Story Transcript
Descripción del Servicio Managed Protection Services for Networks 1.
Ámbito de los Servicios Los IBM Managed Protection Services for Networks – Standard (llamados “MPS for Networks” o “Servicio”) se destinan a proporcionar una solución completa para la supervisión de red y un alto nivel de seguridad y protección contra amenazas internas y externas. El Servicio se destina a proporcionar una protección administrada y alineada de los segmentos de red a través de uno de los dispositivos IBM Proventia® G o Proventia MX (llamados “Agentes”). Mientras los Agentes Proventia G operan como un Sistema de Prevención de Intrusiones (“IPS”) dedicado, el Proventia MX es un dispositivo completo que incluye una gama amplia de funciones de seguridad comunes. IBM ofrece MPS for Networks en los siguientes niveles de servicio alternativos: ●
MPS for Networks – Select
●
MPS for Networks – Premium
ambos descritos con más detalles a continuación. Los detalles del pedido del Cliente (por ejemplo: los servicios solicitados (incluyendo los niveles de servicio), el período de contrato y los cargos) se especificarán en un Pedido. Las definiciones de la terminología específica del Servicio se encuentran en www.ibm.com/services/iss/wwcontracts IBM soportará los siguientes dispositivos del producto en los dispositivos Proventia G y Proventia MX: a.
Sistemas de Detección y Prevención de Intrusiones (llamados “IDS/IPS”) El IDS/IPS es un sistema de gestión de seguridad para computadoras y redes diseñado para recolectar y analizar información de varias áreas de una computadora o red para ayudar a identificar y bloquear posibles infracciones de seguridad (es decir, intrusiones (ataques desde fuera de la organización) y mal uso (ataques desde dentro de la organización)).
b.
alta disponibilidad Para ayudar proteger contra anomalías de hardware y proporcionar alta disponibilidad, se pueden configurar y desplegar dos Agentes: uno totalmente operacional y otro a la espera, como reserva para asumir la función en el caso de que el primer agente falle. Algunos agentes pueden desplegarse como clústers, de forma que los dos Agentes operen y compartan la carga de la red.
IBM soportará los siguientes dispositivos del producto sólo en el dispositivo Proventia MX: c.
firewall El firewall es un dispositivo proyectado para permitir o denegar solicitudes de acceso de acuerdo con una política de seguridad establecida y proporcionar posibilidades de enrutamiento para dirigir el tráfico de la red. Muchos firewalls incluyen un conjunto completo de dispositivos de red, como regrabación de dirección y puerto.
d.
Redes Privadas Virtuales (“VPNs”) Una VPN utiliza redes públicas de telecomunicaciones para realizar comunicaciones de datos privadas a través de cifrado. La mayoría de las implementaciones usan Internet como la infraestructura pública y una gama de protocolos especializados para soportar telecomunicaciones privadas a través de Internet.
e.
antispam La tecnología antispam se destina a minimizar el volumen de e-mail spam que va a los buzones del usuario. Los filtros de spam usan firmas de spam, algoritmos de detección y análisis heurístico para reducir el volumen de mensajes indeseados y eliminar el contenido discutible.
f.
filtración Web
INTC-7776-04 11/2008
Página 1 de 19
La filtración Web ayuda al Cliente a bloquear el contenido discutible, mitigar amenazas transmitidas por la Web y regir la conducta de uso de la Web del personal supervisado por el Agente gestionado. g.
antivirus Los sistemas de antivirus de gateway exploran varias clases de transferencias de archivo, como páginas Web, tráfico de e-mail e intercambios por el protocolo de transferencia de archivos (“FTP”) para detectar worms, virus y otras formas de malware.
MPS for Networks – prestará los siguientes servicios para soportar los dispositivos del producto listados arriba: h.
Inicio del proyecto, evaluación e implementación Durante el despliegue e inicio del Servicio, IBM trabajará junto con el cliente para ayudar a definir políticas de seguridad adecuadas, ayudar a instalar y configurar los Agentes y comprobar la operación correcta del dispositivo antes de realizar la transición de los Agentes al Centro de Operaciones de Seguridad ("SOC").
i.
gestión de políticas Los Agentes sólo protegen los Hosts cuando están configurados correctamente para su entorno de red. IBM presta servicios de gestión de políticas para ayudar al Cliente a mantener los Agentes configurados con una política de seguridad válida; IBM mantiene registros de todos los cambios.
j.
gestión de dispositivos IBM mantendrá el Agente al supervisar la disponibilidad y aplicarle las actualizaciones del proveedor.
k.
supervisión de eventos de seguridad Los Agentes de IDS/IPS pueden generar un alto volumen de alertas en respuesta a las condiciones de seguridad que están configurados para detectar. El riesgo real a la seguridad que corresponde a una determinada condición detectada por un Agente de IDS/IPS no siempre es claro; no es práctico bloquear, como configuración predeterminada, todos los datos que pueden ser perjudiciales. La supervisión y el análisis adicional proporcionados por los analistas de seguridad de IBM 24 horas al día, todos los días, ayudan a cubrir esa brecha de seguridad al mantener el enfoque en las alertas que pueden ser importantes, validar esas alertas como probables incidentes de seguridad y escalar esos probables Incidentes de Seguridad al cliente.
l.
gestión de vulnerabilidad Vulnerabilidades son debilidades en los Hosts en el entorno del Cliente. IBM proporcionará servicios de gestión de vulnerabilidad para ayudar a identificar y remediar esas vulnerabilidades.
m.
IBM Internet Security Systems™ X-Force® IBM facilitará informaciones de inteligencia al Cliente basadas en cosas como investigaciones originales realizadas por el equipo de investigación y desarrollo IBM X-Force®, actividad mundial de las amenazas según la identificación del Centro Global de Operaciones de Amenazas IBM e investigaciones secundarias provenientes de otros recursos públicos y privados.
n.
Virtual-SOC El Virtual-SOC es una interfaz Web que actúa como interfaz del Cliente para gestionar el Agente, alertas, registros, informes, solicitudes de cambio de política y otros tipos de tiquetes de servicio.
La tabla a continuación proporciona una visión general de los dispositivos del producto MPS for Networks. Tabla 1 – Dispositivos del Producto Dispositivos del Producto Ancho de banda soportado Usuarios soportados IDS/IPS INTC-7776-04 11/2008
Niveles Select y Premium Proyectado para 100 Mbps para multi-Gbps Proyectado para 500 o más Soporte para ayudar a bloquear ataques incluidos en la Lista de Ataques Página 2 de 19
Certificados de IBM Internet Security Systems™ X-Force® y emitir alertas de eventos de seguridad con gravedad alta, mediana y baja Firewall
Política de firewall personalizada
VPN
Soporte para VPNs de sitio a sitio, cliente y SSL
Antispam
Filtración, etiquetado y supresión de contenido de spam basado en la Web
filtración Web Antivirus
Filtración Web con soporte a la anulación del filtro, lista negra de sitios y lista blanca de orígenes Protección contra Virus; informes y notificación a través del Virtual-SOC
Alta disponibilidad
Soporte para Agentes activo/activo o activo/pasivo
La tabla a continuación proporciona una visión general de los servicios de MPS for Networks prestados para dar soporte a los dispositivos del producto listados arriba. Tabla 2 – Servicios Servicios
Nivel Select
Nivel Premium
Incluido
Incluido, con evaluación complementaria de las prácticas de seguridad del Cliente
No Incluido
Talleres para instruir al Cliente respecto a la respuesta a incidentes y coordinar un plan para el despliegue de Agentes
Opcional
Incluido con servicio para 15 Agentes gestionados o más
Gestión de políticas
Realizado sólo por IBM; solicitudes ilimitadas de cambio de política por mes
Realizado sólo por IBM; solicitudes ilimitadas de cambio de política por mes; 2 cambios urgentes de política por mes
Gestión de dispositivos
Supervisión del estado y disponibilidad de los dispositivos 24 horas al día, todos los días y mantenimiento del software y Contenido de Seguridad del Agente
Inicio del proyecto, evaluación e implementación
Talleres Onsite
Prueba de Penetración
Supervisión de eventos de seguridad
Gestión de vulnerabilidad
X-Force Threat Analysis Service
Virtual-SOC Servicio de Respuesta a Emergencias
INTC-7776-04 11/2008
Supervisión activa de las alertas de seguridad 24 horas al día, todos los días
Exploración trimestral de 5 direcciones IP
Exploración trimestral de 25 a 254 Direcciones IP, dependiendo del número de Agentes bajo gestión; informe semi-anual con teleconferencia
1 licencia complementaria para el servicio de inteligencia de seguridad del XForce Threat Analysis Service
Proporciona acceso en tiempo real para comunicaciones Opcional
Incluido con servicio para 25 Agentes gestionados o más
Página 3 de 19
MPS for Networks – Select MPS for Networks es un servicio basado en red proyectado para ayudar a impedir que el tráfico indeseado y malicioso entre al punto de control o salga de él, a través de un dispositivo Proventia G o Proventia MX. El Servicio ayuda a proteger los segmentos de red de misión crítica al inspeccionar y bloquear el tráfico perjudicial a través de varios métodos automatizados, como también la supervisión realizada por un analista de seguridad de IBM y el escalamiento de los incidentes identificados al Cliente.
