usada para almacenar los registros de configuración durante todo su Ciclo de Vida. La CMDB contiene los atributos o características de los CI´s y las relaciones existentes entre los mismos.

Colocation (22)

Es la práctica de alojamiento de servidores de propiedad privada y equipos de red en un centro de datos de terceros. En lugar de mantener servidores internos, en oficinas o en un centro de datos privado, las empresas pueden elegir “coubicar” sus equipos alquilando espacio en un centro de colocación. Por lo tanto, a diferencia de otros tipos de alojamiento, donde los clientes pueden alquilar espacio en un servidor propiedad de un proveedor de alojamiento, con la colocación el cliente ya posee el servidor y alquila el espacio físico requerido para alojarlo dentro de un centro de datos.

Configuración (1) Es la descripción de los parámetros y ajustes realizados en uno o más servicios TIC

Contratista (1) Es el proponente que resulte adjudicatario y suscriba el Contrato objeto del presente Proceso de Contratación.

4

Término Descripción

Copia de restauración (Restore) (1)

Es un proceso que involucra a archivos de copia de seguridad, de copia de almacenamiento secundario (cinta, disco zip u otro medio de copia de seguridad) en el disco duro. Se realiza una restauración con el fin de devolver los datos a su estado original si los archivos se han dañado, o para copiar o mover los datos a una nueva ubicación.

Datos (1) Para apoyar el servicio y proporcionar la información requerida por los procesos del SENA, por ejemplo, registros de aportantes, matriculas de aprendices, cuentas contables y presupuestos, entre otros.

Email (1) Correo electrónico, es un servicio de red que permite a los usuarios enviar y recibir mensajes (también denominados mensajes electrónicos o cartas electrónicas) mediante sistemas de comunicación electrónica.

Escalable (1) Es la capacidad de una aplicación o producto (hardware o software) para continuar funcionando bien (en todo su contexto) al presentarse un cambia de tamaño o volumen con el fin de satisfacer una necesidad del usuario o de ser actualizado.

Ethernet (5)

Es un estándar de redes de área local para computadores con acceso al medio por detección de la onda portadora y con detección de colisiones (CSMA/CD). Ethernet define las características de cableado y señalización de nivel físico y los formatos de tramas de datos del nivel de enlace de datos del modelo OSI.

Firmware (1)

Es un bloque de instrucciones de máquina para propósitos específicos, grabado en una memoria, normalmente de lectura/escritura (ROM, EEPROM, flash, etc.), que establece la lógica de más bajo nivel que controla los circuitos electrónicos de un dispositivo de cualquier tipo

Garantía (6) Es un negocio jurídico mediante el cual se pretende dotar de una mayor seguridad al cumplimiento de una obligación o pago de una deuda.

Gestión (1) Función que el proveedor realiza en actividades diarias para cumplir con la ejecución los servicios de TIC y dar soporte a la infraestructura.

Hardening (27) Hardening o bastionado, en seguridad informática es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades en el mismo.

Herramienta de gestión (1)

Software que permite la administración, control, seguimiento y control de los servicios TIC, regido por un conjunto de procesos interrelacionados que permite gestionar la entrega de los servicios y la asistencia por parte del proveedor. Adicional centraliza los servicios consolidándolos con un único punto de contacto para todos los procesos de TIC, que incluye la gestión de eventos, problemas, incidentes y gestión del conocimiento.

Hipervisor (29)

En virtualización de servidores utiliza una capa delgada de software llamada hipervisor para crear “máquinas virtuales” (VM), un contenedor de software aislado con un sistema operativo y una aplicación en su interior. La VM se llama máquina huésped y es completamente independiente, lo que permite ejecutar muchas simultáneamente en una única máquina “host” física. El hipervisor asigna recursos de host (CPU, memoria, etc.) dinámicamente a cada VM según sea necesario.

Housing (1)

El servicio de Housing consiste en el alquiler de un espacio físico y los componentes de infraestructura tecnológica (aire acondicionado, electricidad, conexiones de red, etc.) Necesarios para el funcionamiento de servicios por medio de equipos propios de la organización.

IaaS (1)

Infraestructura como servicio (IaaS) es una solución de TI completa consumida como servicio. Cada usuario o grupo de usuarios obtiene acceso a una parte de un pool consolidado de recursos federados para crear y usar su propia infraestructura de cómputo según sea necesario, cuando y como lo necesiten.

Infraestructura tecnológica (1)

Conjunto de dispositivos físicos y aplicaciones de software que requiere para operar toda la empresa, necesarios para la prestación de los servicios requeridos, incluidos los servidores, los circuitos de red, switches, computadores, teléfonos y el soporte lógico de los mismos como sistemas operativos, motores de bases de datos, sistemas de gestión y otros.

5

Término Descripción

Internet (7) Conjunto descentralizado de redes de comunicación interconectadas que utilizan la familia de protocolos TCP/IP, lo cual garantiza que las redes físicas heterogéneas que la componen funcionen como una red lógica única, de alcance mundial.16

Internet comercial Internet de navegación. Internet de navegación Servicio de contenidos consumido por la entidad que llegan a través de internet.

Internet institucional Internet transaccional Internet transaccional Servicio de contenidos prestado por la entidad y distribuido a través de internet.

IP (8) Internet Protocol o, en español, Protocolo de Internet. Se trata de un protocolo estándar que se emplea para el envío y recepción de información mediante una red que reúne paquetes conmutados.

IP pública (1) Es un número que identifica de manera lógica y jerárquica a una interfaz de un dispositivo (habitualmente un computador) dentro de una red, en este caso el número identifica el punto de enlace con internet.

IPv4 (9) Es la versión 4 del Protocolo de Internet (IP o Inernet Protocol) y constituye la primera versión de IP que es implementada de forma extensiva. IPv4 es el principal protocolo utilizado en el Nivel de Red del Modelo TCP/IP para Internet.

IPv6 (10) IPv6 es la abreviatura de "Versión 6 del Protocolo de Internet". IPv6 es el protocolo de Internet de última generación, que se ha diseñado para sustituir al protocolo de Internet actual, la Versión 4 del Protocolo de Internet.

ITIL (1) Biblioteca de infraestructura de tecnologías de la información en español, es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información.

Jitter (1) Es un cambio indeseado y abrupto de la propiedad de una señal. Esto puede afectar tanto a la amplitud como a la frecuencia y la situación de fase.

Latencia (1) Suma de retardos temporales dentro de una red. Un retardo es producido por la demora en la propagación y transmisión de paquetes dentro de la red.

LDAP (1) Protocolo ligero de acceso a directorios, es un conjunto de protocolos abiertos usados para acceder información guardada centralmente a través de la red.

Licencia (11)

Una licencia de software es un contrato entre el licenciante (autor/titular de los derechos de explotación/distribuidor) y el licenciatario del programa informático (usuario consumidor /usuario profesional o empresa), para utilizar el software cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas.

Línea base (12)

Un Benchmark o parámetro usado como un punto de referencia. Por ejemplo: Una línea de base de ITSM puede ser utilizada como punto de partida para medir el efecto de un Plan de Mejoramiento del Servicio. Una línea de base del Rendimiento puede usarse para medir los cambios en el Rendimiento a lo largo del ciclo de vida de un Servicio de TI. Una línea de base para Gestión de la Configuración se puede usar para permitir que se restablezca la Infraestructura de TI a una Configuración conocida si se produce un fallo en un Cambio o en una Edición.

Mantenimientos (13) Cualquier actividad- como comprobaciones, mediciones, reemplazos, ajustes y reparaciones – necesarios para mantener o reparar una unidad funcional de forma que esta pueda cumplir sus funciones.

Mantenimiento Correctivo (1)

Son actividades en las cuales se detectan y corrigen o reparan los fallos, defectos y averías encontradas en los equipos o instalaciones.

Mantenimiento preventivo (1)

Son las actividades de medición, ajuste, limpieza, reparación para de manera proactiva lograr minimizar los incidentes que ocurran en la prestación de los servicios TIC. El objetivo primordial es evitar fallos en la infraestructura TIC antes de que ocurran.

Mesa de Servicio (1) Único punto de contacto entre los usuarios y las áreas de tecnología SENA, soporta los servicios Objeto de este contrato y los de la Mesa de Ayuda.

6

Término Descripción

Middleware (28) Software que actúa como intermediario entre diferentes tipos de hardware y software de una red, de manera que puedan funcionar juntos.

MPLS (1)

Es un mecanismo de transporte de datos estándar. Opera entre la capa de enlace de datos y la capa de red del modelo OSI. Fue diseñado para unificar el servicio de transporte de datos para las redes basadas en circuitos y las basadas en paquetes. Puede ser utilizado para transportar diferentes tipos de tráfico, incluyendo tráfico de voz y de paquetes IP.

NAP (1)

Son las siglas de Network Access Point, que es un punto de conexión nacional de las redes de las empresas que proveen el servicio de acceso de Internet en Colombia, con el cual se logra que el tráfico de Internet que tiene origen y destino en nuestro país, utilice solamente canales locales o nacionales.

NAS (26)

El almacenamiento conectado en red (NAS) es un dispositivo de uso compartido de archivos basado en IP que está conectado a una red de área local. NAS ofrece servicios a una combinación de clientes y servidores por medio de una red IP. Un dispositivo NAS utiliza su propio sistema operativo y sus componentes integrados de hardware y de software para satisfacer una variedad de necesidades de servicios de archivos.

NAT (1) Es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que asignan mutuamente direcciones incompatibles

NOC (1)

Son las siglas de Network Operations Center , que es el Centro de Control de la Red y responsable de monitorizar las redes en función de alarmas o condiciones que requieran atención especial para evitar impacto en el rendimiento de las redes y el servicio a los clientes finales

NTC 2050 (1) Norma del Código Eléctrico Colombiano. Son los lineamientos y Reglamentos técnicos de energía eléctrica que aplica en el territorio Colombiano.

Nube Privada (21)

Una nube privada es básicamente una extensión del centro de datos tradicional de una empresa u organización que se optimiza para ofrecer funcionalidad de almacenamiento y de procesamiento para una gran variedad de funciones. "Privada" se refiere más al hecho de que este tipo de plataforma en nube es un recurso no compartido que a cualquier ventaja relacionada con la seguridad.

Oferta Económica (1) Es la propuesta económica presentada al SENA por los interesados en ser el Proveedor objeto de la Contratación del presente Proceso.

ODBC (1)

Conectividad abierta de bases de datos, es un estándar de acceso a las bases de datos desarrollado por SQL. El objetivo es hacer posible el acceder a cualquier dato desde cualquier aplicación, sin importar qué sistema de gestión de bases de datos almacene los datos.

PaaS (24)

Una plataforma como servicio (PaaS) es un modelo de TI en el que las empresas compran no solo la capacidad de procesamiento, almacenamiento y redes de un proveedor de plataformas web externo, sino también elementos clave para el desarrollo de aplicaciones, tales como bases de datos, uso compartido de archivos y otras funcionalidades de la plataforma de Internet.

Packet loss (32) Incidente que ocurre cuando uno o más paquetes se pierde en la transmisión. La pérdida de paquetes puede dañar la ejecución de aplicaciones o causar errores.

PING (1) Es una de las herramientas más simples ya que todo lo que hace es enviar paquetes para verificar si una máquina remota está respondiendo y, por ende, si es accesible a través de la red.

Plan de Recuperación de desastres (DRP) (14)

Un plan de recuperación ante desastres (del inglés Disaster Recovery Plan) es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.

PoE (Power Over Ethernet) (15)

Tecnología que incorpora alimentación eléctrica a una infraestructura LAN estándar a través de la red. Permite que la alimentación eléctrica se suministre a un dispositivo de red (teléfono IP, Access Point, entre otros) usando el mismo cable que

7

Término Descripción se utiliza para conexión de red. Utilizando esta tecnología se elimina la necesidad de utilizar adaptadores de corriente para el funcionamiento de los dispositivos.

Políticas de calidad de servicio (QoS) (1)

Es el conjunto de técnicas para manejar los recursos de la red. En Internet y en otras redes, se aplican metodologías para la medición de las tasas de transmisión, ancho de banda, disponibilidad, rendimiento, tasas de error, y otras características, el objetivo es mejorar de antemano el uso de los recursos de la red.

Rack (1) Un rack es un soporte metálico destinado a alojar equipamiento electrónico, informático y de comunicaciones.

Recurso Humano (1) Personal requerido para la adecuada prestación de los servicios.

Red (1) Es el conjunto de medios, elementos, procedimientos, protocolos y tecnologías entre otros, necesarios para mantener el intercambio de información y/o una comunicación.

Red LAN (1) Una red de área local es una red de ordenadores que abarca una pequeña área local.

Rendimiento (3) Una medida de lo que alcanza o entrega un Sistema, una persona, un equipo, un Proceso, o un Servicio de TI.31

RETIE (Reglamento Técnico de Instalaciones Eléctricas) (16)

Expedido por el Ministerio de Minas y Energía, entró a regir en Colombia el 1 de mayo de 2005 con el objetivo de establecer las medidas que garanticen la seguridad de las personas, la vida animal y vegetal y la preservación del medio ambiente, previniendo, minimizando o eliminando los riesgos de origen eléctrico.

SaaS (1)

Es un modelo de distribución de software donde el soporte lógico y los datos que maneja se alojan en servidores de una compañía de tecnologías de información y comunicación (TIC), a los que se accede vía Internet desde un cliente. La empresa proveedora TIC se ocupa del servicio de mantenimiento, de la operación diaria y del soporte del software usado por el cliente. Regularmente el software puede ser consultado en cualquier computador, se encuentre presente en la empresa o no.

SAN (25) Una red de área de almacenamiento (SAN) es una red de alta velocidad que proporciona acceso de múltiples servidores a pools consolidados de almacenamiento compartido y a nivel de bloques.

SDN (30)

Las redes definidas por software (en inglés Software Defined Networking, SDN) son un conjunto de técnicas relacionadas con el área de redes computacionales, cuyo objetivo es facilitar la implementación e implantación de servicios de red de una manera determinista, dinámica y escalable, evitando al administrador de red gestionar dichos servicios a bajo nivel. Todo esto se consigue mediante la separación del plano de control (software) del plano de datos (hardware).

SD-WAN (31)

SD-WAN es un acrónimo (en inglés) para Redes Definidas por Software en una Red de Área Amplia. Una SD-WAN simplifica la administración y la operación de una WAN al separar el hardware de red de su mecanismo de control. Este concepto es similar a cómo una SDN implementa la tecnología de virtualización para mejorar la administración y la operación de un centro de datos.

Sede (1) Lugar donde se establece el SENA y donde se concentran las actividades y funciones para el desarrollo de su misión, con dependencias en áreas de formación y administrativa

Servicio (3) Una forma de proporcionar valor a los Clientes facilitando los Resultados que los Clientes quieren alcanzar sin ser propietarios de Costos y Riesgos específicos.

Servicios habilitadores

Servicios, equipos e infraestructura para habilitar el funcionamiento de servidores, almacenamientos y sistemas de data center en general. Ej. Balanceadores de carga, switches LAN y SAN

Servidor (1) El servidor es aquella(s) computadora(s) que va(n) a compartir sus recursos de hardware y software con los demás equipos de la red.

8

Término Descripción

Site Survey (1)

La inspección e inventario de sitio consiste en la revisión detallada de una regional, sede, subsede, centro de formación, servicios, sistemas de información y aplicaciones (app survey), entre otras, registrando toda la información de los elementos y componentes que conforman los servicios TIC. En el proceso de inspección de sitios se analiza la capacidad de ampliación o instalación de algún elemento o componente, se recopilan los datos de la infraestructura para la planeación y diseño, se identifican fallas o deterioro en los equipos y se determina el estado de los servicios TIC.

SNMP (1) Protocolo simple de administración de red. Es un protocolo que les permite a los administradores de red administrar dispositivos de red y diagnosticar problemas en la red.

SOC (33) Security Operations Center. Es una central de seguridad informática que previene, monitorea y controla la seguridad en las redes y en Internet.

SOCKET (1)

Los sockets de Internet constituyen el mecanismo para la entrega de paquetes de datos provenientes de la interfaz de red a los procesos o hilos apropiados. Un socket queda definido por un par de direcciones IP local y remota, un protocolo de transporte y un par de números de puerto local y remoto.

Software (1) Es todo el conjunto intangible de datos y programas de la computadora. En otras palabras, son las instrucciones responsables de que el hardware (la máquina) realice su tarea.

Soporte técnico (1) Constituye el desarrollo de actividades que proporcionan asistencia técnica tanto al hardware como al software para dejarlos en operación y en correcto funcionamiento.

Switch (1) Es un equipo de telecomunicaciones que actúa como interruptor que interconecta dispositivos a la red. Utiliza la conmutación de información para enviar el tráfico de red que recibe de un dispositivo, directamente al dispositivo de destino.

Switch Core (1) Es un switch de alta capacidad y que se conoce como la columna vertebral o núcleo de una red de comunicaciones.

Switch de borde (1) Es un switch conectado a los equipos finales o al punto más externo de una red definida.

SYSLOG (1) Es un estándar de facto para el envío de mensajes de registro en una red informática IP.

Terabyte (17) Es una unidad de almacenamiento de información cuyo símbolo es el TB, y equivale a 1012 bytes.

Terminal (18) Es un dispositivo electrónico o electromecánico de hardware usado para introducir o mostrar datos de un computador o de un sistema de computación.

TIC (1) Tecnologías de la Información y las Comunicaciones

Tráfico (1) Es la demanda de servicios que circula por la red de telecomunicaciones, del origen al destino.

Tráfico Internet (1) Es la cantidad de datos enviados y recibidos por los visitantes de un sitio web. TOGAF: The Open Group Architecture Framework (Esquema de Arquitectura de Open Group) (1)

Es un esquema (o marco de trabajo) de Arquitectura Empresarial que proporciona un enfoque para el diseño, planificación, implementación y gobierno de una arquitectura empresarial de información.

Upgrade (1) Es el proceso de sustitución de un producto con una nueva versión del mismo producto

UPS (Unidades de Potencia Ininterrumpida) (19)

Es un dispositivo electrónico diseñado con el objetivo de proteger aparatos eléctricos y electrónicos de variaciones de diferencia de potencial (tensión/voltaje), descargas eléctricas y "ruido" existente en la corriente alterna de la distribución eléctrica. Están presentes en las fuentes de alimentación de corriente continua reguladas, cuya misión es la de proporcionar una tensión constante a su salida. Asimismo, gracias a

9

Término Descripción pequeños acumuladores internos de estos sistemas puede seguir proporcionando energía eléctrica por un tiempo limitado y durante un apagón.

Virtualización (plataforma) (23)

Creación a través de software de una versión virtual de algún recurso tecnológico, como puede ser una plataforma de hardware, un sistema operativo, un dispositivo de almacenamiento u otros recursos de red.

VPN (1)

Son las siglas de Virtual Private Network, que es una tecnología de red que permite una extensión segura de la red local sobre una red pública o no controlada como Internet. Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.

WAN (20)

Una red de área amplia, o WAN, por las siglas de (Wide Area Network en inglés), es una red de computadoras que abarca varias ubicaciones físicas, proveyendo servicio a una zona, un país, incluso varios continentes. Es cualquier red que une varias redes locales, llamadas LAN, por lo que sus miembros no están todos en una misma ubicación física.

ZFS (27) ZFS es un sistema de archivos y administrador de volúmenes desarrollado originalmente por Sun Microsystems para su sistema operativo Solaris. El significado original era 'Zettabyte File System', pero ahora es un acrónimo recursivo.

Referencias. (1) Anexo 24, contrato 1014 de 2014 SENA - UTSD (2) http://highscalability.wordpress.com/2010/09/27/desplegando-software-de-manera-segura/ (3) Definición Oficial Glosarios ITIL V3 http://www.itil-officialsite.com/ (4) http://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio (5) http://es.wikipedia.org/wiki/Ethernet (6) http://es.wikipedia.org/wiki/Garant%C3%ADa (7) http://es.wikipedia.org/wiki/Internet (8) http://definicion.de/ip/ (9) http://www.alcancelibre.org/staticpages/index.php/introduccion-ipv4 (10) http://support.apple.com/kb/HT4669?viewlocale=es_ES (11) http://es.wikipedia.org/wiki/Licencia_de_software (12) Definición Oficial Glosarios ITIL V3 http://www.itil-officialsite.com/ (13) http://es.wikipedia.org/wiki/Mantenimiento (14) http://es.wikipedia.org/wiki/Plan_de_recuperaci%C3%B3n_ante_desastres (15) http://wiki.elhacker.net/redes/zona-fisica/glosario-de-terminos (16) http://www.minminas.gov.co/minminas/downloads/UserFiles/File/ENERGIA/RETIE/REGLAMENTO_ Retie2013mini.pdf (17) Cibercultur@ e iniciación en la investigación en Google Libros. (18) http://es.wikipedia.org/wiki/Terminal_(inform%C3%A1tica) (19) http://www.schneider-electric.co.cr/documents/local/2012-noticias/121120_diferencia_ups_y_ supresor_cr.pdf (20) http://es.wikipedia.org/wiki/Red_de_%C3%A1rea_amplia (21) https://www.akamai.com/es/es/resources/cdn-and-cloud-services-glossary.jsp#Private_Cloud (22) http://blog.hostdime.com.co/es-colocation-colo-colocacion-data-center-significado-alcance-housing/ (23) https://es.wikipedia.org/wiki/Virtualizaci%C3%B3n (24) https://www.akamai.com/es/es/resources/cdn-and-cloud-services-glossary.jsp#Platform_as_a_Service (25) https://argentina.emc.com/corporate/glossary/san-storage.htm (26) https://venezuela.emc.com/corporate/glossary/network-attached-storage.htm (27) https://seguridad.syr.es/glosario-de-terminos (28) http://imt.com.mx/glosario/middleware/ (29) https://colombia.emc.com/corporate/glossary/virtualization.htm (30) https://es.wikipedia.org/wiki/Redes_definidas_por_software

10

(31) https://en.wikipedia.org/wiki/SD-WAN (32) https://www.sd-wan-experts.com/wan-glossary/ (33) https://es.wikipedia.org/wiki/Centro_de_operaciones_de_seguridad

11

2 LÍNEA DE SERVICIO INFRAESTRUCTURA CENTRALIZADA

El CONTRATISTA debe suministrar sus servicios integralmente, garantizando la interoperabilidad a todo nivel (personas, procesos, sistemas de información, tecnología y proveedores) de manera confiable, segura y oportuna para todas las implicaciones establecidas en todos los documentos que hacen parte de la presente contratación y en especial los relativos a los anexos técnicos.

La línea de Servicio Infraestructura Centralizada debe garantizar los servicios TIC de Conectividad en Data Center, Conectividad de Sedes, Seguridad Perimetral, Seguridad en Sedes e Internet, Data Center como servicio que ofrece para el SENA para su actual funcionamiento en servicios TIC y misión institucional, que apoyan los procesos y actividades administrativas y académicas, de acuerdo con la siguiente línea base:

• Conectividad.

o Enlaces WAN (enlaces de datos a sedes con su respectiva capacidad y enlaces de Data Center). o Internet (enlace a Internet comercial e institucional). o SD-WAN (todas las sedes, de acuerdo con su categoría, y Data Center). o Aceleración de aplicaciones (de acuerdo con su clasificación por aplicación). o Balanceo (para enlaces WAN y para Data Center). o Gestión, control y automatización de tráfico de datos. o Administración y gestión DNS y DHCP Sobre IPv4 e IPv6 (global y Data Center). o Administradores de ancho de banda para Internet o Administradores de ancho de banda para WAN.

• Data Center.

o Nube privada (procesamiento, almacenamiento, red). o Almacenamiento. o Administración y gestión de plataformas de virtualización. o Backup y restauración. o Administración de aplicaciones. o Balanceo de carga y aceleración para aplicaciones. o Seguridad Perimetral y de Data Center. o Conectividad Core de Data Center (NAS, LAN, SAN, ZFS). o Administración de servicios básicos. o Housing. o Data Center alterno como DRP.

Teniendo en cuenta el momento tecnológico actual de transformación y revolución digital, el SENA requiere solicitar una nueva solución, que debe estar compuesta por el diseño de la arquitectura lógica y física de los servicios de Data Center, capa de Conectividad y Acceso de Red. Por esta razón, los servicios ofrecidos deben incluir el diseño, aprovisionamiento, transición, migración, puesta en marcha, despliegue, conectividad, gestión, monitoreo, mantenimiento, operación, estadísticas, reportes, informes y documentación técnica de procesos, incluyendo a todos los elementos de hardware y software que hagan parte de la solución propuesta.

El SENA requiere también la prestación de Servicios de Tecnología de la Información y Comunicaciones para la administración de la infraestructura tecnológica que es actualmente propiedad del SENA, como DRP, Data Center

12

como servicio (Nube Privada - servicios habilitadores, servicios básicos, servicios de IaaS, PaaS y SaaS para soporte de aplicaciones y sistemas de información del SENA), servicios de nube, conectividad y compatibilidad con nubes públicas existentes en el mercado, como mínimo dos de las siguientes: Azure, Oracle Cloud, Amazon (AWS) y Google, servicios agregados y conexos, conectividad a nivel de Data Center y enlace con los carriers u CONTRATISTAs del servicio de conectividad enlazado en la Línea de Servicio, y acorde con las necesidades de Conectividad descritas en las Sección 2.2, de acuerdo con las especificaciones descrita en las secciones 2.2, 2.3 y el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”. El CONTRATISTA deberá entregar un diseño integrado de la solución con base en los requisitos indicados en el presente documento teniendo en cuenta los requerimientos específicos del SENA.

Adicionalmente, el SENA requiere contratar los servicios de administración, gestión y monitoreo de las soluciones de correo electrónico Exchange, almacenamiento, respaldo, servidores (físicos y virtuales), aplicaciones, bases de datos, suite Office 365 y demás aplicaciones y servicios tecnológicos con los que cuenta el SENA actualmente para brindar los servicios misionales a los ciudadanos, aprendices y beneficiarios de la entidad.

Del mismo modo, el SENA requiere el suministro de una solución de Seguridad Perimetral y de Data Center para garantizar la confidencialidad, integridad y disponibilidad de la información, evitando y dando tratamiento a distintas amenazas referentes a la seguridad informática.

El CONTRATISTA que provea la nueva solución debe asegurar en su operación los procesos ITIL®, la adopción de prácticas de gestión y demás aspectos pertinentes y aplicables del modelo de referencia de procesos COBIT® 5 y TOGAF, de conformidad con las necesidades cambiantes del SENA.

La terminología para emplear en el contrato será la especificada en las buenas prácticas ITIL® para la gestión de los servicios de TI, en su versión más reciente, según las definiciones contenidas en el glosario de dicha versión, el cual hace parte del presente documento y su traducción de apoyo1. En caso de discrepancias, estas serán resueltas por la oficina de sistemas del SENA, previo concepto de la interventoría. Bajo este conjunto de definiciones, principios y buenas prácticas contenidas en ITIL®, COBIT® 5 y TOGAF® se arquitectarán, diseñarán, implementarán, operarán y gestionarán las líneas de servicio (LoS) y sus servicios objeto de la contratación.

2.1 COMPONENTES POR SERVICIO DE LA LÍNEA INFRAESTRUCTURA CENTRALIZADA

La Línea de Servicios Infraestructura Centralizada está compuesta por dos servicios principales. Cada uno de ellos está construido con los componentes que se listan a continuación:

Servicio Componentes

CONECTIVIDAD SD-WAN E INTERNET.

Software-Defined WAN. Enlaces WAN (enlaces de datos a sedes con su respectiva capacidad y enlaces de Data center). Enlaces dedicados a Internet (comercial e institucional). Administradores de ancho de banda para Internet. Administradores de ancho de banda para WAN Aceleración y balanceo de tráfico. DNS, DHCP. Administración y Gestión IPv4 e IPv6. Gestión, control y automatización de tráfico de datos.

DATA CENTER. Nube privada (Procesamiento, almacenamiento, red). Almacenamiento.

1https://www.axelos.com/Corporate/media/Files/Glossaries/ITIL2011GlossaryES-(Latin-America)-v1-0.pdf

13

Servicio Componentes Backup y Restauración. Servicios de IaaS, PaaS y SaaS. Administración y Gestión de Plataformas de Virtualización. Balanceo de carga y aceleración para aplicaciones. Seguridad Perimetral y de Data Center. Administración de servicios básicos. Housing. Conectividad Core de Data Center (NAS, LAN, SAN, ZFS). Data Center alterno como DRP.

2.1.1 DESCRIPCIÓN DEL SERVICIO DE CONECTIVIDAD SD-WAN E INTERNET

Los servicios actuales de conectividad para los enlaces WAN e Internet del SENA fueron adquiridos a través del Catálogo de Servicios del AMP Conectividad II de Colombia Compra Eficiente, atendiendo a las siguientes características:

• Región de instalación. • Ancho de banda. • Nivel de servicio. • Elasticidad. • Capacidad.

Aunque estas características permiten cubrir las necesidades de una solución tecnológica específica, como son los enlaces de Conectividad WAN e Internet, no incluyen todas las condiciones necesarias para asegurar un servicio de conectividad que esté en concordancia con el momento tecnológico actual, el cual exige la instalación de un servicio integral.

Las condiciones adicionales que deben estar incluidas dentro del Servicio de Conectividad para preparar una red de alta disponibilidad y continuidad, predictiva, segura, costo eficiente y con madurez tecnológica, que responda a la transformación actual en el sector de las TIC son:

• Soporte, administración y gestión de DNS dinámico (funcionamiento en IPv4 e IPv6). • Soporte, administración y gestión de IPv6 e IPv4. • Cumplimiento de la política y normatividad de IPv6 establecida por el MinTIC. • Gestión y manejador de tráfico WAN y tráfico de Internet. • Aceleración de aplicaciones de misión crítica. • Conectividad DRP en Data Center. • SD-WAN (Enlaces y Data Center). • Seguridad y análisis de tendencias.

Por lo anterior, es necesario incluir en el servicio de Conectividad una capa de gestión, administración, control y aceleración de tráfico a nivel de aplicaciones, de manera centralizada, automática y predictiva, la cual debe permitir garantizar el aseguramiento, aprovisionamiento, alta disponibilidad y eficiencia del servicio, no solo a nivel de red sino también a nivel de aplicación, como lo ofrecen las soluciones de WAN definidas por software, SD–WAN, disponibles actualmente.

14

2.1.1.1 REQUERIMIENTOS TÉCNICOS BASE DEL SERVICIO DE CONECTIVIDAD SD-WAN E INTERNET.

Las premisas expuestas en los siguientes apartados definen los lineamientos para que el CONTRATISTA construya una solución que pueda satisfacer los requerimientos y necesidades de conectividad del SENA.

• Red Uniforme. La solución de conectividad debe estar soportada en una red homogénea. • Red Basada en Estándares. El alcance de la solución propuesta debe estar soportada totalmente sobre

estándares de la industria en interfaces, conectividad y protocolos de enrutamiento, que permitan la integración de otras tecnologías y fabricantes, si fuera necesario.

• Escalabilidad y flexibilidad. La solución deberá permitir al SENA cubrir sus necesidades actuales y futuros crecimientos de forma fácil y sin mayor impacto en el servicio.

• Alta disponibilidad. La solución debe garantizar una disponibilidad del 99.98% en el sitio central, por lo que debe ser redundante en medios, enlaces y equipos.

• Red gestionable. La solución debe incluir un sistema unificado y centralizado operado por personal experto del CONTRATISTA, que permita el control de cambios, detección de fallas, monitoreo, análisis de tráfico y planeamiento de capacidad.

Para la implementación del servicio de Conectividad SD-WAN e Internet, el CONTRATISTA será responsable de las siguientes acciones y actividades:

1. El CONTRATISTA deberá presentar una propuesta de diseño de acuerdo con las especificaciones de detalle por cada tipo de sede. Es decir, el diseño es responsabilidad del CONTRATISTA.

2. El CONTRATISTA deberá proveer la totalidad de los equipos, software, enlaces por sede (de acuerdo con su tipo y sus subscripciones), requeridos para la prestación eficiente del servicio de Conectividad SD-WAN e Internet, los cuales deben permanecer actualizados en software. Adicionalmente, el CONTRATISTA deberá realizar el mantenimiento preventivo y los mantenimientos correctivos que se requieran.

3. El diseño y la implementación deben realizarse con los equipos tecnológicos en cantidades, especificaciones y capacidades necesarias para garantizar QoS, prioridad de tráfico, seguridad, ancho de banda, compatibilidad IPv6, administración, monitoreo, balanceo de tráfico por aplicaciones, monitoreo de nubes públicas, y demás aspectos considerados en este documento.

4. Los equipos deben contar con las características físicas necesarias para su instalación correcta y técnica en cada uno de los racks o sitios en donde sean instalados.

5. Administrar y documentar el inventario de los elementos que forman parte de la solución, generación y entrega de la documentación relacionada con los servicios, incluyendo los registros del diseño (memorias de cálculo, topologías físicas y lógicas, direccionamiento, políticas, configuraciones, entre otros). Esta información deberá estar disponible para ser entregada en el momento en que el SENA la requiera.

6. Proveer, instalar, configurar, administrar y operar un sistema de gestión del servicio determinado por el SENA, garantizando el acceso controlado a usuarios del SENA, permitiendo el monitoreo en línea de todos los componentes relevantes de la red y de todos los usuarios, por protocolo, aplicativo, nivel de uso de los enlaces (throughput), ANS de los enlaces, estado de los equipos, interfaces, uso de memoria, CPU y alarmas. Esta herramienta debe estar disponible antes de la instalación del primer enlace. Las variables por medir como mínimo consumo de CPU, latencia, consumo de memoria y temperatura de los equipos, paquetes perdidos serán determinadas por el SENA según sus necesidades y deben ser las necesarias y suficientes para determinar la calidad y desempeño de cada enlace.

7. El consumo de ancho de banda necesario para la gestión de la red es adicional al valor de ancho de banda especificado por el SENA para cada enlace.

15

8. La flexibilidad del servicio comprende temas como ancho de banda, medios, configuración de los equipos, protocolos e interfaces.

9. Se debe garantizar la seguridad, integridad, confidencialidad y privacidad de la totalidad de la información cursada por la red WAN, además de garantizar la autenticación en el plano de control de todos los dispositivos de la solución, de tal manera que solo el hardware asignado para el SENA tenga la capacidad de usar internet para generar el overlay de SD-WAN.

10. El sistema o plataforma de gestión deberá tener disponibilidad 7x24x365, ofrecer una interfaz gráfica de usuario que permita la visualización en tiempo real del estado de la red y de los enlaces, y poder obtener información específica de los componentes de red y su estado.

11. El CONTRATISTA deberá generar los reportes solicitados y estructurados por el SENA, de forma inmediata o con periodicidad diaria, semanal, mensual o por demanda. La información de estos reportes deberá estar disponible en línea, con la posibilidad de ser exportada a un archivo (CSV o PDF, como mínimo).

12. El CONTRATISTA deberá conservar todos los log files, estadísticas e informes durante la vigencia del contrato y deberán estar disponibles en cualquier momento que el SENA lo solicite

13. El CONTRATISTA deberá hacer uso de funciones embebidas en los routers de nueva generación para identificar, modelar y priorizar el tráfico de la red. El control de ancho de banda será distribuido pero automatizado mediante SD-WAN en un controlador centralizado. La modificación de las políticas en el controlador deberá ser realizada en cualquier momento, cuando así lo requiera el SENA.

14. El CONTRATISTA deberá monitorear desde el sistema de gestión los tráficos por aplicación en cada sede, con el fin de poder determinar tendencias y permitir tomar acciones de capacidad y QoS sobre la red WAN. El sistema deberá entregar información de desempeño de las aplicaciones para la determinación de la calidad de experiencia del usuario, calificando el rendimiento (performance) de las aplicaciones, con diferentes tipos de escala o de 1 a 10, con base en Jitter, Delay y Packet Loss por cada camino (path) en la red. El CONTRATISTA deberá incluir el router WAN con todas las subscripciones, hardware o software necesario para cumplir con esta función, o un elemento externo que permita cumplir con el requerimiento.

15. El servicio deberá incluir aceleración de las aplicaciones mediante hardware o software ejecutándose en un elemento externo de acuerdo con los tres tipos de sedes: A, B y C.

16. Actualmente, el SENA cuenta con un servicio de aceleración para optimizar el tráfico tipificado en el anexo “LÍNEA BASE PARA EL SERVICIO DE CONECTIVIDAD”. Este servicio puede seguir manejándose de la misma manera.

17. El CONTRATISTA debe incluir un servicio de gestión de ancho de banda en la solución, el cual puede ser integrado al SD WAN o independiente, con el fin de garantizar y asegurar la disponibilidad y efectividad de los servicios, especialmente de aquellos de misión crítica, en todo momento y lugar. Es necesario contar con una gestión eficiente de ancho de banda que permita identificar y proporcionar inteligencia de red a través del análisis y mejora de la experiencia de usuario al optimizar el rendimiento de los enlaces WAN, Internet y de su centro de procesamiento de datos principal, asegurando el cumplimiento de las necesidades de los usuarios finales.

18. El servicio debe permitir de forma nativa habilitar cifrado de la información sobre la red WAN mediante el uso de IpSec basado, como mínimo, en 3DES o AES-256 del total de tráfico WAN, soportado en hardware dedicado para la aceleración del cifrado.

19. La infraestructura utilizada tanto en transporte como en el acceso debe seguir las recomendaciones internacionales y las del fabricante para su actualización, ya sea por razones de seguridad (por aparición de vulnerabilidades reportadas), descubrimiento de bugs o mejoras en el rendimiento.

20. La solución debe incluir administración, supervisión y monitoreo desde cualquier estación de la red o de manera remota, según las necesidades.

21. La solución debe incluir NAT, Bridging, Routing y modo transparente.

16

22. El servicio debe garantizar el manejo, como mínimo, de protocolos de enrutamientos tales como OSPF, BGP. Adicionalmente, el servicio debe dar soporte mínimo al protocolo VRRP para garantizar alta disponibilidad.

23. El SENA definirá el momento en que se deba iniciar la migración a IPv6. El plan de migración se construirá en conjunto por el SENA, la interventoría y el CONTRATISTA. Para esto, todos los equipos involucrados en la red WAN y LAN deberán soportar IPv6 desde el inicio del contrato.

24. El CONTRATISTA deberá proveer un protocolo y un plan de migración de IPv4 e IPV6, durante el desarrollo del contrato, y cumplir con los requisitos y la regulación del MinTIC. El plan de migración debe ser entregado en los primeros tres meses de adjudicación del contrato, y debe contener cronograma, descripción del plan de migración, plan de puesta en producción, plan de monitoreo y control, plan de direccionamiento y un IP manager centralizado.

25. Durante la duración del contrato, el integrador deberá seguir las guías, recomendaciones y regulaciones del MinTIC para el plan de migración de IPv4 a IPv6 (resolución 2710 de 2017 o la que la reemplace) y deberá dar cumplimiento durante la duración del contrato.

26. Suministrar, aprovisionar, instalar y asegurar el correcto funcionamiento de los enlaces, así como los equipos, elementos, capacidades de ancho de banda y medios de comunicaciones que sean necesarios para prestar los diferentes servicios objeto del presente documento y que se encuentran relacionados en el anexo “LÍNEA BASE PARA EL SERVICIO DE CONECTIVIDAD”.

27. Incluir el hardware y software especializado para realizar monitoreo, gestión, soporte y reportes de toda la red e infraestructura WAN e Internet.

28. Los servicios TIC ofertados deben permitir manejo de anchos de banda que ofrezcan la posibilidad de crecer y disminuir bajo demanda, de acuerdo con las necesidades del SENA.

29. Los servicios de TIC de los sitios remotos y sitios centrales contarán con una solución de conectividad principal y una de respaldo en modo activo-activo, dedicadas cada una, utilizando recursos y rutas de red independientes, de tal manera que la falla en un nodo de la red del CONTRATISTA no genere indisponibilidad del servicio. Este requerimiento se extiende a la inclusión del hardware y software necesario para el manejo de los dos enlaces (enrutadores y software de propósito específico). Tanto el enlace principal como el enlace de respaldo deben tener el mismo ancho de banda de todas las sedes documentadas en el anexo “LÍNEA BASE PARA EL SERVICIO DE CONECTIVIDAD”.

30. Suministrar y garantizar el funcionamiento de los servicios de conectividad de cada sitio remoto hacia los sitios centrales, de tal manera que exista integración con Internet de navegación.

31. Suministrar y garantizar que todos los servicios de conectividad ofertados entre los sitios remotos y sitios centrales dispongan de una solución de cifrado de los enlaces, el cual debe ser especificado por el CONTRATISTA, para garantizar el cumplimiento de las políticas de seguridad de la información.

32. La red deberá estar implementada sobre plataforma SD-WAN, extremo a extremo para los enlaces principales y de respaldo dedicados.

33. Garantizar la aplicación de calidad de servicio (QoS) extremo a extremo para los diferentes flujos definidos por el SENA que complementen la tecnología SD-WAN implementada. El CONTRATISTA deberá brindar un entregable del correcto funcionamiento y gestión.

34. Garantizar soporte 7x24x365 en las instalaciones del SENA, con profesionales calificados, certificados e idóneos para desarrollar dichas actividades. Estos perfiles deben ser contratados directamente por el CONTRATISTA.

35. Garantizar y suministrar la infraestructura (hardware, software y conectividad) para el correcto funcionamiento de los servicios requeridos en el presente documento, entendiéndose por ello enlaces especiales y demás según sea el caso, enrutadores para concentración de tráfico en sitios centrales y en sitio remotos.

36. Los costos de cualquier movimiento o modificación de equipos de conectividad serán asumidos por el CONTRATISTA.

37. La totalidad de la solución que brinde el CONTRATISTA para atender los requerimientos del presente documento debe contar con escalabilidad vigente con el fabricante, durante y hasta la finalización del

17

contrato. Los equipos que no cumplan con dicho soporte por parte del fabricante deberán ser cambiados por modelos más recientes que cumplan con dichas condiciones, sin costo alguno para el SENA.

38. El proveedor de servicios de conectividad deberá incluir la administración, gestión, migración del servicio acorde e integrado con los servicios DNS y DHCP del Data Center principal, el cual será parte integral del servicio de Conectividad, aceleración, SD-WAN, la administración y gestión de IPv4 e IPv6 y las tareas que son inherentes a este servicio, con un respaldo del servicio en Internet.

39. El CONTRATISTA deberá incluir el canal principal de Internet comercial e institucional, integrado a la conectividad WAN del Data Center alterno (DRP) del SENA con sus respectivo hardware y software que necesite la solución y sus acuerdos y niveles de servicio que hacen parte del DRP.

40. El contratista deberá de manera proactiva, detectar un uso y/o consumo elevado de los canales WAN o Internet, cuando el porcentaje de utilización supere el setenta (70%) durante una (1) hora continua, donde el CONTRATISTA deberá notificar a la persona delegada por parte del SENA para la toma de las decisiones correspondientes.

2.1.2 DESCRIPCIÓN DEL SERVICIO DE DATA CENTER

El alcance de este servicio es proporcionar una solución integrada denominada Data Center como servicio, que está compuesta por servidores físicos y virtuales, bases de datos, seguridad física, seguridad perimetral, almacenamiento y respaldos, el cual debe tener mínimo la capacidad actual más un 30% en recursos de cómputo y almacenamiento para soportar la infraestructura física y lógica del Data Center Externo 1 y Data Center Externo 2, incluyendo el crecimiento tecnológico del SENA.

El servicio de Data Center deberá estar compuesto por la solución de nube privada para soportar los aplicativos y bases de datos de producción, desarrollo y pruebas, el servicio deberá estar compuesto por arquitecturas y plataformas compatibles con los servicios, sistemas de información y con la infraestructura de hardware y software que tiene en la actualidad el SENA y que será destinada al DRP. Este servicio deberá ser aprovisionado con la infraestructura propuesta por el CONTRATISTA en la modalidad de Data Center como servicio en las modalidades de IaaS, PaaS y SaaS, se busca que las aplicaciones y bases de datos del sean compatibles con las aplicaciones actuales del SENA para su migración, operación, respaldo y recuperación conforme a la infraestructura mencionada en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”. Se aclara que para el traslado de los equipos actuales al centro de datos y DRP solicitados, se requiere compatibilidad binaria de los equipos con las aplicaciones que van a quedar localizadas en cada centro de datos. Para la propuesta esperada de construcción y operación del ambiente de nube privada del SENA, no es requerida la compatibilidad binaria. A fin de mitigar el riesgo de retrasar la fecha de inicio de consumo servicio se espera que el CONTRATISTA reutilice las herramientas de virtualización, replicación y automatización de failover nativas ya adquiridas o contratadas por el SENA a saber:

• Oracle Dataguard • Oracle VM • Oracle PCA • ZFS Storage appliance • ZFS Storage Appliance Replication • Oracle Siteguard

El SENA requiere contratar el servicio de administración de la infraestructura en los niveles de nivel (IaaS) en los servidores indicados por el SENA, donde la oficina de Sistemas hará gestión desde el sistema operativo en adelante, la gestión de aplicaciones en los servidores que indique el SENA (PaaS) y la administración de aplicaciones (SaaS) por parte del CONTRATISTA en las aplicaciones indicadas por el SENA, en los servicios

18

contratados bajo esta modalidad y listados en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”. En todas las líneas el CONTRATISTA deberá contar con soporte físico y lógico directamente con los fabricantes. Además, deberá contar con soporte, monitoreo y gestión en modalidad 7x24x365, mediante la asignación del recurso humano calificado mínimo para cumplir con los ANS relacionados en el anexo “ACUERDO DE NIVELES DE SERVICIOS”, para dar un soporte personalizado y eficiente a los servicios, infraestructura, sistemas de información y aplicaciones del SENA.

