INSTITUTO COSTARRICENSE DE ELECTRICIDAD

LICITACIÓN ABREVIADA No.2013-LA-000054-PROV

ADQUISICION DE UNA SOLUCION DE ALTA DISPONIBILIDAD PARA LA INFRAESTRUCTURA DE COMUNICACIONES

DE LA DIRECCIÓN DE PROTECCIÓN Y SEGURIDAD INSTITUCIONAL

APERTURA DE OFERTAS

A LAS 14:00 HORAS DEL DIA 16 DE JULIO DEL 2013

SAN JOSE, COSTA RICA

20131

ContenidoCAPITULO I 4

CONDICIONES GENERALES 4

CAPÍTULO II 5

CONDICIONES PARTICULARES 5

1. LICITACIÓN Nº 2013-LA-000054-PROV 5

2. PRESUPUESTO: ¢ 140 000 000,00 Año 2013 5

3. FINANCIAMIENTO: ICE 5

4. APERTURA DE OFERTAS: 5

5. CONSULTAS Y ACLARACIONES 5

6. VIGENCIA DE OFERTA 6

7. PRECIOS 6

8. TIEMPO DE ENTREGA 7

9. LUGAR DE ENTREGA DE LOS BIENES O PRESTACIÓN DEL SERVICIO 7

10. GARANTIA DE PARTICIPACIÓN 8

11. GARANTÍA DE CUMPLIMIENTO 8

12. GARANTÍA DEL EQUIPO / MATERIALES O SERVICIOS 9

13. DEPÓSITO DE GARANTÍAS. 9

14. VIGENCIA DE LA GARANTÍA DE LOS EQUIPOS 9

15. MODALIDAD Y FORMA DE PAGO: 9

16. ESTUDIO Y ADJUDICACIÓN. 10

17. CLAUSULA PENAL Y MULTAS: 10

18. SISTEMA DE VALORACIÓN Y COMPARACIÓN. 11

19. CANTIDAD DE OFERTAS. 11

20. CLÁUSULA DE DESCUENTOS.12

21. REQUISITOS DE ADMISIBILIDAD 12

REQUERIMIENTO 14

1. OBJETO 14

2. REQUERIMIENTOS GENERALES 15

3. ESPECIFICACIONES TECNICAS 15

3.1 Solución de Alta Disponibilidad y Seguridad para la Infraestructura de Comunicaciones de la DPSI 15

3.2 FIREWALLS/IPS 16

3.3 Filtrado WEB 17

3.4 SOLUCIÓN VPN SSL 17

3.5 SISTEMA DE AUTENTICACIÓN, AUTORIZACIÓN Y AUDITORÍA 18

3.6 CUATRO MODULOS EXPANSION CISCO CATALYST 3750-X 19

3.7 SISTEMA DE RESPUESTA Y CORRELACION DE EVENTOS 19

3.8 SWITCHES DE AGREGACIÓN CAPA 2 20

3.9 CAPACITACIÓN 21

3.10 INSTALACIÓN 22

3.11 GARANTIA Y MANTENIMIENTO 24

3.12 SOPORTE25

2

4. OTROS REQUISITOS 28

4.1 CUMPLIMIENTO DE TIERRAS28

4.2 LICENCIAS 28

4.3 ESTANDARIZACIÓN DE LA ENERGÍA 28

5. DOCUMENTACIÓN Y COPIAS28

6. OBLIGACIONES DEL PROVEEDOR 29

7. SEGUROS Y ADMINISTRACIÓN DEL RIESGO 29

8. CONTROL DE RIESGOS 30

Anexo Nº 1 33

Diagrama Red DPSI 33

Anexo Nº 2 35

Capacitación 35

Anexo Nº 3 52

Tabla de Estimación de la Cláusula Penal 52

3

CAPITULO ICONDICIONES GENERALES

Para este concurso regirán las “Condiciones Generales del Cartel Tipo para Licitaciones” publica-das en La Gaceta No.164 del 26 de Agosto del 2011 y. Fe de erratas en la Gaceta 173 del 8 de Septiembre del 2011 y 94 del 16 de mayo del 2012, la Ley 8660 y su Reglamento

Las ofertas deben presentarse en original y tres copias, incluyendo un timbre de veinte colones de la Asociación Ciudad de las Niñas, y un timbre de doscientos colones del Colegio de Profesio-nales de Ciencias Económicas de Costa Rica.

Las Condiciones Generales pueden ser adquiridas en la Proveeduría del ICE, cita 400 metros al Norte del Edificio Central del ICE en Sabana Norte, en el Área de Expedientes y Garantías o acce -sando a la siguiente dirección electrónica: www.grupoice.com/PEL.

4

CAPÍTULO IICONDICIONES PARTICULARES

El Instituto Costarricense de Electricidad, que en lo sucesivo se denominará ICE, EMPRESA-ENTE PÚBLICO de la República de Costa Rica, domiciliado en San José y con cédula jurídica Nº 4-000-042139-02, invita a participar en la Licitación Abreviada Nº 2013-LA-000054-Prov, para la con-tratación de “Solución de Alta Disponibilidad para la Infraestructura de Comunicaciones de la Di-rección Protección Seguridad Institucional”

La presenta contratación no está cubierta por el TLC con República Dominicana, Centroamérica y Estados Unidos de América y el TLC con México.

INVITACIÓN A CONCURSAR:

1. LICITACIÓN Nº 2013-LA-000054-PROV

2. PRESUPUESTO: ¢ 140 000 000,00 Año 2013

383-0030-2013 70-140-189-707-22-240 ¢100.000.000.0070-931-189-707-22-089 ¢ 40.000.000.00

3. FINANCIAMIENTO: ICE

4. APERTURA DE OFERTAS:

El Instituto Costarricense de Electricidad, recibirá ofertas hasta las 14:00 horas del día 16 de Julio del 2013.

4.1 La oferta será entregada en sobre cerrado en la Proveeduría del ICE, sita en Sabana Norte, 400 metros norte de la esquina este de las Oficinas Centrales, antes de la hora señalada para el acto de apertura de ofertas con la siguiente leyenda:

Instituto Costarricense de Electricidad Licitación Abreviada No. 2013-LA-000054.

Adquisición de una Solución de Alta Disponibilidad para la Infraestructura de Comunicaciones de la Dirección de Protección y Seguridad Institucional

5. CONSULTAS Y ACLARACIONES

5.1 Las consultas y aclaraciones relativas a esta licitación deberán realizarse por carta o facsímil (fax), a la siguiente dirección, con copia a la dependencia usuaria mencionada a continuación:

a)Carta. La cual deberá estar dirigida a la siguiente dirección:Instituto Costarricense de ElectricidadAptdo. 10032-1000

5

San José Costa RicaLicitación Abreviada Nº 2013-LA-000054-Prov.Atención Proveeduría

b)Facsímil (FAX), a la siguiente dirección, con copia a la dependencia usuaria mencionada en el punto 5.3 Fax: (506) 2220 - 8160 y (506) 2220-8163 Aptdo. 10032-1000 San José Costa Rica Licitación Abreviada Nº 2013-LA-000054-Prov. Atención Proveeduría Corporativa

b) Medios Electrónicos: A través de la plataforma de Compras Electrónicas Mer-link

Se le comunica a todos los potenciales oferentes que la normativa que se indica en el presente pliego de condiciones puede ser accesada en la siguiente dirección electrónica: www.grupoice.com/PEL

5.2 Toda la correspondencia entre el adjudicatario y el ICE, además de la facturación para efectos de pago, deberá hacerse en idioma español.

5.3 DEPENDENCIA USUARIA

Oficina: Aseguramiento de IngresosNúmero telefónico: 2527-8707 / 2527-8788Número de facsímil: 2527-8776Responsable: Rodolfo Jiménez ArguedasCorreo Electrónico: RJimenezA@ice.go.cr

Atrejoss@ice.go.cr

6. VIGENCIA DE OFERTA

La vigencia mínima de las ofertas será de 60 días hábiles a partir de la fecha de apertura de ofertas.

7. PRECIOS

7.1 Los precios serán cotizados DAP. La cotización será por requerimiento completo, indicando por separado el monto de los impuestos que le apliquen, los precios en la oferta deberán ser presentados desglosados por bienes y servicios.

7.2 El precio total de la oferta corresponderá a la sumatoria del precio total de los ítem cotizados por requerimiento completo.

6

8. TIEMPO DE ENTREGA

8.1 Bienes. Los bienes deben ser entregados en un plazo no mayor a 30 días hábiles, a partir del día siguiente hábil de la notificación de la Orden de Compra, la cual se considerará como la Orden de Inicio.

8.2 Servicio de Instalación y Configuración. En caso de servicios de instalación y configuración, los mismos se iniciarán en un plazo máximo de ocho días hábiles una vez recibidos a satisfacción los equipos por parte del ICE, para lo cual se acordará con el encargado del ICE el día y la hora en que iniciará la instalación.

La solución adjudicada deberá de ser instalada en un máximo de cuarenta y cinco (45) días hábiles, tiempo que empezará a transcurrir después de entregado y aceptados los equipos, así como el cronograma de instalación aprobado.

Ocho (8) días hábiles a partir de la emisión de la Orden de compra a favor de la empresa adjudicada se establecerá la primera sesión de trabajo donde se coordinaran agendas y se establecerán los o el responsable del proyecto por ambas partes.

Cinco (5) días hábiles a partir de la emisión de la Orden de compra a favor de la empresa adjudicada, ésta deberá presentar el “Plan de Trabajo Detallado”, para lo cual el Subproceso Soporte a la Infraestructura tendrá tres (3) días hábiles para realizar sus observaciones y presentarlas al adjudicado. El plan deberá contemplar que el inicio de la obra será a más tardar ocho días hábiles a partir de la emisión de la Orden de compra.

8.3 Capacitación. La capacitación deberá iniciarse a más tardar 10 días hábiles después de emitida la orden de servicio. Tendrá una duración estimada de 200 horas, según las condiciones estipuladas en el Anexo No. 2.