2.
Responsabilidades de IBM
2.1
Despliegue e Inicio Durante el despliegue, IBM trabajará con el Cliente para desplegar un nuevo Agente o iniciar la gestión de un Agente ya existente. Sólo Agentes de Proventia G y Proventia MX pueden ser gestionados como parte del Servicio.
2.1.1
Inicio del Proyecto IBM enviará al Cliente un e-mail de bienvenida y realizará una llamada inicial para: ●
Presentar a los contactos del Cliente el especialista en despliegue IBM que se ha asignado;
●
revisar las responsabilidades de IBM y del Cliente y ●
comenzar a evaluar los requisitos y el entorno del Cliente.
IBM proporcionará un documento llamado “Requisitos de Acceso a la Red”, que detalla cómo IBM se conectará remotamente a la red del Cliente y describirá los requisitos técnicos específicos para habilitar ese acceso. Normalmente, IBM se conecta a través de métodos de acceso estándar por Internet; sin embargo, se puede usar una VPN de sitio a sitio, si es adecuado. 2.1.2
Evaluación Recolección de Datos IBM proporcionará un formulario al Cliente para que documente informaciones detalladas para la configuración inicial del Agente y de los dispositivos de Servicio asociados. La mayoría de las preguntas será de carácter técnico y ayudará a determinar el diseño de la red del Cliente, los Hosts de la red y las políticas de seguridad deseadas. Una parte de los datos solicitados reflejará la organización del Cliente y contendrá los contactos de seguridad y las vías de escalamiento. Evaluación del Entorno A través de la información facilitada, IBM trabajará con el Cliente para comprender su entorno y crear una política de seguridad y configuración para el Agente. Si se está migrando de un agente ya existente a un agente más nuevo, IBM usará la configuración y política del Agente ya existente. En cada caso, IBM puede recomendar ajustes en las políticas en respuesta a las amenazas más activas en el mundo (según lo determinado por el Centro de Operaciones de Amenazas Globales IBM) y puede ajustar la política para reducir el número de alarmas equivocadas, si es necesario. Durante esa evaluación, IBM puede recomendar ajustes a la política del Agente o al diseño de la red para aumentar la seguridad. IBM recomienda que se desplieguen todos los agentes alineados, en el perímetro de la red. Si el Agente no ofrece la posibilidad de firewall o está implementado con la posibilidad de firewall inhabilitada, IBM recomienda que se despliegue el Agente detrás de un firewall. La colocación fuera del firewall puede exigir el ajuste de la política para eliminar altos volúmenes de alarmas falsas y puede limitar la capacidad de IBM de implementar ciertas estrategias de protección. Si el cliente elige desplegar el Agente en el modo pasivo, la protección que él proporciona puede disminuir substancialmente. Los cuerdos de nivel de servicio (“SLAs”) asociados relacionados con las garantías de protección no se aplican. En el caso de que el Cliente elija realizar la transición a un despliegue alineado posteriormente, esa transición requerirá un anuncio con antecedencia debido al esfuerzo adicional que será necesario. Evaluación del Agente ya Existente En el caso de que IBM asuma la gestión de un Agente ya existente, debe evaluarlo para asegurar que cumple con algunas especificaciones. IBM puede requerir la actualización del software del Agente o del Contenido de Seguridad para prestar el Servicio. Otros criterios necesarios pueden involucrar la añadidura o remoción de aplicaciones y cuentas de usuario.
INTC-7776-04 11/2008
Página 4 de 19
2.1.3
Implementación Configuración en IBM En el caso de los Agentes comprados a través de IBM a la época del despliegue, una buena parte de la definición de la configuración y políticas tendrá lugar en las instalaciones de IBM. Para los Agentes ya existentes que ya estén en uso, el cliente tendrá la opción de enviarlos a IBM para que se configuren en las instalaciones de IBM. Instalación Aunque la instalación física y el cableado sean responsabilidad del Cliente, IBM proporcionará soporte en directo, por teléfono y e-mail, y ayudará al Cliente a encontrar los documentos de proveedores que detallan el procedimiento de instalación del firewall. Ese soporte se debe planificar con antecedencia para asegurar la disponibilidad de un especialista en despliegue. Mediante solicitud del Cliente y por una tarifa adicional, IBM prestará servicios de instalación física. Si el Cliente elige desplegar la funcionalidad de VPN de cliente de Proventia MX, IBM soportará el despliegue del software de VPN de cliente a través de un modelo de habilitación, según se describe en la sección “Soporte de VPN”, subsección “VPNs de Cliente” a continuación. Configuración Remota Al asumir la gestión del Agente ya existente, IBM normalmente realizará la configuración remotamente; eso puede incluir el registro del Agente en la infraestructura de los IBM Managed Security Services. Se puede requerir que el Cliente cargue físicamente los soportes físicos.
2.1.4
Transición al SOC Una vez que el agente esté configurado, instalado e implementado físicamente y conectado a la infraestructura de IBM Managed Security Services, IBM ofrecerá al cliente la opción de una demostración de las posibilidades del Virtual-SOC y de la realización de tareas comunes. La etapa final del despliegue del Servicio ocurre cuando el SOC asume la gestión y el soporte del Agente y la relación con el cliente. En ese momento, la etapa de soporte y gestión continua del Servicio comienza oficialmente. IBM presenta el Cliente al personal del SOC por teléfono.
2.2
Gestión y Soporte Contínuo Los siguientes servicios cuentan con el soporte de los dispositivos Proventia G y Proventia M, salvo indicación en contrario.
2.2.1
Gestión de Políticas Cambios Se define una única configuración/política de Agente como cualquier solicitud autorizada para añadir o modificar una regla con cinco o menos objetos de red o IP en una única solicitud. Cualquier solicitud de cambio que requiera la añadidura de seis o más objetos de red o IP o la manipulación de dos reglas o más se considerará como dos solicitudes o más. Si la solicitud se aplica a cambios fuera de la política de firewall basada en reglas, cada solicitud enviada se considerará como un único cambio, dentro de los límites razonables. Todos los cambios de política y configuración serán realizados por IBM. Los clientes de MPS for Networks – Select pueden procesar cambios ilimitados en la política de seguridad/ configuración del Agente por mes natural, al enviar una solicitud de cambio de política a través del Virtual-SOC. En el caso de los cambios de política solicitados por el Cliente, IBM buscará lo siguiente: ●
investigar las solicitudes de cambio de política dentro de dos horas a partir del recibimiento y
●
actualizar la configuración de política del Agente dentro de cuatro horas a partir de la solicitud.