En cuanto a la gestión del Data Center principal del SENA, se requiere una solución integrada con servicios de orquestación, despliegue de aplicaciones bajo el modelo de contenedores, alojamiento de máquinas virtuales, autoaprovisionamiento (CPU, memoria, almacenamiento, backup, restauración) y conectividad de la granja de computo para Data Center, operación con SD-WAN, para la cual el CONTRATISTA deberá presentar el diseño de la solución tanto en hardware y software (diseño lógico) de la nube privada. La plataforma de orquestación debe tener la capacidad de interoperar con diferentes plataformas de virtualización como mínimo Oracle VM y KVM, así mismo deberá interoperar con el DRP del SENA, el cual será implementado bajo la modalidad de housing de la infraestructura actual del SENA. Esta infraestructura se detalla en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER””.

El CONTRATISTA deberá realizar un plan de migración, actualización y cambio de versiones (de ser requerido) de las máquinas virtuales, bases de datos, aplicaciones y servicios para la correcta operación de los servicios, aplicaciones y sistemas de información del SENA tanto a nivel lógico como a nivel de hardware.

El CONTRATISTA deberá garantizar al SENA la instalación de una solución de nube privada (entiéndase el conjunto de infraestructura compuesta por servidores físicos y virtuales, bases de datos, seguridad física, seguridad perimetral, almacenamiento y backup), compuesta por un Centro de Datos que brinde una operación confiable, tolerante a fallas y que le garantice al menos un 99.982% de disponibilidad en su operación.

El CONTRATISTA deberá proveer al SENA un servicio de Recuperación de Desastres y Continuidad de Negocio (DRP), el cual se encuentra detallado en la sección de requerimientos más adelante, en un Data Center a la distancia establecida por el análisis de riesgo que deberá realizar el CONTRATISTA basado en las normas TIA 942 y ISO/IEC27001. Las recomendaciones en el diseño de DRP del Data Center Principal propuesto por el CONTRATISTA deberán construirse utilizando una solución de alta disponibilidad que minimice el tiempo de caída en caso de una interrupción o desastre.

La disponibilidad solicitada requiere que los Data Center ofrecidos estén en Colombia y cumplan con la clasificación mínima (certificación) de Tier III (Uptime Institute) o su equivalente en ICREA, para el Data Center principal y alterno (DRP). El cumplimiento de este requisito debe ser acreditado por el CONTRATISTA presentando, según corresponda:

• Tier Certification of Constructed Facility. Esta certificación debe estar vigente, ser emitida por el Uptime Institute® y debe contar con los soportes requeridos para ser aceptada legalmente en Colombia.

o

• Tier Certification of Constructed Facility (HS-WCQA – High Security World Class Quality Assurance)2. Esta certificación debe estar vigente, ser emitida por el International Computer Room Experts

19

Association® (ICREA) y debe contar con los soportes requeridos para ser aceptada legalmente en Colombia.

Dichas certificaciones deberán contener al menos la siguiente información: ciudad en el que se encuentra el Data Center, razón social de la compañía que opera el data center principal (oferente) y alterno (oferente o compañía subcontratada), nivel de la certificación, fecha de inicio de la certificación.

Así mismo, por razones de disponibilidad y experiencia, únicamente podrá ser subcontratado por parte del oferente el data center alterno.

Las generalidades de los requisitos del SENA para la contratación del servicio de Data Center se listan a continuación. Las especificaciones técnicas se detallan en la Sección 2.2.2.

1. El CONTRATISTA deberá proveer un diseño de la solución integrada que contenga todos los elementos mencionados en este documento, así: diseño de la solución Data Center principal de nube privada compuesta por procesamiento, almacenamiento (NAS, SAN, ZFS), LAN, SAN , backup y recuperación, administración de servidores virtuales acorde con lo mencionado en los numerales contenidos en el presente documento, diseño de la solución de Data Center alterno como DRP con la infraestructura actual propiedad del SENA, operación de los Data Centers y dimensionamiento de la redundancia con base en los criterios de dimensionamiento mínimos descritos más adelante.

2. Prestar el servicio integral de Data Center (instalaciones, infraestructura, servidores, almacenamiento, backup, elementos de conectividad, seguridad física y seguridad perimetral) del Data Center principal y del Data Center alterno al servicio del SENA de acuerdo con los requerimientos mínimos técnicos presentados en este documento.

3. El CONTRATISTA deberá asumir los costos de los traslados necesarios de la infraestructura del SENA y para la operación correcta de los servicios TIC del SENA.

4. Prestación de servicios en modalidad IaaS, PaaS o SaaS (según aplique) de procesamiento, seguridad perimetral, almacenamiento o servicios complementarios, para los servicios solicitados en dichas modalidades estipulados en las secciones de requerimientos mínimos técnicos presentados en este documento.

5. Entregar los servicios de gestión y administración de servicios base de tecnologías de información (TI) que soportan el núcleo del negocio de acuerdo con los requerimientos mínimos técnicos presentados en este documento.

6. Cumplir a cabalidad con las Políticas de Seguridad y Privacidad de la Información definidas por el SENA. 7. Gestión de los cambios, mejoras, despliegues, nuevas versiones de las aplicaciones dentro del servicio

contratado. De igual forma, mejoras, actualizaciones de firmware y microcódigo de los elementos de hardware y activos de TI. El CONTRATISTA deberá dimensionar en las etapas iniciales el recurso humano y técnico para cubrir en su totalidad las necesidades descritas anteriormente durante la vigencia del contrato.

8. Administración de servicios de respaldos y restauración según lo descrito en la sección de requerimientos técnicos presentados en el presente documento.

9. Administración de Servicios de Seguridad Perimetral según lo descrito en la sección de requerimientos mínimos técnicos presentados en este documento.

10. Administración de aplicaciones TIC del SENA según lo descrito en la sección de requerimientos mínimos técnicos presentados en este documento.

11. Realizar el levantamiento de requerimientos, planeación, diseño, implementación, puesta en marcha, pruebas, documentación y operación que garantice el cumplimiento de los ANS del servicio.

12. Realizar la actividad de levantamiento de información o survey de aplicaciones durante la etapa de transición, así como la documentación y generación de actas firmadas por los responsables técnicos de cada uno de los sistemas de información del SENA.

13. Realizar actividades de monitoreo, gestión y administración de los componentes de la solución correspondientes a infraestructura, servicios, sistemas de información y aplicaciones del SENA en modalidad 7x24x365.

20

14. Realizar actividades de monitoreo a partir de transacciones sintéticas que incluyan operaciones de uso común, determinadas por los encargados técnicos de cada aplicación y acorde con las especificaciones del SENA.

15. Diseñar, definir e implementar procedimientos documentados que serán entregados al SENA para su aprobación.

16. Entregar la documentación actualizada y detallada con las características correspondientes y la arquitectura diseñada, identificando los servicios, infraestructura, sistemas y aplicaciones que se ejecutan en ellas. Esto debe realizarse de manera periódica o cuando el SENA lo requiera.

17. Migrar todos los servicios, infraestructura sistemas de información y aplicaciones desde la plataforma actual a los componentes de infraestructura correspondientes a las instalaciones del CONTRATISTA enmarcados en el nuevo Data Center como servicio contratado por el SENA.

18. Por requerimiento especial del SENA es necesario, en la etapa de transición, presentar un plan de trabajo de migración por parte del CONTRATISTA al SENA para su previa aprobación, el cual deberá incluir actualizaciones a los sistemas operativos y motores de bases de datos hacia las versiones más modernas existentes en el mercado, sin perjuicio del funcionamiento de aplicaciones o sistemas TIC alojados allí. Dicho plan de trabajo y sus actividades deben ser asumidas en su totalidad por el CONTRATISTA.

19. Entregar la documentación de los diseños de las soluciones, procesos, procedimientos, configuraciones, políticas, entre otros, que soportan la operación del servicio. Dichos documentos deberán ser aprobados por el SENA.

20. Configurar soluciones de hardware y software para el funcionamiento de servicios, sistemas de información y aplicaciones que requieran situaciones especiales (aplicaciones que están en software desactualizado y que requieran por tanto sistemas operacionales y bases de datos legados o fuera de mercado), en forma flexible, rápida y dinámica.

21. Asegurar el diseño, implementación, funcionamiento, procedimientos de contingencia, documentación y pruebas de un DRP para las aplicaciones de alta criticidad listadas en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”, datos e infraestructura alojados en el Data Center principal, alineado a procesos ITIL, COBIT e ISO 27031.

22. El CONTRATISTA deberá proveer al SENA un servicio de Recuperación de Desastres y Continuidad de Negocio (DRP), el cual se encuentra detallado en la sección de requerimientos más adelante, en un Data Center a la distancia establecida por el análisis de riesgo que deberá realizar el CONTRATISTA basado en las normas TIA 942, ISO 270001 e ISO 22301.

23. Entregar en formato digital las bitácoras de actividades y eventos ocurridos en los componentes del servicio e incluirlas en los informes de gestión mensual de cada servicio según corresponda.

24. Monitorear, de acuerdo con el marco de referencia ITIL, los componentes de infraestructura tecnológica de la solución, con generación de alarmas al personal encargado del servicio y mesa de servicios.

25. Realizar el monitoreo y recuperación de datos en los servicios, aplicaciones y sistemas de información mediante el uso de las herramientas de Protección de Amenazas Avanzadas disponibles en la infraestructura de seguridad propiedad del SENA y servicios de Seguridad Perimetral contratados en los servicios de Data Center.

26. Realizar actualizaciones de los sistemas operativos de los servidores del SENA, previo acuerdo con la entidad, sin perjuicio de las aplicaciones y/o sistemas TIC allí alojados, con el fin de mantener en óptimas condiciones de funcionamiento, prevenir errores y vulnerabilidades detectadas.

27. Realizar anualmente un análisis de vulnerabilidades y pruebas de penetración a los sistemas de información del SENA. De los reportes derivados de esta actividad, el CONTRATISTA deberá establecer y ejecutar el plan de acción para aplicar las remediaciones a cada una de las vulnerabilidades encontradas, bajo recurso humano propio, a su costa y a todo costo, sin generar costos adicionales al SENA.

28. Estimar los recursos humanos para la gestión de los sistemas de información del SENA necesarios para el cumplimiento de ANS definidos para el respectivo servicio.

29. El SENA es responsable del diagnóstico de problemas, fallas y por las actualizaciones del código fuente, bien sea realizado in-situ o gestionar la responsabilidad con terceros CONTRATISTAs. El SENA asumirá los cambios de código de las aplicaciones y la ejecución de las pruebas, teniendo en cuenta que el CONTRATISTA le deberá acompañar y respaldar con dichos cambios en los sistemas operativos, motores de bases de datos, sistemas de gestión, nuevas versiones, despliegues, pruebas funcionales y administración correspondiente al servicio o aplicación que lo requiera.

21

30. Proponer, analizar, evaluar, ejecutar y documentar todos los cambios, despliegues y nuevas versiones sobre los sistemas de información de SENA que haya lugar como parte de la Administración de Aplicaciones y Bases de datos.

31. Garantizar el endurecimiento (hardening) en sistemas operativos (Linux, Windows, Solaris y demás utilizados por el SENA dentro del alcance de este contrato) y middleware de todos los sistemas TI administrados por el CONTRATISTA.

32. Realizar mínimo al final de la etapa de transición y posteriormente por lo menos dos (2) veces al año durante la vigencia del contrato o cuando el SENA lo requiera, pruebas de carga y estrés a los sistemas y aplicaciones que se encuentren en los Data Centers.

33. Presentar un plan de mejora continua donde el CONTRATISTA analice, diseñe, coordine y optimice las operaciones relacionadas con el sistema operativo e hypervisor. Esto incluye las mejores prácticas del fabricante, actualizaciones, renombramiento de servidores, redistribución de clúster.

34. La ejecución del plan de mejora continua de las operaciones relacionadas con el sistema operativo e hypervisor, una vez analizados y aprobados por el SENA y el Comité de Cambios del SENA.

35. La administración de parámetros de los sistemas operativos de acuerdo con las mejores prácticas del fabricante y lineamientos dados por el SENA.

36. Generar toda la documentación relacionada con bitácoras, fichas técnicas, seguimientos de control, manuales de procedimientos y hojas de vida de los equipos servidores y las máquinas virtuales.

37. Mantener actualizados los servidores y sus sistemas operativos con los últimos niveles de firmware y parches ajustándose a cronogramas previamente aprobados con el SENA.

38. La realización de pruebas tanto para la instalación, como para actualización y configuración de software de sistema operativo, siguiendo los lineamientos establecidos por el SENA y mejores prácticas del fabricante.

39. El servicio de migración de los sistemas de información del SENA a servidores en nube, en caso de ser requerido, y continuar con la administración en la infraestructura tecnológica de propiedad, alquilada o nueva infraestructura TIC del SENA.

40. La administración y monitoreo del almacenamiento físico y lógico (interno y externo) asignado al sistema operativo y a datos. Comprende actividades de planeación y ejecución de administración del almacenamiento de los servidores.

41. La administración y gestión del directorio activo se realizará de acuerdo con los lineamientos del SENA y el funcionario (o los funcionarios) designado por la oficina de sistemas del SENA, con apoyo directo de un especialista certificado por el fabricante. El costo de este especialista será asumido por el CONTRATISTA. Esta administración a nivel de usuarios, grupos, unidades organizativas, políticas y directivas de seguridad, objetos de políticas de grupo, replicación de las bases de datos y demás operaciones tiene como objeto mantener la correcta operación del Directorio Activo.

42. El escalamiento de mantenimiento correctivo de equipos en garantía y diagnóstico de condiciones e infraestructura.

43. El mantenimiento preventivo de equipos servidores y diagnóstico de condiciones e infraestructura con base en las recomendaciones de el o los especialistas soportados por el CONTRATISTA, que deben ser, en todo caso, especialistas del fabricante.

44. El análisis, diseño, propuesta y ejecución de las configuraciones y arreglos de servidores necesarios para garantizar la alta disponibilidad de la plataforma central de servicios básicos de red (Directorio Activo, DNS, DHCP), de tal forma que se garantice la disponibilidad 7x24x365 de los recursos de la red (DNS, DHCP) y el acceso de los funcionarios (Directorio Activo), de acuerdo con los privilegios asignados por el SENA.

45. La realización por parte del CONTRATISTA de recomendaciones sobre mejores prácticas para la definición e implementación de políticas de seguridad, administración de usuarios, políticas de backup, políticas particulares de administración y otras que apliquen para la correcta administración de los servidores, sistemas operativos, el Directorio Activo, DHCP y DNS.

2.2 REQUISITOS DE LA LÍNEA INFRAESTRUCTURA CENTRALIZADA

Debido a la necesidad de implementar una solución con alta disponibilidad, y para garantizar la continuidad de los servicios tecnológicos que hacen parte actualmente de la eficacia administrativa y educativa del SENA, se hace necesario unificar y centralizar las plataformas en una línea de servicio que integre y garantice transversalmente los actuales niveles de disponibilidad y continuidad requeridos, para su gestión, control y aseguramiento.

22

De acuerdo con la premisa anterior, los servicios de Conectividad, Data Center y Seguridad Perimetral, y sus respectivos componentes o plataformas asociadas se regirán como una sola línea de servicio (LoS) con sus Acuerdos de Niveles de Servicio propios para su funcionamiento integral. En los Anexos “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER” y “LÍNEA BASE PARA EL SERVICIO DE CONECTIVIDAD” se encuentran las especificaciones técnicas requeridas para la instalación de cada uno de los componentes de la Línea de Servicios Infraestructura Centralizada.

Numeral Requisito 2.2.1. CONECTIVIDAD SD-WAN E INTERNET 2.2.1.1. GENERALIDADES DEL SERVICIO 2.2.1.1.1. NOMBRE DEL SERVICIO 2.2.1.1.1. Conectividad SD-WAN e Internet 2.2.1.1.2. OBJETO DEL SERVICIO 2.2.1.1.2.1. Contratar los servicios de diseño, implementación, puesta en marcha, soporte, operación e infraestructura de

conectividad para todas las sedes del SENA, edificios centrales, enlaces de Internet y, a su vez, la integración con el Data Center y su sistema de Disaster Recovery Plan (DRP), con servicios y funciones de redes definidas por software (SD-WAN), Internet y Seguridad, incluyendo características como aceleración de aplicaciones, balanceo, gestión, control, automatización de tráfico de datos y administración de DNS y DHCP sobre protocolos IPv4 e IPv6, de acuerdo a la regulación del MinTIC, con el fin de permitir el acceso del personal administrativo y misional a las aplicaciones de la Entidad y demás recursos en la red para el cumplimiento de la Misión Institucional.

2.2.1.1.3. OBJETIVOS ESPECÍFICOS 2.2.1.1.3.1. Diseñar, aprovisionar, instalar, certificar y mantener los enlaces de Conectividad WAN e Internet. 2.2.1.1.3.2. Diseñar, aprovisionar, instalar, configurar, probar y mantener los equipos activos relacionados con la solución

de SD-WAN. 2.2.1.1.3.3. Diseñar, aprovisionar, instalar, configurar, probar y mantener los equipos activos relacionados con la solución

de Internet. 2.2.1.1.3.4. Diseñar, aprovisionar, instalar, configurar, probar y mantener los equipos activos relacionados con la solución

de Seguridad. 2.2.1.1.3.5. Detallar el diseño en capas de la solución SD-WAN, Internet y Seguridad a modificar/implementar para prestar

un servicio eficiente. 2.2.1.1.4. DESCRIPCIÓN DEL SERVICIO 2.2.1.1.4.1. Hacer relevamiento de toda la infraestructura de telecomunicaciones actual. 2.2.1.1.4.2. Suministrar los servicios de diseño, validación y migración de SD-WAN, Internet y Seguridad por parte del

fabricante de la solución y el CONTRATISTA. 2.2.1.1.4.3. Realizar la selección, instalación, certificación, operación y mantenimiento preventivo y correctivo (incluyendo

la provisión de repuestos), para la red SD-WAN, Internet y Seguridad 2.2.1.1.4.4. Seleccionar, suministrar, instalar, configurar y mantener los equipos activos, cables de interconexión, hardware

y software necesarios para la administración y operación de los servicios de conectividad SD-WAN, Internet y Seguridad requeridos por el SENA

2.2.1.1.4.5. Suministrar y administrar las garantías de los equipos activos instalados. 2.2.1.1.4.6. Proveer la totalidad de los equipos, software, enlaces por sede (de acuerdo con su tipo y sus subscripciones),

requeridos para la prestación eficiente del servicio de Conectividad SD-WAN e Internet, los cuales deben permanecer actualizados en software. Adicionalmente, el CONTRATISTA deberá realizar el mantenimiento preventivo y los mantenimientos correctivos que se requieran.

2.2.1.1.4.7. Crear, actualizar y administrar el inventario de los elementos y configuraciones en la Base de datos de configuraciones (CMDB) que forman parte del servicio, y según lo definido en la línea de Servicio Gestión de Servicios, teniendo en cuenta que debe permanecer actualizado durante la ejecución del contrato. El SENA será el propietario de la información.

2.2.1.1.4.8. El servicio comprende los siguientes componentes: enlaces de conectividad WAN, enlaces de Internet, equipos activos para SD-WAN, Internet y Seguridad, Centro de Operación de Red (NOC), Centro de Operación de Seguridad (SOC) o equivalente para la Gestión de la Infraestructura de Red SD-WAN, Internet y Seguridad.

2.2.1.1.4.9. Se deben observar todas las normas de implementación y seguridad aplicables tales como los estándares EIA/TIA, IEEE en sus más recientes versiones durante la instalación y prestación de los servicios. El SENA comunicará al CONTRATISTA la normatividad en seguridad física que debe seguirse.

2.2.1.1.5. ALCANCE DEL SERVICIO 2.2.1.1.5.1. El servicio de SD-WAN e Internet para el SENA incluye el diseño, instalación, operación, administración,

mantenimiento y gestión de los componentes necesarios para la conectividad de los usuarios, la gestión y monitoreo de red de todas las sedes registradas en el anexo “LÍNEA BASE PARA EL SERVICIO DE CONECTIVIDAD” y las sedes propias o a cualquier título que en determinado momento el SENA requiera para el cumplimiento de las funciones que le sean asignadas.

2.2.1.1.5.2. El servicio debe incluir soporte bajo modalidad 7x24x365 con profesionales calificados, certificados e idóneos para desarrollar dichas actividades, los cuales deben ser contratados directamente por el CONTRATISTA. Este personal debe estar ubicado físicamente en la sede donde el SENA lo determine por conveniencia operativa y funcional.

23

Numeral Requisito 2.2.1.1.6. ETAPAS DEL SERVICIO: TRANSICIÓN DEL CONTRATO -PLANEACIÓN DE LA TRANSICIÓN 2.2.1.1.6.1. Elaborar y entregar al SENA los formatos, listas de verificación y procedimientos necesarios para la visita de

site survey. 2.2.1.1.6.2. Realizar el diagnóstico de necesidades del cableado estructurado para la correcta operación de los equipos

SD-WAN, incluyendo todos sus componentes, Internet y Seguridad. 2.2.1.1.6.3. Realizar el diagnóstico de necesidades de los centros de cableado de comunicación a nivel de potencia para

instalar los equipos de conectividad SD-WAN, Internet y Seguridad 2.2.1.1.6.4. Levantar información en Planos sobre la infraestructura actual, incluyendo canalizaciones, conductores, ductos,

puntos y demás condiciones propias del cableado estructurado en cada una de las sedes donde preste el servicio o lo determine el SENA acorde con lo referenciado con la Línea de Servicio Operación en Sede.

2.2.1.1.6.5. Identificar los espacios, tendidos y centros de cableado para ubicar los equipos y evaluar sus condiciones de servicio, ambientales y de acceso.

2.2.1.1.6.6. Identificar factores de riesgo de acceso a la red por terceros o de posible interrupción del servicio. 2.2.1.1.6.7. Como requerimiento especial de la Entidad, la implementación de la conectividad WAN debe realizarse antes

del 30 de septiembre. 2.2.1.1.7. TRANSICIÓN DEL CONTRATO - DIMENSIONAMIENTO DE LOS SERVICIOS 2.2.1.1.7.1. Tomar como Base una Encuesta del sitio (site survey). 2.2.1.1.7.2. Dentro del cableado estructurado se incluyen también los puntos de red requeridos para conectar los

enrutadores, controladores, las UPS, las Unidades de tensión regulada y en general todos los dispositivos TIC que requieren conectividad para su gestión, de acuerdo con lo estipulado en el documento de la Línea de Servicio Operación en Sede.

2.2.1.1.7.3. Realizar visitas a cada una de las sedes en las que se prestará el servicio. En las visitas, debe llevar a cabo las actividades que considere necesarias para efectuar el diseño del servicio.

2.2.1.1.8. TRANSICIÓN DEL CONTRATO - DISEÑO DE LOS SERVICIOS 2.2.1.1.8.1. Realizar el diseño de detalle del servicio y de la documentación de este, garantizando el cumplimiento de las

normas que sean aplicables. 2.2.1.1.8.2. Definir y entregar la estructura de la información para la Base de datos de configuraciones (CMDB). 2.2.1.1.8.3. Recibir transferencia de conocimiento del outsourcing actual. Realizar la transferencia de conocimiento al

nuevo proveedor durante la siguiente etapa de transición, al igual que al personal de operaciones del CONTRATISTA y del SENA durante el desarrollo del contrato.

2.2.1.1.8.4. Instalación y configuración de los equipos, elementos y dispositivos del servicio 2.2.1.1.8.5. Instalación de los puntos o mantenimiento del cableado estructurado que se requiera, así como el diseño y la

configuración de los equipos y sistemas de gestión: Centro de Operación de Red (NOC - Network Operation Center), Centro de Operación de Seguridad (SOC) o similar.

2.2.1.1.8.6. Dar inicio a la instalación de la infraestructura para la prestación del servicio, con la verificación previa del diseño por parte del SENA

2.2.1.1.8.7. Elaborar y entregar los formatos, listas de verificación y procedimientos necesarios para las pruebas de aceptación del servicio.

2.2.1.1.8.8. Realizar las pruebas de todos los puntos y equipos que hagan parte del servicio de Conectividad SD-WAN e Internet.

2.2.1.1.8.9. Realizar mediciones y pruebas de los equipos e infraestructura instalada (que requiera mantenimiento en el sitio de instalación).

2.2.1.1.9. TRANSICIÓN DEL CONTRATO – CONFIGURACIÓN E INSTALACIÓN DE LOS SERVICIOS 2.2.1.1.9.1. Configuración y entrega en completo funcionamiento de los equipos, elementos y dispositivos del servicio. 2.2.1.1.10. TRANSICIÓN DEL CONTRATO - PRUEBAS DE LOS SERVICIOS 2.2.1.1.10.1. Realizar las pruebas descritas en este apartado y las demás que considere necesarias para garantizar el

adecuado funcionamiento de los servicios y el cumplimiento de normas, estándares y buenas prácticas aplicables.

2.2.1.1.10.2. Entregar informes de gestión, informes del estado actual, informes de resultados de pruebas y los demás que considere necesarios para la prestación de los servicios, antes de terminar la etapa de transición.

2.2.1.1.10.3. Realizar las listas de verificación para soporte de Nivel I. 2.2.1.1.10.4. Realizar formatos para la entrega de reportes mensuales de capacidad, demanda y cumplimiento de Acuerdos

de Nivel de Servicio. 2.2.1.1.10.5. Consolidar la Información para poblar la Base de datos de configuraciones (CMDB), de acuerdo con la

estructura definida en la fase de diseño. 2.2.1.1.11. OPERACIÓN Y MANTENIMIENTO DEL SERVICIO - ESTABILIZACIÓN DE LOS SERVICIOS 2.2.1.1.11.1. Durante la fase de estabilización, el CONTRATISTA debe entregar quincenalmente los informes definidos en

los Acuerdos de Nivel de Servicio, con el fin de identificar posibles dificultades para el cumplimiento de los niveles de servicio y tomar las acciones correctivas pertinentes.

2.2.1.1.12. OPERACIÓN Y MANTENIMIENTO DEL SERVICIO 2.2.1.1.12.1. El primer año del contrato, el CONTRATISTA debe realizar el mantenimiento preventivo de los componentes

del servicio, a partir del quinto mes de operación. Y a partir de ahí deberá realizarlos cada 6 mes hasta la finalización del contrato

2.2.1.1.12.2. Cada brigada de mantenimiento tendrá una duración máxima de dos (2) meses. 2.2.1.1.12.3. El mantenimiento de los componentes de servicio debe incluir las actividades recomendadas por los

fabricantes de los equipos.

24

Numeral Requisito 2.2.1.1.12.4. El mantenimiento de los componentes del servicio debe incluir, en caso de detectarse un deterioro, la reparación

de los equipos o reemplazo de las partes que se requieran. Las partes deben ser suministradas por el fabricante de acuerdo con los niveles de servicio y tiempo de respuesta contratados al fabricante.

2.2.1.1.12.5. Con el cronograma de actividades para el primer mantenimiento preventivo, el interesado debe entregar los procedimientos de mantenimiento para todos los componentes del servicio y las recomendaciones de los fabricantes mencionados anteriormente.

2.2.1.1.13. TRANSFERENCIA DE CONOCIMIENTO 2.2.1.1.13.1. Trasferencia de conocimiento sobre las mejores prácticas para el buen uso del servicio para la Línea de

Servicio Infraestructura Centralizada (Conectividad y Data Center). 2.2.1.1.13.2. Trasferencia de conocimiento inicial: primeros seis (6) meses de ejecución del contrato 2.2.1.1.13.3. Una trasferencia de conocimiento adicional cada año, durante la ejecución del contrato. 2.2.1.1.13.4. La trasferencia de conocimiento se realizará en forma virtual y presencial, en los formatos establecidos por el

Sena, en acuerdo con el CONTRATISTA. 2.2.1.1.13.5. Trasferencia de conocimiento en forma virtual a través del servicio de videoconferencia (con apoyo del video

streaming para garantizar la cobertura del 100% de los interesados. 2.2.1.1.13.6. Trasferencia de conocimiento en forma presencial: en la Dirección General y diez (10) Regionales definidas por

el SENA, para 40 personas por sitio. Asistirán a las trasferencias de conocimiento: electricistas, encargados de sistemas o de mantenimiento, personal de la Oficina de Sistemas, la Oficina de Control Interno y la supervisión o Interventoría del contrato, entre otros determinados por el SENA.

2.2.1.1.13.7. Soporte de Nivel I. Trasferencia de conocimiento inicial: primeros tres (3) meses de ejecución del contrato. 2.2.1.1.13.8. Soporte de Nivel II. Una trasferencia de conocimiento adicional cada seis (6) meses, durante la ejecución del

contrato. 2.2.1.1.13.9. Las trasferencias de conocimiento deben ser presenciales para el personal de Mesa de Servicios. 2.2.1.1.13.10. Para el personal de soporte en sitio, se debe realizar en forma presencial la trasferencia de conocimiento inicial

y al menos una trasferencia de conocimiento anual; las demás trasferencias de conocimiento pueden ser virtuales.

2.2.1.1.13.11. Para estas trasferencias de conocimiento se deben garantizar procesos de evaluación del nivel de conocimiento de las personas participantes. Las evidencias correspondientes deben ser entregadas al SENA.

2.2.1.1.14. ENTREGA DEL SERVICIO – LÍNEA DE SERVICIO INFRAESTRUCTURA CENTRALIZADA 2.2.1.1.14.1. Se deberán entregar informes de gestión y un informe consolidado. 2.2.1.1.14.2. Se deberá entregar un informe sobre el estado final del servicio. 2.2.1.1.14.3. Se deberá realizar la presentación del servicio. 2.2.1.1.14.4. Se deberá realizar un informe final y un informe de entrega del servicio. 2.2.1.1.14.5. Se deberá realizar la desinstalación y retiro de los elementos, equipos y dispositivos propiedad del outsourcing

y el retiro de los recursos humanos dedicados al servicio. 2.2.1.1.14.6. No se podrá perjudicar la operación y continuidad de los servicios, hasta tanto el CONTRATISTA entrante no

dé por recibido el servicio. 2.2.1.1.15. PLAZOS DE EJECUCIÓN – TIEMPO DE TRANSICIÓN – LÍNEA DE SERVICIO INFRAESTRUCTURA

CENTRALIZADA 2.2.1.1.15.1. Se deberán entregar informes de gestión y un informe consolidado. 2.2.1.1.15.2. Se deberá entregar Informe sobre el estado final del servicio. 2.2.1.1.15.3. Se deberá realizar la presentación del servicio. 2.2.1.1.15.4. Se deberá realizar un informe final y un informe de entrega del servicio. 2.2.1.1.15.5. Se deberá realizar la desinstalación y retiro de los elementos, equipos y dispositivos propiedad del outsourcing

y el retiro de los recursos humanos dedicados al servicio en la finalización del contrato y después de que lo equipos no se encuentren en operación. La información relacionada con el retiro de los equipos deberá ser verificada y aprobada por los lineamientos definidos por el SENA y la Interventoría.

2.2.1.1.16. FACTURACIÓN DEL SERVICIO – ETAPA DE TRANSICIÓN – LÍNEA DE SERVICIO INFRAESTRUCTURA CENTRALIZADA

2.2.1.1.16.1. Se pagará en mensualidades mes vencido de acuerdo con el plan de pagos estipulado para los meses de transición y se restarán los descuentos y servicios no prestados por desplazamientos en el cronograma de instalación y configuración.

2.2.1.1.17. FACTURACIÓN DEL SERVICIO – ETAPA DE OPERACIÓN Y MANTENIMIENTO – LÍNEA DE SERVICIO INFRAESTRUCTURA CENTRALIZADA

2.2.1.1.17.1. Se pagará en mensualidades mes vencido de acuerdo con el plan de pagos estipulado en la propuesta económica restando los descuentos y penalizaciones correspondientes al periodo.

2.2.1.1.18. FACTURACIÓN DEL SERVICIO – ETAPA DE ENTREGA – LÍNEA DE SERVICIO INFRAESTRUCTURA CENTRALIZADA

2.2.1.1.18.1. Se pagará en mensualidades mes vencido de acuerdo con el plan de entrega, capacidad instalada y operativa; restando los descuentos y penalizaciones correspondientes al periodo.

2.2.1.1.19. RECURSO HUMANO Y PERFILES - CONECTIVIDAD 2.2.1.1.19.1. El listado de personal mínimo requerido para la operación se encuentra en el anexo “EQUIPO MÍNIMO DE

TRABAJO” sección Servicio de Conectividad. Deben estar ubicados en Bogotá.

2.2.1.1.19.2. Tiempo de dedicación 100% durante la fase de diseño, instalación y estabilización del servicio.

25

Numeral Requisito 2.2.1.1.19.3. Tiempo de dedicación 100% durante la fase de operación. 2.2.1.1.19.4. Garantizar un profesional adicional, con el mismo perfil que el líder de servicio, con conocimiento sobre el

proyecto, para remplazarlo en caso de fuerza mayor, retiro o renuncia. 2.2.1.1.19.5. Dedicación mínima al proyecto debe ser de medio tiempo y dedicación exclusiva al servicio de SD-WAN,

Internet y Seguridad. 2.2.1.1.19.6. Para la operación el recurso humano mínimo requerido no debe ser compartido en proyectos diferentes al

SENA. 2.2.1.1.19.7. Para la operación el recurso humano no debe ser compartido con otros roles del proyecto. 2.2.1.1.19.8. Para la operación al recurso humano se le asignara un rol a cada persona. 2.2.1.1.19.9. Para la operación el rol asignado será el mismo en los demás servicios del contrato. 2.2.1.1.20. PRINCIPALES FUNCIONES DEL EQUIPO DE TRABAJO 2.2.1.1.20.1. Garantizar el cumplimiento de los objetivos del servicio. 2.2.1.1.20.2. Presentar los reportes periódicos y por demanda asociados al servicio. 2.2.1.1.20.3. Identificar oportunidades de mejora del servicio y asegurar la elaboración y ejecución de los planes

correspondientes. 2.2.1.1.20.4. Identificar riesgos asociados al servicio y asegurar la elaboración y ejecución de los planes correspondientes. 2.2.1.1.20.5. Garantizar la entrega oportuna de la información necesaria para la gestión de las configuraciones y los activos

del servicio. 2.2.1.1.20.6. Garantizar la gestión de las configuraciones y los activos del servicio. 2.2.1.1.20.7. Participar en los comités de cambios, calidad, riesgos y demás en los que sea requerido. 2.2.1.1.20.8. Presentar recomendaciones al SENA sobre la administración y uso del servicio, tendientes a la elaboración de

políticas de alcance nacional. 2.2.1.1.21. FORMACIÓN ACADÉMICA 2.2.1.1.21.1. Ingeniero Electrónico, de Sistemas o de carreras afines 2.2.1.1.21.2. Experiencia mínima de 5 años en manejo de proyectos en este tipo de servicio 2.2.1.1.21.3. Certificación ITIL Foundation V3 o superior 2.2.1.1.21.4. El personal y los perfiles deben ser aprobados por el SENA 2.2.1.1.22. VERIFICACIÓN DE LAS HOJAS DE VIDA - LÍNEA DE SERVICIO INFRAESTRUCTURA CENTRALIZADA 2.2.1.1.22.1. Verificar los documentos soporte de las hojas de vida que se encuentren adjuntos a la Oferta. 2.2.1.1.22.2. verificar las equivalencias de cargos en caso de requerirse. 2.2.1.1.22.3. verificar la experiencia profesional certificada. 2.2.1.1.22.4. Verificar el cálculo de la experiencia profesional, bajo la fórmula denominada Tiempo de Experiencia:

�𝐹𝐹𝐹𝐹𝑖𝑖 − 𝐹𝐹𝐹𝐹𝑖𝑖

365

𝑛𝑛

𝑖𝑖=1

FT = Fecha de terminación. FI = Fecha de Inicio. n = Número de proyectos.

2.2.1.1.22.5. Presentar, cinco días hábiles después de la adjudicación del contrato, las hojas de vida del personal de los roles no verificados en la licitación.

2.2.1.1.22.6. Durante la ejecución del contrato, con 5 días de anticipación, el CONTRATISTA deberá informar, cualquier cambio en el personal definido.

2.2.1.1.22.7. Cada nuevo integrante del equipo de trabajo deberá contar con la aprobación del SENA, previo cumplimiento de los perfiles.

2.2.1.1.22.8. En caso de no cumplir con los requisitos exigidos en el pliego de condiciones, el CONTRATISTA deberá cambiarlo por una persona que los cumpla, garantizando que esto no genere traumatismos en el desarrollo del contrato, durante los cinco (5) días hábiles después de hecha la solicitud de cambio por parte del SENA.

2.2.1.1.22.9. La experiencia profesional del personal se tendrá en cuenta a partir de las fechas de grado para el equipo de trabajo y para los profesionales de la Ingeniería o afines se aplicará lo dispuesto en la ley 842 de 2003, donde se deben aportar las copias de la tarjeta profesional.

2.2.1.1.23. GENERALIDADES Y ESPECIFICACIONES DEL SERVICIO - LÍNEA DE SERVICIO INFRAESTRUCTURA CENTRALIZADA

2.2.1.1.23.1. Suministro de equipos nuevos para la prestación del servicio SD-WAN, Internet y Seguridad. 2.2.1.1.23.2. Los equipos suministrados para la prestación del servicio deben tener en el momento de la instalación un

tiempo menor a un año de fabricación. Si durante la ejecución del contrato algún equipo activo entra en modo de Soporte End-of-Life o un modo equivalente, este deberá ser reemplazado por uno de iguales o superiores características y con modalidad de soporte vigente según el fabricante, sin generarse ningún costo adicional para el SENA. Esto incluye los equipos de la solución de Data Center y todo lo relacionado en la Línea de Servicio Infraestructura Centralizada.

2.2.1.1.23.3. Las instalaciones deben realizarse con materiales nuevos. 2.2.1.1.23.4. Se deben entregar las hojas de datos de los dispositivos, elementos y equipos del servicio. 2.2.1.1.23.5. Se debe entregar la certificación expedida por el fabricante donde se realizará el suministro de repuestos

durante la duración del contrato.

26

Numeral Requisito 2.2.1.1.23.6. Se debe entregar la certificación expedida por el fabricante donde se hará cubrimiento a la garantía de los

elementos, dispositivos y equipos durante la duración del contrato. 2.2.1.1.23.7. El software requerido para la prestación del servicio debe estar debidamente licenciado para el funcionamiento

durante la duración del contrato. 2.2.1.1.23.8. El hardware requerido para la prestación del servicio debe estar debidamente licenciado para el

funcionamiento durante la duración del contrato. 2.2.1.1.23.9. El software requerido debe contar con las actualizaciones requeridas durante la duración del contrato. 2.2.1.1.23.10. Se deben generar reportes por centros de costos y por centros de datos. 2.2.1.1.23.11. Se deben suministrar las herramientas de monitoreo y gestión del servicio (NOC - Network Operation Center),

SOC (Security Operation Center) o similar, y los componentes del Data Center como servicio y sus complementos.

2.2.1.1.23.12. Las herramientas de monitoreo y gestión deberán permitir introducir la dirección física de la sede donde está ubicado.

2.2.1.1.23.13. Los sistemas de monitoreo, gestión y control entregados deberán ser alojados en el Data Center donde se encuentra la infraestructura que prestará servicios de tecnología al SENA, su uso debe ser exclusivo para el SENA. Adicionalmente todo licenciamiento asociado debe ser vitalicio, dado el caso que se maneje por subscripción, el periodo de tiempo o licenciamiento debe ser igual a las 4 etapas del objeto contractual: transición, estabilización, operación y mantenimiento, entrega y empalme.

2.2.1.1.23.14. Se debe garantizar capacidad de procesamiento para los sistemas de monitoreo y gestión para el funcionamiento del servicio.

2.2.1.1.23.15. Se debe garantizar capacidad de memoria para los sistemas de monitoreo y gestión para el funcionamiento del servicio.

2.2.1.1.23.16. Se debe garantizar capacidad de almacenamiento para los sistemas de monitoreo y gestión para el funcionamiento del servicio.

2.2.1.1.23.17. Se debe garantizar mantener los sistemas de monitoreo y gestión (NOC - Network Operation Center), SOC (Security Operation Center) y los componentes del Data Center como servicio y sus complementos, o similar, en línea y funcionando en modalidad 7x24x365.

2.2.1.1.23.18. Se debe dar acceso al personal del SENA (que designe la Oficina de Sistemas del SENA) a las herramientas de monitoreo y gestión para consultas y generación de reportes en línea. Como mínimo se deben otorgar 2 cuentas para el Sena e Interventoría.

2.2.1.1.23.19. La infraestructura instalada para el funcionamiento del servicio es para el SENA, menos los equipos activos de Conectividad SD-WAN e Internet.

2.2.1.1.23.20. Se deberán soportar las características que indiquen los requerimientos del servicio o que se encuentren en el contenido de los documentos para el contrato.

2.2.1.1.23.21. Se entenderá que el CONTRATISTA debe garantizar la implementación de dicha(s) característica(s). 2.2.1.1.23.22. El CONTRATISTA deberá implementar las características requeridas para el servicio en el momento en el que

el SENA lo requiera. 2.2.1.1.23.23. Las características que se encuentran en los requerimientos y los documentos del contrato no deben generar

valores adicionales para el SENA. 2.2.1.1.23.24. Para el cumplimiento de los requisitos mencionados para el servicio, estos deben ser aprobados por el SENA. 2.2.1.1.23.25. Se debe hacer revisión continua de los Acuerdos de Niveles de Servicio (ANS). 2.2.1.1.23.26. El primer año del contrato, el CONTRATISTA debe realizar el mantenimiento preventivo a partir del quinto mes

de operación. Y a partir de ahí deberá realizarlos cada 6 mes hasta la finalización del contrato. 2.2.1.1.24. ANS 2.2.1.1.24.1. Anexo “ACUERDO DE NIVELES DE SERVICIOS” 2.2.1.1.25. MODELO DE SERVICIO Y OPERACIÓN 2.2.1.1.25.1. Hacer uso de buenas prácticas como PMBOK e ITIL. 2.2.1.1.25.2. Participar en los comités de gestión y operación. 2.2.1.1.25.3. Todas las etapas del servicio deben ejecutarse siguiendo las normas aplicables según el componente. 2.2.1.1.26. EQUIPOS ACTIVOS 2.2.1.1.26.1. Son los equipos de comunicaciones que hacen parte del servicio de conectividad SD-WAN, Internet,

Seguridad, incluyendo Enrutadores, Firewalls, IPS y demás equipos necesarios para la prestación del servicio. 2.2.1.1.26.2. Realizar el dimensionamiento para cumplir con las necesidades de conectividad SD-WAN, Internet y Seguridad

de todas las sedes del SENA o aquellas donde el SENA lo requiera. 2.2.1.1.26.3. Aprovisionar, instalar, configurar y dar al servicio los equipos activos que hacen parte de la conectividad WAN

para las sedes del SENA o aquellas donde el SENA lo requiera. 2.2.1.1.26.4. Ejecutar las obras civiles necesarias para el aprovisionamiento del servicio SD-WAN, Internet y Seguridad

incluyendo las relacionadas con la instalación de racks, cableado estructurado, cableado eléctrico regulado, canaletas y Access points, que además del cumplimiento de normas, garanticen la estética y la funcionalidad (canalizaciones, soportes, repisas, protecciones de intemperie, resanes, rompimiento de muros y pisos, bases para instalación de equipos, entre otros). Cualquier daño ocasionado durante el proceso de instalación debe ser asumido y reparado por el CONTRATISTA.

2.2.1.1.26.5. Diseñar, implementar y mantener el esquema de direccionamiento IP para el SENA. 2.2.1.1.26.6. La solución y tecnología de infraestructura de conectividad SD-WAN e Internet ofertada debe ser de un

fabricante que aparezca en el cuadrante mágico de Gartner.

27

Numeral Requisito 2.2.1.1.26.7. La solución y tecnología de infraestructura de comunicaciones SD-WAN e Internet ofertada debe haber sido

implementada al menos en dos (2) empresas reconocidas del país o a nivel mundial con sus respectivos certificados.

2.2.1.2. SERVICIO SD-WAN 2.2.1.2.1. NOMBRE DEL SERVICIO 2.2.1.2.1.1. SD-WAN 2.2.1.2.2. INDUSTRIA 2.2.1.2.2.1. La solución de SD-WAN ofertada debe estar en la ONUG y soportar al menos 9 de los diez (10) requerimientos

definidos por el SD-WAN Working Group https://www.onug.net/community/members/ 2.2.1.2.3. REQUERIMIENTO GENERAL 2.2.1.2.3.1. Transporte independiente con fabric seguro: soporte de acomodamiento de múltiples conexiones de redes

underlay (MPLS, Broadband, 4G/LTE, VSAT) de diferente naturaleza mediante el uso de un fabric sobrepuesto (overlay) seguro.

2.2.1.2.3.2. Conexión a la nube pública en servicios IaaS y SaaS: la solución de SD-WAN debe permitir la conexión hacia un VPC tanto de AWS, como mínimo con dos de las siguientes: AZURE, AWS, Oracle Cloud como si fuesen un DC interno y para el caso de aplicaciones SaaS, debe permitir identificar los servicios SaaS y enrutarlos por el mejor camino, como mínimo dos conexiones.

2.2.1.2.3.3. Enrutamiento basado en aplicaciones: que proporciona la capacidad de reconocer el tráfico de aplicaciones hasta la Capa 7 con un control muy granular de la selección de la ruta.

2.2.1.2.3.4. Overlay asegurado mediante IPSec: Se debe garantizar que el overlay se proteja vía IPSec al menos AES-256. 2.2.1.2.3.5. Soporte de enrutamiento dinámico en la LAN: la solución debe garantizar que sobre las VPN de servicios se

puedan habilitar protocolos de enrutamiento como BGP/OSPF. Adicionalmente, la solución debe dar soporte mínimo al protocolo VRRP para garantizar alta disponibilidad.

2.2.1.2.3.6. Descubrimiento automático de aplicaciones vía DPI: la solución debe permitir el descubrimiento de al menos 5000 aplicaciones vía firmas dentro de los mismos CPEs de la plataforma para poder categorizar el enrutamiento dinámico.