8.4 Soporte. Deberá iniciar un día hábil posterior a la instalación del equipo y aceptación final a satisfacción del ICE. Cubrirá un período de 24 meses contados a partir de la recepción final de aceptación del producto a satisfacción del ICE, según lo estipulado el apartado de Soporte del capítulo III. Estas horas no formarán parte de las horas utilizadas para la instalación y configuración de los equipos adquiridos en esta contratación, así como la garantía y los trabajos de actualización de equipos y/o software.

8.5 Garantía y Mantenimiento de los Equipos (Soporte y actualización del Software). Cubrirá un período de 36 meses, según lo estipulado el apartado de garantía de los equipos en el capítulo III, contados a partir de la recepción final de aceptación del producto a satisfacción del ICE.

9. LUGAR DE ENTREGA DE LOS BIENES O PRESTACIÓN DEL SERVICIO

9.1 Bienes. Los bienes deberán ser entregados en los lugares de instalación. (Ver lugares de instalación en el numeral 9.2)

7

9.2 Servicio de Instalación y Configuración. Deberá entregarse según las condiciones que se indican en el Capítulo III.

Los trabajos se efectuarán dentro de la Gran Área Metropolitana, específicamente en los siguientes lugares:

1) Casa celular ubicada a 20 metros al oeste del edificio principal del ICE en San Pedro.

2 Edificio principal de San Pedro piso 1 en el Datacenter y el piso 4 sala de PCM

3) Edifico Cámara de Industria de la fuente de la hispanidad 300 metros al Sur en el segundo nivel.

4) Edificio de Racsa contiguo a la Agencia de Avenida quinta en el quinto piso sala de transmisión.

9.3 Capacitación. Deberá entregarse según las condiciones que se indican en el Anexo No. 2.

10.4 Soporte. Deberá entregarse según las condiciones que se indican en el Capítulo III.

10. GARANTIA DE PARTICIPACIÓN

La garantía de participación será por un monto de 1% del valor total cotizado, con una vigencia no menor de 4 meses contados a partir de la fecha de apertura de las ofertas.

11. GARANTÍA DE CUMPLIMIENTO

El adjudicatario deberá rendir una garantía de cumplimiento por un monto de un 10% del valor total adjudicado y con una vigencia mínima de 06 meses contados a partir de la firmeza del acto de adjudicación, misma que se devolverá de acuerdo con lo que establece la ley 8660. No obstante, el Contratista se compromete a mantener vigente esta garantía durante toda la duración del presente contrato.

Una vez instalados los equipos, la garantía de los equipos deberá ser del 10% del valor del Soporte por la duración del mismo, (24 meses).

No obstante lo anterior, el contratista se compromete a prorrogar la garantía durante la vigencia del contrato.

8

12. GARANTÍA DEL EQUIPO / MATERIALES O SERVICIOS

Los oferentes deben garantizar que los bienes a suministrar, junto con los componentes son nuevos y de última tecnología.

Los materiales empleados deberán ser de óptima calidad, los diseños, operación, capacidades y eficiencias son los asignados por el fabricante y deben contar con un período de garantía no menor de 36 meses, contados a partir de la fecha en que el ICE reciba el objeto del contrato a entera satisfacción. Igualmente en el caso de servicios deberá garantizarse que los mismos se brindarán con la más alta calidad, eficacia, eficiencia y por personal capacitado; según las condiciones que se especifican en el Capítulo III.

13. DEPÓSITO DE GARANTÍAS.

Cuando las garantías de participación y de cumplimiento se rindan por medio de un depósito de dinero en efectivo, deberán ser depositadas en la (s) siguiente (s) cuenta (s):

Cuadro de cuentas para depósitos de garantías a favor del ICE en el Banco de Costa Rica.

SECTOR US $ DÓLARES COLONES ¢ COSTARRICENSES

TELECOMUNICACIONES 192916-0 192915-1

14. VIGENCIA DE LA GARANTÍA DE LOS EQUIPOS

Todos los equipos deben contar con garantía por 36 meses y según las condiciones que se indican en el Capítulo III.

15. MODALIDAD Y FORMA DE PAGO:

Los pagos de los bienes o servicios se llevarán a cabo de la siguiente manera:

a. El ICE pagará el 60% con la recepción de infraestructura, hardware, licenciamiento de software, manuales técnicos y documentos de cursos técnicos. Para lo cual el ICE verificará las cantidades y la calidad de lo entregado y emitirá un documento de control llamado “Acta de Recepción de Equipo” certificando la entrega de los bienes de infraestructura, que éstos se encuentran acordes con lo requerido y por lo tanto aceptados a satisfacción por parte del ICE.

b. El ICE pagará el 40% restante una vez realizados los servicios de instalación, configuración y capacitación a entera satisfacción por parte del ICE. Para la recepción y aceptación se utilizará un documento de control llamado “Acta de Aceptación Definitiva” emitido y aprobado por el ICE.

c. Soporte. Se llevará a cabo de forma mensual contra la presentación de factura, por servicios prestados, 20 horas de servicio prestado por mes vencido. Lo anterior una vez recibido a

9

satisfacción por parte del ICE, conforme a las condiciones que se indican en el Capítulo III.

d. Todas las facturas deberán entregarse al Administrador del Contrato, detallando el número de orden servicio según corresponda. La factura de los servicios deberá apegarse a la Ley del Impuesto sobre la Renta y estar debidamente autorizadas por la Dirección General de Tributación.

e. El oferente deberá indicar en su oferta el Banco y la cuenta bancaria que se utilizará para estas operaciones. Esto cuando el depósito se realice en el BCR (Banco de Costa Rica) o en el BNCR (Banco Nacional de Costa Rica) y la cuenta SINPE cuando se trata de otros bancos nacionales.

Sin embargo, alternativamente el oferente podrá presentar otras formas de pago, a lo cual el ICE se reserva el derecho de aceptar, siempre y cuando lo considere conveniente a sus intereses.

16. ESTUDIO Y ADJUDICACIÓN.

16.1 El ICE resolverá el presente concurso dentro de los 40 días hábiles contados a partir de la fecha de apertura de ofertas. El ICE se reserva el derecho de prorrogar este plazo en caso de considerarlo necesario.

16.2 El ICE estudiará las ofertas que coticen los oferentes por requerimiento completo y adjudicará, conforme lo establece el Artículo 44 inciso n) del Reglamento a la Ley 8660.

17. CLAUSULA PENAL Y MULTAS:

17.1 Si existiera atraso en la entrega del suministro o la prestación del servicio de acuerdo con las condiciones del cartel y de la oferta, el contratista deberá pagar al ICE por concepto de cláusula penal 0,6%, por cada día natural del valor de la parte incumplida.

17.2 Igualmente si existiese una defectuosa ejecución del objeto contratado, el contratista deberá pagar al ICE por concepto de multa la suma de 0.5%, por cada día natural del valor de la parte incumplida.

17.3 El valor porcentual de la sanción será como máximo el 25% del monto total del contrato. La aplicación de esta cláusula es conforme al artículo Nº 41 del Reglamento al Título II de la Ley 8660.

17.4 En caso de que el objeto esté compuesto por líneas distintas, el monto máximo para el cobro de multas se considerará sobre el valor de cada una y no sobre la totalidad del contrato, siempre que el incumplimiento de una línea no afecte el resto de las obligaciones.

17.5 El cobro de las multas y/o cláusula penal podrá hacerse con cargo a las retenciones del precio, que se hubieran practicado y los saldos pendientes de pago. En caso de que ninguna de esas dos

10

alternativas resulte viable, se podrá ejecutar la garantía de cumplimiento hasta por el monto respectivo

17.6 Se hará acreedor de cobro por concepto de multa, el contratista que incurra en los siguientes supuestos. (ver como anexo: tabla de estimación de clausula penal).

Atención tardía o defectuosa del mantenimiento correctivo del hardware y/o software, según

lo estipulado en el numeral 3.11, inciso d).

Atraso en la reposición del equipo o sus componentes, según el plazo establecido en el nume-

ral 3.11, inciso d).

La atención defectuosa del servicio de soporte, según lo estipulado en el numeral 3.12, inciso

a).

Atención tardía o defectuosa por parte del Centro del Servicio, según lo establecido en el nu-

meral 3.12, inciso b).

La atención tardía o defectuosa de la capacitación, según lo estipulado en el anexo 2).

Por la recepción de equipo defectuoso, según los estipulado en las Especificaciones Técnicas.

17.7 El Administrador del Contrato no gestionará el cobro de multa y/o cláusula penal, únicamente

en el caso de que el incumplimiento del contratista obedezca a motivos de caso fortuito, fuerza ma-

yor o culpa de la Administración debidamente comprobadas y se haya seguido lo establecido en los

Artículos 176 y 177 del Reglamento al Título II de la Ley 8660.

17.8 En caso de que por causas ajenas al contratistas o bien imputables a la Administración, éste no

pueda realizar en el plazo estipulado la entrega del objeto pactado o bien del servicio contratado,

podrá solicitar prórroga, aportando para ello la prueba en la que se sustenta, la cual deberá ser ana-

lizada por la Administración.

18. SISTEMA DE VALORACIÓN Y COMPARACIÓN.

Se utilizará el sistema de evaluación cien por ciento (100%) precio. La oferta que cumpla con todos los requerimientos de admisibilidad, técnicos y legales de carácter obligatorio en el cartel y ofrezca el menor precio, será la empresa que resulte adjudicada.

El ICE adjudicará la solución completa a un solo oferente, a fin de garantizar la congruencia técnica.

11

19. CANTIDAD DE OFERTAS.

En el presente concurso se aceptarán un máximo de 2 ofertas alternativas y la garantía de participación será por el monto más alto de las ofertas.