Las solicitudes de cambio de política están sujetas a la aprobación de IBM. No se denegará esa aprobación sin un motivo razonable; sin embargo, entre otras razones, se denegará una solicitud si el cambio de política pudiera resultar en una gran cantidad de falsas alarmas. Mantenimiento Contínuo de Políticas IBM trabajará con el Cliente para mantener las estrategias de protección, incluyendo los tipos de comportamiento de bloqueo automático en el caso de los Agentes desplegados en forma alineada. Trimestralmente, el Cliente puede solicitar a IBM que revise junto con él todos los Agentes bajo gestión e identificar los cambios recomendados en la estrategia de protección de red. INTC-7776-04 11/2008
Página 5 de 19
Cuentas de Autenticación La funcionalidad específica del firewall frecuentemente permite autenticar las cuentas de usuario para habilitar el acceso a través de proxies de aplicación o para el uso de protocolos específicos. IBM soportará la habilitación de esa funcionalidad; sin embargo, la gestión de las cuentas de usuario es responsabilidad del Cliente. El Cliente puede integrar un servidor de autenticación de terceros al firewall. Ese servidor puede ser gestionado por el Cliente y proporcione opciones adicionales para la administración de usuarios. Los temas de IBM relacionados con la autenticación de protocolos y proxies de aplicaciones también se extienden a las posibilidades de VPN de Capa de Sockets Seguros (SSL) y de cliente. Notificaciones y Alertas Ciertos Agentes permiten que se generen e-mails y se los envíen desde el dispositivo cuando ocurran ciertos eventos. Al seguir el procedimiento estándar de solicitud de cambio, el Cliente puede solicitar a IBM que configure el Agente para que entregue e-mails a una dirección designada. Esa configuración está sujeta a la aprobación de IBM, que no se denegará sin un motivo razonable. Sin embargo, se denegará la solicitud si IBM cree que la configuración produce un efecto adverso en la capacidad de la plataforma de proteger el entorno de red, entre otras razones. Así como en otras configuraciones de dispositivo, los cambios en las configuraciones de notificación y alerta de la plataforma se considerarán como una solicitud de cambio de política. Lista de Ataques Certificados de X-Force IBM configurará el Agente basándose en una lista amplia predefinida de ataques hecha a la medida para el entorno de red del Cliente. Se implementará cada Agente con la Lista de Ataques Certificados de XForce activada. La Lista de Ataques Certificados de X-Force se destina a ayudar a proporcionar protección contra ataques de alto riesgo identificados que amenazan las organizaciones. La Lista de Ataques Certificados de X-Force se mantiene y se actualiza trimestralmente en el VirtualSOC. Esa lista contiene varios tipos de ataques, como backdoors, Trojans y worms. 2.2.2
Gestión de Dispositivos IBM será el único suministrador de gestión de dispositivos en el ámbito de software para el agente. Con acceso de raíz/súper-usuario/administrador al dispositivo, un sistema fuera de banda y un Agente instalado en el dispositivo, IBM mantendrá el conocimiento del estado del sistema, aplicará parches y actualizaciones de sistema operativo, resolverá los problemas del dispositivo y trabajará con el Cliente para ayudar a asegurar la disponibilidad del dispositivo. IBM supervisará la disponibilidad del Agente, avisará al cliente cuando se atinjan ciertos umbrales de utilización y supervisará el dispositivo 24 horas al día, los 7 días de la semana. Se proporcionarán actualizaciones regulares y automáticas para el software y firmware. Mediante solicitud del Cliente y por una tarifa adicional, IBM proporcionará asistencia onsite. Conectividad de Gestión Todos los registros, eventos y datos de gestión de seguridad se desplazan entre el SOC y el Agente gestionado a través de Internet. Los datos transmitidos por Internet se cifran mediante fuertes algoritmos de cifrado que son el estándar de la industria. Las solicitudes de conectividad por medios alternativos (por ejemplo: VPN) se tendrán en cuenta caso por caso. Pueden aplicarse tarifas mensuales adicionales para cumplir requisitos de conexión fuera de la conectividad estándar dentro de banda. Plataformas de Gestión IBM normalmente usa la infraestructura de gestión IBM SiteProtectorTM para controlar la política y configuración del Agente, obtener actualizaciones del agente y recibir datos del Agente a través de un recopilador de eventos de SiteProtector (llamado “Event Collector”). En algunos casos, puede ser que el cliente ya use el SiteProtector y opte por conectar el Agente al Event Collector en sus instalaciones. Luego, el Event Collector del Cliente se conectará a la infraestructura de SiteProtector en IBM. Se conoce esa configuración como “Stacking”. El cliente que elija usar la configuración Stacked de SiteProtector estará sujeto a responsabilidades adicionales. El uso de esa configuración está sujeto a la aprobación de IBM. Almacenamiento de Registro El Sistema de Protección X-Force ® actúa como un depósito de datos de evento provenientes de varios dispositivos de seguridad, aplicaciones y plataformas. La infraestructura mantiene las protecciones
INTC-7776-04 11/2008
Página 6 de 19
necesarias para la separación lógica de los datos por dispositivo y por Cliente. Los eventos y registros de seguridad se almacenan en forma nativa en un formato comprimido, para preservar los datos brutos originales. A medida que se graba en el disco cada registro y evento de seguridad, se genera automáticamente un hash exclusivo para verificar la integridad de los datos. Al final de cada período de 24 horas, se crea una suma de comprobación de todos los hashes generados a lo largo del día, que actúa como una instantánea de la actividad del día anterior. El Cliente puede especificar períodos de retención exactos "por dispositivo" en incrementos de un año. Todos los tiempos de retención especificados presuponen que se ha mantenido un contrato activo de Servicio para evento de seguridad y origen de registro. Entrega de Eventos y Registros de Seguridad IBM recuperará los datos del Cliente, mediante su solicitud, desde la Infraestructura de los IBM Managed Security Services y los almacenará en soportes físicos cifrados para entrega a una ubicación especificada. IBM cobrará las tarifas de consultoría actuales o tarifas negociadas previamente referentes a todo el tiempo y los materiales empleados restaurar y preparar los datos en el formato solicitado por el Cliente. Supervisión de Estado y Disponibilidad IBM supervisará la disponibilidad del Agente a través de un conjunto de Agentes. En el caso de algunas plataformas, IBM supervisará la secuencia de datos proveniente del Agente y las interfaces administrativas de sondeo en el Agente. Si se pierde el contacto con un dispositivo gestionado, se inician verificaciones adicionales basadas en tiempo para validar el corte. En el caso de varias plataformas, IBM instalará un software de supervisión en el Agente que supervisa el estado y rendimiento del sistema. En esos despliegues, IBM analizará y responderá a medidas clave tales como: ●
capacidad del disco duro (si se aplica);
●
utilización de CPU;
●
utilización de memoria y
●
disponibilidad de procesos.
En el caso de que esas verificaciones confirmen un corte o problemas en el estado del sistema, se crea un tiquete de problema y se avisa a un analista de seguridad de IBM para que comience la investigación. El estado de todos los tiquetes de estado del sistema está disponible a través del Virtual-SOC. Notificación de Corte Si no se puede contactar el Agente a través de los medios estándar dentro de banda, se avisará al Cliente por teléfono a través de un procedimiento de escalamiento predeterminado. Tras el escalamiento por teléfono, IBM comienza a investigar los problemas relacionados con la configuración o funcionalidad del Agente gestionado. Actualizaciones de Aplicación/Sistema Operativo Periódicamente, IBM tendrá que instalar parches y actualizaciones de software para mejorar el rendimiento del Agente, habilitar otras funcionalidades y resolver posibles problemas de aplicación. La aplicación de esos parches y actualizaciones puede requerir tiempo de inactividad de la plataforma o asistencia del Cliente. Si es necesario, IBM establece una ventana de mantenimiento antes de esas actualizaciones y el aviso expresa los impactos del mantenimiento planificado y los requisitos específicos del Cliente. Actualizaciones del Contenido de Seguridad Para ayudar a identificar las amenazas más actuales, IBM actualiza periódicamente las plataformas de seguridad con el Contenido de Seguridad más reciente. El Contenido de Seguridad – proporcionado en la forma de nuevas comprobaciones o firmas para los módulos de IPS, antispam y antivirus y de nuevas listas de URL para el módulo de filtración Web –, aumenta las posibilidades de seguridad del agente. A criterio de IBM, las actualizaciones del Contenido de Seguridad pueden descargarse e instalarse en la plataforma de seguridad en cualquier momento. Ese proceso se destina a ser transparente para los usuarios.
INTC-7776-04 11/2008
Página 7 de 19
Solución de Problemas del Dispositivo Si el agente no funciona como se espera o si se detecta que es el posible origen de un problema relacionado con la red, IBM examinará su configuración y funcionalidad para buscar posibles problemas. La resolución de problemas puede consistir en un análisis offline realizado por IBM o en una sesión de resolución activa de problemas entre IBM y el Cliente. IBM intentará resolver los problemas técnicos en la forma más apropiada y factible. Si se descarta la posibilidad de que el Agente es el origen de un determinado problema, IBM no participará más en la solución de problemas. Acceso Fuera de Banda El acceso fuera de banda (“OOB”) es un dispositivo obligatorio que ayuda el SOC en el diagnóstico de posibles problemas en el dispositivo. La implementación de OOB requiere que el cliente compre un dispositivo de OOB con soporte de IBM y proporcione una línea telefónica analógica para conectividad. Si el Cliente ya tiene una solución de OOB, IBM la usará para obtener acceso OOB a los dispositivos gestionados, bajo las siguientes condiciones: ●
2.2.3
la solución es aprobada por IBM;
●
la solución no proporciona a IBM el acceso a ningún dispositivo no gestionado;
●
el uso de la solución no requiere la instalación de software especializado;
●
el Cliente proporciona instrucciones detalladas para acceder a los Agentes gestionados por IBM y
●
el Cliente es responsable de todos los aspectos de la gestión de la solución OOB.