2.2.1.2.3.7. Segmentación de red: la segmentación se proporciona como una capacidad inherente de los planos de control y de datos y permite la construcción de un entorno de red donde dicha segmentación abarca intrínsecamente una rama subdividida con varios segmentos para extenderse a través de la WAN.

2.2.1.2.3.8. Zero Touch Provisioning: la solución debe contar con un proceso de Zero Touch Provisioning. 2.2.1.2.3.9. Arquitectura con escalabilidad horizontal (scale-out architecture) con redundancia: la arquitectura de SD-WAN

debe proporcionar redundancia en elementos del plano de control, soportando múltiples fallas en cualquier capa. Adicionalmente debe permitir crecer de forma horizontal en la capa de orquestación para hacer un scale-out.

2.2.1.2.4. UNDERLAY (RED SUBYACENTE) 2.2.1.2.4.1. La solución propuesta debe soportar en el underlay cualquier medio de transporte tales como: 2.2.1.2.4.2. Conexiones privadas vía MPLS. 2.2.1.2.4.3. Conexiones privadas vía MetroEthernet. 2.2.1.2.4.4. Conexiones públicas de Internet residencial. 2.2.1.2.4.5. Conexiones públicas de Internet empresarial. 2.2.1.2.4.6. Conexiones públicas de Internet 3G/4G. 2.2.1.2.4.7. Otros (usando puertos ethernet). 2.2.1.2.5. OVERLAY (RED SOBREPUESTA) 2.2.1.2.5.1. Al desplegar un overlay de SD-WAN, cada ubicación (sede, subsede, Data Center) puede presentar un grado

variable de conectividad, donde las conexiones subyacentes (underlay) pueden incluir instancias únicas o múltiples de redes privadas/MPLS, internet público y/o una conexión celular de una naturaleza privada o pública.

2.2.1.2.5.2. Cada CPE (Customer Provider Equipment) establecerá conexiones del plano de datos con los demás CPE, de manera subyacente por defecto.

2.2.1.2.5.3. Se debe evitar el enrutamiento asimétrico entre los diferentes transportes de underlay. 2.2.1.2.5.4. El orquestador debe poder restringir la conectividad de modo que los CPE solo formen conexiones entre los

nodos que se encuentran en la misma red de transporte. 2.2.1.2.5.5. Se deben poder crear topologías Hub-and-Spoke, Full Mesh o Partial Mesh desde las políticas definidas en el

orquestador. 2.2.1.2.5.6. Se deben poder definir políticas desde el orquestador para usar el overlay de la siguiente manera:

• Balance de carga (ECMP). • Conexión principal y backup. • Enrutamiento por aplicaciones. • Encadenamiento de servicios (forzar que un flujo de tráfico pase primero por alguna plataforma de inspección).

2.2.1.2.6. ENRUTAMIENTO BASADO EN APLICACIONES 2.2.1.2.6.1. El enrutamiento basado de aplicaciones debe rastrear las características de los túneles del plano de datos

entre los CPE y utilizar la información recopilada para calcular rutas óptimas para el tráfico de datos 2.2.1.2.6.2. Debe contar con la capacidad de considerar factores en la selección de rutas distintas a las utilizadas por los

protocolos de enrutamiento estándares, como los prefijos de rutas, métricas, información del estado del enlace 2.2.1.2.6.3. Las políticas de enrutamiento deben permitir granularidad basado en:

• Aplicaciones

28

Numeral Requisito • Direcciones IP • Puertos UDP/TCP • Marcación DSCP

2.2.1.2.6.4. Se debe poder definir una preferencia de enlace, y una contingencia en caso de que dicho enlace no cumpla con los ANS.

2.2.1.2.6.5. Identificación: Define la aplicación de interés y luego crea una política de datos centralizada que mapea la aplicación a los requisitos específicos de los ANS. Destaca el tráfico de datos de interés al hacer coincidir los encabezados de la Capa 3 y la Capa 4 en los paquetes, incluidos los prefijos fuente y de destino y los puertos, el protocolo y el campo DSC.

2.2.1.2.6.6. Las políticas deben ser definidas desde el gestor de políticas centralizado, y desde allí indicar a que CPE se deben aplicar.

2.2.1.2.6.7. Monitoreo y medición: El software de SDWAN debe utilizar un mecanismo (indique cual es) para monitorear continuamente el tráfico de datos en los túneles del plano de datos entre CPE y medir periódicamente las características de rendimiento del túnel.

2.2.1.2.6.8. Mapeo del tráfico de una aplicación a un túnel de transporte específico: el último paso es mapear el tráfico de datos de una aplicación al túnel del plano de datos que proporciona el rendimiento deseado para la aplicación. La decisión del mapeo se debe basar en dos criterios: los criterios de mejor ruta calculados a partir de las mediciones realizadas en las conexiones WAN y en las restricciones especificadas en una política específica para el enrutamiento basado en aplicaciones.

2.2.1.2.6.9. El mecanismo de monitoreo y medición debe sondear periódicamente todos los túneles en el CPE para recopilar latencia, pérdida y otras estadísticas de paquetes para su uso en un enrutamiento basado en aplicaciones. En cada intervalo de sondeo, el enrutamiento basado en aplicaciones debe calcular la pérdida y latencia promedio para cada túnel y luego calcular o recalcular el SLA de cada túnel.

2.2.1.2.7. SEGURIDAD EN EL PLANO DE CONTROL 2.2.1.2.7.1. Debe existir un nodo de autenticación inicial que en el bring-up (arranque) use un mecanismo de seguridad. 2.2.1.2.7.2. Debe existir un nodo de autenticación que autentica cada nodo remoto usando certificados digitales. 2.2.1.2.7.3. Cada nodo autenticado con éxito debe obtener la dirección IP y el puerto L4 de la capa de NMS y control de

políticas. 2.2.1.2.7.4. El nodo de origen debe repetir el procedimiento de establecimiento de la sesión con todas las entidades del

plano. 2.2.1.2.7.5. El proceso de autenticación para un nuevo dispositivo conectado a una nube de la SDWAN se debe basar en

una base de datos de seriales en el NMS. 2.2.1.2.8. SEGURIDAD EN EL PLANO DE DATOS 2.2.1.2.8.1. El CONTRATISTA debe tener la opción de habilitar la encriptación según la conexión WAN, con la

configuración predeterminada como encriptación de Ipsec. 2.2.1.2.8.2. El sistema debe presentar su propia encriptación. 2.2.1.2.8.3. La autenticación se debe administrar cuando un dispositivo se inserta en la infraestructura del controlador. 2.2.1.2.8.4. La autenticación de pares de IPsec basada en claves previamente compartida nunca debe ocurrir en el overlay

de la solución de SD-WAN. 2.2.1.2.8.5. Cada nodo debe crear sus propias claves de encriptación. 2.2.1.2.8.6. Los rollovers clave se deben realizar fácilmente con una sobrecarga mínima a manera de conexión antes de

desconexión (make-before-break) para pares en toda la red con sobrecarga estática. 2.2.1.2.8.7. Las claves de encriptación caducadas se deben eliminar de forma rápida y eficiente en toda la red. 2.2.1.2.8.8. Cada CPE debe contar con la capacidad de mantener decenas de miles de pares de encriptación. 2.2.1.2.8.9. El tráfico entre CPE se debe firmar utilizando el encabezado de autenticación estándar de IPsec (IPsec AH)

preservando la integridad de los paquetes para evitar ataques de intermediarios (man-in-the-middle attacks). 2.2.1.2.8.10. Los equipos deben estar en la capacidad de soportar funciones de seguridad tales como:

• URL Filtering. • IPS. • L3-L4-L7 Firewall.

2.2.1.2.9. DESCUBRIMIENTO DE APLICACIONES - TRAFICO 2.2.1.2.9.1. El CPE de la solución de SD-WAN debe tener incorporado un motor integrado de inspección profunda de

paquetes (DPI) que permita el descubrimiento y administración de más de 5.000 aplicaciones. Esto deberá permitir que cada endpoint en la red recopile información sobre todos los flujos de aplicaciones que pasan a través de la red del SENA – Escenarios de la herramienta, proceso, monitoreo.

2.2.1.2.9.2. Deben reconocer aplicaciones en las siguientes categorías: • Antivirus. • Servicio de aplicaciones. • Audio video. • Autenticación. • Compresión. • Base de datos. • Cifrado. • ERP. • Servidor de archivos. • Transferencia de archivos. • Blogs.

29

Numeral Requisito • Juegos. • Mensajería instantánea. • Correo. • Office 365 • Microsoft Teams • Middleware. • Gestión de redes. • Servicio de red. • Peer-to-peer. • Impresora. • Enrutamiento. • Servicio de seguridad. • Telefonía. • Thin-client. • Wap, web y webmail.

2.2.1.2.9.3. Los mecanismos de descubrimiento de aplicaciones se deben basar en: • DNS Caching. • Explicit. • Port-based classification over SSL. • Protocol Data Signature. • Session Behavior. • Session Correlation. • Statistical Protocol Identification.

2.2.1.2.10. CONEXIÓN A LA NUBE PÚBLICA IaaS y SaaS 2.2.1.2.10.1. La solución de SD-WAN debe proporcionar un amplio conjunto de funciones para tratar el acceso a

aplicaciones basadas en la nube para soportar una variedad de casos de uso que pueden surgir en una red. 2.2.1.2.10.2. Realizar off load de Internet directamente en el CPE de cada sede (Local Internet Breakout). 2.2.1.2.10.3. Realizar off load de Internet en un CPE centralizado. 2.2.1.2.10.4. Enrutamiento en diferentes servicios de nube. 2.2.1.2.10.5. Se debe proporcionar una visibilidad clara del rendimiento de las aplicaciones. 2.2.1.2.10.6. El sistema de Nube Privada se debe integrar con al menos dos de las siguientes nubes públicas listadas:

• Office 365. • Azure. • Oracle. • Amazon AWS

2.2.1.2.10.7. Se debe poder orquestar desde la solución de SD-WAN el VPC al cual se debe desplegar el vCPE para interconectar todo el fabric SD-WAN hacia la nube pública en modelo IaaS.

2.2.1.2.10.8. Los VPCs de la nube pública de AWS o AZURE se deben ver como un Data Center más del fabric de SD-WAN.

2.2.1.2.11. ZERO TOUCH PROVISIONING 2.2.1.2.11.1. Contar con un puerto predefinido en el CPE que reciba DHCP por defecto, para asignar una IP con acceso a la

nube publica 2.2.1.2.11.2. Debe contar con un certificado digital precargado en el CPE generado por una root CA pública de gran

reconocimiento como Symantec 2.2.1.2.11.3. Se debe contar con una instancia certificadora de la solución. 2.2.1.2.11.4. Solo después de pasar el proceso de autenticación basado en el certificado digital, el CPE podrá recibir las

direcciones IP de los orquestadores del fabric de SD-WAN correspondiente 2.2.1.2.12. SEGMENTACIÓN DE LA RED 2.2.1.2.12.1. La capacidad de segmentar por VPN de servicios en cada sede o subsede 2.2.1.2.12.2. Se debe poder extender cada VPN sobre el overlay de SD-WAN 2.2.1.2.12.3. Se deben poder extender los segmentos más allá de los CPE´s usando 802.1Q 2.2.1.2.12.4. Indicar la cantidad máxima de SDWAN PATH por CPE (mínimo se deben soportar 3) 2.2.1.2.12.5. Cada VPN se debe considerar un domino de enrutamiento independiente 2.2.1.2.13. REQUERIMIENTOS DEL SISTEMA DE GESTIÓN Y ORQUESTACIÓN 2.2.1.2.13.1. La solución de SD-WAN debe contar con una capa de Gestión y Orquestación la cual debe estar basada en la

nube y debe estar en un esquema de alta disponibilidad. 2.2.1.2.13.2. Monitoreo de los SLA de cada uno de los transportes SD-WAN. 2.2.1.2.13.3. Creación de templates de configuración de todos los CPE. 2.2.1.2.13.4. Actualización de software de forma masiva. 2.2.1.2.13.5. Creación de políticas de enrutamiento basado en la aplicación. 2.2.1.2.13.6. Creación de políticas de QoS. 2.2.1.2.13.7. Monitoreo de desempeño de los enlaces de overlay. 2.2.1.2.13.8. Monitoreo de desempeño de los CPE. 2.2.1.2.13.9. Monitoreo del plano de control de todos los CPE. 2.2.1.2.13.10. Control de inventario de los CPE. 2.2.1.2.13.11. Gestión de alarmas.

30

Numeral Requisito 2.2.1.2.13.12. Debe permitir crear usuarios de:

• Administrador. • CONTRATISTA.

2.2.1.2.13.13. Auditoría del acceso al NMS. 2.2.1.2.13.14. Debe contar con el monitoreo del desempeño de la conexión interna y externa. 2.2.1.2.13.15. Desde el NMS se debe poder configurar el vCPE que se conecte a los VPC ya sea de AWS o AZURE hacia el

fabric de SD-WAN. 2.2.1.2.13.16. Se debe poder gestionar vía SSH cada uno de los CPE o vCPE del fabric de SD-WAN. 2.2.1.2.14. CARACTERÍSTICAS FÍSICAS ROUTER SD-WAN 2.2.1.2.14.1. La solución debe contar con varios tipos de CPE (ROUTER) de acuerdo con la necesidad que se tenga en

cada una de las sedes, subsedes, centros de datos del SENA así: 2.2.1.2.15. ROUTER SD-WAN TIPO 1 2.2.1.2.15.1. Router tipificado para sede con ancho de banda menor a 50Mbps. 2.2.1.2.15.2. 5 puertos RJ45 10/100/1000 Mbps. 2.2.1.2.15.3. Hardware embebido para aceleración de cifrado (IPsec). 2.2.1.2.15.4. 1 fuente de poder para AC 100-240V. 2.2.1.2.15.5. 50 VPN. 2.2.1.2.15.6. 1 puerto de consola USB. 2.2.1.2.16. ROUTER SD-WAN TIPO 2 2.2.1.2.16.1. Router tipificado para sede con ancho de banda menor a 150Mbps. 2.2.1.2.16.2. 5 puertos 1-Gigabit Ethernet SFP (10/100/1000). 2.2.1.2.16.3. Hardware embebido para aceleración de cifrado (IPsec). 2.2.1.2.16.4. 1 fuente de poder para AC 100-240V. 2.2.1.2.16.5. 1 puerto de gestión RJ-45. 2.2.1.2.16.6. 50 VPN. 2.2.1.2.16.7. 1 puerto de consola USB 2.2.1.2.17. ROUTER SD-WAN TIPO 3 2.2.1.2.17.1. Router tipificado para sede con ancho de banda menor a 300Mbps. 2.2.1.2.17.2. 4 puertos RJ45 10/100/1000 Mbps y 2 puertos de 1GE SFP+. 2.2.1.2.17.3. Hardware embebido para aceleración de cifrado (IPsec). 2.2.1.2.17.4. 2 fuentes de poder AC 100-240V. 2.2.1.2.17.5. Ventiladores redundantes. 2.2.1.2.17.6. 50 VPN. 2.2.1.2.17.7. 1 puerto de consola USB y 1 puerto de gestión RJ-45. 2.2.1.2.18. ROUTER SD-WAN TIPO 4. 2.2.1.2.18.1. Router tipificado para sede Data Center con ancho de banda menor a 10Gbps. 2.2.1.2.18.2. 8 puertos 1-Gigabit Ethernet SFP (10/100/1000) y 4 puertos de 10GE SFP+. 2.2.1.2.18.3. Hardware embebido para aceleración de cifrado (IPsec). 2.2.1.2.18.4. 2 fuentes de poder AC 100-240V. 2.2.1.2.18.5. Ventiladores redundantes. 2.2.1.2.18.6. 50 VPN. 2.2.1.2.18.7. 1 puerto de consola USB y 1 puerto de gestión RJ-45. 2.2.1.2.19. CARACTERÍSTICAS LÓGICAS ROUTER SD-WAN 2.2.1.2.19.1. Soporte AAA: RADIUS, local 2.2.1.2.19.2. Soporte Routing: OSPF, eBGP, iBGP, static, connected. 2.2.1.2.19.3. Soporte Bridging: 802.1Q y IRB 2.2.1.2.19.4. Soporte Seguridad: TLS, IPSec, ESP-256-CBC, AH, HMAC-SHA1 y NAT transversal 2.2.1.2.19.5. Soporte Forwarding y QoS: Classification, prioritization, low latency queuing, remarking, shaping, scheduling,

policing, mirroring, y NAT/PAT 2.2.1.2.19.6. Soporte Multicast: IGMP v1/v2, PIM, Auto-RP o PIM BSR 2.2.1.2.19.7. Soporte de Políticas: Route policies, control policy, data policy, ACL policy, y VPN membership policy. 2.2.1.2.19.8. Soporte de Servicios de red y Sistema: IPv4, IPv6, SNMP, NTP, DNS client, DHCP client, DHCP server, DHCP

relay, Syslog, SSH, NAT/PAT 2.2.1.2.19.9. Soporte de Gestión y Monitoreo: Netconf sobre SSH, CLI, REST, Linux shell, SNMPv2/v3 2.2.1.2.20. CARACTERÍSTICAS DE ANALÍTICA 2.2.1.2.20.1. De forma opcional la solución de SD-WAN podría contar con un servicio de analítica en la nube con la

siguiente descripción: 2.2.1.2.20.2. Aplicación basada en la nube que utiliza los datos recopilados por el NMS como fuente para proporcionar

información más detallada sobre el rendimiento histórico de: • la red de overlay, • la disponibilidad y los SLA de los CONTRATISTAs de superposición • rendimiento relativo de la aplicación en toda la red

2.2.1.2.20.3. También se deben proporcionar las estadísticas de tráfico y la distribución del tráfico de aplicaciones para cada sitio individual y ruta a lo largo del tiempo

2.2.1.2.20.4. También se deben poner a disposición referencias cruzadas de eventos de red que habrían causado alteraciones en el rendimiento

31

Numeral Requisito 2.2.1.2.21. GARANTÍA Y SOPORTE 2.2.1.2.21.1. Garantía valida por el tiempo del servicio en hardware y software 2.2.1.2.21.2. Soporte técnico telefónico en español 24x7x365 2.2.1.2.21.3. Reemplazo de partes 8x5xNBD 2.2.1.2.22. DIMENSIONAMIENTO 2.2.1.2.22.1. Remitirse al anexo “LÍNEA BASE PARA EL SERVICIO DE CONECTIVIDAD” Para conocer la cantidad de

sedes, anchos de banda, tipo de sede, ubicación. 2.2.1.2.22.2. Para las sedes TIPO A colocar doble router SD-WAN con el dimensionamiento según el ancho de banda. 2.2.1.2.22.3. Para las sedes TIPO B y C colocar un router SD-WAN con el dimensionamiento según el ancho de banda. 2.2.1.2.22.4. Para las sedes TIPO A, B y C colocar doble enlace 2.2.1.2.22.5. Para el Data Center colocar doble router de SD-WAN con el dimensionamiento según el ancho de banda.

Estos routers deben ser dedicados para la capa de agregación de SD-WAN, y deben ser aparte de los routers dedicados al servicio de Internet.

2.2.1.2.22.6. Para las sedes TIPO A la solución debe garantizar una disponibilidad del 99.99%. lo que implica que a nivel de infraestructura debe ser redundante en medios, equipos, enlaces y rutas diversas de comunicaciones (trayectoria totalmente diferente) para no tener puntos únicos de falla.

2.2.1.2.22.7. Para las sedes TIPO B y C la solución debe garantizar una disponibilidad del 99.9%. lo que implica que a nivel de infraestructura debe ser redundante en medios, enlaces y rutas diversas de comunicaciones (trayectoria totalmente diferente) para no tener puntos únicos de falla.

2.2.1.2.22.8. Para el Data Center la solución debe garantizar una disponibilidad del 99.999%, lo que implica que a nivel de infraestructura debe ser redundante en medios, equipos, enlaces y rutas diversas de comunicaciones (trayectoria totalmente diferente) para no tener puntos únicos de falla. El Data Center debe ofrecer las condiciones e infraestructura necesarias para el cumplimiento de la disponibilidad por parte del CONTRATISTA elegido, es decir, circuitos de energía regulado e independiente, aire acondicionado, espacios necesarios para la instalación de equipos e infraestructura, entre otros. Cualquier otro requerimiento eléctrico y de datos necesaria para la instalación de la solución tecnológica propuesta por el CONTRATISTA para el Data Center del SENA y que se considere como adicional a las condiciones e infraestructura (adecuaciones eléctricas, obras civiles, cableado estructurado, racks de comunicaciones, entre otros) serán responsabilidad total del CONTRATISTA (costos, diseño, suministro, instalación y puesta en funcionamiento), se deben incluir dentro de la propuesta económica y deben estar alineadas en su totalidad con las normas, estándares y características emitidas e implementadas por la industria en los centros de datos.

2.2.1.2.22.9. La red debe estar implementada sobre plataforma SD-WAN, extremo a extremo para los enlaces principales y de respaldo dedicados

2.2.1.2.22.10. Los servicios de telecomunicaciones de las sedes remotas y Data Center deben contar con una solución de comunicaciones principal y una de respaldo (es decir, al menos dos transportes) en modo activo-activo, dedicadas cada una, utilizando recursos y rutas de red independientes, de tal manera que la falla en un nodo de la red del CONTRATISTA no genere indisponibilidad del servicio, incluye hardware y software necesario para el manejo de los dos enlaces (routers y software de propósito específico). Tanto el enlace principal como el enlace de respaldo deben tener el mismo ancho de Banda de todas las sedes documentadas en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”.

2.2.1.2.22.11. Los CONTRATISTAs que seleccionen un diseño hibrido (MPLS + Internet) o dual Internet de SD-WAN en las sedes remotas deberán implementar las características de seguridad solicitadas en los numerales anteriores en cada una de las sedes

2.2.1.2.22.12. Los CONTRATISTAs que seleccionen un diseño dual MPLS de SD-WAN en las sedes remotas deberán implementar las características de seguridad solicitadas en el Servicio de Seguridad en el Data Center.

2.2.1.2.22.13. Se debe contemplar la implementación de SD-WAN para al menos tres (3) VPN de servicio: VPN de Datos, VPN de Voz/Video y VPN de WIFI.

2.2.1.2.22.14. El CONTRATISTA debe garantizar la aplicación de calidad de servicio (QoS) extremo a extremo para los diferentes flujos definidos por el SENA que complementen la tecnología SD-WAN implementada y que hayan diseñado con transporte MPLS e Internet dedicado; el CONTRATISTA debe brindar un entregable del correcto funcionamiento de las QoS y características SDN por cada una de las sedes remotas y el Data Center para dar aceptación del servicio y su ingreso a facturación

2.2.1.2.22.15. Para todos los servicios contratados en el presente RFI el CONTRATISTA debe garantizar que sus enlaces cumplen con los siguientes parámetros: ● Latencia entre sedes remotas < 20 ms (diferente departamento) ● Latencia entre sedes locales < 10 ms (mismo departamento) ● Jitter < 20ms ● MOS=5

2.2.1.2.22.16. Los enlaces satelitales ofertados para las Sedes Tipo A, deben cumplir como mínimo con las siguientes características: Tecnología: SCPC Banda: Banda C. Reuso: 1:1 Latencia Máxima: 7000020ms Para las demás sedes satelitales se aceptará banda C o Banda KU con el sistema de Control Automático de Potencia, tecnología VSAT y reuso 1:1.

32

Numeral Requisito 2.2.1.2.22.17. El SENA cuenta con 40 Mbps de transporte con MinTIC para las sedes de San Andrés y Providencia, es decir,

la Mbps adicionales las debe suministrar el CONTRATISTA. 2.2.1.2.22.18. El ancho de banda tanto de datos como de internet deberá ser Dinámico, es decir, porder consumir ancho de

banda de datos a internet o visceversa en caso de que no se esté utilizando todo el ancho de banda. 2.2.1.2.22.19. Todas las sedes deben tener 2 canales de comunicaciones punto a punto, mismo ancho de banda y diferente

ruta de última milla 2.2.1.2.22.20. Los enlaces terrestres deben ser simétricos y con reuso 1:1 de punta a punta. 2.2.1.2.22.21. Los enlaces deben ser ofrecidos e instalados en el mejor medio disponible en la red nacional según el sitio de

prestación del servicio (fibra óptica, radio Ethernet, microondas, cobre, satélite) e implementados con las mejores condiciones técnicas para su óptimo funcionamiento. En el momento en que se compruebe que existe viabilidad técnica en diferente medio al de la instalación inicial, el CONTRATISTA deberá realizar la migración al mejor medio posible de transmisión, mediante redes propias o de terceros, comenzando en su orden con la opción fibra óptica, radio Ethernet, microondas, cobre.

2.2.1.2.22.22. Teniendo en cuenta que en la solución SD-WAN se implementan dos (2) enlaces activo-activo es necesario el respectivo backup para cada uno de estos enlaces con el mismo medio de última milla de los dos (2) enlaces activo-activo.

2.2.1.3. SERVICIO SEGURIDAD 2.2.1.3.1. NOMBRE DEL SERVICIO 2.2.1.3.1.1. SEGURIDAD 2.2.1.3.2. OBJETO DEL SERVICIO 2.2.1.3.2.1. Asegurar la seguridad de la conectividad entre las sedes del SENA y el Data Center, permitiendo el acceso del

personal administrativo y misional a las aplicaciones de la Entidad y demás recursos en la red para el cumplimiento de la misión institucional.

2.2.1.3.3. OBJETIVOS ESPECÍFICOS 2.2.1.3.3.1. Realizar y garantizar el diseño, instalación, implementación y puesta en operación del servicio de Seguridad en

las capas de Perímetro, LAN, WAN y EndPoint para todas las sedes del SENA y el Data Center. 2.2.1.3.3.2. Proveer, instalar, configurar y operar un sistema de gestión de Seguridad que permita al SENA hacer

seguimiento y verificación a los acuerdos de niveles de servicio que proporcione mecanismos consistentes, eficaces y confiables

2.2.1.3.4. DESCRIPCIÓN DEL SERVICIO 2.2.1.3.4.1. Se requiere que los servicios se presten sobre un modelo de seguridad perimetral con administración y

monitoreo en tiempo real, como mínimo en gestión y requerimientos e incidentes y gestión del cambio, donde la plataforma ofertada deberá permitir que se puedan auditar los servicios de firewall de seguridad garantizando la medición de cumplimiento en la configuración y parametrización de los dispositivos de seguridad, frente a ISO27001, Cobit y alineamiento con las mejores prácticas para Firewall STIG. Adicionalmente, la solución debe poderse parametrizar para medir el cumplimiento de normativas locales emitidas por MinTIC, en materia de comunicaciones y seguridad.

2.2.1.3.4.2. Capacidad de gestionar y administrar de manera proactiva el servicio de seguridad perimetral de todas las sedes del SENA. La administración debe ser independiente de los firewalls, en un dispositivo independiente (hardware de uso específico del mismo fabricante) con la capacidad de gestionar de forma simultánea e independiente los firewalls físicos del Sena o firewalls en nubes públicas (ej. Azure, AWS, Google Cloud, Oracle etc), consolidando los logs y registros del trafico entrante o saliente, adicionalmente permitir que se puedan crear varios perfiles de administradores y la solución permita el ingreso al mismo tiempo de 10 o más administradores (aun para un mismo firewall) gestionar o administrar de forma simultanea sin necesidad de esperar a que un administrador termine sus tareas, para permitir el acceso al siguiente.

2.2.1.3.4.3. El diseño y la implementación deben realizarse con los equipos tecnológicos en cantidades, especificaciones y capacidades necesarias para garantizar QoS, prioridad de tráfico, seguridad, ancho de banda, compatibilidad IPv6, administración, monitoreo y demás aspectos considerados en este documento.

2.2.1.3.4.4. Capacidad de identificar los eventos y/o incidentes que puedan afectar la operación de la red. 2.2.1.3.4.5. Capacidad de monitorear y alertar en tiempo real 7x24x365 desde un centro de operaciones SOC. 2.2.1.3.4.6. El servicio de firewall debe tener redundancia (N+N) para eliminar los tiempos de caída (downtime) 2.2.1.3.4.7. El consumo de ancho de banda necesario para la gestión de la red es adicional al ancho de banda requerido

por el SENA para cada enlace. 2.2.1.3.4.8. El firewall debe estar en capacidad de proteger el perímetro de Internet, Data Center, Terceros, y demás 2.2.1.3.4.9. Debe estar basado en una plataforma de hardware (appliance) de propósito específico. El hardware y software

de la solución propuesta deben ser del mismo fabricante. No se aceptarán appliance tales como routers ni servidores cuya función secundaria sea IPS

2.2.1.3.4.10. En caso de estar expuesto el firewall hacia internet éste deberá tener las medidas de seguridad necesarias para proteger la solución en contra de ataques informáticos

2.2.1.3.4.11. Compatibilidad con OSPF y BGP (v4 y v6). 2.2.1.3.4.12. Debe soportar una funcionalidad para poder hacer segmentación automática de la LAN y WAN 2.2.1.3.4.13. El firewall debe soportar su implementación en alta disponibilidad (activo-pasivo) o balanceo de cargas (activo-

activo) sincronizando el estado de las conexiones entre todos los miembros 2.2.1.3.4.14. El firewall debe utilizar Stateful Inspection basado en análisis granular de comunicación y estado de aplicación

para rastrear y controlar el flujo de red 2.2.1.3.4.15. El firewall debe tener la capacidad de identificar con precisión cualquier tipo de tráfico de red

33

Numeral Requisito 2.2.1.3.4.16. Capacidad de permitir a los administradores la creación de identificadores de aplicación e importar

identificadores de aplicación previamente construidos por comunidades de open source. 2.2.1.3.4.17. La solución podrá ser configurable para trabajar en modo transparente (bridge) de ser requerido por el SENA 2.2.1.3.4.18. La solución debe permitir identificar de forma predeterminada las aplicaciones más comunes o populares (más

de 5000), controlando la evasión de estas. Dentro de las categorías se debe incluir Anonymizes, Redes sociales, Streaming, Almacenamiento en nube, entre otras.

2.2.1.3.4.19. La solución debe permitir la definición de respuestas automáticas ante eventos como escaneos de puertos, ataques de denegación de servicio. Debe categorizar las amenazas con un sistema de puntuación que permita conocer el grado de severidad del ataque.

2.2.1.3.4.20. Soporte NAT, Bridging, Routing 2.2.1.3.4.21. La solución debe permitir la visualización del número de conexiones sobre el uso de las reglas de seguridad,

esto con el fin de reorganizarlas y detectar aquellas con bajo o nulo nivel de tráfico. 2.2.1.3.4.22. La solución deberá ser capaz de hacer recomendación de afinación (tuning) de políticas en base a la

información aprendida de la red, mostrando un registro de las reglas recomendadas. La función de recomendación de afinación de políticas es opcional.

2.2.1.3.5. ALCANCE DEL SERVICIO 2.2.1.3.5.1. El servicio SEGURIDAD para el SENA, incluye el diseño, instalación, operación, administración y gestión de

las soluciones de seguridad necesarios para el aseguramiento de todas las sedes donde el SENA funciona y tiene presencia con los servicios TIC, descritas en este documento.

2.2.1.3.5.2. El servicio debe prestarse sobre una base de operación 7x24x365 2.2.1.3.5.3. La solución debe tener un enfoque Inter arquitectónico de la inteligencia de amenazas - aporta datos de

amenaza a toda la suite de productos, independientemente del origen. 2.2.1.3.6. GARANTÍA Y SOPORTE 2.2.1.3.6.1. Garantía valida por el tiempo del servicio en hardware y software 2.2.1.3.6.2. Soporte técnico telefónico en español 24x7x365 2.2.1.4. SERVICIO INTERNET TRANSACCIONAL 2.2.1.4.1. NOMBRE DEL SERVICIO 2.2.1.4.1.1. Internet transaccional 2.2.1.4.2. CARACTERÍSTICAS 2.2.1.4.2.1. 10 GPBS con acceso a NAP Colombia 2.2.1.4.2.2. Sin reúso 1:1 2.2.1.4.2.3. Pool De direccionamiento IP para servicio 2.2.1.4.2.4. Conexión a Internet por diferentes rutas 2.2.1.4.2.5. Funciones de Balanceo y aceleración 2.2.1.4.2.6. Funcionalidad HA activo - activo 2.2.1.4.2.7. Conmutación automática de servicios y migración transparente de rango de direcciones IP 2.2.1.4.3. GARANTÍA Y SOPORTE 2.2.1.4.3.1. Garantía valida por el tiempo del servicio en hardware de interiores 2.2.1.4.3.2. Soporte técnico telefónico en español 24x7x365 2.2.1.4.3.3. Tickets de soporte podrán ser abierto mediante la misma plataforma de gestión 2.2.1.5. SERVICIO INTERNET NAVEGACIÓN 2.2.1.5.1. NOMBRE DEL SERVICIO 2.2.1.5.1.1. Internet navegación 2.2.1.5.2. CARACTERÍSTICAS 2.2.1.5.2.1. Canal sin reúso 1.1 2.2.1.5.2.2. Enrutadores HA para el servicio 2.2.1.5.2.3. Última milla al centro de cómputo en fibra óptica 2.2.1.5.2.4. Pool De direccionamiento IP válido 2.2.1.5.2.5. Velocidad superior a los 6000 Kbps 2.2.1.5.2.6. Manejo y control de tráfico 2.2.1.5.2.7. Aceleración de aplicaciones 2.2.1.5.2.8. Garantizar la seguridad en la información 2.2.1.5.3. GARANTÍA Y SOPORTE 2.2.1.5.3.1. Garantía valida por el tiempo del servicio en hardware de interiores 2.2.1.5.3.2. Soporte técnico telefónico en español 24x7x365 2.2.1.5.3.3. Tickets de soporte podrán ser abierto mediante la misma plataforma de gestión 2.2.1.6. SERVICIOS CONEXOS A CONECTIVIDAD 2.2.1.6.1. NOMBRE DEL SERVICIO 2.2.1.6.1.1. Servicios conexos 2.2.1.6.2. DNS –DHCP 2.2.1.6.2.1. Soporte técnico telefónico en español 24x7x365 2.2.1.6.2.2. Diseño, administración, soporte, de DNS y DHCP En sedes e Internet de la red SENA 2.2.1.6.2.3. DNS -DHCP dinámico 2.2.1.6.2.4. DNS alta disponibilidad en Nube 2.2.1.6.3. ADMINISTRACIÓN Y GESTIÓN IPV4 - IPV.6

34

Numeral Requisito 2.2.1.6.3.1. Soporte técnico telefónico en español 24x7x365 2.2.1.6.3.2. Administración, gestión IPv4 e IPv6 2.2.1.6.3.3. Herramienta IP manager para el manejo de IPv6 e IPv4 2.2.1.6.3.4. Garantizar e incluir el proceso de actividades de transición de IPv4 a IPv6, que permita orientar al Sena y a su

comunidad en general, en el análisis, diagnóstico, la planeación, la implementación, las pruebas y monitoreo de funcionalidad del protocolo IPv6, con el fin de lograr la adopción, despliegue y monitoreo del protocolo IPv6.

2.2.1.6.3.5. Cumplimientos regulatorios para el protocolo IPv4 e IPv6 de acuerdo con MinTIC durante la duración del contrato

2.2.1.6.3.6. El plan de migración de IPv4 a IPv6 debe incluir la solicitud de un pool de direcciones IPv6 a la entidad administradora LACNIC PARA EL SENA, el cual conservara el direccionamiento después de la terminación del contrato

2.2.1.6.4. GESTIÓN Y MONITOREO 2.2.1.6.4.1. Todos los servicios de conectividad deben tener un sistema de gestión y monitoreo 2.2.1.6.4.2. Se deben entregar reportes mensuales, bimensuales, trimestrales del servicio, según como se acuerde con el

SENA 2.2.1.6.4.3. Se deben entregar reportes de las plataformas a solicitud del SENA, en ocasiones diferentes a las periódicas,

cuando la situación lo amerite 2.2.1.6.4.4. Todas las plataformas deben entregar sus informes periódicamente, que incluyan, como mínimo, las siguientes

variables: disponibilidad, anchos de banda monitoreados, latencia, uso del canal, número de interrupciones y desempeño (en anchos de banda y equipos de conectividad).

2.2.1.6.4.5. La gestión y administración de las plataformas deben ser en línea y en tiempo real. Debe haber, como mínimo, dos cuentas de acceso para el Sena e Interventoría

2.2.1.6.4.6. Los indicadores como aceleración, balanceo, manejo de tráfico, y las plataformas de monitoreo en línea del servicio debe contar con syslog para consulta histórica de las estadísticas, de mínimo 6 meses de archivo

2.2.1.6.5. GARANTÍA Y SOPORTE 2.2.1.6.5.1. Garantía valida por el tiempo del servicio en hardware de interiores 2.2.1.6.5.2. Soporte técnico telefónico en español 24x7x365 2.2.1.6.5.3. Tickets de soporte podrán ser abierto mediante la misma plataforma de gestión 2.2.1.7. GESTIÓN DE ANCHO DE BANDA 2.2.1.7.1. NOMBRE DEL SERVICIO 2.2.1.7.1.1. Gestión de ancho de banda (Administración ancho de banda Internet)

2.2.1.7.2. CARACTERÍSTICAS 2.2.1.7.2.1. El servicio de Gestión de ancho de Banda de red debe tener la capacidad para inspeccionar en las profundidades

de la cabecera del paquete y el payload de las capas 3 a 7 para trafico HTTP 2.2.1.7.2.2. El servicio de Gestión de ancho de Banda de red debe ser capaz de analizar, identificar, informar y gestionar el

tráfico por puerto, protocolo y aplicación. 2.2.1.7.2.3. El servicio de Gestión de ancho de Banda de red debe ser capaz de identificar y diferenciar entre todos los

protocolos populares de P2P 2.2.1.7.2.4. El servicio de Gestión de ancho de Banda de red DEBE ser capaz de identificar diferentes tráficos basados

encapsulados en aplicaciones anonymizer. Ejemplo: TOR (The Onion Router). 2.2.1.7.2.5. El servicio de Gestión de ancho de Banda debe ser capaz de determinar los tipos de medios específicos

transferidos y, cuando sea posible, indicar mediante cual aplicación. Por ejemplo, los tipos de medios de transmisión que están siendo entregados por protocolos tales como HTTP deben ser identificados mediante una aplicación como Flash, Silverlight, etc.

2.2.1.7.2.6. El servicio de Gestión de ancho de Banda de red debe soportar tanto identificación y análisis de tráfico para 8000 clases de descubrimiento (Aplicaciones, protocolos, puertos y firmas)

2.2.1.7.2.7. El servicio de Gestión de ancho de Banda de red debe soportar nuevas definiciones de protocolos basadas en puerto, rango de IP y aplicación.

2.2.1.7.2.8. El servicio de Gestión de ancho de Banda de red debe tener la capacidad de soportar los protocolos definidos por el usuario que consisten en diferentes tipos de protocolos predefinidos que incluyen la capacidad de definir por agente de usuario, tipo de contenido

2.2.1.7.2.9. El servicio de Gestión de ancho de Banda de red debe identificar el tráfico en métodos de trama y tunelización, tales como VLAN, MPLS, QinQ, L2TP, GRE, GTP, ether-channel, etc.

2.2.1.7.2.10. El servicio de Gestión de ancho de Banda de red no debe tener ningún efecto sobre el tráfico de multicast. 2.2.1.7.2.11. El servicio de Gestión de ancho de Banda de red debe tener la capacidad de procesar completamente el tráfico

de red. 2.2.1.7.2.12. Los equipos de red deben tener la capacidad de identificar y controlar los perfiles de tráfico complejos tales como

Microsoft Teams y distinguir entre presentación de pantalla, audio y video, Word, Excel para Office 365. 2.2.1.7.2.13. El elemento de red debe trabajar en L2 y ser totalmente transparente a la red. 2.2.1.7.2.14. La solución debe permitir el acceso para el diagnóstico de la red. 2.2.1.7.2.15. La solución debe soportar gestión de ancho de banda de tráfico con protocolo IPv4 e IPv6, independiente del

tipo de despliegue. 2.2.1.7.2.16. Se requiere que la solución ofertada permita recolectar las estadísticas del protocolo, aplicaciones y políticas de

tráfico en parámetros como velocidad en Mbps o en parámetros de volumen de tráfico, de manera que se puedan construir reportes relacionados con el desempeño de los servicios.

2.2.1.7.2.17. PROTOCOLO DE PAQUETES

35

Numeral Requisito 2.2.1.7.2.17.1. Las actualizaciones de definiciones del protocolo no deben tener ningún impacto en el tráfico de producción, es

decir no deben implicar reinicio del elemento. 2.2.1.7.2.17.2. El servicio de gestión de ancho de banda DEBE soportar la actualización centralizada de los protocolos a todos

los dispositivos que realizan la gestión del ancho de banda. 2.2.1.7.2.17.3. Las actualizaciones del protocolo no deben tener ningún efecto sobre los protocolos definidos por el usuario. 2.2.1.7.2.17.4. Las actualizaciones de los protocolos se deben realizar sin necesidad de apagar los equipos o realizar algún

reinicio 2.2.1.7.2.18. GESTIÓN DE TRAFICO 2.2.1.7.2.18.1. El servicio de gestión de ancho de banda debe soportar ToS o DSCP con respecto a diferentes tipos y

aplicaciones de tráfico 2.2.1.7.2.18.2. El servicio de gestión de ancho de banda debe soportar la programación de diversos períodos de tiempo para

las políticas que deben aplicarse a cualquier tipo de tráfico y aplicación. 2.2.1.7.2.18.3. El servicio de gestión de ancho de ancho de banda debe soportar el re-direccionamiento de cualquier solicitud

HTTP a un portal web 2.2.1.7.2.18.4. El servicio de gestión de ancho de banda debe tener la capacidad de hacer una "lista blanca" de aplicaciones

específicas para el establecimiento de prioridades 2.2.1.7.2.18.5. El servicio de gestión de ancho de banda debe tener la capacidad para especificar políticas en múltiples

dimensiones, tanto a nivel de aplicación en toda la red, como políticas por usuario o por sede. 2.2.1.7.2.18.6. El servicio de gestión de ancho de banda debe ser capaz de implementar diferentes mecanismos de catalogación

del trafico /políticas 2.2.1.7.2.18.7. El servicio de gestión de ancho de banda debe soportar la limitación de sesiones por tipo de tráfico 2.2.1.7.2.18.8. El servicio de gestión de ancho de banda debe soportar la limitación del número de usuarios simultáneos por

tipo de tráfico 2.2.1.7.2.18.9. El servicio de gestión de ancho de banda debe soportar la gestión del tráfico de la Hora del día y cualquier tipo

de acciones de las políticas 2.2.1.7.2.18.10. El servicio de gestión de ancho de banda debe soportar acciones de políticas cuando se detecte congestión de

la red 2.2.1.7.2.19. MONITOREO DE TRÁFICO 2.2.1.7.2.19.1. El sistema de reportes debe ser un appliance dedicado e independiente de los equipos de gestión de ancho de

banda. 2.2.1.7.2.19.2. El sistema de reportes debe ser capaz de suministrar reportes detallados en intervalos mínimos de 30 segundos,

5 minutos, una hora y días 2.2.1.7.2.19.3. La solución debe tener capacidad de mantener en el sistema los datos de tiempo real y de largo plazo hasta por

6 meses. 2.2.1.7.2.19.4. El sistema de reportes debe estar disponible por medio de la interfaz gráfica de usuario GUI, y con facilidades

de uso para extraer todos los posibles reportes entregados por el sistema. 2.2.1.7.2.19.5. El esquema de reportes DEBE soportar la capacidad de desglose de un informe a otro tipo de informe. Por

ejemplo, la búsqueda de los usuarios más activos en función del uso y su desglose según las aplicaciones utilizadas por el usuario o por sede más activo.

2.2.1.7.2.19.6. El esquema de reportes DEBERÁ permitir filtrar el informe para un Host específico, Aplicación, VLAN, encapsulación.

2.2.1.7.2.19.7. El reporte se puede realizar basado en el volumen de tráfico o en el ancho de banda en el tiempo. 2.2.1.7.2.19.8. La presentación de reportes debe soportar la capacidad de personalizar el tipo de reporte de forma dinámica,

tales como gráficas de barras, gráfica circular, gráfica de columnas o formato de tabla. 2.2.1.7.2.19.9. El equipo de red debe ser capaz de entregar reportes del estilo Top 10. 2.2.1.7.2.19.10. Se debe soportar la presentación de datos acumulados y datos por usuario o por sede. 2.2.1.7.2.19.11. Se debe estar en capacidad de presentar reportes y gráficos personalizados 2.2.1.7.2.19.12. Se debe soportar la programación de los reportes. 2.2.1.7.2.19.13. Los reportes programados deben ser enviados automáticamente a través de correo electrónico, FTP o

exportación con el método de disco. 2.2.1.7.2.19.14. La presentación de reportes basada en umbrales debe estar soportada. (Ejemplo: Envío de un reporte

automático en caso de que el número total de sesiones P2P exceda el valor predefinido). 2.2.1.7.2.19.15. El sistema debe ser capaz de entregar reportes por usuario o por sede para los mayores consumidores. 2.2.1.7.2.19.16. Los reportes deben incluir información para cualquier tipo de usuario o por sede identificado. 2.2.1.7.2.19.17. El sistema de reportes debe tener un mecanismo de captación y procesamiento centralizado. 2.2.1.7.2.19.18. El sistema debe soportar la generación de reportes, incluyendo gráficos y tablas de forma diaria, semanal,

quincenal, mensual y en periodos de tiempo hasta de 6 meses. 2.2.1.7.2.19.19. Se debe poder exportar la información de los reportes en los siguientes formatos: CSV, JPG, XML, HTML y PDF 2.2.1.7.2.19.20. El sistema debe mostrar reportes de minutos de uso VoIP (Opcional). 2.2.1.7.2.19.21. El sistema debe ser capaz de diferenciar el servicio de VoIP de Skype del resto del tráfico VoIP y debe estar en

condiciones de reportar y gestionar por separado. 2.2.1.7.2.19.22. Los reportes de aplicaciones deben poder soportar aplicaciones propietarias que se utilicen en la entidad. 2.2.1.7.2.19.23. El equipo de red debe ser capaz de identificar los servidores de streaming y generar reportes específicos para

este tráfico. 2.2.1.7.2.19.24. El equipo debe soportar la generación de reportes de porcentaje de cualquier tipo de tráfico dado contra el tráfico

total. (Ejemplo: Los usuarios o por sedes que utilizan el servicio P2P versus usuario o por sedes activos totales).