20. CLÁUSULA DE DESCUENTOS.

21.1 Una vez efectuado el análisis de ofertas, el Área Técnica responsable de la evaluación de las ofertas, confeccionará un cuadro comparativo de precios de las ofertas que cumplan legal y técnicamente y solicitará a la Proveeduría comunicar a los representantes con capacidad legal suficiente de las tres primeras en precio. La dependencia técnica deberá presentar su solicitud ante la Proveeduría dentro del plazo establecido por la misma para los procedimientos de contratación.21.2 La Proveeduría citará a los primeros tres proponentes elegidos técnica y legalmente, concediéndole un plazo de cinco días hábiles y fijando la fecha y hora para presentar en sobre cerrado, el descuento a su oferta sin que se afecten los demás términos de la propuesta efectuada. Deberá dejar constancia en el expediente de la invitación realizada vía fax, correo electrónico o página WEB de la Proveeduría.En caso de que solo sea elegible una empresa, se procederá a una negociación directa con el oferente.21.3 El documento de descuento deberá ser presentado en sobre cerrado siempre y cuando se realice hasta la fecha límite fijada al efecto debidamente identificado con la siguiente leyenda:

Oferta de descuento Nº de Licitación Abreviada Fecha de presentación Nombre de la firma

21.4 En la convocatoria de descuento estarán presentes por parte del ICE el Coordinador de Contratación Administrativa de la dependencia respectiva y un representante de la Proveeduría.21.5 El representante de la Proveeduría levantará un acta donde se anotará la lista de participantes en el acto presencial y el nombre de la empresa que representa.21.6 El representante de la Proveeduría procederá a leer en voz alta ante los presentes los alcances de la propuesta de descuento y la incluirá en el acta que se levanta al efecto.21.7 Se firmará el acta de descuento por los participantes del ICE y por aquellos representantes de las compañías directamente interesados que así lo soliciten.21.8 El descuento debe estar exento de condicionamientos para que sea sujeto de aceptación.21.9 No se aceptarán propuestas de descuento que no hubiesen sido presentadas en la audiencia fijada por la Proveeduría del ICE al efecto.

21. REQUISITOS DE ADMISIBILIDAD

22.1 El oferente debe constatar que posee experiencia en el suministro de este tipo de soluciones en el mercado, para lo cual deberá presentar certificaciones de al menos 4 clientes

12

representativos a nivel nacional en idioma español. A los que hayan vendido soluciones iguales o superiores, a los ofrecidos en este concurso durante los últimos 4 años. Deberá indicarse, el

nombre de la empresa, nombre de la persona o contacto en la empresa, números de teléfono, dirección de e-mail, la fecha de entrada de operación de la solución. El ICE se reserva el derecho de constatar toda la información que se exponga en este punto. Si se comprueba que la documentación aportada no contiene información fidedigna, la oferta será descalificada de forma automática del presente concurso.

22.2 El oferente deberá contar con Personal Certificado, que demuestre dominio sobre la instalación, mantenimiento y configuración de equipos, así como la revisión de diseños y requerimientos en la infraestructura de TI Cisco, , la cual se reflejará en la cantidad de sus ingenieros certificados. Deberá adjuntar títulos del personal certificado.

a. El oferente debe contar con al menos tres técnicos certificados como CCNA.b. El oferente debe contar con al menos un técnico certificado como CCNP.c. El oferente debe contar con al menos un técnico certificado como CCVP.d. El oferente debe contar con al menos un técnico certificado como CCSP.

22.3 Debido a las particularidades de los equipos instalados y que se encuentran operando en el ICE, se evaluarán las especializaciones sobre la solución ofertada en Costa Rica. Para ello se debe presentar Carta del Fabricante que certifique que la empresa cuenta con especializaciones en las soluciones de Seguridad y Routing & Switching.

a. El oferente deberá contar con al menos la certificación Cisco Premier Certified Partner.b. El oferente deberá contar con al menos las siguientes especializaciones: Cisco

Advanced Security, Cisco Advanced Routing&Switching, Cisco Advanced Unified Communications y Cisco Advanced Wireless LAN.

22.4 Debido a las particularidades de los equipos instalados que se encuentran operando en el ICE, serán admisibles en este concurso los proveedores que tengan 5 años de experiencia sobre la marca ofertada en Costa Rica. Mediante Carta del Fabricante.

22.5 Para el cumplimiento de los plazos acordados en el presente cartel y evitar procesos insatisfactorios en el despliegue de la solución, así como cumplir con los esquemas de manejo de proyectos dentro del ICE, se tomarán en consideración que la empresa oferente cuente con al menos un profesional con una Maestría en Administración de Proyectos con base a la metodolo-gía PMI, con al menos dos años de laborar en la empresa, mediante la presentación de los títulos que lo acrediten.

22.6 El oferente deberá contar con profesionales especializados en seguridad de redes que trabajen en la implementación de la solución y que tenga las facultades para realizar la Certificación Integral de Seguridad en la Red.

13

14

CAPÍTULO III

REQUERIMIENTOESPECIFICACIONES TÉCNICAS

1. OBJETO

Se requiere contratar la adquisición de una solución de alta disponibilidad para la infraestructura de comunicaciones de la Dirección de Protección y Seguridad Institucional, que incluye la instalación y configuración de equipos activos de comunicaciones e implementación de una plataforma integral para proveer alta disponibilidad y seguridad telemática de la red; tanto a nivel de la red misma mediante servicios de muros de fuego, inspección y prevención profunda, autorización, autenticación y tasación, según como se indica en el anexo 1 (Diagrama que muestra el esquema de configuración requerido.

15

2. REQUERIMIENTOS GENERALES

2.1 La presente contratación no origina relación de empleo alguna entre el I.C.E. y los empleados del CONTRATISTA. Por tal motivo, corresponderá a este último, el pago de los salarios de sus trabajadores, cargas sociales, viáticos, pólizas y en general todos los derechos laborales que le corresponden al personal a su cargo, debiendo cumplir en todos los casos con la legislación vigente, sin que exista atraso alguno en los pagos correspondientes.

2.2 Todos los materiales, accesorios, componentes y equipos deben ser de primera calidad, totalmente nuevos en su empaque original y aprobados por el “Underwriters Laboratories Inc.” (UL-Laboratorios Aseguradores de Calidad).

2.3 El contratista deberá incluir y suministrar e instalar todos los elementos, materiales, accesorios y equipo necesario para la correcta implementación y puesta en operación de los sistemas de comunicaciones indicados en estas especificaciones. Dichos elementos deben ser considerados dentro del costo de la obra y no deben representar un costo adicional para el ICE.

2.4 Desde el exterior, debe contarse con la seguridad para los accesos remotos que se hagan hacia los recursos. Todo lo anterior debe contar con un gestor en tiempo real que de forma automatizada lleve todas las acciones de seguridad de la red desde los niveles L2-L7 según modelo OSI (Seguridad tipo Network Access Control NAC).

2.5 Todos los servicios de seguridad de redes citados anteriormente deben poseer un sistema operativo de arquitectura modular, con separación entre el plano de control y el plano de encaminamiento (forwarding) ó de datos para garantizar predictibilidad y alto desempeño.

2.6 El sistema operativo que soporte los servicios de seguridad de redes citados, debe proveer la característica de ser ubicuo (ser el mismo) y universalmente portable, en lo que respecta a todos los sistemas encargados de las funciones activas de conmutación, enrutamiento y seguridad de redes.

2.7 La plataforma de seguridad ofrecida debe poseer una herramienta para la correlación de eventos de seguridad y el tratamiento de amenazas, la cual debe permitir la recolección, la correlación, el análisis y la administración de toda la “señalización” de seguridad producto del comportamiento de la red, de los eventos reportados por las entidades de la plataforma de seguridad, perfiles de seguridad e información sobre amenazas.

3. ESPECIFICACIONES TECNICAS

3.1 Solución de Alta Disponibilidad y Seguridad para la Infraestructura de Comunicaciones de la DPSI

3.1.1 Todos los componentes de la solución deben ser del mismo fabricante para garantizar la interoperabilidad total de los mismos.

16

3.1.2 Se cuentan con dos (2) sitios físicos para la instalación y configuración de la solución solicitada, y deberán ser dispuestos según se indica en el anexo 1 (Diagrama que muestra el esquema de configuración requerido.)

3.2 FIREWALLS/IPS

3.2.1 Se requiere un (1) equipo FIREWALLS/IPS, el cual debe ser instalado y configurado en el sitio principal. El equipo debe satisfacer las siguientes características:a) Los equipos deberán ser dispositivos de propósito específico, con hardware y software de una misma marca.b) Debe ser un Firewall Multicapa L2 a L7 con capacidad de Prevención de Intrusos IPS integrada por hardware.c) Deberá soportar en un futuro ser instalados en un esquema de alta disponibilidad geográfica-mente distante, ya que el ICE cuenta con dos sitios físicos donde residen los servicios que se re-quiere asegurar.d) Propiedades de firewall multicapa, y con propiedades IPS por hardware.e) El equipo debe poder ofrecer alta disponibilidad (HA) en modalidad Activo/Pasivo y Activo/Ac-tivo, para lo cual se debe utilizar interfaces dedicadas para su control.f) Los dispositivos deben contener al menos ocho (8) interfaces Ethernet a una velocidad de 1 Gbps, y una interfaz de administración con conector RJ-45. Debe permitir crecimiento futuro para conexiones de Fibra Óptica mediante SFP.g) El equipo debe soportar un rendimiento máximo de 4 Gbps, con un mínimo de 1.000.000 co-nexiones simultáneas y la capacidad de crear al menos 50000 conexiones por segundo en su fun-cionalidad firewall.h) A nivel de memoria DRAM, el equipo requerido debe venir con al menos 16GB y 8GB de me-moria flash.i) El equipo debe de soportar el estándar 802.1Q, con una capacidad de al menos 500 redes vir-tuales. j) Deben tener la capacidad de monitorear las rutas principales estáticas y tener rutas flotantes de backup en caso de caída de los enlaces primarios.k) A nivel de sistema de protección de intrusos (IPS) en el equipo, el hardware interno corres-pondiente a esta función deberá tener un rendimiento de al menos 1.3 Gbps. l) El dispositivo deberá de soportar al menos 5000 conexiones VPN IPSec (túneles) y ofrecer un “throughput” de al menos 700 Mbps. Las conexiones deben de poder ser autenticadas por los protocolos RADIUS o LDAP. m)El equipo debe poseer fuente de poder redundante.n) El equipo propuesto debe de soportar la menos los siguientes protocolos estándares de la in-dustria:

802.1Q 802.3ad PIM AES, 3DES, MD5, SHA SSH v2, HTTPS, SNMP v3 OSPF Source NAT, Static NAT, Destination NAT, PAT.