Supervisión de Eventos de Seguridad IBM ampliará las posibilidades de análisis automatizado de la infraestructura del Sistema de Protección X-Force con supervisión en vivo 24 horas al día, 7 días a la semana. En el caso de que se detecte una actividad maliciosa, IBM revisará las alertas relevantes y, si es necesario, generará un tiquete de Incidente de Seguridad en el Virtual-SOC. Los Incidentes de Seguridad actuables y validados se escalarán al Cliente a través de e-mail, notificación por SMS basado en e-mail o teléfono, dependiendo de la gravedad declarada del evento, según se describe en la sección “Compensaciones de SLA” a continuación. Se proporcionará al Cliente una descripción del Incidente de Seguridad, su posible impacto y una línea de acción recomendada. Se enviará un e-mail al contacto de seguridad del Cliente para encaminarlo al Virtual-SOC para que conozca detalles acerca del Incidente de Seguridad. Los ataques identificados cubiertos por la política del Agente serán informados a través del Virtual-SOC, incluyendo datos completos. Si el Agente está desplegado en alineación con la funcionalidad de IPS, muchos de esos ataques son bloqueados y no requieren acciones posteriores. Ya que la actividad maliciosa ocurre 24 horas al día, todos los días, y el bloqueo de tráfico es una ocurrencia regular, no habrá escalamientos producidos por el bloqueo exitoso de la entrada del tráfico indeseado. En el caso de una infracción de seguridad confirmada, los servicios de respuesta de emergencia IBM están disponibles por una tarifa adicional. Esos servicios de respuesta de emergencia pueden incluir evaluaciones de daños, desarrollo de planes de remediación y/ o investigación de los Hosts afectados.
2.2.4
Vulnerability Management Service El Vulnerability Management Service (“VMS”) es un servicio electrónico prestado en forma remota que explora automáticamente los dispositivos del perímetro Internet del cliente incluidos en el ámbito para detectar vulnerabilidades conocidas. Cada exploración resulta en varios informes completos destinados a identificar posibles debilidades, evaluar el riesgo relativo de la red y hacer recomendaciones para gestionar las vulnerabilidades identificadas. IBM le solicitará al cliente que confirme que es propietario de todas las direcciones IP a ser exploradas, antes de la exploración inicial de la misma. Para cada Agente adquirido, el cliente recibirá una exploración remota trimestral para evaluación de vulnerabilidad para hasta cinco direcciones IP. Se pueden encontrar detalles del VMS en la Descripción de Servicio intitulada “IBM Vulnerability Management Service”, documento número Z125-7817-xx, que se puede encontrar en www.ibm.com/services/iss/wwcontracts.
2.2.5
X-Force Threat Analysis Service El Servicio XFTAS proporciona una gestión proactiva de seguridad a través de la evaluación de las condiciones de las amenazas online globales conocidas y análisis detallados.
INTC-7776-04 11/2008
Página 8 de 19
El Servicio proporciona informaciones sobre amenazas recolectadas en los SOCs y datos confiables de inteligencia de seguridad del equipo de X-Force. Esa combinación ayuda a identificar el carácter y la gravedad de amenazas de Internet externas. Para cada contacto de seguridad autorizado, el Cliente recibirá el X-Force Threat Analysis Service durante la vigencia del contrato. 2.2.6
Virtual-SOC El Virtual-SOC es una interfaz basada en Web diseñado para posibilitar el suministro de detalles clave del Servicio y soluciones de protección bajo demanda. El Virtual-SOC está proyectado para proporcionar una vista consolidada de la postura de seguridad global del Cliente. El portal tiene capacidad de fusionar datos de varias regiones geográficas o tecnologías en una interfaz común, lo que permite análisis amplio, emisión de alertas, remediación e informe. El Virtual-SOC está diseñado para proporcionar acceso en tiempo real para comunicaciones, como creación de tiquetes, manejo de eventos, respuesta a incidentes, presentación de datos, generación de informes y análisis de tendencias. Informes El cliente tendrá acceso a informaciones acerca del servicio, a través del Virtual-SOC, para revisar los tiquetes de servicios e incidentes de seguridad en cualquier momento. Una vez al mes, IBM producirá un informe resumido que incluye:
2.2.7
a.
número de SLAs invocados y cumplidos;
b.
número y tipo de solicitudes de servicio
c.
lista y resumen de tiquetes de servicio;
d.
número de Incidentes de Seguridad detectados, prioridad y estado y
e.
lista y resumen de Incidentes de Seguridad.
Soporte de VPN (sólo para Proventia MX) La función de VPN permite que las VPNs soportadas basadas en servidor o en cliente se conecten al Agente y ayuda a proteger mejor la transmisión segura de datos en redes no confiables, a través de la comunicación de sitio a sitio. La configuración predeterminada de esa función se destina a activar esa posibilidad en el Agente gestionado e incluye la configuración inicial de hasta dos sitios remotos. Tras la configuración inicial, cada configuración de VPN de sitio a sitio se considera como un cambio de política. IBM soporta métodos de autenticación estática para las configuraciones de VPN de cliente y de sitio a sitio. La autenticación estática también incluye el uso de la implementación ya existente del servidor de autenticación Radius del Cliente. Actualmente no hay soporte para la autenticación basada en certificado como parte de la configuración de servicios de VPN. VPNs de Sitio a Sitio Se define una VPN de sitio a sitio como una VPN creada entre el agente y otro dispositivo de cifrado soportado. Las VPNs de sitio a sitio ayudan a establecer la conectividad de redes enteras al construir un túnel entre la plataforma de firewall gestionada y otro punto final de VPN compatible. Se pueden establecer VPNs de sitio a sitio entre: ●
Dos agentes con capacidad de VPN gestionados por IBM o
●
Un punto final gestionado por IBM y un punto final no gestionado por IBM. Se cobrará una tarifa única por la configuración inicial de un punto final de gestionado a no gestionado.
En el caso de que haya problemas en el túnel de VPN tras la configuración, IBM trabajará con los contactos del Cliente y del proveedor para ayudar a identificar, diagnosticar y resolver problemas de rendimiento y problemas relacionados con IBM. VPNs de Cliente Las VPNs de cliente ayudan a proteger mejor la conectividad en una red protegida, desde una única estación de trabajo con las credenciales de acceso y el software adecuado de una VPN de cliente. Las VPNs de cliente ayudan a permitir que trabajadores remotos accedan a los recursos de la red interna sin el riesgo de acceso no autorizado o comprometimiento de datos. IBM soporta implementaciones de VPN de cliente a través de un modelo de habilitación. IBM trabajará con el Cliente para configurar y probar los cinco primeros usuarios de la VPN de cliente. Tras el éxito en INTC-7776-04 11/2008
Página 9 de 19
la conectividad de esos cinco usuarios, el Cliente será responsable de la administración de usuarios en el caso de individuos que requieren una conexión de VPN de cliente. IBM ofrecerá al Cliente una demostración de las posibilidades de gestión de usuarios de la plataforma de firewall desplegada (si se aplica) y ayudará a proporcionar los niveles de acceso adecuados y el software necesario para concluir la configuración. Las soluciones de VPN de cliente normalmente requieren la instalación de una aplicación de VPN de cliente en las estaciones de trabajo específicas que forman parte del túnel protegido. El Agente desplegado está diseñado para determinar las aplicaciones específicas de VPN de cliente que deben ser soportadas por el Servicio. Algunas aplicaciones de VPN de cliente pueden estar disponibles a través de sus respectivos proveedores sin costo adicional, mientras que otras son licenciadas por usuario. El Cliente es el único responsable de la adquisición, instalación y costos asociados a cualquier software de VPN de cliente. SSL VPNs Las SSL VPNs ayudan a proporcionar conectividad a los recursos de la compañía desde cualquiera computadora personal (“PC”) habilitada para la Web, sin necesidad de una aplicación dedicada de VPN de cliente. Eso permite que los trabajadores remotos accedan a los recursos de la compañía desde un PC conectado a Internet. Diferentemente de lo que ocurre en la seguridad de Protocolo de Internet (“IPsec”) convencional, las SSL VPNs no requieren la instalación de un software especializado de cliente en los computadores de los usuarios. IBM soporta implementaciones de SSL VPN a través de un modelo de habilitación. IBM trabajará con el Cliente para configurar y probar los cinco primeros usuarios de la SSL VPN. Tras el éxito en la conectividad de esos cinco usuarios, el Cliente será responsable de la administración de usuarios en el caso de individuos que requieren una conexión de SSL VPN. IBM ofrecerá al Cliente una demostración de las posibilidades de gestión de usuarios de la plataforma de firewall desplegada (si se aplica) y proporcionará los niveles de acceso adecuados y el software necesario para concluir la configuración. 2.2.8
Antispam (sólo para Proventia MX) Las posibilidades antispam integradas de varios agentes comprueban los mensajes de e-mail entrantes y salientes para detectar firmas, patrones y conductas conocidas de spam. El Agente debe estar posicionado en un lugar donde el e-mail pase por el dispositivo antes de llegar al gateway de correo. Ello ayuda a impedir que mensajes indeseados perjudiquen el rendimiento y la disponibilidad del gateway de correo. Aunque la tecnología antispam esté diseñada para eliminar la publicidad no solicitada, la mayor parte de la misma también está proyectada para filtrar intentos de phishing (es decir, e-mail con el objetivo de engañar a los usuarios y hacer que liberen sus datos privados). Normalmente, los e-mails de phishing afirman ser de un servicio legítimo, pero encaminan al usuario a un Web site malicioso que recolecta sus datos personales. Normalmente, se puede configurar la política antispam para incluir en la lista blanca o lista negra direcciones de e-mail y dominios específicos, según se desee. Dichas configuraciones se destinan a permitir que los mensajes provenientes de esos dominios y direcciones de e-mail siempre pasen o siempre sean suprimidas por el módulo antispam, respectivamente. IBM trabajará directamente con el Cliente para recopilar los datos necesarios para que la empresa cree listas blancas y listas negras personalizadas y ajustadas a las necesidades específicas del Cliente. La habilitación de la funcionalidad antispam puede requerir licencias adicionales del proveedor del Agente, de las cuales el cliente es el único responsable.