36

Numeral Requisito 2.2.1.7.2.19.25. El CONTRATISTA debe indicar la capacidad de datos para el almacenamiento de reportes 2.2.1.7.2.19.26. El equipo de red debe actuar sin falla alguna cuando el sistema central de reportes no esté accesible por

cualquier motivo. 2.2.1.7.2.19.27. El CONTRATISTA debe incluir en su propuesta todos los componentes de hardware y discos dentro del proyecto

para cumplir con la funcionalidad de reportes 2.2.1.7.2.19.28. El sistema debe ser capaz de generar reportes de usuario basados en grupos de usuario o por sedes. 2.2.1.7.2.19.29. La solución debe soportar la presentación de reportes de capacidad consumida para un usuario o por sede o

para grupos de usuario o por sedes, totalmente o por aplicación. 2.2.1.7.2.19.30. El sistema de reportes debe tener la capacidad de ejecutar secuencias de comandos para crear reportes

exhaustivos. (Opcional). 2.2.1.7.2.19.31. Requisitos del appliance de gestión de Ancho de banda. 2.2.1.7.2.19.32. Cada Appliance debe tener la capacidad de gestionar mínimo 20 Gbps (Full Duplex), y crecer a futuro en la

misma caja hasta 150 Gbps (Full Duplex).

2.2.1.7.2.19.33. Cada appliance debe tener la capacidad de gestionar hasta un Throughput de 2 Tbps (Half Duplex) en clúster de hasta 10 equipos

2.2.1.7.2.19.34. Se debe entregar licenciamiento para realizar gestión de 20 GB Full dúplex de ancho de banda por cada equipo a perpetuidad.

2.2.1.7.2.19.35. Las interfaces Ethernet de 10/100 Gigabit deben ser configurables con transceptores modulares, incluyendo, pero no limitándose a los siguientes tipos: multimodo (10GBaseSR), monomodo largo alcance (10GBASE-LR - hasta mín. 10 km.) y monomodo de alcance extendido (10GBASE-ER -. hasta mín. 40 km).

2.2.1.7.2.19.36. El licenciamiento de uso de la solución para los servicios de gestión de ancho de banda y para las funcionalidades de gestión, reportes, sistemas operativos y bases de datos correspondientes, sean entregados a perpetuidad.

2.2.1.7.2.19.37. Se debe entregar soporte y garantía de fábrica por tres (3) años. 2.2.1.7.2.19.38. Los elementos de red deben ser desplegados de un modo inline y transparente. 2.2.1.7.2.19.39. Se requiere una solución en HA Activo/Activo o Activo/Pasivo. 2.2.1.7.2.19.40. Se requiere que los equipos appliance suministrados para DPI, sean basados en hardware de propósito

específico, no se aceptan equipos con appliances virtuales, o implementación en hardware de propósito general como servidores, routers o equipos de cómputo.

2.2.1.7.2.19.41. Se requiere que los appliances se integren con un servidor NTP para sincronizar su reloj al de la red. 2.2.1.7.2.19.42. Se deben soportar Jumbo frame de hasta 9000 bytes en todas las interfaces Ethernet. 2.2.1.7.2.19.43. Los Appliance deben ser equipos autónomos, capaces de trabajar independiente de los equipos de red

existentes en la red. 2.2.1.7.2.19.44. La solución debe ser implementada de tal manera que no introduzca ningún punto único de fallo. Cada appliance

tener un módulo de Bypass externo y pasivo para manejar fallas de redes y equipos. No se aceptan appliance con Bypass interno.

2.2.1.7.2.19.45. Requisitos del appliance de Administración y Reportes de la solución de gestión de Ancho de banda. 2.2.1.7.2.20. REQUISITOS DE DISPONIBILIDAD 2.2.1.7.2.20.1. No habrá interrupción en el tráfico normal de Internet, es decir, en caso de falla de las soluciones, el tráfico debe

ser “bypassed”. 2.2.1.7.2.20.2. El elemento de red puede soportar redundancia a nivel de chasis mediante el uso de dos chasis en configuración

Activo-Standby o Activo-Activo. 2.2.1.7.2.20.3. El elemento de red debe soportar redundancia a nivel de Puerto utilizando el método de agregación de enlaces. 2.2.1.7.2.20.4. El elemento DEBE garantizar la continuidad del servicio sin ningún tiempo de inactividad debido a la falla de

cualquier componente. 2.2.1.7.2.20.5. Cada equipo debe contar con fuente de poder redundante. 2.2.1.7.2.20.6. Para requisitos de tráfico más allá de la capacidad de un sistema/chasis, se debe soportar el clúster de varias

unidades para configurar un sistema lógico. 2.2.1.7.2.20.7. La latencia de tráfico introducida por el elemento DEBE ser inferior a 50 microsegundos. 2.2.1.7.2.20.8. Cada appliance de DPI DEBE soportar 512 Lines, 4,800,000 Pipes y 9,600,000 virtual Channels. 2.2.1.7.2.20.9. Cada appliance de DPI DEBE soportar más de 72’000.000/144’000.000 de flujos simultáneos/conexiones

soportadas por un elemento 2.2.1.7.2.20.10. El CONTRATISTA DEBE soportar más de 200.000 reglas de políticas soportadas por un elemento. 2.2.1.7.2.21. REQUISITOS OPERACIONALES 2.2.1.7.2.21.1. Cada equipo de red en la solución deberá ser capaz de ser configurado desde una ubicación central 2.2.1.7.2.21.2. El equipo de red debe soportar la creación de políticas a través de interfaz GUI y CLI 2.2.1.7.2.21.3. Debe ser posible llevar a cabo la configuración desde CLI y GUI simultáneamente 2.2.1.7.2.21.4. El elemento de red debe tener interfaces CLI, GUI y de servicio web que permitan la modificación del rango de

direcciones IP. 2.2.1.7.2.21.5. La interfaz de gestión debe permitir por lo menos 25 usuarios simultáneos. 2.2.1.7.2.21.6. El sistema debe ser capaz de ser monitoreado a través de SNMP. El sistema también debe reportar estadísticas

críticas del sistema, como utilización de CPU/memoria, rendimiento de la red. 2.2.1.7.2.21.7. Durante las comunicaciones se debe soportar SNMP v2 y v3.

37

Numeral Requisito 2.2.1.7.2.21.8. Se debe soportar la integración con los siguientes directorios de usuarios: AD, LDAP y Radius para la

identificación de los usuarios de interés, donde el orden de la fuente de autenticación debe ser configurable y soportar hasta diez mil (10.000) usuarios sin necesidad de licenciamiento adicional.

2.2.1.7.2.21.9. El elemento de red debe soportar el acceso de usuarios vía Telnet, SSH y los inicios de sesión de consola con diferentes privilegios

2.2.1.7.2.21.10. Cualquier interfaz de usuario incluida la de usuario basada en Web debe contar con el soporte de asignación de roles de usuario.

2.2.1.7.2.21.11. El sistema debe permitir los ajustes de configuración para hacer copias de seguridad de forma manual y de forma programada. Debe ser posible que el respaldo sea copiado automáticamente a un servidor remoto a través de FTP o SSL. También debe ser posible que la copia de seguridad se descargue en el PC del administrador.

2.2.1.7.2.21.12. El sistema creará archivos de registro de texto sin formato que detallen todas las solicitudes de los clientes. Como mínimo, la entrada incluirá la fecha de la solicitud, la hora, la dirección IP de origen del cliente, la identificación del usuario, y la categoría aplicada a la solicitud. Estos archivos deben estar en formato CSV o cualquier otro formato sencillo y fácil para su procesamiento.

2.2.1.7.2.21.13. El sistema será capaz de transferir los archivos de registro a un servidor remoto por demanda y de forma programada. Deben estar disponibles opciones de programación diaria para traslados programados. Las transferencias se realizarán a través de FTP o SSL.

2.2.1.7.2.21.14. El manejador de ancho de banda puede incluirse en la solución SD WAN o servicio independiente 2.2.1.7.2.21.15. El servicio de gestión de ancho debe integrarse con los servicios de conectividad para que representen una

generación de valor costo efectiva en la propuesta integrada de la línea de servicio. 2.2.1.8. ACELERACIÓN DE APLICACIONES 2.2.1.8.1. NOMBRE DEL SERVICIO 2.2.1.8.1.1. Aceleración de aplicaciones y optimización de ancho de banda 2.2.1.8.2. CARÁCTERÍSTICAS 2.2.1.8.2.1. Debe incluir elementos de hardware y/o software para optimizar el desempeño de las aplicaciones en los enlaces

WAN. La solución deberá ser brindada mediante Appliances Fisicos o Virtuales y no se aceptarán módulos o tarjetas electrónicas para ser agregados a los equipos existentes de la entidad.

2.2.1.8.2.2. Se requiere una solución de Aceleración de aplicaciones en enlaces WAN que funcione con una metodología Simétrica (optimizadores en ambos extremos del enlace WAN a optimizar) y aplique las siguientes Técnicas de Optimización Requeridas: De-duplicación basada en diccionario de segmento de datos (no de objetos) que permita evitar cursar información repetitiva por el enlace WAN Compresión Optimización de Transporte TCP y UDP Optimizaciones específicas a nivel de aplicación (Layer 7) para los siguientes protocolos que permitan mitigar el impacto de la latencia de red sobre la performance (ej. reduciendo la cantidad de mensajes round trip al nivel de la aplicación). Protocolos requeridos (obligatorios): CIFS (SMBv1, SMBv2 y SMBv3) CIFS con SMB Signing (SMBv1, SMBv2 y SMBv3) NFS SSL http, HTTPS MAPI (Exchange 2003, 2007 y 2010) MAPI-ENCRYPTED (Exchange 2003, 2007 y 2010) Outlook Anywhere (RPC over HTTP or HTTPS) SharePoint Lotus Notes Lotus Notes Encriptado Citrix ICA Oracle Forms TDS (MS-SQL) FCIP

2.2.1.8.2.3. La solución deberá ser totalmente transparente para los servidores de aplicaciones y almacenamiento, así como también para los usuarios finales. La solución propuesta deberá integrarse de manera transparente dentro de la infraestructura de ruteo IP existente. La solución deberá ser completamente transparente para los protocolos de ruteo existentes en la red tales como (OSPF, RIP2, EIGRP). La solución deberá operar conservando en todo momento las direcciones IP (origen y destino) y Puertos TCP (origen y destino) de las conexiones Originales (de los usuarios) al momento de cursar por la WAN el tráfico optimizado. Esto permitirá hacer uso transparente de muchas funcionalidades de red tales como QoS, ACLs, protocolos de ruteo.

2.2.1.8.2.4. La capa de optimización de Ancho de Banda: basada en de-duplicación por diccionarios de patrones repetitivos deberá ser capaz de: Operar para todo el tráfico TCP bi-direccionalmente sobre IPv4 e IPv6.

38

Numeral Requisito Reconocer cambios parciales evitando cursar nuevamente el tráfico por la red WAN (cursando solo los cambios incrementales, sin necesidad de cursar nuevamente la totalidad del objeto/archivo que fue modificado). Almacenar datos por segmentos y no por objetos completos, de manera de poder contar con mayor granularidad, y ser efectivo en transferencias de datos que hayan sufrido modificaciones parciales Diccionario de patrones repetidos universal: El diccionario de patrones repetitivos deberá ser almacenados en un almacenamiento unificado en cada optimizador. Los segmentos de datos repetitivos se almacenarán una única vez en el diccionario independientemente de la cantidad de sucursales que cursen los mismos datos (el diccionario no deberá reducir su capacidad de almacenamiento a consecuencia de divisiones lógicas por la interconexión con múltiples optimizadores). El diccionario deberá ser el mismo y reutilizable aún cuando el tráfico se curse en un sentido diferente o por un puerto TCP o protocolo diferente Los datos en el diccionario de patrones repetitivos deberán ser persistentes y reutilizables aún luego de un reinicio del optimizador.

2.2.1.8.2.5. La solución ofertada deberá permitir optimizar aplicaciones encriptadas mediante SSL (ej. https) manteniendo la seguridad de las comunicaciones extremo a extremo (encripción). Se deberá poder desencriptar localmente el tráfico en cada equipo para aplicar las técnicas de optimización y luego encriptar nuevamente la conexión optimizada antes de cursarla por la red. Los certificados y claves privadas deberán ser almacenados de manera segura en el appliance. Las claves privadas solo podrán ser configuradas dentro del DataCenter (no se admitirán soluciones que requieran colocar la clave privada en los equipos de sucursales). Se deberán poder también optimizar ambientes SSL que utilicen Certificados SSL del lado del Cliente.

2.2.1.8.2.6. Aceleración de Protocolo MAPI (MS-Exchange): Se deberá contar con una aceleración específica para el protocolo MAPI. Deberá soportar al menos las versiones de Exchange 5.5, 2000, 2003, 2007 y 2010 Los archivos adjuntos deberán ser correctamente decodificados antes de aplicar de-duplicación basada en diccionarios, de manera de asegurar consistencia en caso que los mismos archivos sean cursados por otros protocolos (Ej. FTP. CIFS, Etc.) Deberá soportar optimizar cuando el cliente Outlook se comunica con el Exchange Server mediante Encrypted-MAPI, sin necesidad de deshabilitar dicha funcionalidad. La solución de optimización deberá tener la capacidad de desencriptar el tráfico para poder optimizarlo y luego volver a encriptarlo antes de cursarlo por la red WAN, de manera que llegue al servidor de Exchange nuevamente encriptado. Para asegurar la compatibilidad, el proveedor de esta optimización MAPI debe ser miembro registrado de: “Microsoft’s Protocol Optimization Licensing Program (POLP)”

2.2.1.8.2.7. La solución ofertada debe optimizar de manera nativa y a nivel de aplicación el tráfico de las aplicaciones de Microsoft que utilicen autenticación Kerberos, tales como Sharepoint, Exchange, SMB, SMB2, etc.. Esta optimización se debe realizar sin comprometer el esquema de autenticación y seguridad que provee este protocolo de autenticación de red.

2.2.1.8.2.8. La solución ofertada debe optimizar a nivel de aplicación los siguientes protocolos usados por Sharepoint: FPSE (Front Page Server Extension) y webDAV.

2.2.1.8.2.9. La solución ofertada debe ofrecer un control de ancho de banda y priorización de latencia para 4 diferentes niveles de servicio identificados en de los flujos del tráfico PCoIP, lo cual permite la puesta a punto del tráfico de voz, video, y la visualización del escritorio remoto.

2.2.1.8.2.10. La solución ofertada debe soportar “video streaming” para contenido de video http dinámico por Adoble FLASH, Microsoft Silverlight y Apple HLS.

2.2.1.8.2.11. La solución debe soportar Latency Mitigation para IPv6 2.2.1.8.2.12. La solución debe soportar Latency Mitigation para flujos http, flujos https, MAPI, MAPI encriptado, Outlook

Anywhere, SMB, Signed SMB, SMBv2, SMBv3 y Sharepoint 2.2.1.8.2.13. La solución ofertada debe soportar la compresión de Mapi Encriptado sobre flujos http, Exchange Smartcard

authentication, compresión para IPv6 y UDP 2.2.1.8.2.14. La solución ofertada debe tener la opción si se requiere de incluir optimización hacia plataformas SaaS como

Office365, SuccessFactors, Salesforce, ServiceNow, entre otros 2.2.1.8.2.15. La solución propuesta debe tener la opción de optimizar aplicaciones en plataformas IaaS como AWS o Microsoft

Azure. 2.2.1.8.2.16. La solución propuesta deberá tener la capacidad encriptar la información optimizada entre los equipos a través

de SSL o IPSec con los algoritmos 3DES, AES con Key Lenght de 256 bits. 2.2.1.8.2.17. La configuración básica debe ser solo con una dirección IP, sin la necesidad de dar de alta el resto de los

aceleradores en el equipo central, permitiendo de la misma forma la interconexión de los equipos remotos sin configuraciones adicionales. El dispositivo deberá tener la capacidad de “auto descubrir” a los equipos remotos de forma automática y transparente. En caso de que el operador decida no usar la opción de auto-discover, deberán también soportar asignación fija del optimizador del otro extremo mediante una regla específica.

2.2.1.8.2.18. La solución propuesta deberá soportar la operación de VLAN´s (IEEE 802.1q) en las interfaces de conexión 2.2.1.8.2.19. La solución debe incluir la funcionalidad de Web Cache Proxy 2.2.1.8.2.20. La solución propuesta deberá permitir el curso normal del tráfico ante una falla que lo deje fuera de servicio y/o

apagado del mismo sin necesidad de intervención por parte de los operadores (modo bypass).

39

Numeral Requisito 2.2.1.8.2.21. Intercepción del tráfico: La solución propuesta deberá poder funcionar configurada tanto en modo físicamente

en línea (Ethernet Bridge) como también a través de redireccionamiento de tráfico como técnicas de WCCP o PBR.

2.2.1.8.2.22. Integración en ambientes con Ruteo Asimétrico: Deberá garantizarse capacidad para optimizar conexiones que son cursadas por diferentes enlaces en cada sentido, en un esquema de ruteo asimétrico cuando diferentes equipos optimizadores estén en cada camino del tráfico asimétrico. En caso de que exista un camino alternativo (asimétrico) que no esté siendo ruteado o redirigido por un equipo optimizador, los equipos deberán detectar automáticamente la asimetría como irresoluble y colocarla en modalidad bypass (no modificar dicho tráfico con técnicas de optimización) de manera de evitar cualquier posible disrupción.

2.2.1.8.2.23. Cuando se supere la capacidad máxima de conexiones optimizadas, la solución propuesta deberá permitir el paso de tráfico de datos sin optimizar a través de este

2.2.1.8.2.24. La solución propuesta deberá tener la capacidad de encriptar el contenido almacenado en el/los discos rígidos que posee, mediante algoritmo AES con llave de 256 bits.

2.2.1.8.2.25. Acceso remoto seguro vía HTTPS en línea y fuera de línea (interfaz de administración auxiliar) 2.2.1.8.2.26. Capacidad de Autenticación con RADIUS. 2.2.1.8.2.27. Los equipos ofrecidos deben tener capacidad de aplicar técnicas de selección de caminos, QoP, con el fin de

poder redirigir el tráfico de aplicaciones por dos enlaces diferentes. Esta funcionalidad debe contar como mínimo con los siguientes elementos:

Clasificación del tráfico a redirigir en base al encabezado IP, por identificación de aplicación o DPI. La redirección debe ser transparente tanto para los clientes, servidores, enrutadores y switches. Esta

redirección la debe realizar el equipo directamente sobre sus interfaces, e indirectamente reescribiendo la MAC o el campo DSCP del encabezado IP.

Monitoreo de la disponibilidad de los enlaces por ICMP. Failover automático del tráfico en caso que el enlace principal de las aplicaciones no esté disponible o presente degradación del desempeño.

2.2.1.8.2.28. Las técnicas de aceleración deberán ser aplicables por host, subred y/o puerto TCP. 2.2.1.8.2.29. Soporte de configuraciones en alta disponibilidad: Los equipos ofertados deben tener la capacidad de poder ser

configurados en alta disponibilidad, para que dos equipos redundantes sincronicen sus datos automáticamente. Se deberá poder sincronizar los datos aprendidos en el diccionario de patrones repetitivos a otro equipo de Backup, de manera que en caso que este tenga que tomar el control de todas las conexiones ya cuente en su propio diccionario con los segmentos de datos previamente aprendidos por el otro equipo optimizador que falló. Dicha sincronización deberá funcionar de manera bi-direccional entre ambos equipos (redundancia activo-activo)

2.2.1.8.2.30. Los equipos deben incluir Discos de Estado Solido SSD 2.2.1.8.2.31. Los equipos ofertados para el Datacenter Principal deben contar con al menos un arreglo de discos duros de

tecnología de estado sólido, SSD, para el almacenamiento de los patrones de tráfico o diccionario de patrones utilizados para la optimización. La solución de equipos centrales deben incluir un sistema de balanceo que permita optimizar y acelerar las conexiones entre varios appliances con el fin de cumplir con la capacidad total de la solución, y manejar un esquema de alta disponibilidad. Estos equipos deben ante una falla funcionar en un esquema de bypass por software o hardware.

2.2.1.8.2.32. Los equipos ofertados para el Datacenter Principal deben contar con al menos dos (2) módulos de expansión que soporten la instalación de tarjetas para optimizar enlaces de fibra GigabitEthernet LX o SX, y tarjetas para optimizar enlaces de fibra de 10 GigabitEthernet LR o SR.

2.2.1.8.2.33. Soporte de protocolo NTP. 2.2.1.8.2.34. La solución ofertada debe permitir la exportación de estadísticas de tráfico por medio de

Netflow v5 y Netflow v9. 2.2.1.8.2.35. Los equipos ofertados deben contar con una consola gráfica de análisis de paquetes, que permita proveer la

visibilidad para periodos de tiempo determinados por el administrador, de al menos los siguientes reportes, sobre cualquiera de las interfaces de red disponibles en los equipos ofertados:

Análisis de Transacciones de Conexiones TCP Análisis de Transacciones por Objetos Web Análisis de Tiempo de Respuesta de Conexiones TCP Análisis de Transacciones por Llamada VoIP Reporte de Calidad de la Llamadas IP por MOS Reporte de Pérdida de Paquetes de las llamadas VoIP Detalle de Errores TCP Round Trip Time por protocolo, por servidores, por clientes. Lista de Queries SQL por Cliente y Servidor

Esta consola debe tener integración nativa con los optimizadores, los análisis se deben realizar sobre información que se encuentre internamente en el optimizador, sin necesidad de exportar archivos de captura fuera del mismo.

2.2.1.8.2.36. Los equipos ofertados deben poseer características específicas de aceleración para ambientes satelitales que permitan mitigar los efectos de alta latencia y pérdida de paquetes, tales como TCP Westwood y Loss Tolerant Transport over Satellite (LTTS).

2.2.1.8.3. REPORTES 2.2.1.8.3.1. Reporte de optimización de ancho de banda (tráfico bidireccional, recibido en LAN y enviado a WAN y viceversa).

En los reportes deberá ser posible diferenciar el tráfico optimizado del tráfico no optimizado.

40

Numeral Requisito 2.2.1.8.3.2. Reportes de reducción de datos en porcentaje. 2.2.1.8.3.3. Reportes de tasas de transferencia de datos. 2.2.1.8.3.4. Resumen de reducción del tráfico por protocolos. 2.2.1.8.3.5. Reportes de conexiones actuales y del estado de las mismas. 2.2.1.8.3.6. Reporte histórico de conexiones. 2.2.1.8.3.7. Reporte de estadísticas de las aplicaciones que fluyen por el equipo. 2.2.1.8.3.8. Los reportes deben ser configurables en vistas de: cinco minutos, horas, días y rango de tiempo. 2.2.1.8.3.9. Envío de alertas sobre el estado del equipo vía traps SNMP, Email. 2.2.1.8.3.10. Consulta de reportes y logs de eventos y alertas del servicio vía web. 2.2.1.8.4. ADMINISTRACIÓN 2.2.1.8.4.1. Administración independiente en cada equipo: mediante interfaz Web, CLI y SSH.

En caso de ser necesario los equipos deberán poder funcionar y configurarse sin requerir del uso de una consola centralizada de administración (gestionando cada equipo de manera directa por CLI o Interfaz Web).

2.2.1.8.4.2. También deberá permitirse la administración centralizada de todos los equipos ofertados desde una consola independiente.

2.2.1.8.4.3. Incluir el software y hardware necesarios para la administración centralizada de los equipos requeridos, la consola operara en el centro de cómputo Central

2.2.1.8.4.4. Los equipos deberán permitir ser administrados y monitoreados a través de SNMP versión 3. 2.2.1.8.5. CONSOLA DE GESTION CENTRAL DE LA SOLUCION DE OPTIMIZADORES WAN 2.2.1.8.5.1. Centralizar la administración de los equipos remotos, políticas, backup de configuraciones, etc. 2.2.1.8.5.2. La configuración de la seguridad de acceso a los equipos remotos se podrá realizar también desde esta consola 2.2.1.8.5.3. Permitir además obtener información de todos los equipos de optimización instalados a lo largo de la red. Deberá

atener la facilidad de realizar reportes de los equipos remotos en base al desempeño de las aplicaciones afectadas por los equipos de aceleración, así como de obtener reportes de grupos de equipos sobre un protocolo en particular.

2.2.1.8.5.4. Acceso mediante Web Browser (HTTPS) Deberá poder gestionar por completo la configuración de todos los equipos ofertados.

2.2.1.8.5.5. Los cambios de políticas podrán ser aplicados por grupos jerárquicos de equipos para que la herramienta realice la configuración indicada en cada uno de los equipos. Será posible agendar trabajos específicos para que se ejecuten automáticamente en un momento de tiempo indicado.

2.2.1.8.5.6. Será posible también realizar upgrades del software/firmware de los equipos desde la consola central. 2.2.1.8.5.7. Desde la consola central de Gestión será posible acceder a reportes tanto agregados como individuales de cada

equipo. 2.2.1.8.5.8. Se deberán soportar tanto usuarios locales, como integración con RADIUS.

2.2.2. DATA CENTER 2.2.2.1. NOMBRE DEL SERVICIO 2.2.2.1.1. Centro de datos (Data center) 2.2.2.2. CARACTERÍSTICAS FÍSICAS 2.2.2.2.1. El centro de cómputo ofertado como data center como servicio y DRP debe estar construido de forma sismo-

resistente y contra inundaciones, el cual debe contar con piso falso en las áreas de equipos, que cumpla con todos los estándares internacionales de seguridad, que sea aislante en caso de incendio y no sea inflamable ni combustible. El área destinada a la ubicación de los equipos de cómputo no debe tener circulación de tuberías para evitar el riesgo de inundación o goteos al área. Todos los sitios de acceso (ventanas y puertas) deben estar construidos en material anti-inflamable y multilaminado. El centro de cómputo ofertado como data center como servicio debe contar con un área de almacenamiento, que permita la conservación de los medios de respaldo del SENA bajo condiciones ambientales adecuadas. Adicionalmente, estos medios deben ser custodiados en una bodega externa.

2.2.2.3. CONDICIONES AMBIENTALES 2.2.2.3.1. El centro de cómputo ofertado como data center como servicio y DRP debe contar con sistemas de aire

acondicionado; control de humedad; sistemas de extinción de incendios con agentes limpios. Adicionalmente, debe cumplir con las siguientes normas, con relación a las condiciones ambientales:

a) ASHRAE (American Society of Heating Ventilation and Air Conditioning); ICONTEC (Instituto Colombiano de Normas Técnicas);

b) NEMA (National Electrical Manufacturers Association); UL (Underwriters Laboratories) y CSA. Se tendrán en cuenta los sistemas redundantes para los sistemas ofrecidos.

2.2.2.4. CONDICIONES ELÉCTRICAS 2.2.2.4.1. El centro de cómputo (Data Center) como servicio y DRP deberá contar con sistemas de respaldo de la misma

capacidad, que permitan la continuidad del servicio de energía eléctrica al 100% durante el tiempo de autonomía especificado para Data Center tipo TIER III o equivalente ICREA, TIA. Se debe disponer mínimo de una subestación redundante con dedicación exclusiva y sistemas de transferencia automática, así como plantas eléctricas redundantes que ofrezcan la autonomía para Data Center de los tipos especificados anteriormente. Adicionalmente, se debe disponer de un sistema de UPS redundante con banco de baterías para el caso que se presenten fallas en la subestación. Todos los elementos mencionados anteriormente deben contar con sistemas

41

Numeral Requisito de monitoreo y gestión remota. Con el fin de prestar protección a los diferentes equipos eléctricos se debe disponer de un sistema adecuado de protección de puesta a tierra. El sistema eléctrico debe cumplir con las siguientes normas:

a. Intervalos de calidad de energía y parámetros de carga de fabricantes de computadoras ANSI /IEEE 446- en su versión más reciente.

b. STO. NORMA IEEE 519-1992. Recommended Practices and requirements for harmonic control in electrice' power systems. (www.ieee.org)

c. FIPS PUB 94 - Guideline on Electrical Power for ADP (Automatic Data Processing) Installations. en su versión más reciente.

d. IEEE Recommended Practice for Powering and Grounding Electronic Equipment, Std. 1100— en su versión más reciente. (www.ieee.org)

e. NEMA VE 2-2000. Cable Tray Installation Guidelines. (www.nema.org) f. Gula EN.50082-1: en su versión más reciente. Guía para los niveles de inmunidad a

disturbios electromagnéticos para equipos de baja tensión (referencia de cumplimiento de la mayor parte de fabricantes de equipos de cómputo). (www.atlasce.com)

g. Resolución CREO 070 en su versión más reciente. Código de distribución "sección 6.2 Calidad de la potencia suministrada" y sus modificaciones, (www.creg.gov.co)

h. Information Technology Industry Council (ITI). i. (CBEMA) Curve Application Note. en su versión más reciente. (www.itic.org). j. Código Eléctrico Colombiano. NTC 2050. en su versión más reciente. k. Reglamento Eléctrico Colombiano RETIE en su versión más reciente.

La alimentación eléctrica de todos los equipos tanto del data center principal como del data center secundario (DRP) deben ser acorde con las especificaciones del fabricante.

2.2.2.5. SISTEMA DE DETECCIÓN Y EXTINCIÓN DE INCENDIOS 2.2.2.5.1. El centro de cómputo ofertado como data center como servicio y el DRP debe contar con un sistema de

detección y extinción de incendios que debe cobijar como mínimo las siguientes áreas: Salón de equipos de cómputo - Salón de Energía - Salón de Redes y Comunicaciones. El sistema de extinción debe estar diseñado para incendios tipo C (incendios eléctricos), el cual debe utilizar agentes limpios. Además, se debe contemplar un sistema de detección temprana en todas las áreas. El sistema debe cumplir con las siguientes normas en su versión más reciente:

i. NFPA 70 National Electric Code, NFPA 72 National Fire Alarm Code. ii. NFPA 75 Protection of Electronic Computer/Data Processing. iii. NFPA 101Lite Safety Code 2000 Edition. iv. NFPA 220Standard on Types of Building Construction.

NFPA 2001Standard on Clean Agent Fire Extinguishing 2.2.2.6. SEGURIDAD FÍSICA 2.2.2.6.1. El centro de cómputo ofertado como data center como servicio y el DRP debe contar con control de acceso, el

cual debe permitir ingresar únicamente a personal autorizado. Además, se debe permitir el ingreso para cada uno de los funcionarios autorizados en el horario establecido. Adicionalmente, se debe contar con un sistema de monitoreo de circuito cerrado de televisión con disponibilidad 7 x 24 x 365, el cual cubra el 100% del Data Center, así como toda su área perimetral.

2.2.2.6.2. Responder por la calidad de los bienes y por las garantías presuntas establecidas por ley, debiendo suministrar bienes de la misma calidad y marcas cotizadas en las propuestas y/o en su defecto de calidad superior.

2.2.2.6.3. Estar en capacidad de adecuar el ancho de banda de los canales de acuerdo a las futuras necesidades del SENA y lo especificado en la sección de conectividad del presente documento, de manera que sea capaz de soportar el tráfico adicional generado sin modificar de forma sustancial la arquitectura original de la solución propuesta, respondiendo por la calidad y disponibilidad de la conectividad, la cual será realizada en un plazo máximo de ocho (8) días hábiles, previa solicitud de la Entidad.

2.2.2.6.4. Estar en capacidad de realizar la unificación de canales que requiera el SENA según sus necesidades. 2.2.2.6.5. Las demás obligaciones establecidas en el presente documento. 2.2.2.6.6. Los canales deben trabajar en una red MPLS. 2.2.2.6.7. Los canales de Internet deben incluir pool de IPV6. El CONTRATISTA deberá realizar las configuraciones

necesarias para la publicación del pool de la entidad. 2.2.2.7. SERVICIOS TRASLADOS 2.2.2.7.1. TRASLADO DATA CENTER 2.2.2.7.1.1. DESCRIPCIÓN DE LA NECESIDAD 2.2.2.7.1.1.1. El SENA requiere para la prestación del servicio de traslado especializado de la infraestructura física propiedad

del SENA a un Data Center alterno asociada al servicio descrito en la sección 2.2.2.20 Este traslado se deberá realizar en la etapa de transición en un plazo no mayor a 5 días, en la ventana dispuesta por el SENA de modo que minimice el impacto en la operación. Este centro de datos debe quedar en operación antes del 30 de septiembre de 2019

2.2.2.7.1.1.2. Antes de realizar el traslado el CONTRATISTA debe realizar un Backup Restore. 2.2.2.7.1.1.3. El CONTRATISTA debe proporcionar la infraestructura para ejecutar el DRP en caso de alguna falla en el

traslado y mitigar los riesgos del mismo y garantizar la continuidad de negocio en los servicios TIC del SENA.

42

Numeral Requisito 2.2.2.7.1.1.4. El CONTRATISTA estará en capacidad de ofrecer y realizar pruebas documentadas de apagado/prendido,

pruebas funcionales previas y posteriores al traslado, apagado definitivo, desmonte, adecuado almacenamiento para su transporte, logística y transporte especializado en equipos de Data Center, instalación en zona blanca en el Data Center del CONTRATISTA, energización, encendido y pruebas funcionales documentadas posterior a la instalación y puesta en servicio del sistema.

2.2.2.7.1.1.5. El SENA requiere que el CONTRATISTA realice el traslado especializado de equipos de cómputo desde el Data Center actual hasta su Data Center. El CONTRATISTA estará en capacidad de ofrecer y realizar la logística adecuada, cuidado, personal y transporte especializado en equipos de Data Center, pólizas y medidas de seguridad para el traslado de los equipos del SENA.

2.2.2.7.1.1.6. El CONTRATISTA deberá evaluar y minimizar los riesgos asociados, contar con los mecanismos de protección, herramientas y equipos especializados necesarios para movilizar los elementos al nuevo Data Center. El servicio incluirá las pólizas necesarias por parte del CONTRATISTA para subsanar al SENA en caso de cualquier eventualidad que pueda ocurrir en el traslado.

2.2.2.7.1.1.7. Equipo a trasladar: Equipos listados en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER” propiedad del SENA (indicada en cada ítem del presente documento que cumpla dicha condición).

2.2.2.7.1.2. RESPONSABILIDADES CONTRATISTA 2.2.2.7.1.2.1. Planificar y evaluar riesgos del traslado en concordancia con requerimientos del SENA. 2.2.2.7.1.2.2. Gestionar todas las pólizas, seguros y demás elementos legales relacionados con los traslados para garantizar

la continuidad de negocio de los servicios TIC en caso de daño, pérdida, parcial o total de los equipos a trasladar, de igual forma debe ser aplicada en todas las etapas del traslado hasta su puesta en operación y restablecimiento del servicio. Las pólizas además deben cubrir cualquier imperfecto, falla, daño parcial o total de los accesorios, cables y demás elementos necesarios para la correcta operación de los equipos a trasladar.

2.2.2.7.1.2.3. Coordinar las actividades con el SENA para la recepción y entrega de equipos en el punto de origen y destino. 2.2.2.7.1.2.4. El CONTRATISTA debe realizar los backups necesarios tanto de la configuración de equipos a trasladar,

software base de datos y aplicativos para mitigar y minimizar riesgos de pérdidas de información. 2.2.2.7.1.2.5. El CONTRATISTA realizará la preparación para el traslado de equipos de comunicaciones que hacen parte del

Data center y centros de cableado, como lo es el apagado, desconexión, marcación, etiquetación, retirar los equipos y hacer limpieza especializada interna y externa, embalaje con aislamiento térmico, el embalaje, protección y empaque de los equipos, esto con el fin de que no haya lugar a daño, ni pérdida, dicha actividad debe ser realizada por el CONTRATISTA.

2.2.2.7.1.2.6. Realizar el inventario detallado, preciso y completo de todo el hardware a trasladar, así como de las aplicaciones, componentes y accesorios que van a ser reubicados.

2.2.2.7.1.2.7. Levantar el registro fotográfico de los elementos a ser trasladados. 2.2.2.7.1.2.8. El CONTRATISTA realizará en conjunto con el prestador de servicios de housing y colocation del Data Center

actual el procedimiento de apagado y desconexión de los equipos del centro de cómputo, switches, servidores, equipos de seguridad de respaldo y equipos de comunicación propiedad del SENA.

2.2.2.7.1.2.9. El CONTRATISTA contará en el momento del traslado con el personal de seguridad capacitado, siendo este el que brinde seguridad física a los equipos que serán trasladado del Data center.

2.2.2.7.1.2.10. El CONTRATISTA realizará el proceso de configuración, conexión encendido y puesta en funcionamiento de los equipos que hacen parte del data center en el sitio indicado por el SENA.

2.2.2.7.1.2.11. El CONTRATISTA deberá contemplar el cambio de partes o de equipos que durante la ejecución del traslado resulten dañadas o averiadas.

2.2.2.7.1.2.12. De presentarse una situación que afecte el buen desempeño de los equipos el CONTRATISTA deberá proporcionar todos los recursos humanos, tecnológicos y partes de equipos necesarios, hasta el restablecimiento del servicio en su 100%, para que todos los equipos del centro de cómputo principal y alterno cuenten con conectividad y operen sin ningún inconveniente.

2.2.2.7.1.2.13. El CONTRATISTA deberá presentar al SENA un plan de contingencia para respaldar toda la información de la entidad y colocarlo en operación 15 días hábiles previos al traslado del Data Center.

2.2.2.7.1.2.14. El CONTRATISTA garantizará la correcta operación y continuidad de negocio de las aplicaciones críticas indicadas por el SENA hasta la finalización del traslado del Data Center y su correcta puesta en marcha en el data center destino indicado por el SENA.

2.2.2.7.1.2.15. El protocolo de traslado fechas, horas, personal y demás elementos del traslado de los equipos del data center serán aprobados por el SENA.

2.2.2.7.1.2.16. El CONTRATISTA deberá entregar previamente y antes del traslado un diseño, indicando la topología lógica y esquema de ubicación de los servidores y equipos activos al supervisor del contrato o quien indique la oficina de Sistemas del SENA.

2.2.2.7.1.2.17. El CONTRATISTA deberá entregar un documento de conectividad, topología y ubicación de los equipos activos y esquema de ubicación de los servidores y equipos activos a la oficina de Sistemas del SENA

2.2.2.7.1.2.18. El CONTRATISTA deberá configurar en compañía de los funcionarios del SENA un esquema de redes vLANs las cuales deben realizar de acuerdo con el esquema proyectado por el administrador de la red LAN- WAN del SENA.

2.2.2.7.1.2.19. El CONTRATISTA deberá ofrecer mínimo 72 horas de soporte en sitio , el cual será prestado por los ingenieros con conocimiento en traslado de data center, certificados en las plataformas de usadas por el SENA acorde con las matrices de compatibilidad de los diferentes fabricantes, productos y servicios usados en la operación TIC del SENA, sistemas de almacenamiento, servidores, sistemas de comunicación, durante el apagado y encendido de los equipos trasladados del Data center, hasta el restablecimiento del servicio, se debe contar con los

43

Numeral Requisito ingenieros y personal experto para el restablecimiento del servicio y verificación del correcto funcionamiento del data center, (integrado compuesto por los equipos del data center).

2.2.2.7.1.2.20. Realización de pruebas eléctricas de apagado/encendido previo a la realización del traslado, garantizar que las acometidas eléctricas, tomas, cables adicionales y demás elementos de conexión y montaje son compatibles con las máquinas.

2.2.2.7.1.2.21. Realización de pruebas de conectividad de red y dejar constancia de estado en informe detallado previo a la realización del traslado.

2.2.2.7.1.2.22. Garantizar el transporte con vehículos acondicionados para transportar elementos de Data Center y en condiciones óptimas para la prestación del servicio.

2.2.2.7.1.2.23. Brindar protección contra golpes, vibración excesiva, daño, hurto y sistemas de geo-localización en los vehículos transportadores.

2.2.2.7.1.2.24. Evitar que personas no autorizadas tengan acceso o manipulen los equipos y elementos transportados. 2.2.2.7.2. SERVICIO TRASLADO Y PUESTA EN MARCHA DE INFRAESTRUCTURA FÍSICA ASOCIADA AL SERVICIO

DE SOFIA 2.2.2.7.2.1. El SENA requiere para la prestación del servicio de la Aplicación SOFIA, el traslado especializado de esta

infraestructura física, que actualmente está alojada en el Data Center propiedad del SENA. Este servicio cuenta con 22 servidores X5-2, sistemas de archivos ZFS en almacenamiento FS1-2 y SuperCluster T5-8 para las bases de datos. Este servicio operará bajo la figura de Housing durante el contrato y contará con la administración especializada de los equipos y servicios por personal proporcionado por el CONTRATISTA

2.2.2.7.2.1.1. El CONTRATISTA estará en capacidad de ofrecer y realizar pruebas documentadas de apagado/encendido, pruebas funcionales previas y posteriores al traslado, apagado definitivo, desmonte, adecuado almacenamiento para su transporte, logística y transporte especializado en equipos de Data Center, instalación en zona blanca en el Data Center del CONTRATISTA, energización, encendido y pruebas funcionales documentadas posterior a la instalación y puesta en servicio del sistema

2.2.2.7.2.1.2. El CONTRATISTA deberá evaluar y minimizar los riesgos asociados, contar con los mecanismos de protección, herramientas y equipos especializados necesarios para movilizar los elementos al nuevo Data Center. El servicio incluirá las pólizas necesarias por parte del CONTRATISTA para subsanar al SENA en caso de cualquier eventualidad que pueda ocurrir en el traslado.

2.2.2.7.2.1.3. La relación de equipos a trasladar relacionados a este servicio desde el Data Center, se lista y detallan en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER” en la pestaña Arq SOFIA y Servidores (SPARC y x86)

2.2.2.7.3. SERVICIO TRASLADO Y PUESTA EN MARCHA DE INFRAESTRUCTURA FÍSICA ASOCIADA AL SERVICIO DE SUPERVISIÓN DE RENDIMIENTO DE LAS APLICACIONES Y LA RED

2.2.2.7.3.1. DESCRIPCIÓN DE LA NECESIDAD 2.2.2.7.3.1.1. El SENA requiere para la prestación del servicio Supervisión de Rendimiento de las Aplicaciones y la Red, el

traslado especializado de la infraestructura física en el Data Center asociado al servicio. Este servicio operará bajo la figura de Housing durante el contrato y contará con la administración especializada de los equipos y servicios por personal proporcionado por el CONTRATISTA

2.2.2.7.3.2. RESPONSABILIDADES CONTRATISTA 2.2.2.7.3.2.1. El CONTRATISTA estará en capacidad de ofrecer y realizar pruebas documentadas de apagado/encendido,

pruebas funcionales previas y posteriores al traslado, apagado definitivo, desmonte, adecuado almacenamiento para su transporte, logística y transporte especializado en equipos de Data Center, instalación en zona blanca en el Data Center del CONTRATISTA, energización, encendido y pruebas funcionales documentadas posterior a la instalación y puesta en servicio del sistema

2.2.2.7.3.2.2. El CONTRATISTA deberá evaluar y minimizar los riesgos asociados, contar con los mecanismos de protección, herramientas y equipos especializados necesarios para movilizar los elementos al nuevo Data Center. El servicio incluirá las pólizas necesarias por parte del CONTRATISTA para subsanar al SENA en caso de cualquier eventualidad que pueda ocurrir en el traslado.

2.2.2.7.3.2.3. La relación de equipos a trasladar relacionados a este servicio desde el Data Center, se lista y detallan en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER” entre las distintas categorías.

2.2.2.7.4. SERVICIO TRASLADO Y PUESTA EN MARCHA DE INFRAESTRUCTURA FÍSICA ASOCIADA AL SERVICIO SENA PLUS

2.2.2.7.4.1. CONTEXTO / ANTECEDENTES 2.2.2.7.4.1.1. El servicio de SENA PLUS, tiene como principal objetivo el servicio de integración de materiales audiovisuales,

realizado a través de una herramienta que permite su administración, monitoreo, visualización en todas las sedes de la entidad y poder acceder a este contenido desde cualquier lugar del mundo, generando canales de video temáticos para llegar con más oportunidades de aprendizaje de una manera ágil, oportuna y eficiente. La herramienta permite almacenar de forma organizada la información Audiovisual Gestionada por el SENA para ser publicada a las audiencias que seleccione el administrador. El servicio se presta actualmente, con infraestructura ubicada en un Data Center externo de Telefónica ubicado en la Zona Franca y conectada con un canal de comunicaciones Directo al SENA, para la conexión al servicio de los usuarios internos, y con un canal de Internet para la conexión de los usuarios externos. La instalación de la plataforma se realizó en Red SENA, y toda la información queda replicada en Internet, con lo cual la administración se hace desde la red SENA.

2.2.2.7.4.1.2. El servicio está compuesto de:

44

Numeral Requisito o Procesamiento Central: plataforma de servidores físicos y virtuales que soportan el servicio

de la solución Sena Plus. o Almacenamiento Central: Almacenamiento dedicado a la plataforma audiovisual del SENA. o Servidores de Caché de dos centros de datos: operar el servicio, con base en la entrega

más cercana, evitando utilización de recursos de red y de procesamiento.