17

DHCP, DHCP Relay IPV4, IPV6 SCP, Syslog, TFTP

o) El sistema ofrecido debe poder manejar autenticación contra servidores tipo RADIUS, RSA, LDAP, SecureID.p) El sistema ofrecido debe poder manejar las siguientes funciones de seguridad como firewall: Detección de ataques de Red, protección DDoS y DoS, re-ensamblaje de paquetes TCP para pro-tección de paquetes fragmentados.q) Debe permitir una extensa personalización de las firmas detección y prevención de intrusos, con el fin de mejorar la capacidad de detectar ataques únicos y armar la signatura específica se -gún los requerimientos dados.r) El sistema ofrecido debe poseer un Editor de Políticas para crear e instalar políticas granula-res de seguridad basadas en el tráfico a buscar, los ataques a buscar en el tráfico y cómo respon -der cuando un ataque se ha detectado.s) El sistema IPS ofrecido debe brindar una visión de la actividad de la red y los ataques para ace-lerar la implementación en línea y facilitar la investigación de ataques.t) El sistema IPS ofrecido debe tener la capacidad de ver cualquier registro de actividad de ma-nera personalizada y en tiempo real para acelerar el análisis de la actividad de la red.u) El sistema IPS ofrecido debe permitir la capacidad para que se ejecuten reportes completa-mente personalizados que proporcionen el status al minuto sobre actividades de ataque en la red.

3.3 Filtrado WEB

a) La solución ofertada deberá contar con capacidad de filtrado web basado en categorías, la cual permita definir una política de acceso a la internet.b) El filtrado web deberá poder integrarse con un directorio activo Microsoft AD, LDAP.c) El filtrado web deberá contar con una base de datos de las categorías de filtrado, la cual debe-rá ser actualizada al menos cada hora.d) El filtrado web deberá poder establecer permisos basados en horarios, excepciones o por me-dio de autorización.e) Deberá tener la capacidad instalada para 500 usuarios y ser renovables cada 36 meses.f) La solución deberá tener la capacidad de trabajar sea como proxy explicito o como proxy transparente mediante la integración con los equipos de red con el protocolo WCCP.

3.4 SOLUCIÓN VPN SSL

a) Se requiere un equipo administrador VPN SSL para ser instalado en el sitio principal, debe contar con al menos 100 sesiones que permitan conexiones tanto a nivel de cliente SSL proveído por el fabricante, como conexiones sin cliente vía navegador de Internet, todo mediante el estándar SSL. Dichas conexiones deben de poder ser autenticadas por los protocolos RADIUS o LDAP. Los dispositivos deben permitir crecimiento a futuro en sesiones VPN SSL. b) El equipo deberá ser un dispositivo de propósito específico, o integrado con la solución de Firewall solicitado en el punto 1, siempre y cuando el hardware y software sean de una misma marca.

18

c) La solución ofertada deberá contar con la capacidad de coordinar auto remediación para los equipos que se conecten remotamente vía VPN SSL a la red y que no cumplan las políticas de seguridad de la organización. d) Debe soportar estándares abiertos TNC, para ofrecer interacción con agentes Microsoft Windows y Microsoft Network Access Protection auto-contenidos (NAP), para habilitar clientes Microsoft Windows 7, Windows Vista y/o Windows XP SP3.e) Debe soportar dispositivos móviles.f) Debe poder garantizar el acceso de diferentes plataformas como Windows, Mac Os, Linux, ó dispositivos móviles ejecutando Apple iOS, Google Android, Microsoft Windows Mobile, Nokia Symbian, y RIM de Blackberry.g) Debe proveer acceso a aplicaciones basadas en web, incluyendo Java Script, XML, flash, OWA, telnet/SSH y SharePoint, Citrix.h) Las sesiones SSL que se establezcan deberán autenticarse utilizando protocolos RADIUS y LDAP, además de soportar la plataforma de KCD (Kerberos Constrained Delegation), así como autenticación automática de usuarios remotos NTLMv2 con credenciales de usuario.i) El administrador de sesiones SSL deberán poder inspeccionar los dispositivos a conectarse al menos en cuanto a versión del sistema operativo, antivirus y firewalls instalados, versión del navegador y parches de seguridad, y cualquiera otra política de seguridad de la organización, de manera que pueda tomar la decisión si se permite o no la conexión.j) La solución deberá contar con mecanismos de protección contra keyloggers, troyanos o cualquier aplicación de gestión remota.

3.5 SISTEMA DE AUTENTICACIÓN, AUTORIZACIÓN Y AUDITORÍA

a) Se requieren dos (2) equipos AAA, el equipo debe ser instalado y configurado en el sitio principal, y el otro equipo debe ser instalado y configurado en el sitio alterno; deben ser capaz de albergar y proveer servicios de autenticación, autorización y auditoría de todos aquellos accesos que se den a la red de la organización, dentro de los cuales se incluyen VPN (IPSec y SSL), 802.1x, WPA2 Enterprise entre otros, mediante el protocolo RADIUS.b) Los equipos deberán ser dispositivos de propósito específico, con hardware y software de una misma marca.c) El servicio de AAA debe ofrecer la posibilidad de obtener reportes y estadísticas de forma dinámica de sus funciones de autenticación, autorización y tasación, debe poder suministrar seguimiento de actividad de conexiones de usuarios para tasación basada en RADIUS.d) El servicio AAA debe ofrecer bitácoras de actividad de quienes se unen al servidor AAA, en qué momento lo hicieron y que cambios efectuaron. Debe además poder almacenar localmente los registros de bitácoras de auditoría, en un directorio definido por el administrador y por un periodo de tiempo definido por el mismo.e) La solución debe de soportar tanto una base interna de usuarios organizada en grupos, como el soporte de bases de usuarios externos, entre ellas LDAP y el Directorio Activo de Microsoft Windows. La solución debe soportar integración con la base de datos Directorio activo institucional, esta integración debe realizarse y debe ser parte de la solución propuesta por el oferente. Ver anexo no.1 (Esquema de configuración requerido).f) El servicio AAA debe permitir el manejo del servicio AAA y su integración a bases de usuarios externas.

19

g) Dentro de los protocolos de autenticación a soportar como mínimo se encuentran: PAP, MS-CHAP, EAP-MD5, EAP-PEAP, EAP-FAST y EAP-TLS.h) El servicio AAA debe permitir autenticar a sus usuarios contra cualquier método de autenticación ó combinación de métodos, entre los que se deben considerar que el servicio AAA se pueda autenticar están Microsoft Windows Domain (incluyendo Microsoft Active Directory y sistemas de seguridad UNIX, Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) y cuentas Active Directory (AD), debe poder habilitar Machine Authentication (MA) con EAPTLS y User Authentication con EAP-TLS con AD.i) La solución a nivel de Radius debe de soportar un esquema de sincronización (replicación) de sus bases de datos internas, bajo un modelo de propagación de equipo primario a secundario. Dichas replicaciones deben de tener la capacidad de programarse automáticamente o realizarse manualmente.j) El servicio AAA debe ser fácil de aprovisionar, administrar y mantener por medio de una interface Web browser; debe poderse administrar eventualmente múltiples servidores del servicio AAA desde una misma interface de usuario de administración.k) El servicio AAA debe facilitar la creación, la modificación y la desactivación de filtros para la captura de eventos, especialmente para su uso en ambientes con el IEEE 802.1x activo.l) El servicio AAA debe permitir el manejo de directorios tipo LDAP, incluyendo las versiones de Novell y de Sun Java.m)Los dispositivos deben de estar basados en una plataforma Linux, permitiendo sólo los servicios requeridos para el correcto funcionamiento de los equipos.n) Debe estar en la capacidad de agregar en el futuro servicios NAC (Control Unificado de Acceso a la Red), sin la necesidad de incluir hardware adicional, solo mediante la activación de licenciamiento requerido para tal efecto.

3.6 CUATRO MODULOS EXPANSION CISCO CATALYST 3750-X

a) Se requieren cuatro (4) módulos de expansión compatibles con el equipo Cisco Catalyst 3750-X, los cuales brinden cada uno la capacidad de al menos dos (2) conexiones ópticas a una velocidad de 10Gbps y bajo el estándar SFP+.b) Cada módulo del punto anterior debe de contar con un (1) conector óptico del tipo 10 GbE SFP+ LR, con capacidad de alcance de hasta 10km en fibra monomodo.

3.7 SISTEMA DE RESPUESTA Y CORRELACION DE EVENTOS

3.7.1 Se requiere un equipo que permita realizar la recolección y correlación de los logs de eventos, con capacidad instalada para al menos 100 dispositivos. Debe integrar funciones de colección de datos, análisis, correlación y auditoría de capacidades; mediante la recopilación de información sobre log y bitácoras de entidades de conmutación, manejo de amenazas en diferentes escenarios de la red en tiempo real. Debe ser 100% compatible con los equipos ofertados en el actual requerimiento y demostrarlo mediante la presentación de un documento técnico que lo ratifique.a) El equipo propuesto debe ser dispositivos de propósito específico, con hardware y software de una misma marca.