2.2.9
Filtración Web (sólo para Proventia MX) La filtración Web se destina a tratar del contenido de Internet que puede ser discutible. A través de la tecnología de análisis de contenido, el Agente gestionado puede proporcionar control de contenido basado en políticas. La habilitación de la filtración Web puede requerir licencias adicionales para el Agente, de las cuales el Cliente es el único responsable. Configuración Para que la filtración Web funcione, el Agente debe estar posicionado en un lugar donde el tráfico Web del usuario pase por los dispositivos antes de llegar al destino pretendido. Eso permite que el módulo de filtración Web compare el URL solicitado con la base de datos de contenido para confirmar que el destino solicitado es autorizado.
INTC-7776-04 11/2008
Página 10 de 19
Durante el proceso inicial de configuración y despliegue, IBM trabajará con el Cliente para crear una política personalizada de acuerdo con las necesidades específicas de la organización. 2.2.10 Antivirus (sólo para Proventia MX) El soporte de antivirus se destina a reducir el riesgo de la presencia de código malicioso en el flujo de datos de la red. Los gateways de Antivirus se pueden ser configurados para explorar el tráfico de Web, e-mail y transferencia de archivos y se destinan a bloquear la transmisión de archivos que contienen cualquier cantidad de amenazas designadas. La mayoría de los escáneres antivirus también bloquean formas comunes de spyware y varias clases de worms de red. La habilitación de la funcionalidad de antivirus puede requerir licencias adicionales para el Agente, de las cuales el Cliente es el único responsable. Configuración Para que las implementaciones de antivirus sean efectivas, el Agente debe estar posicionado en un lugar donde el tráfico entrante y el tráfico del usuario pasen por los dispositivos antes de llegar al destino pretendido. Eso permite que el Agente compare el tráfico supervisado con la conducta y/o las firmas de virus conocidos. Durante el proceso inicial de configuración y despliegue, IBM trabajará con el Cliente para crear una política personalizada de acuerdo con las necesidades específicas de la organización. 2.2.11 Alta disponibilidad La Alta Disponibilidad (“HA”) aumenta la fiabilidad del Servicio al soportar la implementación de Agentes redundantes en el entorno gestionado del Cliente. La añadidura de HA al Servicio requiere la compra de un segundo Agente y tarifas de gestión continua. Puede requerir cambios en el Agente, licenciamiento de software, requisitos de dirección IP o tarifas de servicios gestionados. El Servicio no soporta soluciones de HA no integradas de terceros. Implementaciones de Activo/Pasivo Las implementaciones activo/pasivo aumentan la confiabilidad de la solución de gateway de Agente a través de la redundancia. En esa configuración, se configura un segundo Agente como “espera en caliente”, listo para comenzar a actuar en la red si el Agente primario presenta una anomalía crítica de hardware o software. En ese caso de ejemplo, la migración tras error esta diseñada para ser automática y casi instantánea. Las configuraciones activo/pasivo se recomiendan para entornos de misión crítica con cargas de tráfico bajas o medianas. Implementaciones de Activo/Activo Los clústers activo/activo aumentan la fiabilidad y el rendimiento de los Agentes gestionados al usar los dos Agentes para manipular simultáneamente el tráfico de red. En esa configuración, cada Agente maneja una parte de los paquetes de red, determinados por un algoritmo de equilibrio de carga. Si un Agente falla, el otro está diseñado para manejar automáticamente todo el tráfico hasta la restauración del Agente fallido. Las configuraciones activo/activo se recomiendan para entornos de misión críticas con altos volúmenes de tráfico y/o grandes variaciones en la utilización de la red.
3.
Responsabilidades del Cliente Aunque IBM va a trabajar con el cliente para desplegar e implementar el Agente, como también gestionar el Agente, se exigirá que el Cliente trabaje con IBM de buena fe y ayude a IBM en algunas situaciones, según se solicite.
3.1
Despliegue e Inicio Durante el despliegue, el Cliente trabajará con el IBM para desplegar un nuevo Agente o iniciar la gestión de un Agente ya existente, según sea aplicable. El Cliente participará en una llamada inicial programada para presentar a los miembros del equipo, definir expectativas y empezar el proceso de evaluación. Se requerirá que el Cliente rellene un formulario para facilitar informaciones detalladas acerca de la configuración de red (incluyendo aplicaciones y servicios para los Hosts en la red protegida) y trabaje con IBM de buena fe para evaluar con exactitud el entorno y la red del Cliente. El Cliente debe proporcionar contactos dentro de la organización y especificar una vía de escalamiento en la misma, en el caso de que IBM necesite ponerse en contacto.
INTC-7776-04 11/2008
Página 11 de 19
El Cliente debe asegurar que cualquier Agente ya existente cumpla con las especificaciones de IBM y debe trabajar para cumplir con las recomendaciones acerca de los requisitos de red y acceso de red del Cliente, en el caso de que sean necesarios cambios para asegurar estrategias de protección factibles. Si IBM asume la gestión de un Agente ya existente, puede requerir la actualización del software o contenido de seguridad del Agente para prestar el Servicio. Otros criterios necesarios pueden involucrar la añadidura o remoción de aplicaciones y cuentas de usuario. El Cliente será el único responsable de dichos upgrades, añadiduras o remociones. Aunque IBM vaya a proporcionar soporte y orientación, el Cliente es responsable de la instalación física y del cableado de todos los Agentes, a menos que esos servicios se presten como un proyecto de asesoría de IBM. Si el Cliente elige desplegar la funcionalidad de VPN de cliente del dispositivo Proventia MX, éste es responsable de la instalación efectiva y de algunas pruebas del software de VPN de cliente, con el soporte de IBM. El Cliente es responsable de adquirir cualquier software de VPN de cliente directamente del proveedor, aunque IBM pueda hacer recomendaciones y orientar al Cliente respecto a un contacto de proveedor apropiado.
3.2
Gestión y Soporte Contínuo
3.2.1
Gestión de Políticas El Cliente reconoce que IBM es la única parte que es responsable de cambiar la política y/o configuración del agente y que tiene la autoridad para hacerlo. Aunque IBM pueda ayudar, el Cliente es responsable de su propia estrategia de seguridad de red, incluyendo los procedimientos de respuesta a incidentes.
3.2.2
Gestión de Dispositivos Si el Cliente desea habilitar el dispositivo de HA del Servicio, éste acepta comprar un segundo Agente y pagar por su gestión continua. El cliente es responsable de mantener contractos actuales de mantenimiento de hardware y software. Entorno Físico El Cliente debe proporcionar un entorno seguro y físicamente controlado para el Agente. Los Clientes deben proporcionar una solución de OOB y asegurar que el dispositivo de OOB esté conectado al Agente y esté siempre funcional. Una vez al año, el Cliente puede solicitar que IBM revise con él la configuración actual de hardware de los dispositivos gestionados e identifique las actualizaciones necesarias. Esas actualizaciones se basarán en los cambios identificados en los requisitos de sistema operativo y aplicaciones. Entorno de Red El Cliente es responsable de realizar los cambios en el entorno de red que se pactaron sobre la base de las recomendaciones de IBM. Se exige que el Cliente mantenga siempre una conexión a Internet activa y totalmente funcional y asegure que el Agente esté accesible por Internet a través de una dirección IP dedicada y estática. El Cliente es responsable de asegurar que el tráfico de red deseado y los segmentos aplicables estén configurados para enrutar el tráfico de red pasando por el Agente. Plataformas de Gestión Los Clientes que albergan su propia infraestructura de SiteProtector: a.
Deben configurar un flujo de eventos hacia IBM, por Internet;
b.