2.2.2.7.4.2. DESCRIPCIÓN DE LA NECESIDAD 2.2.2.7.4.2.1. El SENA requiere para la prestación del servicio SENA PLUS el traslado especializado de la infraestructura física

en el Data Center asociado al servicio. El cual debe contar con backup restore antes de su traslado al data center principal ofrecido por el CONTRATISTA. El CONTRATISTA estará en capacidad de ofrecer y realizar pruebas documentadas de apagado/prendido, pruebas funcionales previas y posteriores al traslado, apagado definitivo, desmonte, adecuado almacenamiento para su transporte, logística y transporte especializado en equipos de Data Center, instalación en zona blanca en el Data Center del CONTRATISTA, energización, encendido y pruebas funcionales documentadas posterior a la instalación y puesta en servicio del sistema. El alcance de este traslado está definido en el presente numeral. Este servicio operará bajo la figura de Housing durante el contrato y contará con la administración especializada de los equipos y servicios por personal proporcionado por el CONTRATISTA

2.2.2.7.4.3. RESPONSABILIDADES CONTRATISTA 2.2.2.7.4.3.1. El CONTRATISTA estará en capacidad de ofrecer y realizar pruebas documentadas de apagado/prendido,

pruebas funcionales previas y posteriores al traslado, apagado definitivo, desmonte, adecuado almacenamiento para su transporte, logística y transporte especializado en equipos de Data Center, instalación en zona blanca en el Data Center del CONTRATISTA, energización, encendido y pruebas funcionales documentadas posterior a la instalación y puesta en servicio del sistema

2.2.2.7.4.3.2. El CONTRATISTA deberá evaluar y minimizar los riesgos asociados, contar con los mecanismos de protección, herramientas y equipos especializados necesarios para movilizar los elementos al nuevo Data Center. El servicio incluirá las pólizas necesarias por parte del CONTRATISTA para subsanar al SENA en caso de cualquier eventualidad que pueda ocurrir en el traslado.

2.2.2.7.4.3.3. Garantizar la correcta operación, gestión, actualización y soporte del licenciamiento, y realizar monitoreo a la plataforma que soporta la gestión del material audiovisual.

2.2.2.7.4.3.4. La relación de equipos a trasladar relacionados a este servicio desde el Data Center, se listan y detallan en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER” entre las distintas categorías.

2.2.2.7.4.3.5. Brindar soporte técnico y funcional a los usuarios que generan el material o que están involucrados en el proceso de almacenamiento, aprobación o catalogación de la información audiovisual.

2.2.2.7.4.3.6. Administrar y mantener la solución de SENA Plus, entregada en producción. 2.2.2.7.5. TRASLADO Y PUESTA EN MARCHA DE INFRAESTRUCTURA FÍSICA ASOCIADA AL SERVICIO PUNTOS

DE EXPERIENCIA 2.2.2.7.5.1. DESCRIPCIÓN DE LA NECESIDAD 2.2.2.7.5.1.1. El SENA requiere para la prestación del servicio Puntos de Experiencia con un proceso inicial de backup

restore, el traslado especializado de la infraestructura física en el Data Center asociada al servicio. El CONTRATISTA estará en capacidad de ofrecer y realizar pruebas documentadas de apagado/prendido, pruebas funcionales previas y posteriores al traslado, apagado definitivo, desmonte, adecuado almacenamiento para su transporte, logística y transporte especializado en equipos de Data Center, instalación en zona blanca en el Data Center del CONTRATISTA, energización, encendido y pruebas funcionales documentadas posterior a la instalación y puesta en servicio del sistema. El alcance de este traslado está definido en el presente numeral. Este servicio operará bajo la figura de Housing durante el contrato y contará con la administración especializada de los equipos y servicios por personal proporcionado por el CONTRATISTA

2.2.2.7.5.2. RESPONSABILIDADES CONTRATISTA 2.2.2.7.5.2.1. El CONTRATISTA estará en capacidad de ofrecer y realizar pruebas documentadas de apagado/prendido,

pruebas funcionales previas y posteriores al traslado, apagado definitivo, desmonte, adecuado almacenamiento para su transporte, logística y transporte especializado en equipos de Data Center, instalación en zona blanca en el Data Center del CONTRATISTA, energización, encendido y pruebas funcionales documentadas posterior a la instalación y puesta en servicio del sistema

2.2.2.7.5.2.2. El CONTRATISTA deberá evaluar y minimizar los riesgos asociados, contar con los mecanismos de protección, herramientas y equipos especializados necesarios para movilizar los elementos al nuevo Data Center. El servicio incluirá las pólizas necesarias por parte del CONTRATISTA para subsanar al SENA en caso de cualquier eventualidad que pueda ocurrir en el traslado.

2.2.2.7.5.2.3. La relación de equipos a trasladar relacionados a este servicio desde el Data Center, se listan y detallan en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER” entre las distintas categorías.

2.2.2.7.6. EQUIPO MÍNIMO DE TRABAJO PARA TRASLADOS 2.2.2.7.6.1. Líder del Traslado 2.2.2.7.6.1.1. Un (1) ingeniero de sistemas o electrónico o en telecomunicaciones y/o en sistemas, debe tener experiencia

con mínimo cinco (5) años de experiencia en coordinación y ejecución de proyectos de instalaciones informáticas o consultoría en el sector Gobierno o haber liderado proyectos de puesta en funcionamiento centros de datos (Data center).

2.2.2.7.6.2. Ingenieros lideres Técnicos

45

Numeral Requisito 2.2.2.7.6.2.1. Un (1) ingeniero en telecomunicaciones, sistemas o electrónico certificaciones en Redes de datos,

infraestructura de data center, virtualización de data center y servicios TIC. Acreditar tarjeta profesional. 2.2.2.7.6.2.2. Un (1) Ingeniero en sistemas y/o electrónica con Certificación en plataformas de virtualización. Acreditar tarjeta

profesional. 2.2.2.7.6.2.3. Un ingeniero electrónico con mínimo 5 años de experiencia, especializado en infraestructura de centros de

datos y certificado en Auditorías energéticas. Acreditar tarjeta Professional. 2.2.2.7.6.2.4. Un (1) Ingeniero de sistemas y/o electrónico certificado en Oracle VM para los procesos derivados de

migración, actualización, instalación y puesta en operación del DRP. 2.2.2.7.7. PUESTA EN MARCHA DATA CENTER OFERTADO 2.2.2.7.7.1. El CONTRATISTA dispondrá de 6 meses a partir de la firma del contrato, una vez realice el traslado de la

infraestructura del data center actual, para replicar la infraestructura de dicho data center. A partir de ese momento, ofertará el servicio de data center principal (infraestructura del CONTRATISTA) y data center alterno (infraestructura propiedad del SENA) en modalidad activo-pasivo.

2.2.2.8. ADMINISTRACIÓN DE LA INFRAESTRUCTURA FÍSICA PROPIEDAD DEL SENA 2.2.2.8.1. DESCRIPCIÓN DE LA NECESIDAD 2.2.2.8.1.1. El SENA requiere la gestión integral de su infraestructura TI alojada en el Data Center del CONTRATISTA en

modalidades de la solución esta infraestructura compone el DRP del SENA (referenciado en sección 2.3.20). y de los equipos alojados bajo la modalidad de housing indicados en los numerales 2.3.7.2, 2.3.7.3, 2.3.7.4, 2.3.7.5.

2.2.2.8.2. RESPONSABILIDADES CONTRATISTA 2.2.2.8.2.1. Dicha gestión consiste en la administración, mantenimiento, monitoreo, actualización, configuración,

aseguramiento, endurecimiento, operación continua, gestión ante los CONTRATISTAs y fabricantes de cada uno de los componentes de su infraestructura de red, procesamiento, almacenamiento, seguridad y toda aquella infraestructura de Data Center de respaldo (DRP) en modalidad de housing.

2.2.2.8.2.2. La gestión de administración debe realizarse bajo la Gestión de Procesos definida para el SENA (RFI Gestión de Servicio – Mesa de Servicio y Gestión Global e Integración) y las cinco etapas de Ciclo de Vida del servicio enmarcadas en ITIL y en concordancia con los procedimientos establecidos en los manuales de operación TI del SENA. El listado de ítems de infraestructura física a administrar, sus especificaciones técnicas detalladas, así como los ANS aplicables a cada uno de los ítems listados, se encuentran en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER” vinculado al presente documento.

2.2.2.9. INFRAESTRUCTURA DE LA NUBE PRIVADA 2.2.2.9.1. REQUERIMIENTOS MÍNIMOS 2.2.2.9.1.1. EL SENA requiere una solución integral y compatible con la infraestructura existente. Para sus bases de datos

críticas el CONTRATISTA debe incluir en su arquitectura de solución un sistema convergente que: • Sea compatible con el Supercluser actual. • Exceda las características de procesamiento y almacenamiento especializado para base de

datos que este provee. Así mismo la arquitectura de la infraestructura de nube privada debe involucrar ambientes convergentes, compatibles con los sistemas PCA y sistemas de almacenamiento ZS que repliquen de manera nativa las máquinas virtuales sobre plataforma x86. El servicio debe proveer alta disponibilidad y redundancia. Se requiere de una solución altamente tolerante a fallas que permita la caída de al menos uno de los nodos de cómputo y que permita la migración en caliente de las máquinas virtuales que viven dentro del nodo afectado." La infraestructura debe soportar las cargas de trabajo o servicios actuales del SENA; así como los crecimientos futuros a cinco (5) años. La capacidad de procesamiento, memoria y almacenamiento es la capacidad instalada actual, más un 30% de recursos adicionales para el crecimiento del SENA. Se deberá anexar el cálculo de equivalencia sin asumir ningún nivel de sobresuscripción en la infraestructura actual. Esta infraestructura debe garantizar su integración al DRP conformado por la infraestructura actual del SENA. NOTA: Dada la infraestructura los despliegues, eliminación, creación, orquestación y modificación de máquinas virtuales no generará costo alguno al SENA, es parte de la operación administración de la infra estructura contratada como data center como servicio y DRP.

2.2.2.9.1.2. La infraestructura de procesamiento mencionada en los numerales anteriores, debe estar basada en: • Procesadores SPARC M8 para las bases de datos críticas Oracle. • Procesadores Intel Xeon familia Platinum de última generación o de similares características para los

sistemas convergentes que ejecutan el pool de máquinas de sistemas operativos X86 (Windows y Linux). 2.2.2.10. ORQUESTACIÓN DE INFRAESTRUCTURA 2.2.2.10.1. La Solución debe Ofrecer GESTION Y AUTOAPROVISONAMIENTO.

Esta herramienta debe proveer la gestión, administración de la infraestructura, así como el aprovisionamiento de la infraestructura, Virtual, Física, Almacenamiento incluido en la solución, así como la red del Data Center, esta herramienta de nube privada debe como mínimo:

• Habilidad de administrar y aprovisionar infraestructura virtual y física de terceros vendedores • La solución deberá soportar el aprovisionamiento de infraestructura física X 86, virtual y entornos de

nube pública. • Habilidad de administrar servidores Bare-Metal y de terceros vendedores

46

Numeral Requisito • Habilidad de administrar hipervisores de diferentes fabricantes • Soportar almacenamiento y productos de replicación de todos los principales proveedores. También

es capaz de soportar iSCSI, Fibre Channel o soluciones de replicación de almacenamiento basado en NFS.

• Habilidad de crear infraestructura virtual que podrá ser asociada con diferentes grupos de roles. • Soporta la integración de elementos de red de terceros y las soluciones de seguridad a través de una

arquitectura abierta y estándar API • Automatización de servicios mediante la creación de Workflows y se debe soportar “Rollback” de los

workflows, en caso de ser necesario. • Habilidad de identificar y reportar máquinas virtuales sobre dimensionadas con más recursos de los

necesarios, en estado “idle” o apagadas. • Incluir funcionalidades “out of the box” de reportes para visualizar uso actual, disponibilidad de

recursos físicos, espacio virtual disponible para crecimiento. • Capacidad de crear Dashboards sin la necesidad de crear scripts. • Soportar la creación de servicios como “Single VM y aplicaciones Multi-Tier (incluyendo elementos de

red basados en software como router virtuales o firewalls). Todo deberá ser parte de una plantilla estándar

• El solicitante de máquinas virtuales deberá estar en la capacidad de iniciar / detener / suspender las máquinas virtuales, solicitar recursos adicionales y acceder a la máquina virtual usando protocolos RDP / SSH a través del portal de autoservicio basado en el derecho

• La solución deberá proporcionar un motor de orquestación con los flujos de trabajo listos, tareas básicas y la capacidad para crear flujos de trabajo personalizados basados en SOAP, REST y operaciones scripts de PowerShell

• Administración unificada de rendimiento y capacidad • Capacidad de descubrir automáticamente infraestructura (Dominios de computo) • Capacidad de predecir el uso del ancho de banda de la red en un futuro, basado en comportamientos

históricos, esto con el fin de prever posibles cuellos de botella en el futuro • Datos en tiempo real para monitorear el ancho de banda de la red • Soporte de terceros vendedores a nivel de almacenamiento e hipervisores. • Venir con reporte pre-construidos y listos para ser utilizados • Soporte de consola de eventos, la cual permita ver y manejar eventos con el fin de obtener más

información • Llamado al centro de atención.

2.2.2.10.2. La solución deberá estar soportada para ser instalada en nubes públicas como Amazon Web Services y Microsoft Azure tanto en los agentes de detección como en la o las consolas de administración. La infraestructura ofertada debe ser de uso exclusivo para el SENA, no se puede compartir recursos con otras entidades.

2.2.2.10.3. La solución de administración de la herramienta debe estar soportada para correr en arquitecturas de 64 bits para Microsoft Windows, Linux RedHat o Suse Linux.

2.2.2.10.4. La solución deberá ser instalada y ser soportada en servidores virtuales y la consola de administración podrá desplegarse en escritorios físicos o virtuales.

2.2.2.10.5. La Solución de orquestación, virtualización y gestión del Data Center principal debe tener la capacidad de operar en ambientes multi-cloud (CMP- Cloud Management Platform), como suite integrada de herramientas de software para el control de nubes públicas, privadas e híbridas y ambientes multi-nube.

2.2.2.10.6. Los equipos deben tener capacidad de automatización sobre la arquitectura SDN (Software Defined Networking) que tenga definida el fabricante de la solución; con el objeto de garantizar los servicios de automatización de red de la solución de conectividad perteneciente a los servicios informáticos que provee EL SENA en producción y operación.

2.2.2.10.7. La solución no debe requerir el uso de etiquetas para la detección de datos. 2.2.2.10.8. ADMINISTRACIÓN DE PLATAFORMAS DE VIRTUALIZACIÓN 2.2.2.10.8.1. RESPONSABILIDADES CONTRATISTA TANTO EN DATA CENTER PRINCIPAL COMO EN DATA CENTER

DRP 2.2.2.10.8.1.1. El CONTRATISTA debe realizar un diseño que permita diferenciar tres ambientes tanto en hardware como en

software para las aplicaciones en Producción, los servidores de Gestión y los servidores de Desarrollo y Pruebas, el dimensionamiento, clústeres y demás elementos necesarios para prestar este servicio en la solución indicada por el CONTRATISTA

2.2.2.10.8.1.2. En el diseño de la solución de nube privada debe presentar una opción de enlace de plataformas de virtualización entre el data center principal y alterno (DRP) para el balanceo de cargas entre los objetos de data center, permitiendo migración de máquinas virtuales y despliegues de servicios.

2.2.2.10.8.1.3. Garantizar el acceso administrativo a los funcionarios SENA acorde con el protocolo definido con el CONTRATISTA para la gestión y administración de las plataformas de virtualización.

2.2.2.10.8.1.4. El CONTRATISTA debe garantizar el acceso a los funcionarios indicados por la Oficina de Sistemas del SENA a la información de capacidad y monitoreo tanto de hardware como de la plataforma de virtualización y definir el protocolo para la gestión de cambios dentro de la infraestructura alojada en las plataformas de virtualización.

2.2.2.10.8.1.5. El licenciamiento de las plataformas de virtualización correrá por parte del CONTRATISTA. 2.2.2.10.8.1.6. El proponente realizará las migraciones, actualizaciones, cambios de versiones en compañía del fabricante y

previa autorización del SENA. Adicionalmente debe entregar por sistema de información y aplicación, el plan

47

Numeral Requisito de migración detallado con las actividades mencionadas anteriormente y el minutograma para la realización del cambio según buenas prácticas de ITIL (integradas las prácticas de gestión de COBIT).

2.2.2.10.8.1.7. La migración, actualización, cambios de versiones, instalación de parches será un proceso constante durante la prestación del servicio del CONTRATISTA hacia el SENA, estos procesos serán acordados entre el SENA y el CONTRATISTA quien asumirá los costos de estos en las plataformas diferentes a Oracle VM.

2.2.2.10.8.1.8. La administración de las plataformas de virtualización será realizada por el CONTRATISTA con profesionales especializados avalados y certificados por el fabricante de las soluciones de virtualización, verificado por la interventoría y la oficina de sistemas del SENA, en todos los casos el SENA dispondrá de acceso y privilegios sobre las plataformas de virtualización acorde con el protocolo de despliegue, modificación y eliminación de máquinas virtuales a los funcionarios que indique la oficina de Sistemas del SENA.

2.2.2.10.8.1.9. La o las plataformas de virtualización ofertadas deben tener la capacidad de proveer virtualización ligera y/o contenedores en diferentes soluciones, con preferencia en sistemas de virtualización abiertos y/o con base en OpenStack, manteniendo la interoperabilidad para el desarrollo de aplicaciones bajo la filosofía DevOps.

2.2.2.10.8.1.10. La o las plataformas de virtualización ofertada por el CONTRATISTA deberá tener la capacidad de contar con integración y software de orquestación, este licenciamiento configuración y puesta en operación será brindado por el CONTRATISTA a todo coste y a su costa, la operación será realizada por el CONTRATISTA.

2.2.2.10.8.1.11. El CONTRATISTA deberá capacitar a los funcionarios indicados por la oficina de Sistemas del SENA en todos los componentes de esta solución y brindar el acceso con perfiles de administrador y/o niveles de acceso definidos por el SENA.

2.2.2.11. GESTIÓN DEL DATA CENTER 2.2.2.11.1. DESCRIPCIÓN DE LA NECESIDAD 2.2.2.11.1.1. Mantener el servicio de monitoreo continuo de los dos centros de cómputo principal y alterno (DRP) durante las

24 horas al día durante todo el año (conocido como servicio 7x24x365). 2.2.2.11.2. GESTIÓN DE LOS SERVICIOS CONTRATADOS EN EL DATA CENTER 2.2.2.11.2.1. Bitácora de entrada de personal a las áreas destinadas para solución nube privada y DRP en el data center

alterno del CONTRATISTA y su respectivo acompañamiento. 2.2.2.11.2.2. Entrada y salida de equipos. Manejar un control de entrada y salida de equipos propiedad del SENA como

soporte para inventario, actualización de información, reportes y los responsables de cada cambio. 2.2.2.11.2.3. Seguimiento y Control de cambios. Velar por el diligenciamiento y aplicación del procedimiento de control de

cambios a cualquier elemento contenido en la data center principal y alterno. 2.2.2.11.2.4. Diligenciar la bitácora diaria de control de operación de hardware y software. 2.2.2.11.2.5. Servicio de manos remotas, es decir, ejecutar tareas sobre cualquier elemento en el cuarto de equipos

comunicada de manera remota (voz, email) por el personal indicado por la oficina de Sistemas del SENA como reinicio físico de un servidor, conexión y desconexión de algún elemento como medida para evitar la movilización del personal de ingeniería. Para la ejecución de la tarea se acordará un protocolo de autenticación del usuario remoto y verificación de su identidad.

2.2.2.11.3. MANEJO Y CONTROL DE LA GESTIÓN DEL DATA CENTER 2.2.2.11.3.1. Actualizar y mantener un Inventario de servidores físicos y virtuales. 2.2.2.11.3.2. Actualizar y mantener un Inventario de servicios y aplicaciones. 2.2.2.11.3.3. Documentación de los racks. 2.2.2.11.3.4. Documentación de los servicios. 2.2.2.11.3.5. Documentación de los protocolos de activación de DRP. 2.2.2.11.3.6. Documentación de los protocolos de creación, modificación y eliminación de máquinas virtuales. 2.2.2.11.3.7. Documentación de los protocolos de respaldo, y recuperación de máquinas virtuales y físicas. 2.2.2.11.3.8. Documentación asociada a los mantenimientos preventivos y correctivos. 2.2.2.11.3.9. Gestión de los reportes solicitados por el SENA de acuerdo con los ANS establecidos de oportunidad dados

por MDS e integración de servicios. 2.2.2.11.3.10. El CONTRATISTA realizará los informes de acuerdo con los requerimientos de la oficina de Sistemas del

SENA, con la frecuencia y demanda indicados por la misma, existirá un proceso concertado entre las partes para la modificación de los reportes cada vez que lo requiera el SENA.

2.2.2.11.4. MANTENIMIENTO, ESCALAMIENTO DE CONTRATISTAS, GARANTÍAS PARA EQUIPOS PROPIEDAD DEL SENA

2.2.2.11.4.1. DESCRIPCIÓN DE LA NECESIDAD 2.2.2.11.4.1.1. El CONTRATISTA debe garantizar su apoyo administrativo en las labores listadas junto con el CONTRATISTA

especializado en centro de cómputo principal (data center) y DRP. 2.2.2.11.4.2. RESPONSABILIDADES CONTRATISTA 2.2.2.11.4.2.1. Programación de los mantenimientos. Mantener un cronograma mensual y anual del seguimiento de todos los

contratos de mantenimiento que cubren todos los componentes de la sala de equipos. Facilitar el ingreso y cumplimiento de todas las visitas de mantenimiento de los CONTRATISTAs y compilar todos los reportes.

2.2.2.11.4.2.2. Mantener un registro de gestión de las fechas de inicio y fin de garantías de todo equipo o sistema contenido en la sala de equipos. Se realizará trabajo y retroalimentación continua con los líderes y/o funcionarios indicados por la oficina de Sistemas del SENA para recopilación y cruce de información actualizada.

2.2.2.11.4.2.3. Gestión de las fechas de inicio y fin de los contratos de mantenimiento. 2.2.2.11.4.2.4. Seguimiento y control a las fechas de mantenimiento programado anual. 2.2.2.11.4.2.5. Manejo de listas de chequeos del estado de todos los sistemas, temperaturas, y listas de incidentes. 2.2.2.11.4.2.6. Solicitar o iniciar el proceso de escalamiento a los fabricantes para el trámite de cambios de repuestos, partes

como discos con falla, fallas en el hardware y en los sistemas del centro de cómputo principal y alterno.

48

Numeral Requisito 2.2.2.11.4.2.7. Seguimiento al cumplimiento del servicio de mantenimiento (preventivo y correctivo) tanto a nivel de hardware

como de software base para todos los equipos incluidos en el servicio y los contratos que tenga el SENA; dichos servicios deberán programarse, coordinarse con los CONTRATISTAs y el líder delegado por la oficina de Sistemas del SENA y deberán cumplirse hasta la finalización del contrato.

2.2.2.11.5. GESTIÓN INTEGRAL DEL DATA CENTER 2.2.2.11.5.1. RESPONSABILIDADES CONTRATISTA 2.2.2.11.5.1.1. Informar del estado general de los equipos de respaldo como la planta eléctrica, UPS, aires acondicionados;

gestionar el mantenimiento preventivo y correctivo durante la vigencia del contrato. 2.2.2.11.5.1.2. Realizar el análisis, diagnóstico y presentación de un plan de mejoramiento para la administración de

esta infraestructura tecnológica de los servidores y servicios telemáticos de la organización actual del centro de cómputo principal y alterno .

2.2.2.11.5.1.3. Informar de las fallas de subsistemas asociados al Data Center principal y alterno, con los siguientes informes: • Escalamiento a la empresa de aíre acondicionado. • Escalamiento a la empresa de UPS. • Escalamiento a la empresa de Planta de energía (generador).

Escalamiento a la empresa de Transferencia electrónica de energía. 2.2.2.11.5.1.4. Escalamiento de las fallas a los CONTRATISTAs de soporte de garantía.

• Fabricantes de nube de computación. Fabricantes de sistemas de información.

2.2.2.11.5.1.5. Envío de alertas sobre las fallas en sistemas a la oficina de sistemas del SENA (email y/o celular). 2.2.2.11.5.1.6. Asistencia de manos remotas (según protocolo de verificación de identidad) a los ingenieros de soporte vía

comunicación remota para solución de problemas. 2.2.2.11.5.1.7. El CONTRATISTA debe contar con un sistema de comunicación celular de tal forma que pueda ser contactado

cuando no se localice fácilmente por los medios tradicionales o como método alterno de comunicación para emergencias. De igual forma, que el CONTRATISTA deberá realizar llamadas para solicitar apoyo en caso de ser necesario.

2.2.2.11.6. MONITOREO FÍSICO DE LOS EQUIPOS 2.2.2.11.6.1. RESPONSABILIDADES CONTRATISTA 2.2.2.11.6.1.1. Realizar una revisión física a cada uno de los racks contenidos en el Centro de Cómputo principal y alterno,

anotar las alarmas visuales relacionadas como son LED con sus colores, temperaturas en los paneles de los sistemas de aíre, indicadores de carga del combustible en la planta, valores de entrada de energía en tableros, medidas de consumo de las UPS.

2.2.2.11.6.1.2. Estas mediciones se compararán con las medidas arrojadas por los sistemas de gestión automatizados para dar interpretación al funcionamiento normal o anormal de la línea base de operación. Esta información deberá suministrarse a las herramientas de control indicadas por el SENA, sistemas BI, bases de conocimiento y demás elementos indicados en el RFI de la línea de gestión de Servicios

2.2.2.11.7. MONITOREO LÓGICO DE LOS EQUIPOS 2.2.2.11.7.1. RESPONSABILIDADES CONTRATISTA 2.2.2.11.7.1.1. El CONTRATISTA deberá integrar con las herramientas de gestión indicadas por el SENA y debe incluir una

solución de software de Monitoreo de Rendimiento de Aplicaciones (APM), que realice el monitoreo de las aplicaciones del SENA.

2.2.2.11.7.1.2. Proporcionar la herramienta y licenciamiento requerido para la instalación, administración, monitoreo, reportes, operación, automatización, y control de todos los componentes de Infraestructura, incluyendo su mantenimiento y soporte.

2.2.2.11.7.1.3. La herramienta deberá poder agregarse e interactuar con el ITSM que realiza el descubrimiento de los servidores y dispositivos de red de la Infraestructura de TI seleccionado dadas las condiciones de la línea de Mesa de Servicios.

2.2.2.11.7.1.4. Monitoreo en tiempo real mínimo de las aplicaciones y bases de datos Oracle, SQL Windows, MySQL, Azure, que permita prevenir incidentes que afecten los niveles de servicio de dichos componentes.

2.2.2.11.7.1.5. Monitoreo de bitácoras de aplicaciones y de sistema operativos para búsqueda de cadenas con algún mensaje en particular.

2.2.2.11.7.1.6. Esquema de monitoreo y gestión que permita la vigilancia en todo momento de los servicios, así como una eficiente operación y administración de los mismos. Los sistemas de monitoreo y gestión provistos permitirán una acertada validación del correcto cumplimiento de todos los Niveles de Servicio requeridos y ofrecidos.

2.2.2.11.7.1.7. Generación automática de tableros gráficos (Dashboards) básicos de la infraestructura. 2.2.2.11.7.1.8. Capacidad de generar tableros adicionales a la medida. 2.2.2.11.7.1.9. Generación automática de reportes básicos de la infraestructura. 2.2.2.11.7.1.10. Capacidad de generar reportes adicionales a la medida. 2.2.2.11.7.1.11. El aprovisionamiento de la herramienta, hardware y licencias para el monitoreo, reporteo, entre otros, y los

servicios de instalación, configuración, pruebas, puesta en marcha, mantenimiento, soporte, de acuerdo a las funcionalidades técnicas solicitadas.

2.2.2.11.7.1.12. Repositorio central de las métricas de monitoreo de cada uno de los elementos de la infraestructura. 2.2.2.11.7.1.13. Permitir el acceso a este repositorio central a los funcionarios indicados por la Oficina de Sistemas del SENA. 2.2.2.11.7.1.14. Debe permitir el monitoreo del desempeño de aplicaciones desde el punto de vista del usuario. 2.2.2.11.7.1.15. Debe permitir el monitoreo por dispositivos de red como routers, switches, entre otros, para la gestión del data

center principal y alterno, acceso a los aplicativos o appliances que requiere el SENA para verificar su operación y gestión.

49

Numeral Requisito 2.2.2.11.7.1.16. Contar con personal con experiencia demostrable por más de tres años soportando la herramienta de

monitoreo que se proponga. 2.2.2.11.7.1.17. Integrar al personal mencionado en el punto anterior, en los servicios de consultoría e implementación de la

herramienta. 2.2.2.11.7.1.18. Ofrecer en licenciamiento perpetuo y las licencias necesarias para cubrir las cantidades para el monitoreo de la

infraestructura especificada. 2.2.2.11.7.1.19. En caso de que sea necesario aumentar el número de licencias, para monitorear dispositivos adicionales a los

considerados en este documento, presentar opciones de licenciamiento flexible mensual (perpetuo y/o por suscripción) acorde a los requerimientos del SENA.

2.2.2.11.7.1.20. La herramienta de monitoreo deberá ser multiperfiles, es decir, que, en caso de necesitarse, permita poder separar las infraestructuras monitoreadas, y que puedan definirse perfiles de acceso a cada infraestructura.

2.2.2.11.7.1.21. La herramienta de monitoreo debe ser escalable fácilmente, basada en un módulo central y módulos secundarios (y/o subsecuentes) que se comuniquen con el modulo central. Esto para facilitar la administración, la comunicación y el crecimiento.

2.2.2.12. SERVIDORES 2.2.2.12.1. ANTECEDENTES 2.2.2.12.1.1. El SENA cuenta con 661 servidores virtuales x86 y 49 zonas en SPARC aprovisionados en 59 servidores

físicos x86 y 3 servidores SPARC respectivamente. Junto con esta infraestructura se cuenta con 22 servidores de rack aprovisionadas fuera de la granja de virtualización Oracle VM y Solaris para SOFIA. Adicionalmente se cuenta con infraestructura Legada de la Dirección General conformada por 6 servidores de rack. Esta infraestructura descrita anteriormente se encuentra alojada en el Data Center Externo 1.

2.2.2.12.1.2. En el Data Center externo 2 se encuentra alojada la infraestructura para soportar los servicios conexos, que serán descritos más adelante. En este Data Center se cuenta con 6 servidores físicos y 8 máquinas virtuales, aprovisionadas sobre VMWare y RedHat EV.

2.2.2.12.1.3. El detalle de los servidores que soportan los sistemas de información del SENA de detallan en anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”.

2.2.2.12.2. SERVICIO DE GESTIÓN DE SERVIDORES A CONTRATAR 2.2.2.12.2.1. DESCRIPCIÓN DE LA NECESIDAD 2.2.2.12.2.1.1. El SENA requiere para la operación de sus servicios TIC, la solución denominada data center como servicio y el

alojamiento de su infraestructura de procesamiento, almacenamiento, seguridad y respaldos en un Data Center principal y DRP controlados y manejados en su totalidad por el CONTRATISTA. Dotando al SENA de los usuarios y niveles de acceso indicados por ellos y ceder la administración cuando la oficina de Sistemas lo requiera.

2.2.2.12.2.1.2. Adicionalmente el SENA requiere la prestación de servicios de administración de aplicaciones sobre el data center como servicio y DRP en modalidades IaaS/PaaS/SaaS de los ítems presentados en la tabla de servicios de alojamiento e infraestructura, requeridos para el Servicio de Data Center presentados en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”. Estas aplicaciones como mínimo y las que requiera el SENA durante la duración del contrato

2.2.2.12.2.2. CRITERIOS DE DIMENSIONAMIENTO2 2.2.2.12.2.2.1. Para el diseño de la solución se deben tener en cuenta los siguientes elementos de diseño para ofertar la

solución completa en cuanto a servidores y servicios. 2.2.2.12.2.2.2. Disponibilidad combinada de servicios

Este cálculo se debe realizar para cada uno de los subsistemas, mencionados como componentes de la línea de data center, así:

�𝐴𝐴1 × 𝐴𝐴2 … × 𝐴𝐴𝑛𝑛

𝑛𝑛

𝑖𝑖=1

Donde

𝐴𝐴𝑖𝑖 =𝑀𝑀𝐹𝐹𝑀𝑀𝐹𝐹𝑖𝑖

𝑀𝑀𝐹𝐹𝑀𝑀𝐹𝐹𝑖𝑖 +𝑀𝑀𝐹𝐹𝐹𝐹𝑀𝑀𝑖𝑖

Ai es la disponibilidad del iésimo componente del servicio (Línea Base Data Center) MTBFi es el tiempo medio entre fallas del iésimo componente del servicio MTTRi es el tiempo medio de recuperación. Ejemplo: un sistema de backup :

𝐴𝐴(𝑏𝑏𝑏𝑏𝑏𝑏𝑏𝑏𝑏𝑏𝑏𝑏) = 𝐴𝐴(𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹)3 × 𝐴𝐴(𝑀𝑀𝑏𝑏𝑏𝑏𝑏𝑏𝑏𝑏𝑏𝑏 𝑆𝑆𝑆𝑆𝐹𝐹𝑆𝑆𝐹𝐹𝑆𝑆) × (𝑁𝑁𝐹𝐹𝑆𝑆𝑁𝑁𝑁𝑁𝐹𝐹𝑏𝑏)

2 Tomado de: Renaud, P. E. Introduction to client/server systems: a practical guide for systems professionals. John Wiley & Sons, Inc..

50

Numeral Requisito Cada servidor de backup tiene una disponibilidad 99.8% y la red 98.7% , para este sistema la disponibilidad conjunta es:

𝐴𝐴(𝑏𝑏𝑏𝑏𝑏𝑏𝑏𝑏𝑏𝑏𝑏𝑏) = 𝐴𝐴(0.998)4 × 𝐴𝐴(0.987) = 97.9%

Este modelo se debe extender a los demás servicios indicados como componentes del Data Center como servicio y debe adjuntarse como parámetro de diseño para tener el valor aproximado de la disponibilidad de los servicios ofertados al SENA.

2.2.2.12.2.2.3. Redundancia La disponibilidad de un sistema con n componentes redundantes que dependen del correcto funcionamiento de un solo componente está dado por:

𝐴𝐴 = 1 −�(1− 𝐴𝐴𝑖𝑖)𝑛𝑛

𝑖𝑖=1

𝐴𝐴 = 1 − (1 − 𝐴𝐴𝑖𝑖)(1− 𝐴𝐴2) … (1− 𝐴𝐴𝑛𝑛)

Ejemplo: Un servidor posee dos discos espejos de respaldo cada uno con un MTBF de 10.000 horas y un MTTR de 12 horas, la disponibilidad de cada disco es de 99.88 %, sin embrago la disponibilidad del par de discos es:

𝐴𝐴 = 1 − (1 − 0.9988)2 = 99.9998%

Este valor debe ser calculado para la solución propuesta. Para un valor dimensionado con n partes redundantes que puede tolerar la falla de f componentes, debe ser calculada por:

A = � �𝑛𝑛𝐹𝐹�A𝑐𝑐

𝑖𝑖𝑛𝑛

𝑖𝑖=𝑛𝑛−𝑓𝑓=𝑘𝑘

(1 − 𝐴𝐴𝑐𝑐)𝑛𝑛−𝑖𝑖

Donde Ac= disponibilidad del componente = a f= Número máximo de componentes en falla k= Número mínimo de componentes necesarios en funcionamiento

�𝑛𝑛𝐹𝐹� =

𝑛𝑛!𝐹𝐹! (𝑛𝑛 − 𝐹𝐹)!

Ejemplo: si dos de tres componentes son necesarios para que sistema opere la disponibilidad es:

𝐴𝐴 = 3𝑏𝑏2(1− 𝑏𝑏) + 𝑏𝑏3

Este valor debe ser calculado para cada uno de los sistemas e indicar claramente cuál es la cantidad de elementos redundantes en la solución por subsistema acorde con los servidores, servicios y aplicaciones administradas por el CONTRATISTA.

2.2.2.12.3. SERVICIOS BÁSICOS 2.2.2.12.3.1. SERVICIOS DE DIRECTORIO Y MANEJO DE IDENTIDAD 2.2.2.12.3.1.1. Administrar las herramientas para el manejo de bases de datos de Directorio Activo, DNS, DHCP. 2.2.2.12.3.1.2. Realizar las recomendaciones necesarias para que el sistema de Directorio Activo, DHCP y DNS funcione de

la manera más adecuada. 2.2.2.12.3.1.3. Configurar y monitorear a nivel de sistema operativo y directorio activo las políticas de acceso a recursos, en

seguimiento a las directivas emitidas por el SENA (con fases de prueba y aplicación). 2.2.2.12.3.1.4. Administrar la seguridad de las plataformas en lo relacionado con los sistemas de autenticación (crear,

deshabilitar, eliminar, modificar datos y cambiar claves a los usuarios). 2.2.2.12.3.1.5. Controlar y monitorear la frecuencia en fallos de autenticación de red (bloqueo) mediante el uso de una

herramienta que permita el cambio automático de claves por olvido de esta. 2.2.2.12.3.1.6. Controlar y monitorear la frecuencia de expiración y bloqueos por inactividad de cuentas de usuarios, acorde

con las políticas definidas por el SENA. 2.2.2.12.3.1.7. Analizar, proponer y ejecutar las configuraciones necesarias para el óptimo funcionamiento del Directorio Activo,

DNS y DHCP, previa verificación del SENA. 2.2.2.12.3.1.8. Realizar las configuraciones necesarias para asegurar la conectividad entre los servidores y los equipos activos

de red de los centros de cómputo tanto del SENA como Externos.

51

Numeral Requisito 2.2.2.12.3.1.9. Monitorear y soportar la conectividad entre los servidores y los equipos activos de red de los centros de cómputo

tanto del SENA como Externos, y debe solucionar cualquier incidente que afecte la conectividad entre los servidores y los equipos activos de red de los data centers del SENA y externos que estén al servicio de la operación del SENA.

2.2.2.12.3.2. DNS 2.2.2.12.3.2.1. Creación, actualización y gestión del DNS de Windows. 2.2.2.12.3.2.2. Deberá garantizar los cambios de versiones, actualización de componentes y de sistema operativo del DNS,

acorde con el licenciamiento proporcionado por el SENA, de no estar cubierto el CONTRATISTA debe soportar bajo su costo estas operaciones.

2.2.2.12.3.2.3. Generar los reportes requeridos por el SENA en cuanto al servicio de DNS y entregarlos a la oficina de sistemas del SENA en los tiempos pactados.

2.2.2.12.3.2.4. Realizar la documentación de gestión, operación y administración del DNS y entregarla a la oficina de Sistemas del SENA en los tiempos pactados.

2.2.2.12.3.2.5. Dar soporte de las fallas que puedan presentarse en los servidores y objetos que componen el DNS. 2.2.2.12.3.2.6. Realizar el proceso de migración, del DNS a DNS Ipv6 incluyendo servicios asociados, las etapas de diseño,

pruebas, validaciones e implementación, de manera consensuada con la oficina de sistema del SENA apoyado en los procesos ITIL de gestión del cambio.

2.2.2.12.3.3. DHCP 2.2.2.12.3.3.1. Creación, actualización y gestión del DHCP del SENA. 2.2.2.12.3.3.2. Deberá garantizar los cambios de versiones, actualización de componentes y de sistema operativo del DHCP,

acorde con el licenciamiento proporcionado por el SENA, de no estar cubierto el CONTRATISTA debe soportar bajo su costo estas operaciones.

2.2.2.12.3.3.3. Generar los reportes requeridos por el SENA en cuanto al servicio de DHCP y entregarlos a la oficina de sistemas del SENA en los tiempos pactados.

2.2.2.12.3.3.4. Realizar la documentación de gestión, operación y administración del DHCP y entregarla a la oficina de Sistemas del SENA en los tiempos pactados.

2.2.2.12.3.3.5. Dar soporte de las fallas que puedan presentarse en los servidores y objetos que componen el directorio activo.

2.2.2.12.3.3.6. Realizar el proceso de migración, del DHCP a DHCP Ipv6 incluyendo servicios asociados, las etapas de diseño, pruebas, validaciones e implementación, de manera consensuada con la oficina de sistema del SENA apoyado en los procesos ITIL de gestión del cambio.

2.2.2.12.3.4. DIRECTORIO ACTIVO 2.2.2.12.3.4.1. Establecer las políticas del directorio y gestionarlas. 2.2.2.12.3.4.2. Realizar el aseguramiento del directorio activo, establecer las políticas de seguridad de los equipos de

escritorio. 2.2.2.12.3.4.3. Definir las políticas de control de acceso sobre los equipos Windows y escritorios 2.2.2.12.3.4.4. Realizar el mantenimiento del Forest y los dominios del SENA 2.2.2.12.3.4.5. Realizar la gestión de usuarios en estructuras organizacionales definidas y /o concertadas con el SENA. 2.2.2.12.3.4.6. Establecer las políticas de acceso sobre los equipos, cuentas de usuario, carpetas compartidas y demás

objetos dentro del dominio del directorio activo. 2.2.2.12.3.4.7. Realizar todas las actualizaciones en entornos de prueba y controlados para validar la pertinencia e impacto

del cambio sobre el directorio activo. 2.2.2.12.3.4.8. Deberá garantizar los cambios de versiones, actualización de componentes y de sistema operativo del

directorio activo, acorde con el licenciamiento proporcionado por el SENA, de no estar cubierto el CONTRATISTA debe soportar bajo su costo estas operaciones.

2.2.2.12.3.4.9. Realizar las actividades de configuración necesarias para permitir la integración con otros sistemas de información de identidades digitales.

2.2.2.12.3.4.10. Realizar el monitoreo constante de los cambios, sincronizaciones y accesos a los sistemas que componen el directorio activo.

2.2.2.12.3.4.11. Generar los reportes requeridos por el SENA en cuanto al servicio de directorio activo y entregarlos a la oficina de sistemas del SENA en los tiempos pactados.

2.2.2.12.3.4.12. Realizar la documentación de gestión, operación y administración del directorio activo y entregarla a la oficina de Sistemas del SENA en los tiempos pactados.

2.2.2.12.3.4.13. Dar soporte de las fallas que puedan presentarse en los servidores y objetos que componen el directorio activo.

2.2.2.12.3.5. WSUS 2.2.2.12.3.5.1. Elaborar reportes de actualizaciones distribuidas, aplicadas y declinadas de los equipos, servidores y clientes

Windows, con una frecuencia mensual. 2.2.2.12.3.5.2. Debe realizar mantenimiento periódico dadas las recomendaciones del SENA y la interventoría a la base de

datos del WSUS 2.2.2.12.3.5.3. Ejecutar acciones de aplicación, eliminación y depuración de las actualizaciones descargadas en el WSUS. 2.2.2.12.3.5.4. Deberá garantizar los cambios de versiones, actualización de componentes y de sistema operativo del WSUS,

acorde con el licenciamiento proporcionado por el SENA, de no estar cubierto el CONTRATISTA debe soportar bajo su costo estas operaciones.

2.2.2.12.3.6. GESTIÓN DE USUARIOS

52

Numeral Requisito 2.2.2.12.3.6.1. Para este proceso se deberá diseñar, validar e implementar un modelo de gestión de usuarios e identidades,

con base en los lineamientos de la oficina de Sistemas del SENA, los productos, servicios y licencias con que cuenta el SENA, para la gestión de identidades digitales en las aplicaciones basados como mínimo en el alcance de directorio activo y los productos licenciados Microsoft con que cuenta la entidad. Este proceso se debe realizar en conjunto con el grupo de sistemas de información del SENA y la oficina de Sistemas del SENA, como sistema integrador de identidades, bajo las especificaciones ITIL de gestión de accesos y gestión del cambio.

2.2.2.12.4. SERVICIOS HABILITADORES 2.2.2.12.4.1. BALANCEADOR DE CARGA 2.2.2.12.4.1.1. DESCRIPCIÓN DE LA NECESIDAD 2.2.2.12.4.1.1.1. El CONTRATISTA debe prestar el servicio de Balanceador de Carga en el Data Center principal, se debe realizar

un balanceador dedicado para la aplicación SOFIA y su alcance, la especificación indicada y en el Data Center secundario (DRP). Este servicio permite distribuir las cargas de trabajo en varios recursos, como servidores de procesamiento o unidades de almacenamiento, con las características mínimas y ANS expuestas en el anexo “ACUERDO DE NIVELES DE SERVICIOS”.

2.2.2.12.4.1.2. ESPECIFICACIONES MÍNIMAS 2.2.2.12.4.1.2.1. Métodos de balanceo de cargas: Session Cookie, Round robin, Sticky sessions, Weighted round robin, Least

connections, Least response time, 2.2.2.12.4.1.2.2. Capas de trabajo: 4 y 7 2.2.2.12.4.1.2.3. Rendimiento: 160 Gbps / 80 Gbps (Capa 4 / Capa 7) 2.2.2.12.4.1.2.4. Sesiones concurrentes: 20M (HTTP/Capa 4), 3M (Capa 7) 2.2.2.12.4.1.2.5. Servidores soportados: 1000 2.2.2.12.4.1.2.6. Protocolos de internet: IPv4 e IPv6 2.2.2.12.4.1.2.7. Seguridad: Protección hardware 100 Millones de SYN Cookies por segundo 2.2.2.12.4.1.2.8. Gestión y administración: Interfaz Web, interfaz API REST 2.2.2.12.4.1.2.9. Alta disponibilidad: Activo/Pasivo 2.2.2.12.4.1.2.10. La solución de Balanceo de Carga debe contar con un gestor centralizado para cada uno de los ambientes de

balanceo y seguridad de aplicaciones WAF. El WAF debe proporcionar protección antifraude del lado del cliente.

2.2.2.12.4.1.2.11. La solución de gestión de Balanceo de Cargas debe facilitar el despliegue de nuevos servicios balanceados. 2.2.2.12.4.1.2.12. La solución de gestión de Balanceo de Cargas debe contar con un modelo de visibilidad y analítica, el cual

permita identificar posibles problemas sobre las aplicaciones publicadas. Como por ejemplo: Transacciones por segundo, Conexiones concurrentes, tiempo de respuesta de las aplicaciones, tiempo de carga de la página, RTT Round Time Trip, códigos de respuesta.