20

b) La plataforma de Correlación de Eventos de Seguridad (CES) ofrecida debe estar constituida por “apliance” ó dispositivo especializado, específicamente diseñado para brindar la funcionalidad de CES que se busca.c) Debe manejar 5000 eventos por segundo y 25000 flujos muestreados por minuto como mínimo; permitiendo el crecimiento futuro de eventos por segundo y flujos muestreados por minuto o superior.d) Debe contar con la facilidad de coleccionar eventos, flujos de procesamiento de eventos, correlación, análisis y fabricación de reportes, todas estas facilidades dentro de una sola entidad ó “appliance”.e) Debe permitir trabajar en modalidad activo-pasivo para efectos de alta disponibilidad.f) Debe estar en capacidad de correlacionar eventos provenientes del censado y exploración de puertos de red y equipos de cómputo; eventos de ataques de denegación de servicios ó DoS; eventos relacionados con procesos de autenticación y cambios de grupos de usuario y privilegios, eventos relacionados con control de accesos tales como aceptación ó denegación de accesos a nivel de firewall L2-L4, eventos relacionados con la explotación de aplicaciones e intentos de provocar condiciones de “overflow” ó desbordamiento de buffers; correlación de eventos relacionados con virus, troyanos, ataque de puerta trasera, spyware u otras formas de software malicioso ó hostiles. g) La plataforma CES debe también correlacionar eventos relacionados con anomalías de protocolos, patrones atípicos ó maliciosos como la fragmentación de paquetes, eventos a nivel de IPS, secuencias sospechosas como las secuencias repetitivas de “logins” etc.h) La plataforma CES debe correlacionar eventos ligados a cambios en los sistemas, actualizaciones de software, mensajes de estatus, violaciones a las políticas corporativas ó mal uso de los recursos en la red.i) Debe ofrecer plantillas de informes que puedan ser ambientados por el usuario de forma amigable y que los mismos puedan ser elaborados automáticamente de forma diaria, semanal ó mensual. Estos reportes deben poder ser exportados a formatos PDF, HTML, RTF, Word, Excel y XML.j) Debe poseer una herramienta para búsquedas en sitios de almacenamiento (Data Warehousing) para fácil inserción y recuperación de datos archivados para todos los registros (logs) de incidentes de seguridad, registros de eventos y registros de actividad de la red.k) Debe tener capacidad de visualización de eventos para monitoreo e investigación en tiempo real y ejecutar búsquedas avanzadas. El visualizador deberá indicar cuales eventos están siendo correlacionados con anomalías ó delitos y cuales eventos no.l) Debe tener una herramienta abierta que provea la facilidad de manejar APIs en los que se permitan la modificación y configuración de parámetros (como “crear”, “cerrar”, “abrir”) para administración de incidentes. Esta herramienta debe permitir la integración con sistemas de terceros que emitan tickets ó registros de incidentes, tanto a nivel de ingeniería como a nivel de sistemas tipo Help Desk como Remedy u otros de clase mundial.m)Los eventos y logs deben estar protegidos por TLS.n) Debe soportar estándar de administración incluyendo el estándar de administración de logs del NIST (National Institute of Standards and Technology).o) Debe poder integrarse hasta con 50 dispositivos de forma simultánea.

21

3.8 SWITCHES DE AGREGACIÓN CAPA 2

a) Se requieren cinco (5) equipos SWITCH, deben ser igual o superior al Cisco Catalyst 2960G-24TC-Lb) El equipo deberá poseer 24 puertos EN, Fast EN, Gigabit EN - 10Base-T, 100Base-TX, 1000Base-T.c) El equipo deberá ser de montaje en Rack y por ende debe suministrarse todos sus aditamentos para este propósito.d) El equipo deberá poseer 64 MB RAM y 32 MB de memoria Flash.e) El equipo deberá poseer una Tasa de Transmisión de datos de 1 Gbps.f) El equipo deberá poseer 4 slots para puertos SFP (mini-GBIC).g) El Equipo cumplir como mínimo con los siguientes protocolos:SNMP 1, RMON 1, RMON 2, RMON 3, RMON 9, Telnet, SNMP 3, SNMP 2c, HTTP, HTTPS, SSH-2; EIGRP.h) El modo de comunicación deberá ser Half-duplex, full-duplex.i) El equipo deberá soportar como mínimo:ACLs para Capa 2-4, auto-sensing por puerto, DHCP, auto-negociacion, VLAN, auto-uplink (auto MDI/MDI-X), IGMP snooping, DHCP snooping, QoS.j) El equipo deberá soportar como mínimo los siguientes estándares:IEEE 802.3, IEEE 802.3u, IEEE 802.3z, IEEE 802.1D, IEEE 802.1Q, IEEE 802.3ab, IEEE 802.1p, IEEE 802.3x, IEEE 802.3ad (LACP), IEEE 802.1w, IEEE 802.1x, IEEE 802.1s, IEEE 802.3ah, IEEE 802.1ab (LLDP).k) Alimentación eléctrica: AC 120/230 V ( 50/60 Hz ) se deberá incluir los cables de alimentación eléctrica.l) El equipo deberá soportar como mínimo 8000 direcciones MAC Address.m)El equipo deberá poseer los siguientes indicadores de estado:n) Actividad en el enlace, velocidad de transmisión por puerto, Alimentación eléctrica, enlace verificado, del sistema.o) Además se requiere que cada Switch venga equipado con 2 conectores ópticos SFP de tipo fibra con las siguientes características:

a. Módulo de interface debe de ser igual o superior al Cisco GLC-LH-SM. b. El modulo deberá ser SFP (mini-GBIC). 3. Tipo de Cableado Ethernet 1000Base-LH. 4. Connector LC LX/LH Transceiver. 5. Rango de transferencia de datos 1 Gbps. 6. Deberá cumplir con el estándar IEEE 802.3z 7. Modulo de tipo Plug-in. 8. Protocolo de conexión Gigabit Ethernet.

3.9 CAPACITACIÓN

El adjudicatario deberá cumplir con las condiciones y especificaciones de la Capacitación que se adjunta en el Anexo no. 2, la cual tiene como objetivo desarrollar en los colaboradores del Proceso de Aseguramiento de Ingresos, las competencias requeridas para la administración, configuración, seguridad y mantenimiento de equipos de interconexión de la Red Privada de la

22

Dirección de Protección y Seguridad Institucional, de tal forma que sean capaces de mejorar la red de comunicación y asegurar la operatividad de los servicios, con base en lo establecido en la reglamentación vigente.

3.10 INSTALACIÓN

a) El personal empleado por el contratista para la instalación debe ser responsable e idóneo para la prestación del servicio y deben estar debidamente certificados por el fabricante para cada uno de los componentes que conforman la solución propuesta. (Para constatar este requisito se deberá proporcionar el nombre, cédula de identidad y experiencia de todo el personal de instalación e indicar quienes tienen la certificación del fabricante de los productos ofrecidos y solicitados por ICE. Debe presentar copia de la certificación respectiva).Durante el período de instalación sólo las personas en esta lista podrán realizar la instalación de dichos productos y accesorios, esta lista podrá modificarse a conveniencia del ICE. Si se requiere sustituir una persona de esta lista, deberá ser por una persona con igual o mayor capacidad que la removida y con la anuencia escrita del supervisor del ICE.Su horario de servicio no podrá ser mayor de 10 horas continuas y deberá acogerse al horario de trabajo ordinario del ICE (Lunes a Viernes de 7:00 a.m. a 16:36 p.m.). Además no debe provenir de otro centro de trabajo para evitar riesgos por fatiga o cansancio.b) El oferente deberá contar con al menos dos Profesionales con grado de Licenciatura en Ingeniería Eléctrica, Electrónica, de Sistemas o de Redes, que se encuentren capacitados y certificados por el fabricante de los equipos que propone. En caso de proponer varias marcas igualmente deberá contar con al menos dos profesionales capacitados y certificados por cada fabricante. Además al menos uno de los dos profesionales certificados, deberá contar con una Maestría en Administración de Proyectos con base a la metodología PMI. El profesional que ostente esta maestría deberá estar presente durante al menos el 35% del tiempo de la implementación del proyecto, de manera que lleve a cabo la debida administración y documentación del Proyecto. A tal efecto deberá llevarse una bitácora la cual debe firmar y hacer constar su presencia.c) Además uno de estos profesionales deberá fungir como Gerente de Proyecto y deberá coordinar todas las labores con la contraparte institucional. En caso de que por razones de fuerza mayor el Gerente de Proyecto de la adjudicataria debe ser remplazado, el nuevo Gerente de Proyecto deberá cumplir con las características que se solicitaron.d) Cinco (5) días hábiles a partir de la emisión de la Orden de compra a favor de la empresa adjudicada, ésta deberá presentar el “Plan de Trabajo Detallado”, para lo cual el Subproceso Soporte a la Infraestructura tendrá tres (3) días hábiles para realizar sus observaciones y presentarlas al adjudicado. El plan deberá contemplar que el inicio de la obra será a más tardar ocho días hábiles a partir de la emisión de la Orden de compra. El plan de instalación deberá incluir al menos la siguiente información:

1. Cronograma de actividades en formato MS-Project donde se especifiquen las ta-reas, el responsable de cada una, los recursos asignados a ellas, su duración en días, y sus interrelaciones (precedencias). Debe incluir la lista de todo el personal involucrado en la instalación, con su número de cédula de identidad. Toda persona incluida en esta lista deberá aparecer en la lista presentada en la oferta, con su currículo respectivo.

23

2. Listado completo con especificaciones, marcas y características técnicas de todos los componentes (materiales, equipos y herramientas especializadas) que se utilizarán en la instalación y pruebas de certificación. (El ICE se reserva el derecho de requerir muestras de los materiales y especificaciones técnicas de los componentes a utilizar en caso de considerarlo necesario).

3. Se debe especificar claramente todas las calidades del equipo de medición digital a utilizar para las pruebas de certificación.

4. Catálogos e instructivos de instalación de los componentes a emplear.5. Planificación del reconocimiento actual a nivel de equipos activos, comunicaciones

y datos de la red del cliente.6. Planificación de las reuniones de coordinación de políticas y configuraciones a apli-

carse en los equipos para establecer adecuadamente la configuración requerida.7. Elaboración del documento de buenas prácticas orientado a la red del cliente.8. Entregables: donde se deben contemplar los servicios de diseño/análisis y deberá

incluir las siguientes actividades:

Levantamiento de información actual a nivel de configuración. Elaboración de los documentos de diseño (Alto y Bajo Nivel). Elaboración de los documentos de ingeniera para las ventanas de manteni-

miento. Elaboración de listado de pruebas a realizar para verificación.