Deben asegurar que sus Event Collectors tengan direcciones IP exclusivas y enrutables para encaminar eventos a IBM;
c.
deben tener un Event Collector dedicado a los dispositivos que IBM supervisará en nombre del Cliente. Ese Event Collector no debe recibir eventos de dispositivos para los cuales el cliente no contrató gestión o supervisión;
d.
deben proporcionar a IBM acceso administrativo total al servidor de aplicaciones de SiteProtector, a través de la consola de SiteProtector, para obtener actualizaciones y controlar las políticas;
e.
se les puede requerir que actualicen la infraestructura de SiteProtector para transferir datos a la infraestructura de los IBM Managed Security Services y
INTC-7776-04 11/2008
Página 12 de 19
f. 3.2.3
no deben cambiar la política o configuración del Agente fuera del procedimiento establecido para solicitar cambios.
Soporte de VPN Para las conexiones de VPN a sitios no gestionados por IBM, el cliente debe proporcionar un formulario de “Configuración del sitio de VPN” rellenado. La VPN se configurará de acuerdo con las informaciones facilitadas. La solución de problemas de conectividad de sitios remotos está estrictamente limitada a los sitios gestionados por IBM.
3.2.4
Compilación de Datos El Cliente permite que IBM reúna y compile datos de registro de eventos de seguridad para analizar tendencias y amenazas reales o posibles. IBM puede compilar (o combinar de otra manera) esos datos de registro de eventos de seguridad con datos similares de otros clientes a condición de que esos datos se compilen o combinen en una forma que no revele, de ninguna manera, los datos como algo que se pueda atribuir al Cliente.
Managed Protection Services for Networks - Premium Managed Protection Services for Networks – Premium ayuda a proteger los activos de misión crítica más valiosos que están conectados en red y ayudar al Cliente a cumplir los requisitos más rigurosos. Managed Protection Services for Networks – Premium requiere la compra de, como mínimo, diez Agentes. El Servicio proporcionará la misma función que Managed Protection Services for Networks – Select e incluirá dispositivos adicionales o expandidos, según se establece a continuación. En conexión con lo mencionado arriba, IBM cumplirá las responsabilidades establecidas en la sección “Managed Protection Services for Networks – Select”, subsección “Responsabilidades de IBM” arriba. Además, IBM cumplirá las responsabilidades establecidas en la sección “Managed Protection Services for Networks – Premium”, subsección “Responsabilidades de IBM” abajo. El Cliente acepta realizar todas las tareas establecidas en la sección “Managed Protection Services for Networks – Select”, subsección “Responsabilidades del Cliente” arriba. Además, el Cliente acepta cumplir las responsabilidades establecidas en la sección “Managed Protection Services for Networks – Premium”, subsección “Responsabilidades del Cliente” abajo.
4.
Responsabilidades de IBM
4.1
Despliegue e Inicio
4.1.1
Evaluación de los Managed Protection Services IBM proporcionará una evaluación de los Managed Protection Services para establecer la línea de base para evaluar la eficiencia global del programa de gestión de seguridad del Cliente. Esa evaluación se basa en el Código de Práctica ISO-17799 referente a la seguridad de información e incluye la prueba de seguridad técnica del entorno del Cliente desde una perspectiva externa. IBM trabajará con el Cliente para revisar los hallazgos de la evaluación y compilar los resultados en un informe para la gerencia correspondiente del Cliente. IBM trabajará con el Cliente para crear un plan de acción priorizado para alcanzar el estado de seguridad deseado.
4.1.2
Managed Protection Services para Taller Onsite Despliegue IBM proporcionará un taller para ayudar al Cliente a planificar el despliegue de MPS for Networks Premium. El taller incluirá aproximadamente 12 horas de recolección de informaciones y planificación anticipada, seguidas por una reunión onsite de un a dos días con el Cliente. Respuesta a Incidentes Se realizará un segundo taller en el sitio del Cliente para proporcionar instrucción acerca del proceso de escalamiento de Incidentes de Seguridad de IBM y el rol del SOC. El equipo desarrollará un plan para manejar los Incidentes de Seguridad. Ese taller involucrará a la mayoría de los contactos de seguridad designados por el Cliente y servirá para desarrollar un árbol para toma de decisiones en el caso de un Incidente de Seguridad. Durante ese taller, si el Cliente está apto para el Servicio de Respuestas de Emergencia (descrito a continuación), IBM proporcionará instrucción acerca de ese servicio.
INTC-7776-04 11/2008
Página 13 de 19
4.2
Gestión y Soporte Contínuo
4.2.1
Gestión de Políticas IBM proporcionará hasta dos implementaciones de cambios urgentes de política por mes.
4.2.2
Vulnerability Management Service Se pueden planificar las exploraciones para que ocurran semanal, mensual o trimestralmente, con la opción de realizar exploraciones periódicas bajo demanda. IBM prestará servicios de gestión de vulnerabilidad para un número limitado de direcciones IP, proporcional al número de Agentes que cuentan con el Servicio, como sigue: ●
para 10 a 14 Agentes, IBM proporcionará gestión de vulnerabilidad externa para hasta 25 direcciones IP.
●
para 15 a 24 Agentes, IBM proporcionará gestión de vulnerabilidad externa para hasta 50 direcciones IP.
●
para 25 a 29 Agentes, IBM proporcionará gestión de vulnerabilidad externa para hasta 100 direcciones IP.
●
para 30 Agentes o más, IBM proporcionará gestión de vulnerabilidad externa para hasta 254 direcciones IP.
Semi-anualmente, IBM empleará hasta ocho horas procesando los datos de vulnerabilidad en un informe que resalta los cambios en el perfil de seguridad y documenta exposiciones importantes de seguridad en la red del Cliente. IBM revisará ese informe con el Cliente en una teleconferencia que toma aproximadamente dos horas. 4.2.3
X-Force Threat Analysis Service IBM proporcionará dos licencias del X-Force Threat Analysis Service a los Clientes que adquieren servicios para hasta 29 Agentes. Para 30 Agentes o más, IBM proporcionará cinco licencias para el XForce Threat Analysis Service.
4.2.4
Prueba de Penetración Si el Cliente adquiere el Servicio para por lo menos 15 Agentes, IBM realizará una prueba de penetración con el objetivo de determinar las vulnerabilidades actuales del Cliente y demostrar cómo los invasores pueden afectar significativamente los negocios de la organización. La prueba de penetración utiliza expertos en seguridad de IBM, las mejores herramientas de su clase, investigaciones de X-Force y la amplia experiencia de campo para simular un ataque a la red en forma controlada. Eso proporciona una instantánea de las condiciones de seguridad de una organización desde el punto de vista de una ubicación de Internet remota y designada. Se identificarán y documentarán vulnerabilidades y riesgos específicos y explorables. Los expertos en seguridad de IBM analizarán las vulnerabilidades documentadas para proporcionar una descripción de la postura de seguridad del Cliente.
4.2.5
Servicio de Respuesta a Emergencias Para los Clientes que adquieren MPS for Networks para 25 Agentes o más, IBM prestará el Servicio descrito en la Declaración de Trabajo Intitulada “IBM ISS Emergency Response Services – Basic” (documento número Z125-7781-xx) sin costo adicional. Se puede encontrar ese documento en www.ibm.com/services/iss/wwcontracts. El Servicio incluye el trabajo con el Cliente para desarrollar un plan de respuesta a Incidentes de Seguridad destinado a ayudar al Cliente a prepararse para los Incidentes de Seguridad y a minimizar sus efectos. IBM ISS Emergency Response Services – Basic combina la investigación de X-Force con la experiencia de IBM en la respuesta a Incidentes de Seguridad para ayudar a detener ataques en curso y minimizar su impacto. En el caso de una infracción de seguridad acordada, IBM realizará una investigación y proporcionará orientación acerca de remediación para ayudar a proteger contra ataques futuros.
5.
Responsabilidades del Cliente El Cliente trabajará con IBM para revisar los hallazgos de la evaluación y compilar los resultados en un informe para el equipo de la gerencia correspondiente del Cliente. El Cliente trabajará con IBM para crear un plan de acción priorizado para alcanzar el estado de seguridad deseado. En el IBM ISS Emergency Response Services - Basic, el Cliente cumplirá todas sus responsabilidades especificadas en la Declaración de Trabajo.
INTC-7776-04 11/2008
Página 14 de 19
6.
Acuerdos de Nivel de Servicio Los SLAs de IBM establecen objetivos de tiempo de respuesta y contramedidas para incidentes de seguridad resultantes del Servicio. Los SLAs entran en vigor cuando se concluye el proceso de despliegue, se configura el dispositivo como “live” y se realiza exitosamente la transición del soporte y la gestión del dispositivo al SOC. Las compensaciones de SLA están disponibles desde que el cliente cumpla con sus obligaciones, según se definen en esa Descripción de Servicios.
6.1
Garantías del SLA Las garantías del SLA descritas abajo abarcan las medidas concernientes a la prestación del Servicio. A menos que se declare explícitamente a continuación, no se aplican garantías adicionales de ninguna clase al Servicios prestado bajo esta Descripción de Servicio. Las únicas compensaciones para el incumplimiento de las garantías del SLA están especificadas en la sección intitulada “Compensaciones de SLA” a continuación. a.