2.2.2.12.4.2. INFRAESTRUCTURA PARA LA GRANJA DE SERVIDORES SWITCH 2.2.2.12.4.2.1. DESCRIPCIÓN DE LA NECESIDAD 2.2.2.12.4.2.1.1. El CONTRATISTA debe prestar en el servicio de infraestructura la granja de servidores para realizar la

interconexión de los distintos componentes de su infraestructura de TI en el Data Center Principal) de la especificación indicada y en el Data Center alterno (DRP), esta operación debe contar con operación sobre SDN para data center. Dicha conectividad se debe realizar a través del protocolo Ethernet, con las siguientes características mínimas y ANS expuestos en el anexo “ACUERDO DE NIVELES DE SERVICIOS”.

2.2.2.12.4.2.2. ESPECIFICACIONES MÍNIMAS 2.2.2.12.4.2.2.1. Velocidad Puertos: 1GbE, 10GbE, 40GbE o superior si aplica. 2.2.2.12.4.2.2.2. Cantidad Mínima: Mínimo 2 Unidades 2.2.2.12.4.2.2.3. Especificaciones y Protocolos Mínimos requeridos: Tecnología de capa 2-3 que soporte protocolos de

enrutamiento OSPF, OSPFv3, o similares y rutas estáticas. Debe operar en SDN acorde a lo descrito en la sección 8.2.1 y numerales siguientes.

2.2.2.12.4.2.2.4. Equipos de Tecnología reciente cuya fabricación sea inferior a 1 año, contado a partir de la fecha de instalación, debe contener un diseño integrado, probado y documentado por el fabricante, debe ser diseñado con una Topología modular y escalable...

2.2.2.12.4.2.2.5. Permitir la automatización de las funciones de red pertenecientes a la conectividad de los servicios informáticos.

2.2.2.12.4.2.2.6. Dentro del diseño el CONTRATISTA debe realizar una solución de conectividad a nivel Fabric, incluyendo nodos SPINE, LEAF y ROUTER WAN.

2.2.2.12.4.2.2.7. Permitir balanceo de carga y redundancia. 2.2.2.12.4.2.2.8. Permitir la unificación de administración para el control total de las funciones de red pertenecientes a la

conectividad de los servicios informáticos e integración con diferentes orquestadores de centro de datos. 2.2.2.12.4.2.2.9. Integración simple de servicios de capa 4 a 7, como firewalls, balanceadores de servidores, IDS/IPS. 2.2.2.12.4.2.2.10. Detección y protección contra ataques de ARP y DHCP. 2.2.2.12.4.2.2.11. Tecnología de capa 2-3 que soporte protocolos de enrutamiento OSPF, OSPFv3 o similares y rutas estáticas. 2.2.2.12.4.2.2.12. Mínimo de VLANs ID 4094 2.2.2.12.4.2.2.13. Manejo de Multiple Spanning Tree (IEEE 802.1s). 2.2.2.12.4.2.2.14. Cantidad de puertos suficientes para conectar a través de fibras ópticas el cableado vertical de las diferentes

sedes, áreas o pisos. La velocidad de las interfaces de estas fibras debe ser por lo menos 1 Gbps y debe existir redundancia hacia los switches de acceso configurados en pila (Stack).

2.2.2.12.4.2.2.15. Arquitectura de chasis modular. Los switches Spine deben tener la funcionalidad de retirar e instalar los módulos (tarjetas y fuentes) en caliente, es decir sin necesidad de apagar los switches.

53

Numeral Requisito 2.2.2.12.4.2.2.16. Capacidad y throughput de soporte de protocolo IPv4/IPv6. 2.2.2.12.4.2.2.17. Soporte de protocolo Simple Network, Management Protocol Version 3 (SNMPv3), 2.2.2.12.4.2.2.18. Soporte de Jumbo Frames. 2.2.2.12.4.2.2.19. Velocidad Backplane: Para este elemento se debe tener en cuenta, un mínimo de ancho de banda de 0.8 GB

por cada uno de los servidores para el dimensionamiento de los puertos y el Backplane de la solución ofertada 2.2.2.12.4.2.2.20. Redundancia: El modelo de switches de core deben ser redundantes mínimo n+1 para garantizar la

continuidad de los servicios TIC en caso de fallas. 2.2.2.12.4.2.2.21. Redundancia en las tarjetas de control y en las fuentes de poder para los Spine y Redundancia en las fuentes

de poder para los Leaf 2.2.2.12.4.2.2.22. Monitoreo: SNMP, Reporte de alarmas, consola de gestión y generación de informes uso y desempeño. 2.2.2.12.4.2.2.23. SWITCHES SPINE 2.2.2.12.4.2.2.23.1. El switch debe tener una capacidad de conmutación de hasta 360 Tbit / s y proporciona un máximo de 576 *

100GE o 576 * 40GE o 2304 * 25GE o 2304 * 10GE interfaces de velocidad de línea. 2.2.2.12.4.2.2.23.2. Virtualización: se pueden virtualizar hasta 16 switches en un switch lógico; BGP-EVPN admite el intercambio

de recursos entre Datacenter. 2.2.2.12.4.2.2.23.3. El equipo ofertado debe tener una arquitectura de doble procesadora y sistemas de redundancia a nivel de

backplane con sistemas de conmutación cruzados. 2.2.2.12.4.2.2.23.4. El equipo debe admitir las tablas de direcciones MAC mínimo 250 k 2.2.2.12.4.2.2.23.5. El equipo debe ser compatible con el estándar IEEE 802.1ad (Q-in-Q) 2.2.2.12.4.2.2.23.6. • El equipo debe soportar el túnel GRE.

• El equipo debe soportar Max 3M FIBv4. • El equipo debe soportar al menos 26K ARP. • Todo el soporte de protocolo debe ser tanto para IPv4 como para IPv6. • El equipo debe soportar enrutamiento estático. • El equipo debe soportar RIP y RIPng. • El equipo debe soportar OSPFv2 y OSPFv3. • El equipo debe ser compatible con IS-IS e IS-ISv6. • El equipo debe soportar BGP y BGP4 +. • El equipo debe soportar BFD para todos los protocolos de enrutamiento

2.2.2.12.4.2.2.23.7. • El equipo debe ser compatible con Max 40K Multicast FIB. • El equipo debe soportar IGMP. • El equipo debe soportar la indagación IGMP. • El equipo debe ser compatible con el protocolo PIM-bidir (RFC 5015) para IPv4 e IPv6. • El equipo debe ser compatible con PIM-SM, PIM-SSM, PIM bidireccional y MLDv1 / v2.

2.2.2.12.4.2.2.23.8. • El equipo debe soportar el relé DHCP (RFC 3046). • El equipo debe ser compatible con la opción 82 del relé DHCP. • El equipo debe soportar el servidor DHCP. • El equipo debe ser compatible con la función DAI (Dynamic ARP Inspección) • El equipo debe ser compatible con la función DHCP Snooping. • El equipo debe ser compatible con la función IP Source Guard. • El equipo debe implementar protección de plano de control. • El equipo debe ser compatible con AAA incluyendo RADIUS

2.2.2.12.4.2.2.23.9. El equipo debe soportar mínimo 128K ACL. 2.2.2.12.4.2.2.23.10. • El equipo debe soportar redundancia del plano de gestión.

• El equipo debe soportar el reenvío distribuido. • El equipo debe admitir la conmutación de estado completo entre el módulo de plano de control elástico para todos los protocolos, es decir, el enrutamiento sin paradas. • La solución debe funcionar completamente redundante con circuitos de alimentación dual (suministro A-B). • El equipo debe soportar más de 3 bandejas de ventiladores. Cualquier falla en la bandeja de un ventilador no debe hacer que el sistema se reinicie. • El equipo debe ser compatible con la conmutación de tejido N + 1 de respaldo. Una unidad de tejido de conmutación falla no debe afectar el rendimiento del reenvío.

2.2.2.12.4.2.2.23.11. El equipo debe ser compatible con enrutamiento VxLAN y puenteo. 2.2.2.12.4.2.2.23.12. Se deben suministrar mínimo 4 Switches Spine 2.2.2.12.4.2.2.23.13. Cada Switch Spine debe tener redundancia en supervisoras y Fuentes de potencia AC 2.2.2.12.4.2.2.23.14. Cada switch Spine mínimo debe tener incluido 24 PUERTOS A 100G DISTRIBUIDOS EN DOS TARJETAS y

48 PUERTOS A 10G DISTRIBUIDOS EN 2 TARJETAS 2.2.2.12.4.2.2.24. SWITCHES LEAF 2.2.2.12.4.2.2.24.1. El equipo debe soportar una capacidad de conmutación de 3.2Tbps 2.2.2.12.4.2.2.24.2. El equipo debe soportar las tablas de direcciones MAC de 200K mínimo 2.2.2.12.4.2.2.24.3. El equipo debe ser compatible con el estándar IEEE 802.1ad (Q-in-Q) 2.2.2.12.4.2.2.24.4. El equipo debe soportar STP / RSTP / MSTP 2.2.2.12.4.2.2.24.5. • El equipo debe soportar Max 300K FIB.

• Todo el soporte de protocolo debe ser tanto para IPv4 como para IPv6. • El equipo debe soportar enrutamiento estático. • El equipo debe soportar RIP y RIPng. • El equipo debe soportar OSPFv2 y OSPFv3.

54

Numeral Requisito • El equipo debe soportar IS-IS e IS-ISv6. • El equipo debe soportar BGP y BGP4 +. • El equipo debe soportar BFD para todos los protocolos de enrutamiento

2.2.2.12.4.2.2.24.6. El equipo debe admitir la redundancia de primer salto a través de VRRP 2.2.2.12.4.2.2.24.7. • El equipo debe soportar el relé DHCP (RFC 3046).

• El equipo debe ser compatible con la opción 82 del relé DHCP. • El equipo debe soportar el servidor DHCP

2.2.2.12.4.2.2.24.8. • El equipo debe soportar redundancia de alimentación. • El equipo debe soportar redundancia del ventilador. • El equipo debe ser compatible con el LAG de múltiples chasis para redundancia

2.2.2.12.4.2.2.24.9. • El equipo debe ser compatible con la función IP Source Guard. • El equipo debe implementar protección de plano de control. • El equipo debe soportar AAA incluyendo RADIUS

2.2.2.12.4.2.2.24.10. El equipo debe soportar el protocolo estándar VXLAN. El equipo debe soportar el protocolo estándar BGP-EVPN.

2.2.2.12.4.2.2.24.11. Se deben suministrar mínimo 20 Switches Leaf 2.2.2.12.4.2.2.24.12. Cada switch Leaf mínimo debe tener incluido 24 PUERTOS A 10/25G sfp+ Y 2 PUERTOS 100G 2.2.2.12.4.2.2.24.13. La conectividad entre el Firewall y el switch Spine debe ser a través de puertos a 100G 2.2.2.12.4.3. INFRAESTRUCTURA DE SAN SWITCH 2.2.2.12.4.3.1. DESCRIPCIÓN DE LA NECESIDAD 2.2.2.12.4.3.1.1. El CONTRATISTA debe prestar el servicio de Infraestructura SAN (Fiber Channel) para realizar la conectividad

de los distintos componentes de su infraestructura de TI, en el Data Center Principal de la especificación indicada y en el Data Center Alterno (DRP). Dicha conectividad se debe realizar a través del protocolo FC, con las siguientes características mínimas y ANS expuestos en el anexo “ACUERDO DE NIVELES DE SERVICIOS”.

2.2.2.12.4.3.2. ESPECIFICACIONES MÍNIMAS 2.2.2.12.4.3.2.1. Cantidad Mínima: 2 Unidades 2.2.2.12.4.3.2.2. Velocidad Puertos: 4Gbps, 8Gbps, 16Gbps. 2.2.2.12.4.3.2.3. Dimensionamiento: El dimensionamiento de la solución debe contar como mínimo de un dimensionamiento de

0.5 GB en la SAN, NAS o ZFS por cada servidor alojado. 2.2.2.12.4.3.2.4. Cantidad Mínima: El modelo de switches de SAN debe ser redundante mínimo n+1 para garantizar la

continuidad de los servicios TIC en caso de fallas. 2.2.2.12.4.3.2.5. Redundancia en las tarjetas de control y en las fuentes de poder. 2.2.2.12.4.3.2.6. Monitoreo: Reporte de alarmas, consola de gestión y generación de informes uso y desempeño. 2.2.2.13. ALMACENAMIENTO 2.2.2.13.1. ESTADO ACTUAL / ANTECEDENTES 2.2.2.13.1.1. El SENA cuenta con una infraestructura propia de almacenamiento SAN, la cual está compuesta por dos

sistemas de almacenamiento Oracle FS1-2 y un Oracle ZS3-2. La administración, monitoreo, actualización, configuración, atención de incidentes, soporte, aprovisionamiento de recursos estos sistemas de almacenamiento son prestados por un tercero. Mensualmente se presenta los informes de gestión de esta infraestructura.

2.2.2.13.1.2. La capa de transporte, entiéndase como red SAN, es aprovisionada por el CONTRATISTA, al igual que la administración, monitoreo, actualización, configuración, atención de incidentes, soporte, aprovisionamiento de recursos.

2.2.2.13.1.3. ORACLE FS1-2 2.2.2.13.1.3.1. Este sistema de almacenamiento cuenta con dos controladoras, 12 puertos FC a 16Gbps y sus discos se

encuentran clasifican en Capacity Disk, Performance Disk, Capacity SSD y Performance SSD. A continuación, se describen las capacidades totales del sistema de almacenamiento por tecnología de almacenamiento:

• 2 controladoras de tipo performance • 1 enclosure de discos DE3-24P con 13 SSD de 400GB. • 2 enclosure de discos DE3-24P con 19 discos SSD de 1.6TB. • 10 enclosure de discos DE3-24P con 24 HDD de 900GB a 10k rpm. • 10 enclosure de discos DE3-24C con 24 HDD de 4TB a 7.2k rpm. • 954TB crudos de capacidad

2.2.2.13.1.4. ORACLE ZFS ZS3-2 2.2.2.13.1.4.1. Este sistema de almacenamiento cuenta con dos controladoras 2 X 2.10GHz Intel(r) Xeon(r) CPU E5-2658 0

@ 2.10GHz AES-NI, 512GB memoria, 1.5TB de cache, Oracle Storage Drive Enclosure DE2-24P y 16,4TB de almacenamiento aprovisionados en discos de 10000 rpm.

2.2.2.13.1.5. RED SAN 2.2.2.13.1.5.1. La conectividad entre los servidores y los sistemas de almacenamiento se hace con 2 SAN Switch para

conformar una red SAN A y una red SAN B para proporcionar redundancia en el acceso a los recursos de disco externo. Estos SAN switch no son propiedad del SENA, estos deberán ser aprovisionados instalados y configurados por el CONTRATISTA del mismo modo la administración, monitoreo, actualización, configuración, atención de incidentes, soporte, aprovisionamiento de recursos en esta red de almacenamiento.

2.2.2.13.2. SERVICIO DE ALMACENAMIENTO A CONTRATAR

55

Numeral Requisito 2.2.2.13.2.1. Para este servicio, el SENA requiere la administración, operación, configuración y monitoreo de las soluciones

de almacenamiento SAN, NAS y ZFS propiedad de la entidad, así como también se requiere de la administración, operación. Si la infraestructura ofrecida de almacenamiento es completamente nueva, se debe garantizar la compatibilidad con las bases de datos actuales y los sistemas de archivos actuales (SAN FC, NFS y ZFS) y deben garantizar la operación en modalidad activo-pasivo en todas las controladoras del sistema de almacenamiento. De igual forma se requiere de la implementación de las recomendaciones y solicitudes realizadas por parte de la Entidad. Para la presente vigencia el SENA requiere que el Oferente provea almacenamiento adicional en un 30% más de la capacidad actual del SENA compatible con los servicios e infraestructura alojada.

2.2.2.13.2.1.1.1. Licenciamiento de todo el hardware y software adicional requerido para la instalación, configuración y puesta en operación de la solución de almacenamiento.

2.2.2.13.2.1.1.2. Garantía extendida 7x24 de las soluciones de almacenamiento SAN, NAS, ZFS y Respaldo. 2.2.2.14. SISTEMAS OPERATIVOS 2.2.2.14.1. ESTADO ACTUAL / ANTECEDENTES 2.2.2.14.1.1. Los sistemas operativos usados por el SENA en las plataformas de virtualización (Con arquitecturas SPARC,

x86) son Microsoft Windows 7, Microsoft Windows 8, Microsoft Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows Server 2016, Oracle Linux 5, Oracle Linux 6, Oracle Linux 7, Oracle Solaris 10, Oracle Solaris 11, Red Hat Enterprise Linux 6, Enterprise Linux 7 y otras distribuciones de Linux.

2.2.2.14.1.2. El correcto funcionamiento de estos sistemas operativos es soportado por el grupo de sistemas de información del SENA y el prestador actual del servicio de Data Center.

2.2.2.15. RESPALDO Y RESTAURACIÓN 2.2.2.15.1. ESTADO ACTUAL / ANTECEDENTES 2.2.2.15.1.1. El SENA cuenta con el servicio de respaldo y restauración, actualmente es prestado por un tercero. Este servicio

fue contratado para respaldar toda información del Data Center y sus sistemas de información como primera medida de protección. El servicio aprovisionado incluye el licenciamiento de la plataforma, un servidor maestro, 4 media agent con 25TB de almacenamiento en disco rígido de 7200 rpm (Backup Appliance) para primera copia, consola de administración y gestión. El método transporte usado para los procesos de respaldo y restauración es SAN y LAN. La administración, monitoreo, actualización, configuración, atención de incidentes y soporte de la solución es responsabilidad del CONTRATISTA.

2.2.2.15.1.2. La solución deberá incluir funcionalidades de respaldo (backup) y replicación integradas en una única solución; incluyendo vuelta atrás (rollback) de réplicas y replicación desde y hacia la infraestructura virtualizada.

2.2.2.15.1.3. Deberá poder realizar respaldos sin detener las máquinas virtuales, y sin generar una merma en su performance, facilitando las tareas de respaldo (backup) y migraciones en conjunto.

2.2.2.15.1.4. Deberá ser capaz de comprender las máquinas virtuales como objetos del entorno virtual y respaldar las configuraciones de las mismas, al margen de los datos propios de las maquinas.

2.2.2.15.1.5. Deberá contar como mínimo la tecnología de deduplicación para lograr un ahorro de espacio de almacenamiento para los respaldos (backup).

2.2.2.15.1.6. Deberá incluir herramientas de fácil recuperación granular guiada, mediante la cual los administradores Microsoft Exchange, Microsoft SQL Server, Microsoft Directorio Activo, Base de Datos Oracle sin necesidad de incurrir en licenciamiento adicional.

2.2.2.15.1.7. Deberá proporcionar protección casi continúa de datos (near-CDP), que permita la reducción de los puntos objetivos de recuperación (RPO) sean mínimos.

2.2.2.15.1.8. Deberá proveer una estrategia de recuperación rápida que permita proveer/devolver el servicio a los usuarios casi inmediatamente y en forma sencilla. Dicha estrategia debe consistir en el inicio y encendido de la máquina virtual, que haya fallado, directamente desde el archivo de respaldo (backup) en el almacenamiento habitual del respaldo (backup).

2.2.2.15.1.9. La recuperación instantánea de las máquinas virtuales, deberá permitir más de una máquina virtual y/o punto de restauración en simultáneo para la disponibilidad del punto de recuperación funcional, permitiendo así, tener múltiples puntos en el tiempo de una o más máquinas virtuales funcionando.

2.2.2.15.1.10. Posterior a una recuperación rápida, se deberá poder realizar una restauración total sin interrupciones del servicio. La herramienta debe asegurar que el trabajo realizado por los usuarios no estará afectada al migrar sus máquinas virtuales desde el respaldo (backup) hasta el almacenamiento de producción.

2.2.2.15.1.11. FRECUENCIA RESPALDOS 2.2.2.15.1.11.1. Para el respaldo de los sistemas de información, el SENA estableció las políticas definiendo la frecuencia de

los respaldos en Diario Incremental, Semanal Full y Mensual Full, las políticas deberán ser redefinidas entre el SENA y el CONTRATISTA. En la actualidad las políticas están definidas para 552 objetos entre los cuales están bases de datos, sistemas de información, servidores y aplicaciones.

2.2.2.15.1.11.2. Bases de Datos: 248 objetos con retención de un mes, 79 de ellas con backup diario, 70 backup semanal y 99 backup mensual.

2.2.2.15.1.11.3. Servidores: 661 máquinas virtuales, 48 con backup diario, 59 backup mensual, 1 backup mensual- semanal, 132 backup mensual – semanal - diario, 56 backup semanal, 1 backup semanal diario y 3 por backup por demanda. El detalle de esta política se ve en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER” en la sección Políticas de Respaldo.

2.2.2.15.1.12. LIBRERÍA SL3000

56

Numeral Requisito 2.2.2.15.1.12.1. El SENA cuenta con una librería “Oracle StorageTek SL3000 Modular Library System” con 24 drives y el

software de gestión “Automated Cartridge System Library”. Esta es administrada por un tercero y usada dentro de la solución de respaldo y restauración. La administración, monitoreo, actualización, configuración, atención de incidentes y soporte de la solución es responsabilidad del CONTRATISTA. El licenciamiento es aprovisionado por el SENA en el modo ULA para este servicio y los servicios de Bases de datos. Ester equipos es parte del DRP.

2.2.2.15.2. DESCRIPCION DE LA NECESIDAD 2.2.2.15.2.1. El SENA requiere el Servicio de Respaldo y Restauración para la protección de los Sistemas de Información en

el Data Center. Dentro de este servicio se debe incluir el envío de medios a custodia de acuerdo con la rotación de medios dispuesta por el SENA para la toma de respaldo de sus sistemas de información. Adicionalmente, se debe hacer custodia de respaldo a disco, a cargo del proveedor, de acuerdo con los requerimientos del SENA.

2.2.2.15.3. RESPONSABILIDADES CONTRATISTA 2.2.2.15.3.1. El CONTRATISTA deberá crear un proceso de Respaldo y Recuperación de información donde se defina un

plan de toma de copias de respaldo del 100% de la información del SENA alojada en el Data Center principal, con una programación definida previa y conjuntamente con el SENA. Nota: Esto incluye el crecimiento del SENA durante la operación del contrato, incremento de servicios, políticas de backup y aplicaciones hasta donde lo permita la capacidad instalada del data center como servicio ofertado.

2.2.2.15.3.2. El proceso debe ser diseñado de acuerdo a las mejores prácticas y estándares como ISO/IEC 27031:2011 y teniendo en cuenta parámetros tales como el RPO (Recovery Point Objetive) y RTO (Recovery Time Objetive) de los ANS.

2.2.2.15.3.3. El CONTRATISTA deberá programar las actividades de generación de copias de seguridad y ejecutarlas según programación.

2.2.2.15.3.4. Deberá realizar pruebas de restauración de las copias de seguridad mensualmente y entregar reportes con los resultados obtenidos.

2.2.2.15.3.5. Deberá crear y mantener actualizada una bitácora de copias de seguridad de acuerdo con su periodicidad. 2.2.2.16. ADMINISTRACION DE BASES DE DATOS 2.2.2.16.1. ESTADO ACTUAL / ANTECEDENTES 2.2.2.16.1.1. El SENA cuenta con la administración de bases de datos Oracle y SQL Server. La gestión integral mediante la

asignación de recurso humano y técnico, de los sistemas de información soportando sus bases de datos segregadas y alojadas en su infraestructura (bien sea en modalidad de Housing, Colocation, Hosting Virtual, Hosting físico, Nube Pública o Nube Privada o Data Center como servicio).

2.2.2.16.1.2. El SENA cuenta con las siguientes Bases de Datos: SQL: 134 Oracle: 89 Bases alojadas en Azure: 1

2.2.2.16.2. RESPONSABILIDADES CONTRATISTA 2.2.2.16.2.1. El CONTRATISTA debe realizar la administración, mantenimiento, monitoreo, actualización, configuración,

aseguramiento, operación continua y despliegue de las plataformas, sistemas operativos y “middleware” que soporten en su totalidad el funcionamiento de las bases de datos del SENA presentadas en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”, bajo los lineamientos ITIL aplicables y en concordancia con los procedimientos establecidos en los manuales de operación TIC dispuestos por el SENA.

2.2.2.16.2.2. Para las bases de datos el SENA requiere la administración, configuración, monitoreo y la gestión de la disponibilidad, seguridad, seguimiento, control, continuidad, operación y buen desempeño de la infraestructura de las bases de datos con las que cuenta actualmente el SENA en los diferentes ambientes que soportarán los sistemas de información del SENA. Nota: Esto incluye el crecimiento del SENA durante la operación del contrato, incremento de servicios, políticas de backup y aplicaciones hasta donde lo permita la capacidad instalada del data center como servicio ofertado.

2.2.2.16.2.3. Para las bases de datos que se adquieran durante la vigencia indicada en este documento aplican los numerales anteriores de igual forma.

2.2.2.16.2.4. Garantizar la administración y gestión por personal cualificado directamente con el fabricante de las bases de datos alojadas en los servidores físicos y virtuales.

2.2.2.16.2.5. Monitorear (7X24X365) los recursos de los servidores de base de datos, identificar cuellos de botella, emitir recomendación para la optimización de consultas, realizar diagnósticos y análisis de seguimiento.

• Bloqueos. • Procesos que bloquea tabla. • Consumo de CPU según tiempo de ejecución de aplicaciones o

scripts. • Bloqueos “deadlock”.

2.2.2.16.2.6. Utilizar e implementar todas las herramientas del licenciamiento de ORACLE Enterprise que posee la entidad. 2.2.2.16.2.7. Recomendaciones a los desarrolladores sobre malas prácticas de programación

• Abuso de la base de datos y privilegios. • Abuso de cursores.

Todo lo necesario para el funcionamiento del sistema de backup RMAN, archivelog, puntos de recuperación checkpoint, backups de los archivos de configuración.

57

Numeral Requisito 2.2.2.16.2.8. El servicio de administración de base de datos incluye el diagnóstico para todas las bases de datos que el

SENA utiliza. Igualmente incluye la presentación de recomendaciones sobre las bases de datos en el Data Center principal y alterno, las que se adquieran durante la vigencia del contrato y las que se migren a la nube, a la infra estructura del Data Center principal o de acuerdo con los procedimientos internos del SENA y directrices de la Oficina de Sistemas del SENA.

2.2.2.16.2.9. El servicio incluye realizar el montaje, administración, diagnóstico y soporte del motor de base de datos y de componentes tales como reporting services, integration services, analysis services, business Intelligence.

2.2.2.16.2.10. El SENA requiere que el CONTRATISTA analice y realice la correcta migración de las bases de datos ya sea de versión, edición u otro motor de base de datos, de acuerdo con los requerimientos del SENA. Es responsabilidad del CONTRATISTA apoyar al SENA en la validación de la compatibilidad de los aplicativos con las nuevas versiones y ediciones de bases de datos.

2.2.2.16.3. REQUERIMIENTOS ESPECÍFICOS AL CONTRATISTA 2.2.2.16.3.1. Realizar y garantizar la correcta migración de los motores de base de datos o componentes de estos a versiones

más recientes asociados a atención de requerimientos, cambios e incidentes. 2.2.2.16.3.2. Migrar, actualizar, instalar, administrar, estabilizar y soportar bases de datos Oracle, Application Server OAS,

Oracle Estándar Edition 10g o superior y Forms and Reports Services 10g o superior, administrar y configurar RMAN (Recovery Manager), este proceso se realizará junto con el fabricante y acompañamiento de la oficina de sistemas del SENA y los contratos de mantenimiento que posee el SENA respecto a bases de datos.

2.2.2.16.3.3. Administrar, configurar y automatizar tareas de mantenimiento y optimización de los motores de bases de datos a través de las herramientas propias del motor de base de datos o que El suministre.

2.2.2.16.3.4. Realización de tuning a través de las herramientas del motor u otra en los diferentes ambientes que tiene dispuesto el SENA y de acuerdo a los requerimientos realizados por el SENA.

2.2.2.16.3.5. Almacenamiento interno el recomendado por los estándares dados por el fabricante según se la solución seleccionada

2.2.2.16.3.6. La infraestructura donde se alojarán las base de datos, hipervisores, soluciones de virtualización deberá soportar todo los protocolos de operación seguridad, cifrado y procesamiento de las bases de datos Oracle propiedad del SENA e insumo de los sistemas de información del SENA

2.2.2.16.3.7. Analizar y documentar instrucciones Transact-SQL mediante el asistente para la optimización de motor de base de datos (MS SQL Server), utilizando trazas, tablas de traza o secuencias de comandos Transact-SQL. De acuerdo al resultado, realizar las recomendaciones e implementarlas según el procedimiento de control de cambios.

2.2.2.16.3.8. Realizar el mantenimiento de las bases de datos de acuerdo a un plan de mantenimiento concertado con el SENA para el correcto funcionamiento de las

2.2.2.16.3.9. Bases de datos y el plan de contingencia respectivo para no afectar la operación soportada por estas bases de datos.

2.2.2.16.4. REQUERIMIENTOS ESPECÍFICOS HERRAMIENTAS SQL SERVER (EVENTOS Y OPTIMIZACIÓN): 2.2.2.16.4.1. Analizador de SQL Server. 2.2.2.16.4.2. Monitor del sistema para supervisar el uso de recursos. 2.2.2.16.4.3. Monitor de actividad de SQL Server Management Studio. 2.2.2.16.4.4. Uso de los procedimientos almacenados de Transact-SQL que crean, filtran y definen trazas. 2.2.2.16.4.5. Supervisar los registros de errores. 2.2.2.16.4.6. Uso de los procedimientos almacenados del motor de base de datos (Transact-SQL), como son spwho, splock,

spspaceused, spmonitor, entre otros. 2.2.2.16.4.7. Instrucciones DBCC (Comandos de consola de base de datos) para comprobar estadísticas de rendimiento y

coherencia lógica y física de una base de datos. 2.2.2.16.4.8. Funciones (Transact-SQL) para mostrar estadísticas de instantáneas acerca de la actividad de SQL Server

desde el inicio del servidor. 2.2.2.16.4.9. Marcas de traza (Transact-SQL) para diagnosticar problemas o causas de bajo rendimiento (por ejemplo,

cadenas de interbloqueos en el servidor). 2.2.2.16.4.10. Optimizar el diseño físico de las bases de datos mediante el asistente para la optimización de motor de base

de datos. 2.2.2.16.4.11. Gestionar y administrar las herramientas de configuración como: 2.2.2.16.4.12. Configuración de superficie de SQL Server. 2.2.2.16.4.13. Informe de uso y errores de SQL Server. 2.2.2.16.4.14. Símbolo del Sistema de Notification Services. 2.2.2.16.4.15. Configuración de reporting services, integration services, analysis services y business Intelligence. 2.2.2.16.4.16. Gestionar, configurar y administrar las herramientas de rendimiento de MS SQL Server. 2.2.2.16.4.17. Analizar planes de ejecución (MS SQL Server) sobre consultas con el fin de identificar y corregir cuellos de

botella a quien corresponda. 2.2.2.16.4.18. Creación y administración de trabajos automáticos en los motores de base de datos relacionados con tareas

de mantenimientos y requerimientos efectuados por el SENA, garantizando la correcta ejecución y dejando como evidencia los logs.

2.2.2.16.4.19. Gestionar el crecimiento de las bases de datos y diseñar los planes apropiados para administrarlos. 2.2.2.16.4.20. Realizar el Restore cuando se requiera de las bases de datos de los diferentes ambientes con las que cuenta

actualmente el SENA, así como aquellas bases de datos que se adquieran durante la vigencia del contrato. 2.2.2.16.4.21. Monitorear las tareas programadas (7X24X365) creadas en los motores de base de datos e informar

oportunamente las fallas presentadas emitiendo un diagnóstico y recomendación.

58

Numeral Requisito 2.2.2.16.4.22. Estandarizar la ubicación física y lógica de las bases de datos en todos los equipos servidores, generando

instalaciones de acuerdo a las mejores prácticas recomendadas por los fabricantes de las bases de datos. 2.2.2.16.4.23. Generar alertas cuando el servicio no esté disponible o se presenten fallas, documentar los incidentes,

acciones realizadas y planes de mitigación de riesgos. 2.2.2.16.4.24. Mantener actualizado el inventario de Base de Datos de acuerdo a los formatos establecidos en conjunto con

el SENA. 2.2.2.16.4.25. Aplicación continua de las políticas, procedimientos y estándares para la creación, uso, distribución y

eliminación de datos en las Base de datos. 2.2.2.16.4.26. Establecer, documentar e implementar, en conjunto con el SENA, las políticas de acceso para cada una de las

bases de datos. 2.2.2.16.4.27. Documentar, mantener actualizada y entregar al final del contrato o cuando se requiera, en formatos

acordados con el SENA, la base de datos del conocimiento y de configuraciones en cada servidor de base de datos: Gestión de configuración, Gestión de problemas, Gestión de cambios entre otras.

2.2.2.16.4.28. El recurso humano mínimo necesario para la administración de soporte de Bases de Datos se presenta en el anexo “EQUIPO MÍNIMO DE TRABAJO” sección Servicio de Data Center.

2.2.2.17. APLICACIONES Y SOFTWARE LICENCIADO 2.2.2.17.1. ESTADO ACTUAL / ANTECEDENTES 2.2.2.17.1.1. En la actualidad el SENA cuenta con aplicaciones y software licenciado que atienden y apoyan las funciones

misionales e igualmente apoyan procesos directivos y de apoyo, la atención a los usuarios de las diferentes dependencias de la entidad, apoyo a procesos específicos y a la ciudadanía en general, estas aplicaciones son desarrolladas en su mayoría internamente por el SENA y otras son contratadas por fábrica de software. El CONTRATISTA debe garantizar como mínimo el licenciamiento de las aplicaciones y software licenciado acorde con el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER” en la sección licenciamiento, en las actividades, procesos de instalación, migración, configuración, actualización y renovación.

2.2.2.17.1.2. Algunas de estas aplicaciones y software licenciado son accedidas las 24 horas del día durante todo el año y otras solo tienen un grado alto de usabilidad en horario laboral del SENA, periodos de oferta de formación y/o contratación de personal, por lo que es necesario garantizar la gestión de la disponibilidad, integridad, seguimiento, control y seguridad de todas las aplicaciones del SENA (actuales y las que se implementen durante la ejecución del contrato).

2.2.2.17.1.3. En el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER” se relacionan la cantidad de aplicaciones con las que cuenta el SENA y se presenta una descripción de las mismas y algunas características técnicas. Adicionalmente se presenta en dicho Anexo la lista de aplicaciones misionales con su respectiva criticidad.

2.2.2.17.2. SERVICIO DE ADMINISTRACIÓN DE APLICACIONES Y SOFTWARE LICENCIADO A CONTRATAR 2.2.2.17.2.1. El SENA cuenta con 123 aplicaciones las cuales se listan en el anexo “LÍNEA BASE PARA EL SERVICIO DE

DATA CENTER”, cuenta con soporte y administración de 50 aplicaciones por parte del grupo de Sistemas de Información del SENA quienes deben tener acceso y autorización para el despliegue, modificación y eliminación de máquinas virtuales sobre la infraestructura alojada en el Data Center principal, de acuerdo con el protocolo de despliegue, modificación y eliminación de máquinas virtuales acordado entre el SENA y el CONTRATISTA. En la línea base se encuentra el detalle de las licencias administradas por el SENA y las que deben ser ofertadas por el CONTRATISTA, al igual que las potenciales cantidades de las mismas. Nota: Esto incluye el crecimiento del SENA durante la operación del contrato, incremento de servicios, aplicaciones y software licenciado hasta donde lo permita la capacidad instalada del data center como servicio ofertado.

2.2.2.17.2.2. Para este modelo el CONTRATISTA deberá realizar la caracterización de las aplicaciones bajo el siguiente modelo denominado vector de carga de aplicaciones:

⎣⎢⎢⎢⎢⎢⎢⎢⎢⎡𝐶𝐶𝐶𝐶𝐶𝐶 𝑏𝑏𝑁𝑁𝑛𝑛𝐹𝐹𝑏𝑏𝑆𝑆𝐹𝐹𝑐𝑐𝑏𝑏 𝑏𝑏𝑁𝑁𝐹𝐹 𝐹𝐹𝐹𝐹 𝑏𝑏𝐹𝐹𝐹𝐹𝐹𝐹𝑛𝑛𝑆𝑆𝐹𝐹𝑀𝑀𝐴𝐴𝑀𝑀 𝑏𝑏𝑁𝑁𝑛𝑛𝐹𝐹𝑏𝑏𝑆𝑆𝐹𝐹𝑐𝑐𝑏𝑏 𝑏𝑏𝑁𝑁𝐹𝐹 𝐹𝐹𝐹𝐹 𝑏𝑏𝐹𝐹𝐹𝐹𝐹𝐹𝑛𝑛𝑆𝑆𝐹𝐹𝐷𝐷𝐹𝐹𝐹𝐹𝑏𝑏𝑁𝑁 𝑏𝑏𝑁𝑁𝑛𝑛𝐹𝐹𝑏𝑏𝑆𝑆𝐹𝐹𝑐𝑐𝑁𝑁 𝑏𝑏𝑁𝑁𝐹𝐹 𝐹𝐹𝐹𝐹 𝑏𝑏𝐹𝐹𝐹𝐹𝐹𝐹𝑛𝑛𝑆𝑆𝐹𝐹

𝐼𝐼/𝑂𝑂𝐷𝐷𝐹𝐹𝐹𝐹𝑏𝑏𝑁𝑁 𝑐𝑐𝐹𝐹𝐹𝐹 𝑏𝑏𝐹𝐹𝐹𝐹𝐹𝐹𝑛𝑛𝑆𝑆𝐹𝐹𝐶𝐶𝑁𝑁𝑛𝑛𝐹𝐹𝑏𝑏𝑆𝑆𝑁𝑁 𝑐𝑐𝐹𝐹 𝑀𝑀𝐹𝐹𝑐𝑐𝐶𝐶𝑏𝑏𝑏𝑏 𝑐𝑐𝐹𝐹𝐹𝐹 𝑆𝑆𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝑀𝑀𝑏𝑏𝑆𝑆 𝑐𝑐𝐹𝐹𝐹𝐹 𝑆𝑆𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹

𝐷𝐷𝐹𝐹𝐹𝐹𝑏𝑏𝑁𝑁 𝑏𝑏𝑁𝑁𝑛𝑛𝐹𝐹𝑏𝑏𝑆𝑆𝐹𝐹𝑐𝑐𝑁𝑁 𝑏𝑏𝑁𝑁𝐹𝐹 𝐹𝐹𝐹𝐹 𝑆𝑆𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐼𝐼/𝑂𝑂 𝑐𝑐𝐹𝐹𝐹𝐹 𝑐𝑐𝐹𝐹𝐹𝐹𝑏𝑏𝑁𝑁 𝑐𝑐𝐹𝐹𝐹𝐹 𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹𝐹

⎦⎥⎥⎥⎥⎥⎥⎥⎥⎤

Esta información se usará como insumo para conocer la demanda combinada de servicios que requiere una aplicación para un cliente y modelar la capacidad necesaria para el despliegue de aplicaciones, crecimiento y escalamiento de las aplicaciones, infraestructura y servicios TIC ofertados por el SENA a sus usuarios. Del mismo modo como insumo para renegociar la capacidad instalada por parte del SENA.

2.2.2.17.2.3. Esta caracterización se realizará por cada una de las aplicaciones y debe contener el respaldo estadístico y muestreos necesarios para garantizar la confiabilidad de las mediciones.

59

Numeral Requisito 2.2.2.17.2.4. El modelo de servidor en caso de ser requerido para servicios de hosting dedicado estará dado por la unidad

básica de servidores virtualizados – UBSV, la cual está dada por los siguientes recursos: Paquete básico

RECURSO VALOR CPU 2VCores RAM 4 GB Disco 150 GB LAN 0.8 GB SAN 0.5 GB

Paquete medio

RECURSO VALOR CPU 4VCores RAM 8 GB Disco 300 GB LAN 0.8 GB SAN 0.5 GB

Paquete alto

RECURSO VALOR CPU 8VCores RAM 16 GB Disco 500 GB LAN 0.8 GB SAN 0.5 GB

Deberá ser ofertada acorde con los requisitos del SENA para el dimensionamiento de los servicios requeridos y el funcionamiento de los servicios, aplicaciones y sistemas de información del SENA, como mínimo se deberá proveer en conectividad LAN 0.8 GB por servidor virtual y 0.5 GB en conectividad para la solución de almacenamiento.

2.2.2.17.3. APLICACIONES ADMINISTRADAS POR EL SENA 2.2.2.17.3.1. El CONTRATISTA deberá garantizar el correcto funcionamiento del hardware, conectividad, seguridad, acceso,

actualización y correcta operación de sistema operativo para este tipo de aplicaciones indicadas en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”, en caso de fallas el mal funcionamiento de estas aplicaciones deberá ser escalado por el personal de monitoreo del CONTRATISTA al grupo de Sistemas de Información del SENA. Nota: Esto incluye el crecimiento del SENA durante la operación del contrato, incremento de servicios, aplicaciones y software licenciado hasta donde lo permita la capacidad instalada del data center como servicio ofertado.

2.2.2.17.4. APLICACIONES ADMINISTRADAS POR EL CONTRATISTA 2.2.2.17.4.1. El CONTRATISTA deberá garantizar el correcto funcionamiento, operación, actualización, servicios, permisos

y seguridad del sistema operativo y la aplicación contenida tanto en máquina virtual como en servidores físicos según sea el caso. El CONTRATISTA deberá como mínimo realizar las tareas listadas a continuación. Nota: Esto incluye el crecimiento del SENA durante la operación del contrato, incremento de servicios, aplicaciones y software licenciado hasta donde lo permita la capacidad instalada del data center como servicio ofertado.

2.2.2.17.4.2. Realizar la administración, configuraciones, diagnostico de fallas, monitoreo, resolución de requerimientos e incidentes de las aplicaciones bajo su custodia conforme a las indicaciones del grupo de Sistemas de información del SENA.

2.2.2.17.4.3. Realizar las solicitudes de aprovisionamiento al área de gestión de plataformas de virtualización para el aprovisionamiento de recursos o de nuevos servidores asociados a las aplicaciones, acorde con el protocolo de creación, modificación y eliminación de máquinas virtuales.

2.2.2.17.5. APLICACIONES ADMINISTRADAS POR TERCEROS 2.2.2.17.5.1. El CONTRATISTA deberá garantizar el correcto funcionamiento del hardware, conectividad, seguridad, acceso,

actualización y correcta operación de sistema operativo para este tipo de aplicaciones indicadas en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”, en caso de fallas el mal funcionamiento de estas aplicaciones deberá ser escalado por el personal de monitoreo del CONTRATISTA al tercero e informar al grupo de Sistemas de Información del SENA. Este proceso lo realizará trabajando con los fabricantes o CONTRATISTAs del software/COTS para garantizar las migraciones conforme a las matrices de compatibilidad y despliegue particular para el SENA y la infraestructura donde se alojen este tipo de aplicaciones conforme a las disposiciones de operación del data center principal. Nota: Esto incluye el crecimiento del SENA durante la operación del contrato, incremento de servicios, aplicaciones y software licenciado hasta donde lo permita la capacidad instalada del data center como servicio ofertado.

2.2.2.17.6. SOFIA 2.2.2.17.6.1. CONTEXTO

60

Numeral Requisito 2.2.2.17.6.1.1. Esta es una plataforma de información del SENA para mejorar la administración educativa y la formación

profesional de todos sus usuarios. Busca generar una gestión académica eficiente, transparente, flexible y de calidad, brindando así a sus usuarios, ya sean estos internos y/o externos, la posibilidad de consultar en tiempo real y por internet sus temas y tramites académicos con el SENA. La plataforma pretende mejorar la calidad de todos los procesos, como inscripciones de usuarios, descarga de certificados, consulta de las ofertas educativas, sugerir programas de acuerdo con sus necesidades, además de facilitar la programación de las actividades del aprendiz y el conocimiento claro y sencillo de su propio proceso de formación. De igual forma mejora la eficiencia y la flexibilidad porque lleva la gestión de cada aprendiz de manera individualizada, optimizando el tiempo según su dedicación y capacidad. (Migración detallada)

2.2.2.17.6.2. RESPONSABILIDADES CONTRATISTA 2.2.2.17.6.2.1. El software misional del SENA, base de la formación y registro de aprendices debe estar alojado en el hardware

propiedad del SENA sobre el cual funciona actualmente este sistema (ver anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”). Dicho hardware debe ser trasladado y migrado según las condiciones de traslado propuestas en el numeral 2.2.7 y sus sub-numerales al Data Center Principal.

2.2.2.17.6.2.2. Este servicio debe ser en modalidad housing y acorde con el diseño del CONTRATISTA asociado a su solución de data center como servicio. en la actualidad la aplicación se encuentra alojada en 22 servidores Oracle X5-2 con tecnología de procesamiento basada en procesadores Intel Xeon, sistemas operativos Red Hat Enterprise 6.5, sus bases de datos ORACLE son manejadas en el SuperCluster. En estos sistemas se encuentran alojadas: bases de datos, módulos de la aplicación, módulos de integración con otros sistemas de información y aplicaciones.

2.2.2.17.6.2.3. El CONTRATISTA deberá garantizar la correcta migración de la infraestructura y los sistemas de información relacionados a SOFIA, la continuidad y operación de esta aplicación misional del SENA. La arquitectura base de este Sistema de Información se encuentra detallada en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER” (Sección arquitectura SOFIA).

2.2.2.17.6.2.4. Este servicio debe ser replicado por el CONTRATISTA en el Data Center Alterno (DRP) desde los servidores mínimos requeridos dado el diseño del CONTRATISTA asociado a su solución de data center como servicio.

2.2.2.17.6.2.5. De este sistema de información se deben garantizar la alta disponibilidad de recursos de cómputo (CPU, memoria, Disco), bases de datos, red y backup.