9. Además debe proporcionar una certificación integral de seguridad en la red por parte del fabricante. Debe incluir el tiempo y los recursos asignados para realizarla la certificación. Los técnicos en seguridad ofrecidos deberán estar certificados a nivel de seguridad de redes y pruebas de intrusión interna y externa por el fabricante de los equipos ofertados. Se deben de presentar los atestados correspondientes.

10. Esquema de etiquetado a emplear.11. Conclusiones y recomendaciones.

e) Una vez aceptado el Plan de Trabajo Detallado por parte del ICE, el contratista y el ICE llegarán a un acuerdo sobre los aspectos de la ejecución que requieren aprobación por parte del inspector asignado por el ICE, y no podrá avanzarse en la construcción de la obra hasta tanto no exista dicha aprobación. En caso de no acatar esta disposición, el inspector del ICE estará en la potestad de solicitar la detención del trabajo hasta que se enmienden los desperfectos apuntados por el inspector.f) El trabajo solicitado en la presente contratación deberá entregarse en el tiempo y forma negociado en el cronograma detallado de trabajo, asimismo, cualquier variación a las condiciones estipuladas en esta contratación por parte del adjudicatario, serán motivo suficiente para ejecutar la garantía de cumplimiento, excepto que sea una mejora comprobada al mismo.g) Una vez finalizada la instalación se deberá entregar en cinco (5) días hábiles el protocolo de pruebas por parte del adjudicado para comprobar el perfecto funcionamiento de la plataforma, este protocolo de pruebas deberá ser aprobado por el ICE en un tiempo de cinco (5) días hábiles.h) La aceptación del trabajo estará sujeta a los resultados de las pruebas de certificación hechas, siguiendo el Protocolo de Pruebas acordado previamente, para corroborar la funcionalidad del

24

sistema.i) El proyecto como tal no se dará por aceptado sin que el trabajo y las pruebas de certificación haya sido ejecutadas a satisfacción del ICE en su totalidad.j) El adjudicatario será responsable del suministro de la mano de obra, y de todos los elementos, accesorios y materiales necesarios para la correcta implementación y puesta en producción de los equipos.k) El ICE se reserva el derecho de exigir que se remueva de la ejecución del servicio a cualquier personal empleado por el contratista que no se vistan o se conduzcan debidamente, sean incompetentes o culpables de cualquier falta a juicio de los inspectores del ICE o del Director del Proyecto. El contratista asume las responsabilidades laborales correspondientes.

3.11 GARANTIA Y MANTENIMIENTO

a) Todos los equipos deben contar con garantía extendida del fabricante por 36 meses en un esquema de 8x5xNBD (Next Business Day), y debe cumplir con los siguientes requisitos: b) La garantía debe ser directa del fabricante, esto significa que el ICE deberá tener la capacidad de administrar directamente los contratos de garantía para abrir casos de soporte con el fabricante y tramitar remplazos de partes.c) Debe proporcionar acceso directo al centro de asistencia telefónica del fabricante y acceso registrado al sitio WEB del fabricante, con el propósito de obtener información técnica en línea y gestionar las solicitudes de servicio.d) Durante el periodo de garantía de los equipos, el proveedor debe garantizar el servicio de mantenimiento correctivo del hardware y/o software, donde incluya atención y resolución de consultas hechas por escrito o medio de fax, correo electrónico y teléfono con fines de asesoría, diagnóstico y corrección de errores o defectos en el sistema. En aquellos casos que no sea posible corregirlo mediante vía telefónica o de forma remota, el oferente enviará un ingeniero de soporte para resolver la contingencia. Además, se reparará cualquier falla de los componentes de los equipos o en su defecto, reemplazar las partes dañadas por nuevas. En caso de cambio de una alguna parte o del equipo completo ya sea por defecto de fábrica o reparación se dará un tiempo máximo de 1 día hábil y se debe entregar de forma inmediata un equipo con características iguales al defectuoso, para ser utilizado durante el tiempo que el equipo se encuentre en el taller.e) El tiempo de atención de una falla crítica durante el periodo de garantía de los equipos debe ser de dos horas como máximo y el tiempo de reparación debe ser de 8 horas como máximo. Se entiende por falla crítica, aquella que no permita la continuidad de la operación del equipo o el software en su ambiente de producción. En caso de fallas que no afecten la continuidad de la operación del equipo o el software, el tiempo de atención debe ser 12 horas como máximo y el tiempo de reparación de 24 horas como máximo.f) Dada una situación de atención de una falla durante el periodo de garantía, si parte del hardware adjudicado se puede utilizar, será facultad del ICE indicar cuáles partes pueden quedar en servicio.g) El adjudicatario quedará comprometido a reponer, por su cuenta y riesgo, incluyendo el transporte y cualquier otro gasto adicional, los bienes de hardware que deban ser sustituidos durante el período de garantía de esta contratación.h) Se suspenderá la vigencia de la garantía durante el periodo que el contratista tarda en

25

sustituir los bienes entregados, una vez comprobado que los mismos funcionen en óptimas condiciones la garantía vuelve a correr por lo que resta del periodo de vigencia. Para ello el contratista debe aportar una certificación con la nueva vigencia de la garantía.i) Durante el periodo de garantía de 36 meses el adjudicatario suministrara todas las actualizaciones y mejoras al software (versión) de la solución, las cuales si representarán algún costo deberán ser asumidas por cuenta del adjudicatario. Cada actualización se realizará y se planificará bajo autorización del ICE. El adjudicatario certificará por escrito que dicha actualización no ocasionará ninguna anomalía en el correcto funcionamiento e instalará dicha actualización con su personal técnico en conjunto con el personal calificado del ICE.j) Ante defectos de software (software de cualquier tipo), el adjudicatario deberá remplazar, o diseñar, así como probar, documentar y entregar debidamente instaladas y operando al ICE: las modificaciones, las alteraciones, o nuevas versiones sin costos adicionales para corregir defectos de software instalados en los equipos de la solución.k) El ICE realizará pruebas en conjunto con el adjudicatario para implementar la actualización y mejoras del software, el resultado de dichas pruebas le serán comunicadas por escrito al adjudicatario en un plazo máximo de 5 días hábiles, en dicho comunicado se indicará si se aprueba o no las actualizaciones y mejoras.l) La solución de seguridad deberá permitir un crecimiento abierto a nuevos servicios que evite la obsolescencia del software en los equipos, y se deberá dar dependiendo de la norma de actualización del fabricante, el cual deberá informar oportunamente de la nueva liberación de actualización, de las ventajas y beneficios que esta proveerá. Lo anterior, deberá ser asumido por cuenta del adjudicatario durante el plazo indicado.m)En caso de requerirse hardware para alguna actualización, el adjudicatario deberá notificarlo al administrador de contrato, en el momento que se libere la nueva versión.n) Esta garantía debe de cubrir cualquier actualización para cada uno de los equipos adquiridos en esta contratación. Esta actualización debe poder realizarse tanto de forma manual como automática por parte de los equipos.

3.12 SOPORTE

a) El adjudicatario y el ICE establecerán un contrato de soporte técnico de 240 horas anuales para el mantenimiento correctivo y preventivo de la infraestructura de comunicaciones de la DPSI, y deberá tener una vigencia de dos años, siendo la forma de pago de 20 horas de servicio x mes. b) El Proveedor debe contar con un Centro de Servicios que funcione como punto único de contacto entre el ICE y el Proveedor, a través del cual el ICE puede realizar las solicitudes de servicio. El Centro de Servicios debe operar en un horario de 24x7x365 y debe contar con un sistema de tiquetes que permita dar seguimiento a los casos reportados por el ICE.c) Las actividades a desarrollar se definen a continuación. Sin embargo, estas son solo una referencia, pues el recurso debe realizar cualquier actividad requerida para el mantenimiento correctivo y preventivo, así como la optimización de la infraestructura de comunicaciones.

Consultas técnicas presentadas por el personal del ICE sobre el funcionamiento, manejo y mantenimiento de los equipos, que escapen del dominio técnico del personal del ICE.

Mantenimiento preventivo y correctivo en las configuraciones y equipos.

26

Implementación de nuevos equipos y aplicaciones que la organización haya adquirido. Revisión de diseños en la infraestructura actual de red, así como proponer mejoras en el mis-

mo. Asistencia remota o en el sitio para soluciones o diagnósticos que el ICE considere complejos.

El ICE facilitará el acceso remoto de acuerdo al plan de mantenimiento correctivo y preventi-vo dado por el oferente, el cual deberá ser evaluado y aprobado por el inspector ICE.

Asimismo entregar informes técnicos de los eventos o problemas atendidos, cuando se pre-sente alguno, en un plazo de 3 días posteriores a la ocurrencia del mismo.

d) Para efectos de cotización, el oferente deberá cotizar el costo por hora de un Ingeniero de Soporte Certificado por el fabricante en redes inalámbricas, routing & switching, seguridad en redes y comunicaciones unificadas, y conocimientos avanzados en herramientas de monitoreo como Solarwinds, de manera que pueda realizar tareas avanzadas de mantenimiento y configuración de equipos, así como revisión de diseños y requerimientos de equipos. Todas estas tareas serán relacionadas específicamente con sistemas comunicaciones unificadas y sistemas de seguridad. Debe presentar los atestados que acrediten la certificación de los ingenieros propuestos, así como el nombre completo y cédula de identificación.

Asimismo deberá indicar un factor de conversión de la siguiente manera:

Factor 1 de conversión según horario:

Horario Factor de conversiónNormal: Lunes a Viernes de 8:00am a 5:00pm Cada hora consumida se contabiliza

como 1 hora de las 20 disponiblesExtraordinario: Lunes a Viernes de 5:00pm a 8:00am Cada hora consumida se contabiliza

como 1.5 horas de las 20 disponiblesSábados, Domingos y Feriados Cada hora consumida se contabiliza

como 2 horas de las 20 disponibles

Factor 2 de conversión según el nivel del recurso:

Tipo de Recurso Nivel 1, Cisco Certified Network Associate (CCNA): Con conocimientos básicos en redes inalámbricas, routing&switching, seguridad y comunicaciones unificadas. Este recurso realizará tareas básicas de mantenimiento y configuración de equipos en la infraestructura de TI Cisco.