Garantía de prevención de Incidentes de Seguridad – todos los Incidentes de Seguridad de la Lista de Ataques Certificados de X-Force se impedirán exitosamente en los segmentos de red del cliente protegidos y supervisados por un Agente.
b.
Garantía de identificación de Incidentes de Seguridad (sólo para Proventia G) – IBM identificará todos los Incidentes de Seguridad con prioridad de nivel 1, 2 y 3 basándose en los datos de evento del Agente recibidos por el SOC. IBM determinará si un evento es un Incidente de Seguridad basándose en los requisitos empresariales, la configuración de red y la configuración de Agente del Cliente.
c.
Garantía de respuesta a Incidentes de Seguridad (sólo para Proventia G) - IBM responderá dentro de 15 minutos a todos los Incidentes de Seguridad identificados. Se le avisará por teléfono al contacto para Incidentes de Seguridad designado por el Cliente en el caso de los Incidentes de Seguridad con Prioridad 1 y por e-mail en el caso de los Incidentes con Prioridad 2 y 3. Durante el escalamiento de un Incidente de Seguridad con Prioridad 1, IBM seguirá intentando comunicarse con el contacto designado por el Cliente hasta que logre contactarlo o se agoten todos los contactos del escalamiento. Las actividades operacionales relacionadas con los Incidentes de Seguridad y las respuestas son documentadas y reciben la indicación de fecha y hora en el sistema de tiquetes de problema de IBM, el cual debe ser usado como única fuente autorizada de información para los fines de esa garantía de SLA.
d.
Garantía de contramedidas para eventos de intrusión (sólo para Proventia G) – IBM recomendará o implementará una contramedida dentro de 30 minutos a partir de la aprobación del Cliente (por incidente) para todos los Incidentes de Seguridad con Prioridad 1. Se implementará la contramedida (si es aplicable) en cualquier dispositivo gestionado donde esa acción pueda ser relevante, si el dispositivo proporciona los medios técnicos adecuados para hacerlo. Se recomendarán contramedidas para los dispositivos no gestionados al contacto designado por el Cliente dentro de 30 minutos a partir del escalamiento del incidente.
e.
Garantía de acuse de recibo de solicitud de cambio de política – IBM acusará el recibo de solicitud de cambio de política del cliente dentro de dos horas a partir del recibimiento por IBM. Esa garantía sólo está disponible a las solicitudes de cambio de política enviadas por un contacto de seguridad válido, de acuerdo con los procedimientos establecidos.
f.
Garantía de implementación de solicitud de cambio de política – se implementarán las solicitudes de cambio de política del Cliente dentro de cuatro horas a partir de su recibimiento por IBM, a no ser que se las haya puesto en un estado de “espera” debido a la insuficiencia de las informaciones necesarias para implementar la solicitud de cambio de política que se envió. Esa garantía sólo está disponible a las solicitudes de cambio de política enviadas por un contacto de seguridad válido, de acuerdo con los procedimientos establecidos.
g.
Garantía de supervisión proactiva del sistema – se le avisará al Cliente dentro de 15 minutos a partir del momento que IBM determina que el Agente del Cliente no está accesible a través de la conectividad estándar dentro de banda. Durante un escalamiento de corte, IBM seguirá intentando comunicarse con los contactos de seguridad designados del Cliente (en el orden de prioridad recomendado) hasta comunicarse con un contacto designado o se agoten todos los contactos.
INTC-7776-04 11/2008
Página 15 de 19
h.
6.2
Garantía de actualización proactiva del Contenido de Seguridad – IBM comenzará la aplicación de todas las actualizaciones del Contenido de Seguridad a la plataforma gestionada de seguridad del Cliente dentro de 48 horas a partir del momento que el proveedor publicó para el público general la actualización del Contenido de Seguridad.
Compensaciones de SLA a.
Se emitirá un crédito como la única compensación para el incumplimiento de cualquiera de las garantías descritas en la sección “Garantías del SLA” durante cualquier mes natural. El Cliente no puede obtener más que un crédito para cada SLA por día, en una forma que no supere un total, referente a todos los SLAs de 25.000 dólares de Estados Unidos o lo equivalente en moneda local, en un determinado mes natural. Ese pago será la única y exclusiva compensación por todas las infracciones de seguridad que puedan resultar de dicha ocurrencia.
b.
Compensación para la prevención de Incidentes de Seguridad (MPS for Networks – Select) – si no se cumple la garantía de prevención de Incidentes de Seguridad en cualquier mes natural, se emitirá un crédito referente a los cargos aplicables correspondientes a la tarifa de un mes de MPS for Networks – Select del Incidente de Seguridad inicial que no se evitó.
c.
Compensación para la prevención de Incidentes de Seguridad (MPS for Networks – Premium) – no obstante la provisión de crédito del SLA de no más que 25.000 dólares de Estados Unidos en un dado mes natural (descrita arriba), si no se cumple con la garantía de prevención de Incidentes de Seguridad en cualquier mes natural, se emitirá un crédito de 50.000 dólares de Estados Unidos o lo equivalente en moneda local, de manera que no exceda una ocurrencia por mes. Ese pago será la única y exclusiva compensación por todas las infracciones de seguridad que puedan resultar de dicha ocurrencia.
d.
Compensaciones para identificación de Incidentes de Seguridad y respuesta a Incidentes de Seguridad – si cualquiera de las garantías no se cumple en un determinado mes natural, se emitirá un crédito referente a los cargos proporcionales según lo especificado a continuación: (1)
Incidentes con Prioridad 1: El hecho de no identificar los eventos de seguridad como un Incidente de Seguridad resultará en el crédito de un mes referente al dispositivo inicial que informó los eventos.
(2)
Incidentes con Prioridad 2: El hecho de no identificar los eventos de seguridad como un Incidente de Seguridad resultará en el crédito de una semana referente al dispositivo inicial que informó los eventos.
(3)
Incidentes con Prioridad 3: El hecho de no identificar los eventos de seguridad como un Incidente de Seguridad resultará en el crédito de un día referente al dispositivo inicial que informó los eventos.
e.
Compensación para contramedidas de eventos de intrusión – si IBM no cumple con esa garantía en cualquier mes natural, se pondrán en el haber de la cuenta del Cliente los costos referentes a un mes de la tarifa de supervisión mensual correspondiente al dispositivo afectado y, si es aplicable, a la plataforma de seguridad gestionada específica para la cual no se cumplió la respectiva garantía.
f.
Compensaciones para el acuse de recibo de solicitud de cambio de política, implementación de solicitud de cambio de política, supervisión proactiva del sistema y actualización proactiva del Contenido de Seguridad – Si IBM no cumple cualquiera de esas garantías, se emitirá un crédito referente a los cargos aplicables por un día de la tarifa mensual de supervisión referente al dispositivo afectado y, si es aplicable, la plataforma de seguridad gestionada específica en la cual no se cumplió la garantía respectiva.
Tabla 3 - Resumen de los Acuerdos de Nivel de Servicio y Compensaciones Acuerdos de Nivel de Servicio
Compensaciones para MPS for Networks – Select
Compensaciones para MPS for Networks – Premium
Garantía de prevención de Incidentes de Seguridad
Crédito de 1 tarifa mensual del MPS for Networks – Select
50.000 dólares de Estados Unidos – o lo equivalente en moneda local
Garantía de identificación de Incidentes de Seguridad
● Prioridad 1: Crédito de 1 mes de la tarifa de supervisión mensual
Crédito de 1 día de la tarifa mensual de supervisión referente
INTC-7776-04 11/2008
Página 16 de 19
al dispositivo afectado
Garantía de respuesta a incidentes de seguridad
● Prioridad 2: Crédito de 1 semana de la tarifa mensual de supervisión referente al dispositivo afectado ● Prioridad 3: Crédito de 1 día de la tarifa mensual de supervisión referente al dispositivo afectado
Garantía de contramedidas para eventos de intrusión
Crédito de 1 mes de la tarifa mensual de supervisión referente al dispositivo afectado
Garantía de acuse de recibo de la solicitud de cambio de política
Crédito de 1 día de la tarifa mensual de supervisión referente al dispositivo afectado
Crédito de 1 día de la tarifa mensual de supervisión referente al dispositivo afectado
Garantía de implementación de la solicitud de cambio de política Garantía de supervisión proactiva del sistema
Crédito de 1 día de la tarifa mensual de supervisión referente al dispositivo afectado
Garantía de actualización proactiva del Contenido de Seguridad
6.3
Mantenimiento del Portal en Forma Planificada y de Emergencia “Mantenimiento planificado” designa cualquier mantenimiento: a.
acerca del cual se avisa al Cliente por lo menos cinco días antes o
b.
realizado durante la ventana de mantenimiento mensual estándar en el segundo sábado de cada mes, de las 8:00 a las 16:00, horario del Este de Estados Unidos. Se le avisará al contacto designado por el Cliente acerca del mantenimiento planificado.