2.2.2.17.7. OFFICE 365 2.2.2.17.7.1. El SENA cuenta con un contrato de servicios y suites de Microsoft 365 entre las cuales se encuentra Office

365, para este servicio se requiere garantizar la administración, configuración, operación, soporte y monitoreo de la plataforma de Office 365, la cual estará conformada por los servicios e Infraestructura de:

• Servicios de Sincronización y Federación para Office 365. • Lync Server On-Premise. • Lync Online. • Exchange Online. • Exchange On-Premise. • SharePoint On-Premise. • SharePoint Online. • Yammer. • Teams. • One Drive. • Skype Empresarial. • Power BI. • Microsoft Dynamics CRM Online. • Flow. • Power Apps. • School Data Sync. • Bookings. • Stream. • Y las demás anexadas por Microsoft durante la operación del contrato.

2.2.2.17.7.2. Adicionalmente se requiere realizar la gestión del soporte técnico con el fabricante en todo caso el CONTRATISTA debe contar con un especialista certificado directamente del fabricante, debe realizar el mantenimiento, migración, actualización y cambio de versión de la infraestructura, sus servicios, componentes y/o unidades lógicas en caso de ser requerido.

2.2.2.17.8. SADaM 2.2.2.17.8.1. CONTEXTO / ANTECEDENTES 2.2.2.17.8.1.1.

El SENA, en cumplimiento de sus objetivos misionales de la institución y en el marco de sus planes estratégicos, implementó un servicio de administración de datos maestros – SADaM, cuyo principal objetivo es generar una vista única y confiable para Aprendices, Empresas y Programas sustentable a través de la función de Gobernabilidad de Datos enfocada en la administración de datos maestros (MDM) que incluya las funciones de Calidad, Interoperabilidad, Administración y Privacidad de los datos.

La plataforma está compuesta por: 1. Integración de Datos, para extracción de datos desde las fuentes orígenes.

61

Numeral Requisito 2. Calidad de Datos, para la evaluación del nivel de estado actual de los datos y para la remediación (limpieza, estandarización y enriquecimiento). 3. Administración de datos maestros, para el reconocimiento de los registros duplicados, consolidación de registros (Golden Record), relaciones entre entidades y auditoría y mantenimiento sobre los datos. 4. Seguridad de Datos, para la privacidad de los datos maestros. 5. Integración de datos, para la carga de datos programadas hacia la fuente destino (ODS).

2.2.2.17.8.1.2. El licenciamiento debe ser asumido en su totalidad por el CONTRATISTA el cual está en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”.

2.2.2.17.8.2. RESPONSABILIDADES CONTRATISTA 2.2.2.17.8.2.1. · Garantizar la correcta operación, gestión, actualización y soporte del licenciamiento, actualización e

integración de este sistema de información con otras aplicaciones, el cual estará contenido dentro del data center principal ofertado por el Contratista. · Administrar y mantener la solución del Servicio de Administración de Datos Maestros, entregada en producción, realizando el entendimiento de las políticas corporativas de seguridad de TI, en lo que respecta al acceso a los datos, entendimiento de los conceptos de Gobernabilidad de Datos. · Garantizar el procesamiento masivo, consistencia, salvaguarda y disponibilidad de la información en ambiente productivo. · Apoyar las actividades asociadas con el mantenimiento del gobierno de datos por parte del SENA, participando de los comités de Gobierno de Datos que convoque el SENA. · Apoyar en las actividades de conformación y estructuración del equipo técnico de Gobierno de Datos, participando de las reuniones que convoque el SENA. · Realizar la atención de incidentes y solicitudes de plataforma a través de la Mesa de Servicios, con un horario de 7x24x365. Esto incluye la base de datos ODS (Operational Data Store). Para los incidentes y solicitudes de aplicaciones el horario de atención será de lunes a viernes de 8 am a 5 pm. Las aplicaciones contempladas en la atención serán: - MDM - PowerCenter - DataQuality - DDM - ODS · Soportar las solicitudes de generación de información para usuarios funcionales sobre el IDD del MDM. · Soportar el modelo de datos del ODS para la integración a nuevos sistemas. · Recomendar en uso de buenas prácticas en la construcción de ETLS. · Soportar en solicitud de accesos /Permisos/ sobre DQ, PW o MDM. · Realizar creación de usuarios sobre el MDM o el ODS. · Realizar el Cambio de configuración de acceso en cambios de máquina. · Tramitar las solicitudes de reglas de firewall en caso de ser requeridas por cambios en direcciones IPS o puertos de sistemas fuentes. · Soportar en construcción de nuevos ETL’s dentro de la plataforma.

2.2.2.18. SEGURIDAD 2.2.2.18.1. ANTECEDENTES / CONTEXTO 2.2.2.18.1.1. El SENA cuenta en la actualidad con servicios de Seguridad Perimetral suministrados como servicio (IaaS) por

el CONTRATISTA actual de servicios de Data Center entre los que se encuentran: • Firewall Perimetral (IPS/IDS) • Firewall de Aplicaciones Web

2.2.2.18.1.2. También cuenta con equipos propios de Protección de Amenazas Avanzadas del fabricante FireEye, Microsoft y los appliances necesarios para su operación listados a continuación.

2.2.2.18.1.2.1. Equipo seguridad avanzada para Navegación y Protección de Aplicaciones: El alcance del servicio de Protección contra Amenazas Avanzadas se prestará sobre la infraestructura del SENA y analizará el tráfico cifrado de navegación hacia Internet y el tráfico cifrado hacia las aplicaciones del SENA para detectar comportamientos maliciosos que puedan indicar la existencia de malware y/o la existencia de explotación de vulnerabilidades día cero.

2.2.2.18.1.2.2. Equipo seguridad avanzada Dispositivos Finales: El alcance del servicio se presta con un agente instalado en las estaciones de trabajo del SENA, el cual estará monitoreando desde las estaciones de trabajo posibles amenazas a la seguridad de la estación final. Este agente enviará toda la información de eventos e incidentes de seguridad a la consola de PAA, la cual es supervisada por el SOC para que se tomen las medidas de mitigación correspondientes.

2.2.2.18.1.2.3. Protección de Amenazas –PAA- Correo Electrónico: Este servicio en la nube recibe los correos externos que van dirigidos a las cuentas del SENA (@SENA.edu.co) direccionados desde Office 365 malicioso, sabotaje, suplantación para robo de información.

2.2.2.18.1.2.4. La infraestructura para prestar el servicio se encuentra alojada en el Data Center del CONTRATISTA actual del Data Center ubicado Bogotá D.C. y la protección de Office 365. El servicio de SOC se encuentra ubicado actualmente en la Calle 93 16-25 en la ciudad de Bogotá D.C.

2.2.2.18.2. SERVICIOS DE SEGURIDAD A CONTRATAR 2.2.2.18.2.1. El SENA requiere la administración, mantenimiento, monitoreo, actualización, configuración, aseguramiento,

endurecimiento, operación continua y despliegues de sus equipos y plataformas de Seguridad Perimetral. Como mínimo la solución debe incluir los ítems listados a continuación.

2.2.2.18.2.2. Protección a la infraestructura del SENA de ataques cibernéticos. 2.2.2.18.2.3. La solución a proveer debe dar garantía y visibilidad del trafico cifrado a internet garantizado la

confidencialidad de la información privada en el uso de redes publica 2.2.2.18.2.4. Proveer visibilidad del tráfico que va hacia las aplicaciones del SENA.

62

Numeral Requisito 2.2.2.18.2.5. Determinar amenazas (Botnets, APT, Malware polimórficos y ZeroDays, etc.) dentro del tráfico cifrado. 2.2.2.18.2.6. Atender las amenazas detectadas a través de los Procesos de Gestión de Incidentes de Seguridad y de

Eventos de Seguridad en sincronía con el grupo de Seguridad de la información de la oficina de Sistemas del SENA o quien haga sus veces, a través del SOC (Security Operations Center).

2.2.2.18.2.7. Generar un método complementario para la detección, análisis y resolución de incidentes de seguridad (estaciones de trabajo).

2.2.2.18.2.8. Aplicar correlación de información entre la Protección de Amenazas Avanzadas Navegación y la protección de amenazas avanzadas Dispositivos Finales, para aumentar la capacidad de detección de amenazas.

2.2.2.18.2.9. Mejorar la capacidad de registro de la información con logs de registro en las estaciones de trabajo. 2.2.2.18.2.10. Protegerse del SPEAR PHISHING el cual es uno de los principales métodos para iniciar una APT (Advanced

Persistent Threat), por la complejidad en su detección. 2.2.2.18.2.11. Analizar cada adjunto del correo electrónico y URL para detectar amenazas y detener ataques APT en tiempo

real. 2.2.2.18.2.12. El servicio de Protección de Amenazas Avanzadas Navegación se prestará en toda la infraestructura del SENA

que genere tráfico cifrado (SSL/TLS) de salida hacia Internet del SENA, el tráfico hacia las aplicaciones del SENA.

2.2.2.18.2.13. El servicio de Protección de Amenazas Avanzadas – Dispositivos Finales se presta sobre todos los eventos que generen las estaciones de trabajo en la plataforma y su correlación con la protección de navegación.

2.2.2.18.3. SERVICIOS SEGURIDAD PERIMETRAL A CONTRATAR 2.2.2.18.3.1. FIREWALL PERIMETRAL

2.2.2.18.3.1.1. El CONTRATISTA debe prestar el servicio de Firewall Perimetral en modalidad FWaaS (Firewall as a Service) en el Data Center Principal de la especificación indicada y en el Data Center Alterno (DRP), incluyendo: protección firewall, IPS/IDS, acceso VPN, antivirus de borde (Gateway) con las siguientes características mínimas y ANS expuestos en el anexo “ACUERDO DE NIVELES DE SERVICIOS”.

2.2.2.18.3.1.1.1. Funcionalidades generales: Firewall, NGFW, VPN (IPSEC y SSL), Antivirus, IPS/IDS, Filtrado Web, Anti-Spyware, Control de aplicaciones, inspección de contenido en los protocolos https y smtps.

2.2.2.18.3.1.1.2. Desempeño: Firewall: 800 Gbps 2.2.2.18.3.1.1.3. VPN Ipsec: 200 Gbps 2.2.2.18.3.1.1.4. IPS: 220 Gbps 2.2.2.18.3.1.1.5. NGFW: 100 Gbps 2.2.2.18.3.1.1.6. Número de sesiones concurrentes: 280.000.000 (TCP) 2.2.2.18.3.1.1.7. Latencia: Debe ser indicada por el CONTRATISTA si aplica. 2.2.2.18.3.1.1.8. Número mínimo de túneles Site-to-Site (Licenciados): ilimitados. 2.2.2.18.3.1.1.9. Número mínimo de túneles Client-to-Site (Licenciados): ilimitados. 2.2.2.18.3.1.1.10. Alta disponibilidad: activo/pasivo 2.2.2.18.3.1.1.11. Protocolos de internet: IPv4 e IPv6 2.2.2.18.3.1.1.12. Se deben suministrar 4 firewall para el DC 2.2.2.18.3.2. FIREWALL DE APLICACIONES WEB (WAF) 2.2.2.18.3.2.1. El CONTRATISTA debe prestar el servicio de Firewall de Aplicaciones Web (WAF - Web Application Firewall)

en el Data Center Principal al 100% de la especificación indicada y en el Data Center Alterno (DRP) al 50%, en modalidad FWaaS aprovisionado en una plataforma waf de propositvo especifico incluyendo protección WAF con las siguientes características mínimas y ANS expuestas en el anexo “ACUERDO DE NIVELES DE SERVICIOS”

2.2.2.18.3.2.1.1. Desempeño: 6 Gbps 2.2.2.18.3.2.1.2. Tipo de instalación: Transparent Bridge (Capa 2), Proxy Inverso (Capa 7), Proxy Transparente (Capa 7), Full

Proxy. 2.2.2.18.3.2.1.3. Número de usuarios: 5.000 2.2.2.18.3.2.1.4. Métodos protección: XSS, SQLi, LFI, Top 10 OWASP. 2.2.2.18.3.2.1.5. Alta disponibilidad: activo/pasivo 2.2.2.18.3.2.1.6. Notificaciones y alertas: SNMP, email, dashboard, registro y almacenamiento de bitácoras. 2.2.2.18.3.2.1.7. Protocolos de internet: IPv4 e IPv6 2.2.2.18.3.3. SISTEMA DE PROTECCIÓN DE ATAQUES DoS y DDoS 2.2.2.18.3.3.1. El CONTRATISTA debe prestar el servicio de protección ante ataques DoS/DDoS (Denegación del

Servicio/Denegación Distribuida del Servicio) en el Data Center Principal al 100% de la especificación indicada y en el Data Center Alterno (DRP) al 50%, en modalidad PaaS o una solución hibrida (on-premise / cloud) con las siguientes características mínimas y ANS expuestas en el anexo “ACUERDO DE NIVELES DE SERVICIOS”. Este servicio debe prestarse con (Un (1) equipo con disponibilidad de 99.98%, es decir con un equipo SPARE (de repuesto) disponible inmediatamente para reemplazo en caso de fallos.)

2.2.2.18.3.3.1.1. Funcionalidades generales: Protección y bloqueo ante ataques tipo DoS y DDoS.

Permitiendo: Inspección L3/L4/L7 de anomalía de protocolos HTTP/DNS

Aprendizaje de tráfico y procesos de verificación de ataques múltiples (Análisis de protocolos, Mitigaciones capa 3, capa 4, Capa 7), Mitigación de ataques DNS (encabezados, querys, fuentes, reputación de dominios).

Contar con reputación de IP, Geo localización entre otros. 2.2.2.18.3.3.1.2. Tiempo detección ataque: < 2s

63

Numeral Requisito 2.2.2.18.3.3.1.3. Desempeño: 32 Gbps 2.2.2.18.3.3.1.4. Storage: mínimo un disco de 480 GB SSD. 2.2.2.18.3.3.1.5. Rendimiento en Paquetes por Segundo: 42.000.000. 2.2.2.18.3.3.1.6. Tiempo de latencia entre 10 us y 50 us (máxima) 2.2.2.18.3.3.1.7. Alta disponibilidad: Se deberá contemplar con un solo equipo y tener una unidad para reemplazo inmediato en

caso de fallo 2.2.2.18.3.3.1.8. Protocolos de internet: IPv4 e IPv6 y Mitigación avanzada contra ataques DNS 2.2.2.18.3.4. SERVIDOR PROXY CACHE 2.2.2.18.3.4.1. El CONTRATISTA debe prestar el servicio de Proxy/Cache en el Data Center Principal de la especificación

indicada y en el Data Center Alterno (DRP), en modalidad PaaS, incluyendo control de navegación y antivirus de borde (Gateway).

2.2.2.18.3.4.1.1. Desempeño: 2.5 Gbps 2.2.2.18.3.4.1.2. Funcionalidades generales: Proxy cache 2.2.2.18.3.4.1.3. Usuarios soportados: mínimo 1,8 millones 2.2.2.18.3.4.1.4. Almacenamiento: 14 TB 2.2.2.18.3.4.1.5. Interfaces físicas o virtuales: 8 interfaces a 1 Gbps, 2 interfaces a 10 Gbps 2.2.2.18.3.4.1.6. Protocolos de internet: IPv4 e IPv6 2.2.2.18.3.4.1.7. El servicio de seguridad Web deberá permitir la aplicación de reglas en un tiempo específico del día,

considerando el huso horario del usuario. Además de las reglas basadas en tiempo, las políticas deben permitir reglas basadas en fecha para aplicar días de expiración de las mismas.

2.2.2.18.3.4.1.8. Capacidades de filtrado por categoria, usuario, tipo de contenido, reputación, conexión y bloqueo por red de inteligencia.

2.2.2.18.3.4.1.9. Controles de navegacion por tipo de aplicación web de acceso 2.2.2.18.3.4.1.10. Controles de acceso basados en nivel de riesgo. 2.2.2.18.3.4.1.11. El servicio de seguridad Web debe ofrecer revisión de descargas por dos AntiVirus en línea. 2.2.2.18.3.4.1.12. La solución debe contar con analisis de malware avanzando por medio de analisis de comportamiento o

machine learning 2.2.2.18.3.4.1.13. Sandbox para analisis de archivos descargados 2.2.2.18.3.4.1.14. Intregacion con control de fuga de información DLP para capacidades de control de extracción de información

desde web. 2.2.2.18.3.4.1.15. El servicio de seguridad Web debe ofrecer inspección de tráfico SSL/TLS y tener la capacidad de aplicarse al

100% del trafico 2.2.2.18.3.4.1.16. El origen de la conexión y el destino se pueden establecer mediante la exclusión del descifrado SSL 2.2.2.18.3.4.1.17. Para entornos distribuidos debe soportar los metodos de conexión Multi-proxy, proxy explícito, Tunnel ipsec y

software de cliente (agente unificado), agente de protección endpoint y SD WAN Connector 2.2.2.18.3.4.1.18. Integración total con la solución de conectividad SD Ofertada. 2.2.2.18.3.4.1.19. Para PC móvil (Windows y Mac), puede usar el software de cliente dedicado para conectarse a otras fuentes

desde el navegador. También puede usar la nube y control de navegación 2.2.2.18.3.4.1.20. Compatibilidad para moviles Android, iOS 2.2.2.18.3.4.1.21. Integración de autenticación: AD, SAML 2.2.2.18.3.4.1.22. El período de retención del registro de acceso por la vigencia del proceso 2.2.2.18.3.4.1.23. Entrega de información e integración con sistemas de monitoreo. 2.2.2.18.3.4.1.24. Para entorno servicio de control web cloud, certificación ISO 27001 2.2.2.18.3.4.1.25. Funcionalidades hibridas en caso de necesitarse funciones locales con appliance. 2.2.2.18.3.4.1.26. Administración y reporteria de solución on premises y en la nube desde una misma consola de gestion,

replicación de politicas dentro del mismo entorno de protección 2.2.2.18.3.4.1.27. Centralización de la configuración, implementación, supervisión de dispositivos y copias de seguridad. 2.2.2.18.3.4.1.28. Para el servicio de control de navegacion, para la nube y el dispositivos centralizados deben aplicar a la

política común se pueden definir en la administración centralizada de la nube / administración en la nube 2.2.2.18.3.4.1.29. Capacidades de hacer proxy forwarding desde la solucion on premises a el filtro cloud 2.2.2.18.3.4.1.30. Accceso a los registros que se han producido en la infraestructura on premises y en la nube, una sola consola

de reporteria avanzada 2.2.2.18.3.4.1.31. En la función hibrida, el filtrado debe contener la misma base de datos (información de amenazas en la nube

mediante la base de datos) 2.2.2.18.3.4.1.32. On premises - Arquitectura de proxy escalable para asegurar las comunicaciones Web y acelerar de forma

asimétrica aplicaciones Web 2.0 2.2.2.18.3.4.1.33. On premises -Deberá soportar los siguientes métodos de implementación: transparente (en línea, PBR –policy

based routing- , WCCP) y explícito (WPAD, archivos PAC, al menos). 2.2.2.18.3.4.1.34. On premises -Proxy para los siguientes protocolos: HTTP, HTTPS (HTTP sobre SSL), FTP, DNS, CIFS, MAPI,

SOCKS(v4/v5), RTSP/QuickTime, RTMP, RTMPE, MMS, TCP-tunnel, S-TUNNEL 2.2.2.18.3.4.1.35. On premises -Soporte de esquema de Alta Disponibilidad y compatible con IPv4 e IPv6. 2.2.2.18.3.4.1.36. On Premises Administración de ancho de banda, soporte de stream splitting y caching para la optimización de

entrega de multimedios y contenido. Así mismo la funcionalidad de caching deberá funcionar también para las actualizaciones de sistemas operativos, firmas de antivirus, y el video en vivo (live streams) con el fin de optimizar el ancho de banda hacia internet y mejorar la experiencia del usuario.

2.2.2.18.3.4.1.37. Híbrido - Soporte de geolocalización del tráfico.

64

Numeral Requisito 2.2.2.18.3.4.1.38. Híbrido - Deberá incluir niveles de riesgo de amenazas web clasificadas directamente en la base de datos de

reputación del fabricante. 2.2.2.18.3.4.1.39. La solución debe tener la capacidad de brindar una protección perimetral de aislamiento de amenazas en el

navegador con cobertura de usuarios del SENA (ver anexos de línea base), distribuidos, navegando desde la sede y datacenter central y desde las sedes remotas de la entidad.

2.2.2.18.3.4.1.40. La solución debe permitir eliminar por completo las amenazas web hacia los usuarios, evitando que el malware de Internet llegue a los navegadores aislando por completo las respuestas HTTP/S de Internet, y evitando que estas respuestas lleguen a la máquina cliente. Las páginas web deben representarse y aislarse como gráficos para su visualización en el navegador del usuario final.

2.2.2.18.3.4.1.41. Controles granulares sobre aplicaciones Web 2.0 (incluidas aplicaciones Web para dispositivos móviles), actualizándose de forma continua para ofrecer el mejor control y seguridad Web. De tal forma, que permita a los usuarios acceder a este tipo de sitios, pero controlando el tipo de operaciones que pueden ejecutar para evitar riesgos relacionados a consumo de ancho de banda, productividad en los empleados o fuga de información.

2.2.2.18.3.4.1.42. Proveer interconexión hacia un sistema de Antimalware y DLP (Data Loss Prevention) 2.2.2.18.3.4.1.43. Deberá incorporar la funcionalidad de listas blancas para archivos, a través de las cual, se conozcan los

archivos no maliciosos con el fin de mejorar el desempeño de la solución. Esta lista deberá de actualizarse de forma continua y deberá contener al menos mil millones de registros.

2.2.2.18.3.5. FIREWALL BASES DE DATOS 2.2.2.18.3.5.1. La solución de Firewall de Base de Datos de propósito específico debe garantizar la protección de los datos

sensibles de la entidad ante un ataque de hacking, vulnerabilidades, fuga y extracción de información, utilizando auditoria, monitoreo y bloqueo en tiempo real.

2.2.2.18.3.5.2. La solución deberá contar con tecnología de auto-aprendizaje con mínima intervención humana, el proceso deberá ser constante y deberá aprender estructura de bases de datos, incluyendo schemas, objetos, tablas; sistemas, aplicaciones, campos, directorios, así como el comportamiento de cada usuario; todo esto para el establecimiento de un baseline de monitoreo y seguridad. El modo aprendizaje podrá ser activado y desactivado manualmente para extender el tiempo de reconocimiento de los patrones de conducta.

2.2.2.18.3.5.3. La solución deberá proporcionar protección por medio de bloqueos y alertas contra violaciones de seguridad por ataques conocidos, actividad sospechosa o cualquier actividad específica a definir.

2.2.2.18.3.5.4. La solución deberá cubrir el 100% de las bases de datos Oracle y MsSQL server actuales alojadas en al menos 25 servidores físicos estimando un 30% de crecimiento del servicio durante la operación de este contrato. El proponente deberá presentar un diseño integral con el número de gateways, managers y componentes asociados al servicio que garantice la cobertura a nivel de Auditoria, Monitoreo, Bloqueo y Vulnerabilidades para el total de los servidores de bases de datos de la entidad alojados en al menos 25 servidores físicos incluyendo cuchillas de virtualización x86, y servidores físicos SPARC.

2.2.2.18.3.5.5. La solución deberá contar con un componente de administración de la solución centralizado este compuesto por al menos dos (2) equipos físicos de 32 GB de memoria para la administración de primer nivel y un equipo para la administración de segundo nivel o Manager de Managers de 32 GB con al menos 2 puertos de Gestión Out-band

2.2.2.18.3.5.6. La solución deberá contar con facilidades o herramientas analíticas para la conducción de análisis forense cuando sea reportado algún incidente.

2.2.2.18.3.5.7. La solución de protección de bases de datos deberá estar conformada en su totalidad por al menos dos (2) equipos tipo Appliances físicos.

2.2.2.18.3.5.8. La solución deberá funcionar independiente a la activación de la auditoría nativa de la base de datos. 2.2.2.18.3.5.9. La solución deberá ser transparente para la base de datos y/o las aplicaciones que accedan a ella, es decir, no

requerirá que se realicen cambios en la programación, configuración u operación (triggers, stored procedures, etc.) de ninguna de ellas.

2.2.2.18.3.5.10. El repositorio para el registro de la actividad en el appliance, no deberá ser accesible por ningún otro mecanismo que no sea la interacción mediante la GUI (interfaz gráfica) proporcionada por el fabricante o por medios administrativos debidamente asegurados.

2.2.2.18.3.5.11. La solución deberá ser capaz de descubrir servidores de bases de datos y realizar análisis de vulnerabilidades sobre el software de manejo de la base de datos desde la red.

2.2.2.18.3.5.12. La solución deberá realizar una evaluación exhaustiva de los riesgos de la infraestructura objetivo a diferentes niveles/capas de la infraestructura de base de datos incluyendo:

2.2.2.18.3.5.13. Cuestiones de configuración de la base de datos tales como nivel de parcheo, configuración de las cuentas de usuario, evaluación de la fortaleza de las contraseñas, vigencia de contraseñas.

2.2.2.18.3.5.14. Cuestiones de configuración de la plataforma, incluyendo configuración del sistema operativo de los servidores que soportan el software de base de datos.

2.2.2.18.3.5.15. La solución deberá de poder realizar descubrimientos automatizados en la red para identificar nuevas bases de datos siendo habilitadas, ya sea a nivel de servidor o puertos habilitados en servidores conocidos.

2.2.2.18.3.5.16. La solución deberá tener la capacidad de analizar y clasificar los tipos de dato dentro de las Bases de Datos de acuerdo a las políticas de negocio. Las definiciones de tipo de dato deberán poder crearse de manera flexible y granular.

2.2.2.18.3.5.17. La solución deberá proveer un servicio de protección del software de base de datos mediante la aplicación de parches virtuales que permitan atacar las vulnerabilidades encontradas en dicho software, independientemente de la liberación de la corrección o actualización del fabricante. Esta solución no debe requerir la instalación de agentes en las bases de datos.

65

Numeral Requisito 2.2.2.18.3.5.18. La solución deberá apoyar en los esfuerzos de análisis de vulnerabilidades, configuración de seguridad,

comportamiento/performance de aplicativos y Control de cambios. El módulo de administración del ciclo de vida de las vulnerabilidades se accederá desde la misma consola de administración del sistema, no se deben requerir productos ni consolas adicionales para este fin.

2.2.2.18.3.5.19. La solución deberá monitorear toda la actividad de las bases de datos, y deberá almacenar los comandos SQL tal cual fueron escritos por el usuario o aplicación, incluyendo comandos DDL, DML y DCL.

2.2.2.18.3.5.20. La solución deberá monitorear e interactuar con la actividad de la base de datos sin importar el punto de entrada, ya sean conexiones directas, servidores de aplicaciones, acceso directo a la base de datos, ligas, stored procedures, entre otros.

2.2.2.18.3.5.21. La solución deberá hacer análisis y auditoría sobre todo el tráfico en tiempo real, sin importar el volumen de tráfico, sin necesidad de crear un archivo log primero para su análisis posterior.

2.2.2.18.3.5.22. La solución deberá tener capacidad de monitorear el tráfico encriptado hacia las Bases de Datos. 2.2.2.18.3.5.23. La solución deberá proveer detalles sobre alertas ya sean falsos positivos o negativos y deberá tener la

facilidad de cambiar una política desde la alerta. 2.2.2.18.3.5.24. La solución deberá manejar reglas y políticas tan amplias o granulares como se requieran y deberán poder ser

construidas automáticamente o manualmente y deberán poder ser actualizadas, igualmente, de forma manual o automática.

2.2.2.18.3.5.25. Las políticas granulares para control de acceso o generación de alertas deberán de contar con los siguientes criterios para la validación de la actividad en la aplicación de Base de Datos. Los criterios deberán de poder usarse en cualquier número y cualquier combinación:

• Número de registros a regresar por la consulta (SQL Query) • Número de registros afectados

Tipo de datos accedido (financiero, recursos humanos, inventarios, o cualquier definición personalizada)

• Acceso a datos marcados como sensibles Base de Datos, Schema, Instancia, Tabla y Columna accedida

• Estado de autenticación de la sesión Usuario y/o Grupo de Usuarios de Base de Datos conectado

• Usuario conectado en la capa aplicativa, a diferencia del usuario conectado a la DB Por búsqueda en diccionarios de datos (tarjetas de crédito, datos privados, o cualquier personalización por expresiones regulares) Logins, Logouts, Queries

• IPs de origen y destino • Nombre de Host origen, Usuario firmado en el Host origen • Aplicación usada para la conexión a la base de datos • Tiempo de respuesta/procesamiento del query

Errores en el manejador de SQL • Número de ocurrencias en intervalos de tiempo definidos por operaciones básicas (Select, Insert,

Update, Delete), por operaciones privilegiadas (Create, Alter, Drop, Grant, Revoke, Truncate, Export), por Stored Procedure o Function utilizada

• Si existe ticket asignado de cambios Hora del Día

2.2.2.18.3.5.26. La solución deberá identificar individualmente a los usuarios finales que realicen actividades mediante aplicaciones, aún si utilizan mecanismos comunes de comunicación entre la aplicación y la base de datos, ésta actividad no deberá implicar la modificación de la aplicación y/o de la base de datos.

2.2.2.18.3.5.27. La solución debe posibilitar los análisis en tiempo real e histórico bajo demanda, es decir, sin necesidad de pasar por un proceso batch previo.

2.2.2.18.3.5.28. La solución deberá asociar y correlacionar eventos que individualmente podrían no constituir un riesgo pero que en conjunto son indicativos de una potencial violación de seguridad.

2.2.2.18.3.5.29. La solución deberá proteger contra ataques SQL y no-SQL (como buffer overflow) 2.2.2.18.3.5.30. La solución deberá soportar en un momento dado la capacidad para correlacionar la actividad en base de

datos con la actividad de aplicaciones web para entender detalladamente como los usuarios están accediendo datos privilegiados sin necesidad de alterar la aplicación web.

2.2.2.18.3.5.31. Considerados de emergencia para potenciales violaciones de la información que incluyan, enunciativa mas no limitativamente:

o Altos volúmenes de acceso a datos sensibles más allá de lo habitual. o Acceso a datos inusual para cierta hora del día. o Acceso a datos desde una ubicación (física) desconocida. o Acceso a datos utilizando aplicaciones/herramientas no autorizadas.

2.2.2.18.3.5.32. La solución debe manejar una auditoría sobre sí misma, manteniendo un control de cambios sobre las políticas

autorizadas y configuraciones realizadas. 2.2.2.18.3.5.33. La solución debe tener facilidades de Archivado de la información histórica y de auditoría, con flexibilidad de

opciones de protocolo o medio (como SAN o por medio de FTP, HTTP, NFS, SCP)

66

Numeral Requisito 2.2.2.18.3.5.34. La solución deberá tener la capacidad de exportar datos y eventos, tales como alertas, eventos de sistema y

base de datos, información de seguridad/administración, entre otras, hacia otras herramientas de administración por medio de protocolos SNMP y Syslog.

2.2.2.18.3.5.35. La solución deberá analizar los eventos generados desde diferentes bases de datos. El análisis deberá contemplar los siguientes criterios: Deberá mostrar el número de eventos ocurridos, el número de usuarios sospechosos y/o los sistemas comprometidos.

2.2.2.18.3.5.36. Deberá contar con un sistema de correlación basado en la dirección de los ataques. Deberá determinar si los ataques provienen desde dentro de la organización hacia afuera de la misma o viceversa.

2.2.2.18.3.5.37. Deberá realizar una correlación automática y en tiempo real de eventos, vulnerabilidades y bases de datos. 2.2.2.18.3.5.38. Deberá ejecutar una correlación que permita identificar usuarios de aplicación asociados con consultas –y

determinadas actividades– en bases de datos específicas sin necesidad de alterar aplicaciones o instalar API’s.

2.2.2.18.3.5.39. Deberá correlacionar eventos como número de errores inusuales de sentencias de SQL o al momento de hacer login a las bases de datos.

2.2.2.18.3.5.40. La solución debe permitir el manejo de alarmas y notificaciones –en tiempo real– para los eventos de correlación mencionados anteriormente.

2.2.2.18.3.5.41. La solución debe tener la capacidad de monitorear usuarios de Base de datos que tienen acceso a través de aplicaciones web, ofreciendo una visibilidad, seguridad y control desde el usuario web hasta la base de datos sin alterar la arquitectura de las aplicaciones o las bases de datos.

2.2.2.18.3.5.42. La solución deberá contar con un servicio de investigación sobre vulnerabilidades y amenazas informáticas, para lo cual deberá presentar la documentación respectiva en el descubrimiento de las mismas sin que la entidad deba invertir en software adicional para contar con esta funcionalidad. La solución debe contar con un módulo de administración de las vulnerabilidades de los sistemas y no deberá requerir la instalación de un segundo agente en los servidores de bases de datos para esta funcionalidad.

2.2.2.18.3.5.43. La solución deberá soportar y aplicar simultáneamente un modelo de seguridad positivo y negativo. 2.2.2.18.3.5.44. El modelo negativo de seguridad define explícitamente las firmas de ataques conocidos, por lo que deberá

además cumplir con las siguientes especificaciones: 2.2.2.18.3.5.45. Deberá bloquear las transacciones que tengan contenido que coincida con firmas de ataque conocidos. 2.2.2.18.3.5.46. Deberá incluir una lista pre-configurada y detallada de las firmas de ataque. 2.2.2.18.3.5.47. Deberá permitir la modificación o adición de firmas por el administrador. 2.2.2.18.3.5.48. Deberá permitir la actualización automática de la base de datos de firmas, asegurando una completa

protección contra las amenazas de aplicación más recientes. 2.2.2.18.3.5.49. Deberá detectar ataques conocidos en múltiples niveles, incluyendo, la red, sistemas operativos, software del

servidor web y ataques a nivel de aplicación. 2.2.2.18.3.5.50. La solución debe considerar para el Data Center principal de la entidad un (1) equipo físico en modalidad

appliance, es decir todo el hardware y software de la solución debe estar integrado y soportado desde fábrica. 2.2.2.18.3.5.51. La solución debe ser de tipo appliance físico, con un sistema operativo robustecido del mismo fabricante de la

solución y de propósito específico para la función de Auditoria y Seguridad (Bloqueo) de Base de datos. Todo el sistema debe incluir el licenciamiento de sistema operativo y aplicaciones de la solución para la puesta en marcha del servicio de protección de bases de datos desarrollado y soportado por el mismo fabricante.

2.2.2.18.3.5.52. El despliegue de la solución se realizará en modo bridge de capa 2 para proteger en tiempo real los accesos desde los usuarios del servicio incluyendo servidores de aplicaciones y las bases de datos, con agentes instalados en los servidores de bases de datos de la entidad para las funciones de auditoria local, es decir de los accesos que se realicen en la misma red de los servidores de bases de datos protegidos con la opción de configurar los agentes para que cambien automáticamente de auditoria a bloqueo en ciertas horas del día fuera del horario normal del servicio para afianzar la protección de los datos sensibles. Las interfaces deben incluir bypass/ failopen/ failclose integrado al Appliance y configurable tanto para fallas de hardware como software.

2.2.2.18.3.5.53. Deberá contemplar mecanismos que permitan fácilmente la vuelta atrás de una política de seguridad implementada en una aplicación.

2.2.2.18.3.5.54. Capacidad de integrarse a futuro con un SIEM provisto por la entidad y de reenviar el 100% los eventos hacia el SIEM sin que esto implique almacenar/auditar la información en el equipo de protección de bases de datos.

2.2.2.18.3.5.55. Especificaciones del equipo Gateway (Firewall de Base de Datos), a continuación, los requerimientos de infraestructura requeridos para cada uno de los equipos Gateway:

o Máximo 2 unidades de Rack o Doble fuente de poder con sistema hot-swap. o 2 x 2TB discos duros en RAID1 o 2 puertos de administración exclusivos fuera de banda (10/100/1000 Mbps) o 2 puertos USB o 8 puertos de red de 1Gbps de cobre con capacidad para habilitar hasta 4 Bridges (FailOpen). o Memoria RAM de 32GB.

2.2.2.18.3.5.56. Para las funcionalidades de Bloqueo, se requiere que los requerimientos se procesen en memoria y no en disco debido a que este último modo de operación generara latencia en el servicio de consultas a la base de datos, la latencia generada por la operación de protección debe ser menor a 5 milisegundos.

67

Numeral Requisito 2.2.2.18.3.5.57. La solución deberá soportar a futuro la integración nativa o no nativa de herramientas que permitan analizar

automáticamente el comportamiento de los usuarios que acceden a los sistemas de bases de datos protegidos utilizando como fuente primaria de construcción del perfil los logs de la plataforma de protección de bases de datos para la detección automática de anomalías e incidentes de seguridad. La solución deberá estar en la capacidad de identificar los usuarios del sistema, cuentas de servicio, dispositivos de end user desde donde se realicen los accesos, hora del acceso, sistemas accedidos e identificación automática del incidente de acuerdo con el perfil basado en algoritmos de aprendizaje de máquina.

2.2.2.18.3.5.58. Para las funcionalidades de Bloqueo, la solución nunca deberá terminar la conexión que se genera entre el cliente y el servidor definiendo como cliente un usuario con conexión ODBC a la base de datos o un servidor de aplicaciones.

2.2.2.18.3.6. NGIPS (NEXT GENERATION INTRUSION PREVENTION SYSTEM) 2.2.2.18.3.6.1. La solución NGIPS deberá estar disponible en hardware propietario del fabricante y de propósito específico, es

decir no podrá ser instalado en hardware de terceros, implementado en hardware homologado y/o no podrá ser un equipo de hardware multipropósito.

2.2.2.18.3.6.2. Cada IPS deberá tener la capacidad de inspeccionar hasta 40Gbps de tráfico sin modificar el hardware ofertado y una capacidad de inspección licenciada de 40 Gbps sin habilitar funciones de mejor esfuerzo (best effort).

2.2.2.18.3.6.3. NGIPS debe cumplir con las siguientes características mínimas: • Soportar por lo menos 650.000 conexiones por segundo. • Soportar por lo menos 120.000.000 de sesiones concurrentes. • Soportar por lo menos 75.000 conexiones SSL concurrentes.

Soportar inspección de tráfico SSL entrante (tráfico de entrada) de hasta 2Gbps 2.2.2.18.3.6.4. Deberá ser posible expandir el throughput de inspección por medio de licenciamiento adicional sobre el mismo

hardware 2.2.2.18.3.6.5. La solución NGIPS ofertada deberá soportar procesamiento de tráfico asimétrico 2.2.2.18.3.6.6. Debe ser posible colocar la solución en modo by-pass total forzado 2.2.2.18.3.6.7. La solución debe ser capaz de inspeccionar tráfico que viaja en túneles 2.2.2.18.3.6.8. La solución NGIPS deberá poseer controles de protección contra ataques de DDOS, actuando como SYN

PROXY 2.2.2.18.3.6.9. La solución NGIPS deberá incluir una consola de administración centralizada en hardware o virtual con el fin

de tener un repositorio central de eventos y por medio del cual se podrán hacer integraciones con diferentes herramientas

2.2.2.18.3.7. MODULO DE PROTECCIÓN DE CARGAS DE TRABAJO Y ALMACENAMIENTO EN NUBES PÚBLICAS 2.2.2.18.3.7.1. Se requiere una solución de protección de cargas de trabajo y almacenamiento en nubes públicas. Dicha

solución tendrá como objetivo garantizar la seguridad, reforzamiento de controles, aislamiento de aplicaciones, protección contra vulnerabilidades y visibilidad de las máquinas virtuales que la organización migre o instale en plataformas de infraestructura como servicio (IaaS).

2.2.2.18.3.7.2. Requerimientos Generales de la solución: 2.2.2.18.3.7.2.1. La solución debe integrarse de manera nativa, vía API, como mínimo con los siguientes CONTRATISTAs de

infraestructura como servicio: o Azure o Google Cloud Platform o Amazon AWS o Oracle Cloud

2.2.2.18.3.7.2.2. La solución debe garantizar visibilidad de las cargas de trabajo, independientemente de la nube en la que se encuentren, desde una única consola.

2.2.2.18.3.7.2.3. La solución debe permitir al administrador ejecutar tareas de encendido y apagado de las cargas de trabajo (servidores) en caso de ser requerido por incumplimiento de alguna de las políticas de protección.

2.2.2.18.3.7.2.4. La solución debe contar con un agente que pueda ser instalado en los diferentes sistemas operativos que la entidad tenga en la nube pública, para realizar controles de seguridad específicos sobre las máquinas a proteger.

2.2.2.18.3.7.2.5. La solución debe ser licenciada por servidor/instancia a proteger, sin importar la cantidad de procesadores y/o tiempo de uso del mismo.

2.2.2.18.3.7.2.6. La tecnología de protección de la solución al sistema operativo debe incluir mecanismos que eviten la ejecución de procesos maliciosos, estos procesos deberán poder ser definidos a través de políticas.

2.2.2.18.3.7.2.7. La tecnología de protección de la solución al sistema operativo deberá incluir mecanismos que eviten la escritura, lectura o modificación de archivos o directorios. Estos deberán poderse definir a través de políticas.

2.2.2.18.3.7.2.8. La tecnología de protección de la solución al sistema operativo deberá incluir mecanismos que eviten la escritura, modificación o eliminación de llaves de registro. Las llaves de registro a proteger deberán definirse por medio de políticas.

2.2.2.18.3.7.2.9. La solución debe ofrecer visibilidad y descubrimiento de instancias (máquinas virtuales) sobre las nubes públicas anteriormente mencionadas.

2.2.2.18.3.7.2.10. La solución debe estar en capacidad de detectar automáticamente los servicios de software que se estén ejecutando en cada instancia o máquina virtual alojada en las nubes públicas.

2.2.2.18.3.7.2.11. La solución debe estar en capacidad de realizar, de manera automática, análisis de vulnerabilidades sobre los sistemas operativos y los servicios de software que sobre dicho sistema se encuentren (Ej.: Apache, MySQL, etc.)

68

Numeral Requisito 2.2.2.18.3.7.2.12. La solución debe correlacionar en la misma consola, y mostrar gráficamente, las amenazas que una máquina

pueda tener a causa de una vulnerabilidad asociada al sistema operativo o los servicios de software que dentro de este se ejecutan.

2.2.2.18.3.7.2.13. La solución debe recomendar las políticas más adecuadas a ser aplicadas a cada una de las máquinas, basándose en el sistema operativo y los servicios de software que dentro del mismo se ejecuten.

2.2.2.18.3.7.2.14. La solución debe tener un módulo de protección contra intrusiones (IPS) que no dependa del uso de firmas. 2.2.2.18.3.7.2.15. La solución debe poseer un módulo de monitoreo de integridad de archivos en tiempo real, completamente

personalizable y escalable. 2.2.2.18.3.7.2.16. La solución debe poseer un módulo de monitoreo de actividad de usuarios locales y/o de directorio activo. 2.2.2.18.3.7.2.17.

La solución debe permitir monitorear como mínimo las siguientes actividades sobre los usuarios de un sistema operativo y/o controlador de dominio:

o Creación o Eliminación o Modificación o Cambio de contraseña o Activación de cuenta o Desactivación de cuenta o Modificación de pertenencia a grupos o Cambio de privilegios

2.2.2.18.3.7.2.18. La solución debe contar con un módulo que permita definir el comportamiento específico de una aplicación y aislar el mismo para garantizar que dicha aplicación no pueda comprometer o realizar cambios sobre el sistema operativo.

2.2.2.18.3.7.2.19. La solución debe estar en capacidad de hacer des-escalamiento de privilegios a nivel de usuarios, procesos y carpetas.

2.2.2.18.3.7.2.20. Debe permitir definir usuarios, rutas, aplicaciones y/o ubicaciones seguras desde las cuales se permitirán cambios sobre el sistema operativo.

2.2.2.18.3.7.2.21. La solución debe tener capacidad de mitigación de explotación de memoria (MEM) el cual no esté basado en firmas.

2.2.2.18.3.7.2.22. La solución debe poseer control de aplicaciones por comportamiento, listas negras y listas blancas y de manera granular.

2.2.2.18.3.7.2.23. Debe tener capacidades antimalware de nueva generación y como mínimo con las siguientes características:

o Machine Learning o Emulación o Monitoreo de comportamiento o Análisis de reputación o Debe contener tecnologías de aislamiento de amenazas a en entornos web.

2.2.2.18.3.7.2.24. Debe poseer protección contra vulnerabilidades conocidas y desconocidas sin necesidad de aplicar una firma específica o parche sobre el sistema operativo.

2.2.2.18.3.7.2.25. Debe poseer protección contra vulnerabilidades conocidas y desconocidas sin necesidad de aplicar una firma específica o parche sobre la aplicación que se encuentre vulnerable.

2.2.2.18.3.7.2.26. Debe garantizar que ningún cambio no autorizado sobre el sistema operativo se ejecute. 2.2.2.18.3.7.2.27. La solución debe poseer un módulo de firewall de red. 2.2.2.18.3.7.2.28. La solución debe poseer un módulo de firewall de aplicación. 2.2.2.18.3.7.2.29.