Costo por hora (indicado por el oferente).Total de horas mensuales 20.Costo mensual aproximado (indicado por el oferente).

Tipo de Recurso Nivel 2,Cisco Certified Voice Professional (CCVP): Este recurso realizará tareas avanzadas de mantenimiento y configuración de equipos. Así como revisión de diseños y requerimientos de equipos en la infraestructura de TI Cisco. Todas estas tareas serán relacionadas específicamente

27

con sistemas de comunicaciones unificadas.Cisco Certified Security Professional (CCSP): Este recurso realizará tareas avanzadas de mantenimiento y configuración de equipos. Así como revisión de diseños y requerimientos de equipos en la infraestructura de TI Cisco. Todas estas tareas serán relacionadas específicamente con sistemas de seguridad.Cisco Certified Network Professional (CCNP): Este recurso realizará tareas avanzadas de mantenimiento y configuración de equipos. Así como revisión de diseños y requerimientos de equipos en la infraestructura de TI Cisco. Todas estas tareas serán relacionadas específicamente con sistemas de conmutación (switching) y enrutamiento (routing).

Cada hora consumida se contabiliza como 1.5 horas de las 20 disponibles.

e) Los oferentes deben garantizar soporte técnico nacional así como la asistencia remota internacional, durante el periodo del contrato de soporte.

28

4. OTROS REQUISITOS

4.1 CUMPLIMIENTO DE TIERRAS

El adjudicatario de la solución y demás equipos relacionados a esta, deberá cumplir completamente con el aterrizamiento de los mismos, cumpliendo con lo solicitado por el fabricante y las normas de aterrizamiento para estándar ANSI/TIA/EIA 607 de requerimientos para Telecomunicaciones de Puesta a Tierra y Puenteado de Edificios Comerciales.

4.2 LICENCIAS

Se deberá de proveer el 100% de licenciamiento necesario, para el correcto funcionamiento en general de lo solicitado en el pliego de condiciones.

4.3 ESTANDARIZACIÓN DE LA ENERGÍA

Todos los componentes ofertados, que se conecten a una alimentación eléctrica, deberán manejar el mismo estándar de conexión, para efectos de este sería AC 120/220.

5. DOCUMENTACIÓN Y COPIAS

a) El ICE se reserva todos los derechos de autor de los trabajos y la documentación requeridas en este cartel.b) Se deberán incluir dos (2) copias de todos los manuales necesarios para la configuración y operación total de la solución, tanto en digital como en papel. En la entrega de los equipos por parte del Adjudicatario, este brindará anexo a esto, las copias de las programaciones efectuadas en los diferentes componentes utilizados para la solución.c) Con relación al Software, deberán entregar al Administrador del Contrato, con la entrega de los equipos, lo siguiente:

Dos (2) copias adicionales del software instalado en los diversos componentes de la solución contratada, en medios magnéticos o CD´S. Este software, de ser propiedad de otro proveedor, por ejemplo Microsoft, Apple, Linux, Cisco, Juniper, entre otros, etc., se deberán entregar sus respectivas copias con sus respectivas licencias, una por cada componente que lo utilice.

Formato de manuales. Los manuales deben ser brindados en papel, y en medios digitales. La documentación. Respaldo de los materiales y equipos que se importen, deberán venir consignada a nombre

del ICE. En dicha documentación deberá ser explicita toda la información de la solución a entregar,

brindando los números de serie, de parte y descripción de cada elemento entregado ya sea este parte o complemento de otro.

29

Si un elemento de la solución viniese armado de varios componentes, deberá venir la descripción de cada uno, serie y número de parte; agregando la ubicación o posición en la cual está instalado dicho componente en el elemento a entregar.

6. OBLIGACIONES DEL PROVEEDOR

El contratista está en obligación de entregar el modelo más reciente liberado al mercado por el fabricante.

7. SEGUROS Y ADMINISTRACIÓN DEL RIESGO

7.1 Términos aplicables: La compañía adjudicataria, en el transcurso de un mes de la fecha de efectividad contractual, sujeto a la aprobación del ICE y en pleno cumplimiento de la Ley Aplicable, deberá por su cuenta obtener y mantener en vigencia las pólizas, emitidas por el Instituto Nacional de Seguros de Costa Rica (INS), que se indican en el numeral 23.3.

7.2 Los seguros mencionados no son una limitación de la responsabilidad de la compañía adjudicataria, ni el ICE asume responsabilidad alguna por señalar los montos. El ICE no reconocerá ningún pago adicional por el otorgamiento de estos seguros.

7.3 Seguros durante la contratación.

a) Durante el período del contrato, los equipos y sistemas que se instalen en ubicaciones propiedad del ICE, serán cubiertos por la póliza de “Todo Riesgo a la Propiedad”, la cual deberá ser endosada a favor de la Adjudicada. Por lo tanto, este costo no debe ser incluido dentro del monto de la cuota de financiamiento.b) Una póliza de riesgos del trabajo que cubra a todo el personal empleado en la realización del servicio.c) Una póliza de responsabilidad civil y general y de vehículos para contratistas y subcontratistas por un límite único convenido de 100 millones de colones.d) Póliza de Fidelidad de Posiciones por un monto de ¢50.000.000 para cubrir el personal del Contratista que participe en las labores estipuladas por el presente contrato, debiendo incluirse una cláusula donde se indique que se indemnizará al ICE directamente si alguno de los empleados del Contratista ocasiona un daño o acto deshonesto contra la Institución.e) La fijación de los límites mínimos anteriores no implican la limitación de la responsabilidad del contratista y el ICE no asume responsabilidad por señalar dichos montos. f).En el caso de que cualquier instalación ICE que no se encuentra asegurada, sea dañada por causas imputables al Contratista, este último deberá resarcir el 100% del costo generado por los daños y perjuicio ocasionados al ICE.

7.4 Control de pérdidas

a) El contratista deberá acatar todas aquellas recomendaciones que el ICE le indique dirigidas a la reducción y control de riesgos, durante las labores desarrolladas.b) El ICE se reserva el derecho de revisar, cuando lo considere conveniente, a los empleados del

30

Contratista a la entrada o salida de las instalaciones.c) El acceso a las instalaciones de la Institución será definido por el ICE de acuerdo a las condiciones existentes en el lugar de trabajo.d) El contratista empleará únicamente personal que sea cuidadoso y competente, el inspector del ICE puede exigir que se remueva de la ejecución de las labores a cualquier persona o personas empleadas por el contratista que no se conduzcan debidamente, sean incompetentes, negligentes, etc.

7.5 Aprobación por parte del ICE

a) El contratista deberá suministrar al ICE en un plazo no mayor a los 30 días a partir de la emisión de la orden de compra y/o servicios, los documentos certificados de haber obtenido tales seguros. El ICE se reserva el derecho de revisar las pólizas de seguro y solicitar los cambios que considere necesarios para que las mismas se ajusten a lo estipulado en este cartel, además de verificar en cualquier momento la vigencia de éstas durante el período que dure el contrato de arrendamiento.

b) El contratista debe presentar mensualmente y por lo que dure el contrato copia de la planilla del personal que realiza las labores contratadas, presentadas ante el INS y la CCCSS, debidamente selladas como recibidas.

c) El ICE a través del administrador del contrato, se reserva la potestad de ejecutar la garantía de cumplimiento, si alguna de las pólizas deja de tener vigencia mientras se concluye el contrato o si se incumple alguno de los puntos señalados anteriormente.

d) Si el contratista se negara a renovar la vigencia de las pólizas de seguros indicadas o a cumplir cualquier recomendación emitida por parte del ICE en materia de control de riesgos, el ICE podrá suspender el contrato y proceder de acuerdo a lo establecido en el mismo para estos casos.

31

8. CONTROL DE RIESGOS

a) El contratista deberá acatar todas aquellas recomendaciones que el ICE le indique dirigidas a la reducción y control de riesgos, tanto durante la instalación como el mantenimiento.b) La instalación y mantenimiento de los equipos, así como la protección de los mismos deberán estar regidos por normas nacionales e internacionales aplicables, dentro de las que podemos citar: National Fire Protection Asociation (NFPA), Underwriter Laboratories -USA (UL) , Factory Mutual (FM), Enviroment Protection Agency (EPA), American Standard Test Material (ASTM), Reglamento de Seguridad en Construcciones y Norma oficial para utilización de colores en seguridad y su simbología, estas dos últimas editadas por el Consejo de Salud Ocupacional, de Costa Rica, 1990.c) Los ductos de cable que pasen de una sala a otra o entre pisos, que sea necesario construir dentro de la presente contratación, deberán ser bloqueados con algún material ignífugo corta fuego, con el fin de que impida el paso de fuego de una zona a la otra, aislando el equipo instalado de los otros ubicados en la estación ICE. d)El material para los sellos cortafuego debe ser un panel de fibra de sílice que posea un espesor de pared de 75mm, que sea fácil de cortar a mano pero lo suficientemente estable para resistir los esfuerzos producidos por un chorro de agua de acuerdo con la prueba de este tipo realizada por Factory Mutual. Este panel debe ser totalmente compatible con el Panel 310 fabricado por Fire Stop Systems, ya que es el que se encuentra instalada en cada una de las edificaciones que contarán con el mantenimiento.e) No se aceptarán materiales del tipo metálicos, masilla o cementosos ya que ellos han probado no ser confiables en condiciones de campo y son muy difíciles de trabajar si se requiriera reparaciones futuras.f)Este material del panel deberá ser recubierto con dos recubrimientos retardantes de fuego los cuales deberán eliminar también el polvo generado durante la instalación. Además deben permitir que el ICE aplique sobre él cualquier pintura con fines de identificación. Estos recubrimientos deberán ser elastoméricos y no podrán contener fibras. Su composición será a base de agua. Este producto deberá permitir ser aligerado o espesado en sitio y tener una vida de almacenamiento mínima de cinco años. Este retardante de fuego deberá ser 100% compatible con el Thermalastic 83 y Thermalastic 83C de Fire-Stop Systems.g) Este material debe ser totalmente anti fuego, deberá ser flexible para que permita movimientos entre cables, tuberías y estructuras fijas, debidos mayormente a expansiones o contracciones térmicas y/o movimientos vibratorios.h) Los sellos podrán ser removidos parcial o totalmente en caso de que exista la necesidad de adicionar o eliminar elementos que los traspasan. En el caso de remoción parcial el sello no deberá destruirse o deteriorarse. i) Con el fin de garantizar la compatibilidad de los productos con los ya instalados, cuando éstos no sean los arriba indicados, el fabricante deberá presentar un certificado de análisis de un laboratorio de reconocimiento internacional, el cual muestre que su producto cumple con el 100% de compatibilidad con el sistema ELASTA SEAL 300 de Fire-Stop Systems.j) Es indispensable que el producto ofrecido cuente con las aprobaciones de UNDERWRITERS LABORATORIES y FACTORY MUTUAL.