Ninguna declaración de la sección intitulada “Acuerdos de Nivel de Servicio” impedirá IBM de realizar el mantenimiento de emergencia según sea necesario. Durante ese mantenimiento de emergencia, el punto de contacto principal del Cliente afectado recibirá un aviso dentro de 30 minutos a partir del inicio del mantenimiento de emergencia y dentro de 30 minutos de la conclusión de cualquier mantenimiento de emergencia.
6.4
Exclusiones y estipulaciones de SLAs
6.4.1
Modificación de SLA en el Modo de Simulación La serie Proventia G, versiones de firmware 1.2 y arriba, proporciona al Cliente la oportunidad de ejecutar en el modo de simulación, que le permite al Cliente ver el bloqueo virtual e impedir ataques. Cuando un dispositivo está en el modo de simulación, el Cliente puede ver una lista completa de los ataques simulados impedidos específicos de su red, a través del Virtual-SOC. Los clientes pueden habilitar e inhabilitar el modo de simulación en cualquier momento a través de uno de los siguientes métodos: a.
Cliente pre-despliegue - el Cliente debe proporcionar una solicitud de cambio de política por escrito o por e-mail al especialista en despliegue asignado por IBM.
b.
Cliente post-despliegue – El Cliente debe enviar solicitudes para iniciar o terminar el modo de simulación a través de un tiquete de servicio o solicitud de cambio de política en el Virtual-SOC.
Durante el modo de simulación, toda la funcionalidad de bloqueo activo se inhabilitará, lo que impide que el dispositivo realice el bloqueo activo, e IBM dejará de ofrecer al Cliente la garantía de prevención de Incidentes de Seguridad según se describe en la sección “Garantías del SLA” de esta Descripción de Servicio. Todas las otras garantías de protección y compensaciones permanecerán en vigor, y las siguientes compensaciones serán las únicas disponibles en el caso de incumplimiento de la garantía aplicable, a condición de que, según lo establecido arriba, ninguna compensación para la garantía de prevención de Incidentes de Seguridad esté disponible. Tabla 4 - Resumen de los Acuerdos de Nivel de Servicio y Compensaciones durante el Modo de Simulación Acuerdos de Nivel de Servicio INTC-7776-04 11/2008
Compensaciones para MPS for
Compensaciones para MPS for Página 17 de 19
Garantía de identificación de Incidentes de Seguridad Garantía de respuesta a incidentes de seguridad
Garantía de contramedidas para eventos de intrusión Garantía de acuse de recibo de la solicitud de cambio de política Garantía de implementación de la solicitud de cambio de política Garantía de supervisión proactiva del sistema Garantía de actualización proactiva del Contenido de Seguridad
6.4.2
Networks – Select ● Prioridad 1: Crédito de 1 mes de la tarifa de supervisión mensual ● Prioridad 2: Crédito de 1 semana de la tarifa mensual de supervisión referente al dispositivo afectado ● Prioridad 3: Crédito de 1 día de la tarifa mensual de supervisión referente al dispositivo afectado Crédito de 1 mes de la tarifa mensual de supervisión referente al dispositivo afectado
Networks – Premium Crédito de 1 día de la tarifa mensual de supervisión referente al dispositivo afectado Crédito de 1 día de la tarifa mensual de supervisión referente al dispositivo afectado
Crédito de 1 mes de la tarifa mensual de supervisión referente al dispositivo afectado
Crédito de 1 día de la tarifa mensual de supervisión referente al dispositivo afectado
Información de Contacto con el Cliente Varios SLAs requieren que IBM notifique al contacto designado por el cliente tras la ocurrencia de ciertos eventos. En el caso de que ocurra uno de esos eventos, el Cliente es el único responsable de facilitar a IBM la información de contacto exacta y actual relativa a los contactos designados. La información de contacto actual registrada está disponible a los contactos autorizados a través del Virtual-SOC. IBM estará exento de las obligaciones establecidas en esos SLAs si la información de contacto facilitada a IBM está desactualizada debido a la acción u omisión del cliente.
6.4.3
Notificaciones de Cambio en la Red/Servidor del Cliente El cliente es responsable de notificar IBM con antecedencia respecto a cualquier cambio de red o servidor en el entorno del Agente. Si no es posible notificar con antecedencia, se exige que el Cliente notifique IBM de los cambios dentro de siete días naturales a partir de la realización de los cambios en el servidor o la red. Se realiza la notificación mediante el envío o actualización de un tiquete crítico de servidor a través del Virtual-SOC. Si el cliente no notifica IBM como se indica arriba, todas las compensaciones de SLA se consideran nulos y sin efecto.
6.4.4
Tráfico de Red Aplicable a los SLAs Ciertos SLAs tratan de prevención, identificación y escalamiento de incidentes de seguridad. Esos SLAs presuponen que el tráfico llegó correctamente al Agente y, por tanto, el Agente tiene la capacidad de procesar el tráfico de acuerdo con la política instalada y generar un evento registrado. El tráfico que no pasa por un Agente (en forma lógica o electrónica) o no genera un evento registrado no está cubierto por esos SLAs.
6.4.5
Conformidad e informes de SLA La conformidad del SLA y las compensaciones asociadas se basan en entornos de red, conectividad de Internet y circuito y Agentes totalmente funcionales, como también servidores configurados correctamente. Si la no conformidad del SLA es producida por un hardware o software de CPE (incluyendo todo y cualquier Agente), todas las compensaciones de SLA se consideran nulas y sin efecto. IBM proporcionará informes de conformidad del SLA a través del Virtual-SOC.
6.4.6
Prueba de las Posibilidades de Supervisión y Respuesta El Cliente puede probar las posibilidades de supervisión y respuesta de IBM al realizar actividades de reconocimiento, ataques a la red o sistema y/o comprometimientos del sistema simulados o reales. Esas actividades pueden ser iniciadas directamente por el Cliente o por un tercero contratado, sin aviso previo a IBM. Los SLAs no se aplican al período de esas actividades; las compensaciones no serán pagables en el caso de que no se cumpla con las garantías asociadas.
7.
Objetivos de Nivel de Servicio Los objetivos de nivel de servicio IBM (“SLOs”) establecen objetivos sin efecto obligatorio referentes al suministro de ciertos dispositivos de los Servicios. Los SLOs entran en vigor cuando se concluye el
INTC-7776-04 11/2008
Página 18 de 19
proceso de despliegue, se configura el dispositivo como “live” y se realiza exitosamente la transición del soporte y la gestión del dispositivo al SOC. IBM se reserva el derecho de modificar esos SLOs con un aviso por escrito con 30 días de antecedencia. a.
Virtual-SOC – IBM proporciona un objetivo de accesibilidad del 99,9% relativo al Virtual-SOC fuera de los horarios detallados en la sección intitulada “Mantenimiento del portal en forma planificada y de emergencia”.
b.
Emergencia de Internet – En el caso de que IBM declare una emergencia de Internet, el objetivo de IBM es notificar, por e-mail, a los puntos de contacto designados por el Cliente dentro de 15 minutos a partir de la declaración de emergencia. Esa notificación incluye un número de rastreo de incidentes, número de teleconferencia y hora que IBM realizará una sesión informativa acerca de la situación Durante las emergencias de Internet declaradas, IBM realizará una sesión informativa acerca de la situación a través de una teleconferencia en vivo y proporcionará un e-mail resumido para facilitar informaciones que el Cliente puede usar para proteger su organización. Sesiones informativas sobre la situación tras el inicio de una emergencia de Internet reemplazan cualquier exigencia de que IBM proporcione escalamientos específicos para cada cliente respecto a eventos directamente relacionados con la emergencia de Internet declarada. Durante una emergencia de Internet, IBM comunicará todos los incidentes con otros niveles de prioridad a través de sistemas automatizados como e-mail, buscapersonas y correo de voz. Se reanudarán las prácticas estándar de escalamiento cuando termine la emergencia de Internet declarada. El fin de un estado de emergencia se caracteriza por una reducción del nivel de AlertCon a AlertCon 2 o una notificación por e-mail enviada a un contacto de seguridad autorizado del cliente.
8.
Otros Términos y Condiciones IBM se reserva el derecho de modificar los términos de esta Descripción de Servicio en cualquier momento. Si dicha modificación reduce el ámbito o nivel del Servicio que se está prestando (por ejemplo: eliminación de un Servicio prestado anteriormente o aumento del tiempo de respuesta a Incidentes de Seguridad), IBM proporcionará un anuncio con por lo menos 30 días de antecedencia a través del portal Web de ISS u otros medios electrónicos.
INTC-7776-04 11/2008
Página 19 de 19