Debe proteger como mínimo los siguientes sistemas operativos y/o plataformas:

• Windows Server • Linux RedHat • CentOS • HP UX • Ubuntu • Docker • Kubernetes • Puppet

69

Numeral Requisito • Chef • Ansible

2.2.2.18.3.7.2.30. La solución deberá ser capaz de configurar notificaciones sobre la detección de riesgos en base a roles o perfiles de responsabilidad definidos por la entidad

2.2.2.18.3.7.2.31. La solución debe ser capaz de manejar diferentes formas de instalación, incluidas como mínimo las siguientes:

o Aprovisionamiento automático basado en plantillas del CONTRATISTA de nube o Instalación manual o Instalación basada en herramientas de despliegue de software o Aprovisionamiento manual a través de la tienda del CONTRATISTA de nube

2.2.2.18.3.7.2.32. Debe contar con una consola de administración, 100% en la nube. 2.2.2.18.3.7.2.33. Debe poder administrar y proteger con las mismas características mencionadas anteriormente máquinas

ubicadas on-premises. 2.2.2.18.3.7.2.34. La consola deberá tener la capacidad de configurar y enviar alertas, dependiendo del cumplimiento de

condiciones definidas por el administrador. 2.2.2.18.3.7.2.35. Debe tener capacidades de registro de eventos ilimitada. 2.2.2.18.3.7.2.36. Debe poder integrarse vía API con solución de SIEM de la entidad. 2.2.2.18.3.8. MODULO DE PROTECCION DE APLICACIONES EN LA NUBE QUE EVITE ATAQUES DIRIGIDOS Y FUGA

DE INFORMACION 2.2.2.18.3.8.1. La solución debe permitir el descubrimiento y monitoreo de todas las aplicaciones Cloud utilizadas por la

organización resaltando el nivel de riesgo de estas. 2.2.2.18.3.8.2. La solución debe presentar una vista de resumen que incluya por lo menos: Calificación de riesgo de la

organización de uso de aplicaciones en la nube, Top 5 de las aplicaciones en la nube más riesgosas de la organización, Top 5 de las aplicaciones en la nube más usadas por la organización y los usuarios de estas respectivamente.

2.2.2.18.3.8.3. La solución debe tener la capacidad de descubrir las aplicaciones en la nube que hagan parte de “Shadow IT” para la toma de decisiones inteligentes sobre los permisos asignados a estas.

2.2.2.18.3.8.4. La solución debe reconocer más de 20.000 aplicaciones Cloud en total las cuales son actualizadas constantemente por el equipo de especialistas de seguridad del fabricante.

2.2.2.18.3.8.5. La solución debe permitir que el cliente haga anónimo y comprima el envío de logs con un componente de recolección de logs local.

2.2.2.18.3.8.6. El procesamiento y generación de resultados de análisis de aplicaciones en la nube, se debe realizar directamente en la nube del fabricante.

2.2.2.18.3.8.7. La solución debe ponderar automáticamente cada aplicación en la nube descubierta basándose en al menos 60 métricas objetivo.

2.2.2.18.3.8.8. La solución debe permitir personalizar la ponderación de los criterios de acuerdo a la importancia específica de la entidad.

2.2.2.18.3.8.9. La solución debe realizar la categorización de las aplicaciones en la nube de acuerdo al riesgo presentado por estas en al menos las siguientes categorías: Alto, Medio y Bajo.

2.2.2.18.3.8.10. La solución debe revelar la frecuencia de uso de las aplicaciones en la nube en la base de usuarios de la organización ayudando a identificar oportunidades de ahorro de costos de las aplicaciones en la nube utilizadas por la entidad.

2.2.2.18.3.8.11. La solución debe permitir realizar un análisis comparativo de aplicaciones en la nube con funciones similares o equivalentes. Las aplicaciones en la nube deben ser clasificadas en por lo menos las siguientes funciones: Almacenamiento, Compartición de archivos, Redes Sociales, Hosting de Video, Correo Electrónico, PaaS, Desarrollo, Seguridad, Mensajería instantánea, VoIP, Reuniones en línea.

2.2.2.18.3.8.12. La solución debe permitir una visualización avanzada que permita rápidamente enfocarse en la información objetivo con el uso de filtros, vistas pivote, y escala de tiempo ajustable.

2.2.2.18.3.8.13. La solución debe permitir exportar datos de manera nativa para análisis y procesamiento fuera de línea. 2.2.2.18.3.8.14. La solución debe permitir la generación de un reporte de análisis de riesgo unificado con resúmenes ejecutivos

de las aplicaciones en la nube descubierta y recomendaciones generadas directamente por la herramienta. 2.2.2.18.3.8.15. La solución debe permitir la calendarización de reportes para la generación automática de estos. 2.2.2.18.3.8.16. La solución debe ofrecer análisis de tráfico en tiempo real de las actividades realizadas por el usuario

permitiendo identificar comportamientos sospechosos y realizar análisis de incidentes. 2.2.2.18.3.8.17. La solución debe permitir la detección de amenazas usando inteligencia artificial y aprendizaje automático

(Machine Learning) en tiempo real. 2.2.2.18.3.8.18. La solución debe identificar y proteger documentos confidenciales para evitar que sean compartidos de manera

inadecuada para evitar la pérdida de datos y posibles violaciones de cumplimiento. 2.2.2.18.3.8.19. La solución debe realizar clasificación de contenidos para cumplir con requerimientos normativos. 2.2.2.18.3.8.20. La solución debe permitir la aplicación de políticas basadas en gobierno de datos y actividad de las cuentas.

70

Numeral Requisito 2.2.2.18.3.8.21. La solución debe estar basada en Gateway en la nube, estar en la capacidad de realizar descifrado de tráfico e

inspección en línea de las actividades del usuario sin afectar la funcionalidad de aplicaciones SaaS. 2.2.2.18.3.8.22. Haciendo uso de machine learning, la solución debe estar en la capacidad de extraer eventos de manera

granular del tráfico. 2.2.2.18.3.8.23. La solución debe estar en la capacidad de monitorear una amplia gama de aplicaciones en la nube permitiendo

rastrear el uso de aplicaciones sancionadas y no sancionadas tanto en dispositivos gestionados como en dispositivos no gestionados.

2.2.2.18.3.8.24. La solución debe clasificar dinámicamente contenido mediante el procesamiento de lenguaje natural, permitiendo identificar contenido sensible.

2.2.2.18.3.8.25. La solución debe permitir identificar que plataformas y exploradores web han sido usados por los empleados con una interfaz intuitiva de búsqueda y análisis de logs.

2.2.2.18.3.8.26. La solución debe identificar todas las actividades de compartición de documentos sobre las plataformas de colaboración en la nube, incluido el uso de cuentas personales dentro de la organización,

2.2.2.18.3.8.27. La solución, haciendo uso de ciencia de datos avanzada, debe realizar análisis continuo del comportamiento del usuario para identificar y ponderar posibles amenazas en las aplicaciones en la nube.

2.2.2.18.3.8.28. La solución debe aplicar políticas de manera granular y dependiendo el contexto, basada en la calificación de riesgo y amenazas o la clasificación de contenido para la exposición y/o fuga de datos sensibles.

2.2.2.18.3.8.29. La solución debe contener herramientas de investigación y análisis histórico de la actividad de la organización y sus usuarios en la nube.

2.2.2.18.3.8.30. La solución debe permitir acceder fácil y rápidamente a la información deseada mediante filtros fáciles de usar, vistas y formularios de búsqueda personalizada.

2.2.2.18.3.8.31. La solución se debe integrar fácilmente con la infraestructura y el entorno actual de las organizaciones sin la necesidad de hardware adicional.

2.2.2.18.3.8.32. La solución se debe integrar fácilmente con las soluciones de Single-Sign-On (SSO) más populares del mercado, así como con soluciones SIEM y DLP.

2.2.2.18.3.8.33. La solución debe permitir clasificar y rastrear automáticamente los datos sensibles en aplicaciones cloud con aprendizaje basado en máquina para la identificación altamente precisa de datos relacionados con el cumplimiento, datos confidenciales y datos en formularios personalizados.

2.2.2.18.3.8.34. La solución debe evitar la exposición de datos y reducir el riesgo de exposición con políticas que pueden bloquear, entrenar, alertar, cifrar, compartir y salvaguardar datos en la nube, mediante la integración directa y nativa con la solución de fuga de información del mismo fabricante.

2.2.2.18.3.8.35. La solución debe permitir detectar las transacciones con la nube en detalle granular con tecnologías de datos para una visibilidad mejorada y un control de políticas.

2.2.2.18.3.8.36. También debe permitir obtener visibilidad sobre transacciones con aplicaciones sancionadas y no autorizadas y controles preventivos con esta capacidad en línea.

2.2.2.18.3.8.37. Debe permitir evitar la ex filtración de datos con los controles automáticos para cifrar, bloquear, compartir o activar la autenticación de múltiple factor adaptable para datos confidenciales. También Permitir obtener granularidad con controles de políticas definidos por acción, tipo de objeto, clasificación de datos, usuario, nivel de riesgo, aplicación y más.

2.2.2.18.3.8.38. La solución debe permitir alertar automáticamente a los usuarios cuando han intentado comportamientos de alto riesgo y les informan de las acciones de respuesta de seguridad.

2.2.2.18.3.8.39. La solución debe permitir detectar el comportamiento del usuario de riesgo y la actividad maliciosa como ataques de fuerza bruta o ransomware con User Behavior Analytics y un nivel de riesgo cuantificado de usuario que puede activar automáticamente los controles para bloquear, poner en cuarentena o alertar en cuentas con actividad de alto riesgo.

2.2.2.18.3.8.40. La solución debe permitir defender a la organización contra el malware en las cuentas en la nube, con reputación, antimalware, análisis de archivos y sandboxing en la nube.

2.2.2.18.3.8.41. La solución debe permitir utilizar las capacidades de seguridad de datos para identificar, monitorear, cifrar y controlar el acceso a PII, PHI y otros tipos de datos regulados. La solución debe permitir identificar problemas de seguridad a través de visualizaciones de usuarios, amenazas, políticas y actividades de servicio y conectar fácilmente acciones a usuarios, aplicaciones y datos. Debe Permitir utilizar opciones robustas de búsqueda y filtro para encontrar y revisar rápidamente los registros en contexto y mejorar las investigaciones dirigidas por SIEM con inteligencia realizada por expertos analistas.

2.2.2.18.3.9. MODULO DE PREVENCIÓN CONTRA FUGA DE INFORMACIÓN Y PROTECCIÓN DE USUARIO FINAL 2.2.2.18.3.9.1. Cobertura de la solución 2.2.2.18.3.9.1.1. La solución debe tener la capacidad de hacer detección de fuga de información y protección de usuario final. El

CONTRATISTA debe contar con una solución para los siguientes elementos: o Protección de correo en la nube: Office 365, o Agentes de protección de Punto final para computadoras Windows, o Agentes de protección de punto final para computadoras MacOSX, o Revisión de contenidos sensibles a través de redes. o Debe poseer el motor de análisis estático para puntos finales, el cual deberá ser capaz de revisar archivos

polimórficos y empaquetados en un ambiente virtual liviano. Debe tener un elemento de detección e integración para red (ICAP) con soluciones de terceros.

2.2.2.18.3.9.2. Definición de Políticas 2.2.2.18.3.9.2.1. La solución debe tener la capacidad de usar una sola política para explorar los datos en cualquier medio donde

se almacenen o se utilicen, ya sea en la red y en los equipos de los usuarios

71

Numeral Requisito 2.2.2.18.3.9.2.2. Debe ser posible configurar dentro de las políticas, los mecanismos de respuesta automática que efectúen una

acción cuando una amenaza sea detectada. 2.2.2.18.3.9.2.3. La solución debe tener una única consola basada en web para TODOS los aspectos relacionados con la edición

y administración de políticas, a través de todos los módulos de detección (a través del monitoreo y la prevención y a través de la red y de puntos finales).

2.2.2.18.3.9.2.4. La solución debe tener la capacidad para definir las políticas por cualquiera de los siguientes criterios: contenido, remitente/receptor, características de archivo, y protocolo de comunicaciones

2.2.2.18.3.9.2.5. La solución debe permitir el registro configurable en las políticas de la severidad del incidente basado en:

o Cantidad de registros de datos expuestos en un incidente o Remitente o receptor específico o Protocolo de red utilizado o Registros específicos que fueron expuestos o Documentos específicos que fueron expuestos

2.2.2.18.3.9.2.6. La solución debe soportar reglas de inclusión y de exclusión basadas en directorio de datos corporativos para reforzar las políticas basándose en cualquier atributo del remitente o del receptor de la información tales como unidad de negocio, departamento, nivel de responsabilidad, situación del empleado, nivel de acceso del usuario, ubicación geográfica, o empleado especifico o usuario externo.

2.2.2.18.3.9.2.7. La solución debe incluir una biblioteca de plantillas de políticas predefinidas de detección orientadas al cumplimiento con regulaciones como HIPAA, así como mejores prácticas, incluyendo reglas que contengan léxicos predefinidos para las regulaciones comúnmente requeridas.

2.2.2.18.3.9.2.8. La solución debe tener un template que active nativamente y permite el cumplimiento de la Ley 1581 de protección de datos personales en Colombia.

2.2.2.18.3.9.2.9. La solución de debe permitir exportar e importar las políticas con el fin de optimizar la administración. 2.2.2.18.3.9.2.10. La solución deberá integrarse de manera nativa con el módulo de protección y visibilidad de aplicaciones en la

nube, descrito anteriormente. 2.2.2.18.3.9.3. Detección – General 2.2.2.18.3.9.3.1. Debe tener la posibilidad de extraer y examinar el contenido del texto de los archivos y de adjuntos con

información confidencial que sean detectados 2.2.2.18.3.9.3.2. Las capacidades de la detección y de indexación deben poder ser aplicadas para contenido de lenguaje de

Europa Occidental y Asia (japonés, chino tradicional, chino simplificado, y coreano) 2.2.2.18.3.9.3.3. La solución debe poder examinar recursivamente el contenido de los archivos tipo ZIP y TAR e identificarlos a

través de la firma digital, aun cuando esté integrado en varios niveles de compresión. 2.2.2.18.3.9.3.4. La solución debe permitir manejar archivos y adjuntos de correo muy grandes (20MB y más) durante el proceso

de detección del contenido 2.2.2.18.3.9.3.5. La solución deberá estar listada en el cuadrante mágico de Gartner para el estudio de protección de pérdida de

datos. 2.2.2.18.3.9.3.6. La solución deberá soportar navegadores Firefox, Internet Explorer y Google Chrome. 2.2.2.18.3.9.4. Detección – Firma Digital de los datos (Data fingerprinting) 2.2.2.18.3.9.4.1. La solución debe proporcionar un método de detección eficaz basado en Firma Digital de los Datos (Data

Fingerprinting) para cualquier tipo de dato, tales como expedientes del cliente 2.2.2.18.3.9.4.2. La solución debe proteger sobre una sola política por lo menos 10 millones de filas de contenido específico de

información sensitiva de una Base de Datos (tal como datos del cliente o del empleado) sin el uso de palabras clave, passwords o patrones

2.2.2.18.3.9.4.3. El método de detección de datos debe especificar qué columnas de una base de datos constituyen un elemento a proteger dentro de una o varias políticas específicas.

2.2.2.18.3.9.4.4. El método de detección de firmas digitales de los datos debe distinguir entre campos información que pertenecen al mismo registro o fila de una base de datos contra diversas filas de la misma base de datos.

2.2.2.18.3.9.4.5. El método de detección basado en la firma digital de los datos debe obtener coincidencias con solo el nombre y el apellido de las personas registradas en una base de datos de migrantes o empleados, sin la necesidad de un contar con un número, identificador o patrón (ej., RFC, Número de Pasaporte, etc.)

2.2.2.18.3.9.4.6. La solución debe distinguir entre diversos tipos de números, aunque estos tengan la misma cantidad de dígitos sin la necesidad de que exista una palabra clave como “Pasaporte”. Por ejemplo, distinguir un número de pasaporte de nueve dígitos que pertenece a un migrante de un número de teléfono de nueve dígitos sin la presencia de una palabra clave (ej., “SSN")

2.2.2.18.3.9.4.7. La solución debe definir una política con datos muy específicos que pueda ser comparada contra un conjunto de datos dado, (ej., cualesquiera 3 de 5 campos de una Base de Datos que en sus combinaciones particulares no constituyan una violación)

2.2.2.18.3.9.4.8. Debe poder normalizar en la detección cualquier variante de presentación de la información a proteger. 2.2.2.18.3.9.4.9. La solución debe permitir especificar el grado de proximidad como una condición de una coincidencia para un

incidente. 2.2.2.18.3.9.4.10. La solución debe detectar la información sin importar que el orden de los datos haya sido alterado 2.2.2.18.3.9.4.11. La solución debe permitir indexar 500 millones de filas datos fuente y detectar contra este índice con la misma

velocidad que para una fuente de datos con 100 filas.

72

Numeral Requisito 2.2.2.18.3.9.5. Detección – Firma Digital en Documentos (Document Fingerprinting) 2.2.2.18.3.9.5.1. La solución debe permitir la aplicación de un método de detección generando una Firma Digital a partir de un

documento tales como dibujos de CAD, archivos en PDF, DOC, XLS, PPT, etc. 2.2.2.18.3.9.5.2. La solución debe tener la capacidad para proteger al menos 100.000 documentos específicos con contenido

sensible (tal como propiedad intelectual, código fuente, documentos financieros, etc.) sin la dependencia de palabras claves o patrones

2.2.2.18.3.9.5.3. El método de detección basado en Firma Digital de Documentos debe soportar la detección del contenido si este es idéntico o en porciones de contenido o en diversos formatos de archivo. Por ejemplo, si un documento está en el formato de Microsoft Word, la solución detectará una violación, aunque el mismo texto se ha cortado y pegado en un email directamente o se ha convertido a formato PDF

2.2.2.18.3.9.5.4. La solución debe soportar la detección de coincidencias en un contenido con exactitud del 100% para documentos específicos tales como código fuente, párrafos específicos, documentos de diseño, documentos de comercialización, financieros, etc.

2.2.2.18.3.9.5.5. La solución debe soportar la detección coincidencias de derivados o de versiones de cortado y pegado del contenido de documentos específicos tales como código fuente, párrafos específicos, documentos de diseño, documentos de comercialización o financieros.

2.2.2.18.3.9.5.6. Debe ser posible definir un umbral o porcentaje mínimo requerido de coincidencia de un documento para considerar que existe una violación a la política configurada (ej., se registra una violación a la política si y solamente si el 50% o más de un documento es encontrado). Esta función debe ser configurable por cada política.

2.2.2.18.3.9.5.7. Debe ser posible definir "listas blancas" sobre la información y contenidos protegidos por una política para evitar que sean detectados y se generen eventos “falsos-positivos”.

2.2.2.18.3.9.6. Detección – Descripción de Contenidos 2.2.2.18.3.9.6.1. La solución debe soportar la detección vía descripción de contenidos usando reglas completamente adaptables

con palabras y frases claves no solo como palabras independientes sino también como palabras dentro de frases completas u otras palabras.

2.2.2.18.3.9.6.2. Debe ser posible configurar dentro de las políticas listas de palabras clave o diccionarios para la detección por lo menos de 10.000 entradas sin la degradación del rendimiento en la detección

2.2.2.18.3.9.6.3. Debe soportar la detección basada en expresiones regulares completamente adaptable 2.2.2.18.3.9.6.4. Debe soportar la detección de eventos combinando la coincidencia con patrones de datos y validaciones

específicas del contenido que desea ser detectado. Por ejemplo, puede detectar patrones comunes de un dato estructurado combinado con validaciones de digito verificador para asegurar que sea un dato válido.

2.2.2.18.3.9.6.5. Debe poder detectar la presencia o transmisión de archivos cifrados. 2.2.2.18.3.9.6.6. La herramienta podrá ser integrada con herramientas de cifrado de datos para que en el caso de detectar un

contenido sensible tenga como respuesta la copia al dispositivo extraíble de manera cifrada 2.2.2.18.3.9.6.7. Debe permitir incluir coincidencias de datos dentro de ciertos rangos definidos por el usuario sin tener que

escribir una expresión regular. Por ejemplo, puede detectar datos estructurados solamente identificando una parte de la cadena de dígitos que represente números específicos de identificación del país emisor de un pasaporte

2.2.2.18.3.9.6.8. Debe soportar la detección basada en un tipo de documento particular, incluso si el remitente o usuario ha cambiado la extensión o el nombre del archivo

2.2.2.18.3.9.7. Respuestas a Incidentes automatizada y obligatoria 2.2.2.18.3.9.7.1. La respuesta a incidentes de fuga de información deberá: 2.2.2.18.3.9.7.2. Enviar las alarmas de incidencia vía email 2.2.2.18.3.9.7.3. Notificar automáticamente a remitentes o a los jefes inmediatos cuando un usuario ha violado una política 2.2.2.18.3.9.7.4. Proporcionar notificaciones en pantalla a los usuarios administradores de la consola sobre violaciones en

"puntos finales". Los usuarios infractores deben poder proporcionar una justificación de su conducta, misma que será adjuntada al incidente en cuestión

2.2.2.18.3.9.7.5. Ejecutar diferentes acciones de respuesta para diversos casos dentro de una misma política dependiendo de diversos parámetros, tales como la política violada, la severidad del incidente, el número de coincidencias encontradas, el protocolo de comunicaciones usado, el estado de conexión del "punto final", y el método de detección utilizado

2.2.2.18.3.9.7.6. Permitir el registro y modificación del flujo de trabajo para el seguimiento y la remediación de un incidente (ej., códigos de estado, atributos, asignación de colas, severidad etc.)

2.2.2.18.3.9.8. Flujo de seguimiento para la respuesta a incidentes 2.2.2.18.3.9.8.1. Los incidentes registrados deben ser visibles vía "web" en un formato útil para los usuarios de negocio. 2.2.2.18.3.9.8.2. Los incidentes registrados deben incluir una indicación clara de cómo la transmisión de información o el archivo

especifico violó la política en cuestión (en tiempo real, apenas la política fue violada), incluyendo la identificación clara del contenido identificado como coincidencia con la Política

2.2.2.18.3.9.8.3. El Flujo de seguimiento para la respuesta a incidentes deberá: 2.2.2.18.3.9.8.4. Mostrar claramente información de la identidad del remitente (tal como nombre completo, nombre del gerente,

unidad de negocio, cuenta de correo) 2.2.2.18.3.9.8.5. Permitir abrir los adjuntos originales de la información confidencial anexada a un incidente directamente de la

interfaz web de la consola de administración 2.2.2.18.3.9.8.6. Permitir el definir diferentes niveles de acceso a los incidentes, de tal forma que la política pueda ser configurada

para que solo ciertos usuarios puedan tener acceso y asignación para la remediación de cierto grupo de incidentes

73

Numeral Requisito 2.2.2.18.3.9.8.7. Permitir la definición y consulta directamente en la consola (no a través de un reporte) de un “caso” o un grupo

de incidentes encontrados para ser relacionados en la ejecución de una investigación 2.2.2.18.3.9.8.8. Permitir el exportar un grupo de incidentes fácilmente de la solución a un formato fácilmente legible por una

persona sin acceso al sistema (ej., xls, txt) 2.2.2.18.3.9.8.9. Por cada Política permitir la modificación de forma manual de la acción de respuesta del flujo de trabajo para la

remediación de un incidente (ej., códigos de estado, atributos, asignación de colas, notificaciones, etc.) 2.2.2.18.3.9.8.10. Permitir la creación de atributos especificados por el usuario sobre los incidentes que le permitan correlacionarlos

al proceso de remediación existente 2.2.2.18.3.9.8.11. Las políticas incluidas en las plantillas de políticas predefinidas de la solución deben contener también la

configuración de respuestas recomendadas por las mejores prácticas de la industria para el cumplimiento de las normas.

2.2.2.18.3.10. ADMINISTRACIÓN DEL SERVICIO DE SEGURIDAD: SEGURIDAD PERIMETRAL 2.2.2.18.3.10.1. El SENA requiere la administración, mantenimiento, monitoreo, actualización, configuración, aseguramiento,

endurecimiento, operación continua y despliegues de sus equipos y plataformas de Seguridad Perimetral contratados bajo las modalidades previamente listadas (Iaas, FWaaS, PaaS). El listado de ítems relacionados al servicio de Seguridad Perimetral, sus especificaciones técnicas detalladas, así como los ANS aplicables a cada uno de los ítems listados, se encuentran en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”.

2.2.2.18.3.10.2. El SENA requiere la administración, mantenimiento, monitoreo, actualización, configuración, aseguramiento, endurecimiento, operación continua y despliegues de los equipos de Protección de Amenazas Avanzadas propiedad del SENA. El listado de equipos relacionados al servicio de Protección de Amenazas Avanzadas, sus especificaciones técnicas detalladas, así como los ANS aplicables a cada uno de los ítems listados, se encuentran en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”.

2.2.2.18.3.11. MONITOREO Y REPORTE DE INCIDENTES 2.2.2.18.3.11.1. El SENA requiere el monitoreo en modalidad 7x24 a través del SOC dispuesto por el CONTRATISTA

(referenciado en el documento de Estudio de Mercado de Gestión de Servicio - Mesa de Servicio y Gestión Global e Integración), para lo cual deben ser implementadas las interfaces y consolas de los equipos de Seguridad Perimetral contratados en modalidades IaaS, PaaS o SaaS y adicionalmente las consolas de equipos de Protección de Amenazas Avanzadas propiedad del SENA.

2.2.2.18.3.11.2. El recurso humano necesario para la administración del servicio de Protección de Amenazas Avanzadas se presenta en el anexo “EQUIPO MÍNIMO DE TRABAJO” sección Servicio de Data Center.

2.2.2.18.3.12. ADMINISTRACIÓN DE VPN SITE-TO-SITE Y CLIENT-TO-SITE 2.2.2.18.3.12.1. El SENA requiere la implementación, configuración, administración y gestión en general de infraestructura VPN

incluida en sus equipos de Seguridad Perimetral. 2.2.2.18.3.12.2. El recurso humano necesario para la administración de servicio de Seguridad Perimetral (vinculado a VPN) se

presenta en el anexo “EQUIPO MÍNIMO DE TRABAJO” sección Servicio de Data Center. 2.2.2.18.3.13. SERVICIO DE CERTIFICADOS DIGITALES 2.2.2.18.3.13.1. El CONTRATISTA debe prestar el servicio de Certificados Digitales para la adquisición de firmas digitales. El

CONTRATISTA debe realizar la gestión ante la Autoridad Certificadora (CA) para proporcionar los certificados firmados digitalmente para los dominios indicados. A continuación se listan las características del servicio.

2.2.2.18.3.13.1.1. Compatibilidad: PKCS (Public Key Cryptography Standards) 7 ó superior. 2.2.2.18.3.13.1.2. Mínima Validez: 1 año 2.2.2.18.3.13.1.3. Dominios: SENA.edu.co / SENAsofiaplus.edu.co 2.2.2.19. SERVICIOS PROFESIONALES Y ACOMPAÑAMIENTO – TAM 2.2.2.19.1.

Se deberá contemplar Servicios de Soporte Técnico Avanzado directo o autorizado por el fabricante de las plataformas utilizadas para soportar los servicios de seguridad. Este servicio deberá contemplarse por los primeros 12 meses del servicio para estabilización de las plataformas e incidentes que se presenten sobre las mismas.

2.2.2.19.2. Dos ingenieros directos o autorizados por el fabricante (un ingeniero principal y uno de respaldo), los cuales deberán contar con números telefónicos directos de contacto, por lo cual no se aceptaran números telefónicos tipo PBX o de contact center, dichos números serán de conocimiento de la entidad y del CONTRATISTA, estos ingenieros deberán dar apoyo técnico al CONTRATISTA del servicio y a la entidad en la resolución de problemas que se puedan presentar con las plataformas que soportan los servicios de seguridad requeridos,

2.2.2.19.3. El servicio de soporte directo o autorizado por los fabricantes de las plataformas ofertadas para proveer los servicios de seguridad requeridos, deberán ser 7 x 24 y deberán contemplar unos ANS (Acuerdos de Nivel de Servicio) de máximo 15 minutos para el contacto inicial, en caso del reporte de un incidente de alta prioridad con dichas plataformas.

74

Numeral Requisito 2.2.2.19.4.

El servicio deberá contemplar una revisión anual en sitio de parte de los ingenieros de fabricante donde se identifiquen opciones de mejora a nivel de configuración y arquitectura de las plataformas. Así mismo se deberán hacer revisiones cada 3 meses remotamente sobre la plataforma para proactivamente detectar reconfiguraciones o mejores prácticas a implementar, las cuales el CONTRATISTA está en obligación de ejecutarlas.

2.2.2.19.5. Todos los incidentes que se presenten en las plataformas que soporten el servicio, deberá contar con un informe causa raíz el cual deberá ser presentado directamente por el fabricante hacia la entidad para proceder a evaluar con el CONTRATISTA las acciones a realizar.

2.2.2.19.6. Este servicio deberá garantizar que tanto el CONTRATISTA como la entidad cuenten con mínimo dos usuarios de acceso a la plataforma de registro y seguimiento de casos del fabricante para revisar avances y respuestas del fabricante ante incidentes.

2.2.2.19.7. Este servicio deberá permitir que en caso de una incidencia se cuente con laboratorios disponibles para simulaciones, emulaciones y reproducciones de problemas con el fin de acortar los tiempos de análisis y resolución de incidentes de las plataformas.

2.2.2.19.8. En caso de que se aprovisionen plataformas de diferentes fabricantes este deberá cumplirse por cada fabricante para evitar zonas grises en la gestión de incidentes y prestación del servicio.

2.2.2.20. DISASTER RECOVERY PLAN – DRP 2.2.2.20.1. ESTADO ACTUAL / ANTECEDENTES 2.2.2.20.1.1. El SENA en su proceso de modernización tecnológica y aplicación de nuevas tecnologías carece de un Data

Center alterno como contingencia en caso de desastre natural o provocado en su Data Center principal. El Data Center alterno debe garantizar la reactivación y continuidad de las operaciones, con el menor impacto posible en sus sistemas de información tipificados como críticos.

2.2.2.20.1.2. En el Data Center actual se cuenta con una red conformada por un Switch Core Cisco Nexus 9508. La plataforma de almacenamiento es Oracle FS1-2 con una capacidad total 1,2PB También se cuenta con un sistema de almacenamiento Oracle ZS3-2 con una capacidad total de 15TB. Su plataforma de procesamiento está consolidada sobre tres Oracle PCA, un supercluster SPARC T5-8, un servidor T5-2 y 22 servidores de rack X5-2, para un total de 86 servidores físicos.

2.2.2.20.1.3. Esta infraestructura será la utilizada como DRP para el SENA. 2.2.2.20.2. DESCRIPCIÓN DE LA NECESIDAD 2.2.2.20.2.1. El SENA requiere implementar un servicio de Recuperación de Desastres y Continuidad de Negocio utilizando

una solución de alta disponibilidad que minimice el tiempo de caída en caso de una interrupción o desastre. Este sistema será provisionado con la infraestructura propiedad del SENA descrita en la Línea Base de Data Center, este servicio será bajo la figura de Housing y contempla las condiciones de data center.

2.2.2.20.2.2. Los protocolos de activación configuración puesta en marcha e instalación deben ser concertados y aprobados entre el SENA, la interventoría y el CONTRATISTA.

2.2.2.20.3. ALCANCE DE LA SOLUCIÓN 2.2.2.20.3.1. Para cada Sistema de Información incluido en este documento como parte del DRP se debe contar con un

Plan de recuperación. 2.2.2.20.3.2. Para la instalación, configuración, implementación y puesta en operación del hardware y software adquirido, el

CONTRATISTA debe estructurar y presentar un plan para aprobación por parte del SENA de todas las actividades de preparación, instalación, configuración, implementación, pruebas y puesta en operación en el DRP Contingencia al Data center Principal, de tal manera que se garantice la replicación de la data del Data center Principal al Data Center Alterno, tanto de los servidores, aplicaciones, servicios, bases de datos indicadas en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”.

2.2.2.20.3.3. La estrategia ofrecida DRP Contingencia al Data center Principal debe ser integrada y compatible en todos sus componentes de hardware y software con la infraestructura ofertada para el Data center Principal.

2.2.2.20.3.4. Establecer junto con el SENA el protocolo de activación del DRP el cual debe incluir como mínimo alcance , responsables, lista de contactos, condiciones de activación , protocolo de activación, escenarios de desastre, roles y responsabilidades, enlace con la mesa de servicios y gestión global, actividades detalladas de notificación y plan de comunicaciones, evaluación y activación del DRP, actividades de manejo de crisis, esquema de manejo de incidentes y escalamientos, actividades de mantenimiento, actividades de prueba, actividades/procedimiento de recuperación y contingencia y registro requeridos para este proceso.

2.2.2.20.3.5. Integración/articulación con el Plan de Continuidad de Negocio cuando esto se determine por el SENA. 2.2.2.20.4. DESARROLLO DE LA SOLUCIÓN 2.2.2.20.4.1. En conjunto con el SENA desarrollar una declaración de política de planificación de contingencia. 2.2.2.20.4.2. En conjunto con el SENA realizar el Análisis de Impacto de Negocio (BIA – Business Impact Analysis). En esta

fase se deberá definir el RTO y RPO. 2.2.2.20.4.3. En conjunto con el SENA identificar los controles preventivos.

75

Numeral Requisito 2.2.2.20.4.4. En conjunto con el SENA desarrollar estrategias de recuperación. 2.2.2.20.4.5. Desarrollar un plan de contingencia de TI. 2.2.2.20.4.6. Planear pruebas, entrenar, ejercitar, capacitar y documentar las iteraciones propias del ejercicio. 2.2.2.20.4.7. Realizar mantenimiento y mejoras al plan como resultado de las pruebas y parte de la mejora continua del

servicio. 2.2.2.20.5. APROVISIONAMIENTO DE LA SOLUCIÓN 2.2.2.20.5.1. En un periodo no mayor a 6 meses se debe realizar el aprovisionamiento de los recursos necesarios para la

implementación de la solución de DRP. La adquisición de infraestructura, instalación, configuración, pruebas y puesta en operación de la infraestructura tecnológica de procesamiento, almacenamiento y seguridad que cumpla con los mínimos requeridos para la correcta operación de los servicios TIC del SENA contenidos en esta infraestructura.

2.2.2.20.5.2. La solución debe ser completamente integral en modalidad llave en mano, donde se garantice la replicación de las bases de datos, los servicios y los sistemas de información críticos en producción. Posterior a la fase de implementación el CONTRATISTA realizará la administración, el mantenimiento, el monitoreo, la actualización, la configuración para asegurar su correcta operación.

2.2.2.20.6. RECURSOS PROPORCIONADOS POR EL SENA 2.2.2.20.6.1. Adicional a la infraestructura del SENA, el licenciamiento de las herramientas de replicación en el caso de la

plataforma Oracle VM y Sistema de Ingeniería Super Cluster estará soportado por el SENA acorde con el licenciamiento ULA (Oracle Unlimited License Agreement).

2.2.2.20.6.2. De esta forma se podrán utilizar las herramientas de replicación y automatización de failover/failback que provee el fabricante de la infraestructura actual, bases de datos y que el SENA ya adquirió, estas son: Oracle Goldengate, Oracle Dataguard, Oracle Dataguard fast start failover y Oracle Siteguard.

2.2.2.20.7. MÍNIMOS REQUERIDOS POR APLICACIÓN 2.2.2.20.7.1. Se requiere un soporte y respaldo total de las aplicaciones del SENA en su Data Center Alterno. 2.2.2.20.7.2. La administración del DRP tiene el alcance y responsabilidades de los numerales de esta sección, al igual que

la administración de los servidores. 2.2.2.21. PERSONAL MÍNIMO REQUERIDO PARA LA OPERACIÓN DEL DATA CENTER 2.2.2.21.1. Para la Operación del Data Center, se requiere un mínimo de personal calificado que ejecute tareas de

coordinación, instalación, implementación, aprovisionamiento, configuración, monitoreo y soporte en las áreas cubiertas por el servicio integral de Data Center. El CONTRATISTA deberá asignar la cantidad de recurso específico a fin de cumplir con los ANS del servicio correspondiente. El listado de personal mínimo requerido para la operación se encuentra en el anexo “EQUIPO MÍNIMO DE TRABAJO” sección Servicio de Data Center.

2.2.2.22. OBLIGACIONES GENERALES 2.2.2.22.1. Prestar el servicio integral de Data Center (instalaciones, infraestructura, servidores, almacenamiento, backup,

elementos de conectividad, seguridad física y seguridad perimetral) del Data Center principal y del Data Center alterno (DRP) al servicio del SENA de acuerdo con los requerimientos mínimos técnicos presentados en este documento.

2.2.2.22.2. Prestación de servicios en modalidad IaaS, PaaS o SaaS (según aplique) de procesamiento, seguridad perimetral, almacenamiento o servicios complementarios, para los servicios solicitados en dichas modalidades estipulados en las secciones de requerimientos mínimos técnicos presentados en este documento.

2.2.2.22.3. Entregar los servicios de gestión y administración de servicios base de tecnologías de información (TI) que soportan el núcleo del negocio de acuerdo con los requerimientos mínimos técnicos presentados en este documento.

2.2.2.22.4. Cumplir a cabalidad con las Políticas de Seguridad y Privacidad de la Información definidas por el SENA. 2.2.2.22.5. Gestión de los cambios, mejoras, despliegues, nuevas versiones de las aplicaciones dentro del servicio

contratado. De igual forma mejoras, actualizaciones de firmware y micro-código de los elementos de hardware y activos de TI. El CONTRATISTA debe dimensionar en las etapas iniciales, el recurso humano y técnico para cubrir en su totalidad las necesidades descritas anteriormente durante la vigencia del contrato.

2.2.2.22.6. Administración de servicios de respaldos y restauración según lo descrito en la sección de requerimientos técnicos presentados en el presente documento.

2.2.2.22.7. Administración de Servicios de Protección de Amenazas Avanzadas y Seguridad Perimetral según lo descrito en la sección de requerimientos mínimos técnicos presentados en este documento.

2.2.2.22.8. Administración de aplicaciones TIC del SENA según lo descrito en la sección de requerimientos mínimos técnicos presentados en este documento.

2.2.2.22.9. Realizar el levantamiento de requerimientos, planeación, diseño, implementación, puesta en marcha, pruebas, documentación y operación que garantice el cumplimiento de los ANS del servicio.

2.2.2.22.10. Realizar la actividad de levantamiento de información o “survey” de aplicaciones durante la etapa de transición, así como la documentación y generación de actas firmadas por los responsables técnicos de cada uno de los sistemas de información del SENA.

2.2.2.22.11. Realizar actividades de monitoreo, gestión y administración de los componentes de la solución correspondientes a infraestructura, servicios, sistemas de información y aplicaciones del SENA en modalidad 7x24x365.

2.2.2.22.12. Realizar actividades de monitoreo a partir de transacciones sintéticas que incluyan operaciones de uso común, determinadas por los encargados técnicos de cada aplicación y/o quien defina la Oficina de Sistemas del SENA.

76

Numeral Requisito 2.2.2.22.13. Diseñar, definir e implementar procedimientos documentados que serán entregados al SENA para su

aprobación. 2.2.2.22.14. Entregar la documentación actualizada y detallada con las características correspondientes y la arquitectura

diseñada, identificando los servicios, infraestructura, sistemas y aplicaciones que se ejecutan en ellas. Esto debe realizarse de manera periódica o cuando el SENA lo requiera.

2.2.2.22.15. Migrar todos los servicios, infraestructura sistemas de información y aplicaciones desde la plataforma actual a los componentes de infraestructura correspondientes a las instalaciones del CONTRATISTA enmarcados en el nuevo servicio de Data Center como servicio contratado por el SENA.

2.2.2.22.16. Por requerimiento especial del SENA, es necesario en la etapa de transición, actualizar los sistemas operativos y motores de bases de datos hacia las versiones más modernas existentes en el mercado, sin perjuicio del funcionamiento de aplicaciones o sistemas TIC alojados allí. Para esta actividad, el CONTRATISTA debe entregar un plan de trabajo de migración en la etapa de transición al SENA para su previa aprobación. Dicho plan de trabajo y sus actividades deben ser asumidos en su totalidad por el CONTRATISTA.

2.2.2.22.17. Entregar la documentación de los diseños de las soluciones, procesos, procedimientos, configuraciones, políticas, entre otros, que soportan la operación del servicio. Dichos documentos deberán ser aprobados por el SENA.

2.2.2.22.18. Configurar soluciones de hardware y software para el funcionamiento de servicios, sistemas de información y aplicaciones que requieran situaciones especiales (aplicaciones que están en software desactualizado y que requieran por tanto sistemas operacionales y Bases de Datos legados o fuera de mercado), en forma flexible, rápida y dinámica.

2.2.2.22.19. Asegurar el diseño, implementación, funcionamiento, procedimientos de contingencia, documentación y pruebas del DRP para las aplicaciones de alta criticidad listadas en el anexo “LÍNEA BASE PARA EL SERVICIO DE DATA CENTER”, datos e infraestructura alojados en el Data Center principal, alineado a procesos ITIL, COBIT e ISO 27031.

2.2.2.22.20. El CONTRATISTA debe prestar el servicio DRP en un Data Center alterno, a una distancia geográfica evaluada y determinada según las normas TIA 942, ISO 22301,27001 y BS 25999.

2.2.2.22.21. Entregar en formato digital las bitácoras de actividades y eventos ocurridos en los componentes del servicio e incluirlas en los informes de gestión mensual de cada servicio según corresponda.

2.2.2.22.22. Monitorear de acuerdo con el marco de referencia ITIL, los componentes de infraestructura tecnológica de la solución, con generación de alarmas al personal encargado del servicio y mesa de servicios.

2.2.2.22.23. Realizar el monitoreo y recuperación de datos en los servicios, aplicaciones y sistemas de información mediante el uso de las herramientas de Protección de Amenazas Avanzadas disponibles en la infraestructura de seguridad propiedad del SENA y servicios de Seguridad Perimetral contratados en los servicios de Data Center como servicio.

2.2.2.22.24. Realizar actualizaciones de los sistemas operativos de los servidores del SENA previo acuerdo con la entidad, sin perjuicio de las aplicaciones y/o sistemas TIC allí alojados, con el fin de mantener en óptimas condiciones de funcionamiento, prevenir errores y vulnerabilidades detectadas por los distintos CONTRATISTAs.

2.2.2.22.25. Realizar semestralmente un análisis de vulnerabilidades y pruebas de penetración a los sistemas de información del SENA. De los reportes derivados de esta actividad el CONTRATISTA debe establecer y ejecutar el plan de acción para aplicar las remediaciones a cada una de las vulnerabilidades encontradas, bajo recurso humano propio, a su costa y a todo costo, sin generar costos adicionales al SENA.

2.2.2.22.26. Estimar los recursos humanos para la gestión de los sistemas de información del SENA necesarios para el cumplimiento de ANS definidos para el respectivo servicio.

2.2.2.22.27. Proponer, analizar, evaluar, ejecutar y documentar todos los cambios, despliegues y nuevas versiones sobre los sistemas de información de SENA que haya lugar como parte de la Administración de Aplicaciones y Bases de datos.

2.2.2.22.28. Garantizar el endurecimiento (hardening) en sistemas operativos y “middleware” de todos los sistemas TI administrados por el CONTRATISTA.

2.2.2.22.29. Presentar un plan de mejora continua donde el CONTRATISTA analice, diseñe, coordine y optimice las operaciones relacionadas con el sistema operativo e hypervisor; esto incluye las mejores prácticas del fabricante, actualizaciones, renombramiento de servidores, redistribución de clúster.

2.2.2.22.30. La ejecución del plan de mejora continua de las operaciones relacionadas con el sistema operativo e hypervisor, una vez analizados y aprobados por el SENA y el Comité de Cambios del SENA.

2.2.2.22.31. La administración de parámetros de los sistemas operativos de acuerdo con las mejores prácticas del fabricante y lineamientos dados por el SENA.

2.2.2.22.32. Generar toda la documentación relacionada con bitácoras, fichas técnicas, seguimientos de control, manuales de procedimientos y hojas de vida de los equipos servidores y las máquinas virtuales.

2.2.2.22.33. La realización de pruebas tanto para la instalación, como para actualización y configuración de software de sistema operativo, siguiendo los lineamientos establecidos por el SENA y mejores prácticas del fabricante.

2.2.2.22.34. El servicio de migración de los sistemas de información del SENA a servidores en Nube en caso de ser requerido y continuar con la administración en la infraestructura tecnológica de propiedad, alquilada o nueva infraestructura TIC del SENA.

2.2.2.22.35. La administración y monitoreo del almacenamiento físico y lógico (Interno y externo) asignado al sistema operativo y a datos. Comprende actividades de planeación y ejecución de administración del almacenamiento de los servidores.

2.2.2.22.36. La administración y gestión del directorio activo se realizará acorde con las directrices del SENA y el o los funcionarios designados por la oficina de sistemas del SENA, con apoyo directo de un especialista certificado

77

Numeral Requisito por el fabricante, el costo de este especialista es asumido por el CONTRATISTA, esta administración a nivel de usuarios, grupos, unidades organizativas, políticas y directivas de seguridad, objetos de políticas de grupo, replicación de las bases de datos y demás operaciones tiene como objeto mantener la correcta operación del mismo.

2.2.2.22.37. El escalamiento de mantenimiento correctivo de equipos en garantía y diagnóstico de condiciones e infraestructura.

2.2.2.22.38. El mantenimiento preventivo de equipos servidores y diagnóstico de condiciones e infraestructura con base en las recomendaciones de el o los especialistas soportados por el CONTRATISTA que deben ser en todo caso especialistas del fabricante.

2.2.2.22.39. El análisis, diseño, propuesta y ejecución de las configuraciones y arreglos de servidores necesarios para garantizar la alta disponibilidad de la plataforma central de servicios básicos de red (Directorio Activo, DNS, DHCP), de tal forma que se garantice la disponibilidad 7X24X365 de los recursos de la red (DNS, DHCP) y el acceso de los funcionarios (Directorio Activo), de acuerdo con los privilegios asignados por el SENA.

2.2.2.22.40. La realización por parte del CONTRATISTA de recomendaciones sobre mejores prácticas para la definición e implementación de políticas de seguridad, administración de usuarios, políticas de backup, políticas particulares de administración y otras que apliquen para la correcta administración de los servidores, sistemas operativos, el Directorio Activo, DHCP y DNS.

2.2.2.23. ACUERDOS DE NIVELES DE SERVICIO 2.2.2.23.1. Los Acuerdos de Niveles de Servicio que definen los términos y condiciones bajo los cuales el CONTRATISTA

deberá proporcionar los servicios en las modalidades dispuestas en el presente documento a contratar por el SENA, se encuentran especificados en el anexo “ACUERDO DE NIVELES DE SERVICIOS” y que hace parte integral de los presentes requisitos mínimos.