32

k) El representante en el país, así como el personal que instale el sello cortafuego, debe contar con la capacitación y autorización del fabricante, para lo cual se requiere la presentación del certificado respectivo.l) El contratista deberá proveer a todos sus empleados el equipo para la protección y seguridad personal necesario para realizar las labores encomendadas, estando el ICE en capacidad de demandar la utilización de los mismos por parte de ese personal.m) El transporte del personal, equipos y materiales estarán totalmente bajo la responsabilidad del contratista y deberán ajustarse a las regulaciones y trámites establecidos por el Ministerio de Obras Públicas y Transportes.n) El contratista contratará personal que sea cuidadoso, y competente. El ICE puede exigir que se remueva de la ejecución de las obras, a cualquier persona o personas empleadas por el contratista que a juicio del I.C.E no se conduzcan debidamente, sean incompetentes, negligentes o se nieguen a obedecer instrucciones. Estas personas no podrán ser reinstaladas en ninguna otra obra por el contratista, sin el consentimiento escrito del ICE.o) En el caso de separación de personal por indicación del ICE, el contratista asume las responsabilidades laborales correspondientes. Si el contratista mantiene al trabajador en la obra o lo reinstala sin el consentimiento del ICE, éste puede disponer de los pagos vencidos o por vencerse y detener el trabajo hasta que el contratista cumpla con la orden dada; sin que estos días puedan computarse como causa de atraso justificada para el ICE.p) El contratista será responsable de los materiales y bienes suministrados por el ICE y del equipo bajo su custodia, así como su transporte respectivo.

33

Anexo Nº 1 Diagrama Red DPSI

34

(Esquema de configuración requerido)

La DPSI cuenta con cuatro (4) equipos Switch Cisco Catalyst 3750-X los cuales conforman el CORE de la DPSI, y deben ser considerados para implementar la solución que se muestra y que se solicita en el presente cartel.

35

Anexo Nº 2 Capacitación

36

PropósitoEl PROCESO DE ASEGURAMIENTO DE INGRESOS de esta Dirección tiene la responsabilidad de implementar, mantener y supervisar las múltiples plataformas tecnológicas que intervienen en el actuar de la DPSI.

Existen varios ejes sobre los cuales se fundamenta las inversiones en tecnología, uno de ellos es el cumplimiento de la Ley de la República 7425: REGISTRO, SECUESTRO Y EXAMEN DE DOCUMENTOS PRIVADOS E INTERVENCION DE LAS COMUNICACIONES para brindar la información relacionada con los datos completos de llamadas realizadas por los clientes ICE, así como la Ley 8754 CONTRA LA DELINCUENCIA ORGANIZADA, las cuales proveen sanciones muy fuertes para los proveedores de servicio si no se les brinda este tipo de información, las cuales pueden llegar hasta la cancelación de la concesión para explotar el negocio de las telecomunicaciones. Relacionado con lo anterior, la SUTEL exige al ICE la presentación anual de un plan antifraude, en el cual nuestra Institución demuestre que cuenta con una serie de medidas para la detección oportuna de las manifestaciones de fraude contra su infraestructura y la de sus clientes en los casos que aplique.

La red privada de comunicaciones de la Dirección Protección y Seguridad Institucional tiene una función fundamental en todos estos procesos, en la misma se realiza el transporte de todos los CDR´s de las centrales telefónicas (2G, 3G, TDMA, telefonía fija, servicios prepago), y el monitoreo de toda la señalización S7 proveniente de la interconexión de todos los prestadores solicitantes, además de proveer conectividad y seguridad a la operación de todas estas plataformas y el acceso seguro a todos los usuarios de la Dirección.La cantidad de usuarios de la Dirección ha crecido enormemente, con esto la demanda y tipo de servicios requeridos.

Al adquirir esta capacitación se pretende mejorar la red de comunicaciones actual, donde se soporta toda la infraestructura antifraude, incorporando aspectos clave como Calidad de Servicio, Seguridad y Redundancia en los nodos clave, asegurar la continuidad de todos los servicios de la Dirección mediante el acceso seguro a las aplicaciones y equipos que intervienen en el proceso antifraude como la prevención, detección y mitigación de los fraudes, cometidos contra el Sistema Nacional de Telecomunicaciones.

Tomando en cuenta las necesidades de seguridad para el ICE y que tales servicios son vitales para la funcionalidad de la institución, consideramos necesario contar con la capacitación clave para al menos 8 colaboradores, con la cual se pretende dar continuidad a todos los servicios de seguridad que presta esta dirección.

I. Objetivo general

Desarrollar en los colaboradores del Proceso Aseguramiento de Ingresos, de las competencias requeridas para la administración, configuración, seguridad y mantenimiento de equipos de interconexión de la Red Privada de la Dirección Protección y Seguridad Institucional, de tal forma que sean capaces de mejorar la red de comunicación y asegurar la operatividad de los servicios, con base en lo establecido en la reglamentación vigente.

37

II. Objetivos específicos

1. Desarrollar habilidades para la configuración, administración y mantenimiento en los sistemas de prevención de intrusos (Firewall e IPS) para Proveer seguridad a las plataformas antifraude.2. Operar los sistemas de Autenticación, Autorización y Auditoria (AAA) para el control acceso de los usuarios.3. Proporcionar sin errores el acceso remoto seguro a las aplicaciones antifraude mediante el uso de redes privadas virtuales (VPN).4. Operar e interpretar de manera adecuada los sistemas de gestión de correlación de eventos de seguridad.5. Aplicación de herramientas de seguridad informática, para realizar análisis forenses, y estudios de ethical hacking, con el propósito de prever vulnerabilidades en la red ante posibles ataques.

III. Contenidos Generales de la Capacitación

El curso será presencial y se llevara a cabo durante la jornada laboral. Tendrá una duración estimada de 200 horas o en su defecto deberá estar sujeto al tiempo definido por los estándares internacionales.

El curso será teórico - práctico, destinando porcentajes importantes en teoría y tiempo cercanas al 50%.

Se llevarán a cabo en sesiones semanales de 4 horas todos los días de 7:30 a 12:00, hasta completar las 200 horas; las cuáles se distribuirán en módulos según se indican a continuación:

Módulo 1.Firewall ( IPS / IDP / Web Filtering) / 40 horasMódulo 2. Redes Virtuales Privadas (VPN) y Comunicaciones Seguras / 16 horasMódulo 3. NAC –Network Access Control / 24 horasMódulo 4. Sistema de Autenticación, Autorización y Contabilización (AAA) /16 horasMódulo 5. Sistema Correlacionador de Eventos / 24 horasMódulo 6.Ethical Hacking / 40 horasMódulo 7.Network Forensics / 40 horas

IV. Competencias del Participante

El adjudicatario deberá trabajar con los estudiantes con elementos iguales o similares a la solución ofertada, para que sean capaces de adquirir las siguientes competencias técnicas, como se indican a continuación para cada uno de los módulos a estudiar:

Es necesario que el instructor lleve a cabo una introducción de temas que permitan nivelar el conocimiento y conceptos a aplicar para el buen desarrollo en cada uno de los módulos.

38

MODULO 1. Firewall ( IPS / IDP / Web Filtering)

1.1 Sistema Operativo para SeguridadEste curso provee a los estudiantes las herramientas para configuración, operación e implementación de las plataformas de seguridad en un ambiente típico de red. Este curso debe estar basado en el Sistema Operativo de los equipos a adquirir.

Al finalizar este módulo los estudiantes estarán en capacidad de describir, configurar y monitorear zonas, políticas de seguridad y autenticación de usuario de firewall; además de configurar y monitorear políticas de IPS / IDP mediante el uso de plantillas.

Los contenidos temas mínimos sugeridos para esta capacitación técnica en este entrenamiento técnico son:

1. Describir la seguridad y enrutamiento tradicional y las nuevas tendencias en internetworking.2. Proveer una revisión de las plataformas de seguridad y la arquitectura del 3. software.4. Explicar el propósito y mecanismos del IPsec VPNs. 5. Implementar y monitorear VPNs basadas en política de seguridad.6. Utilizar y actualizar las firmas en la base de datos IPS / IDP en las plataformas de seguridad.7. Configurar y monitorear políticas de IPS / IDP mediante el uso de plantillas. 8. Describir la lógica del flujo de paquetes y la creación de sesiones operadas por las plataformas de seguridad.9. Describir, configurar, y monitorear políticas de autenticación de usuarios en el firewall.10. Explicar, implementar y monitorear NAT en las plataformas de seguridad.11. Describir, configurar, y monitorear políticas de seguridad.12. Describir, configurar, y monitorear zonas de seguridad.13. Implementar y monitorear políticas y enrutamiento de túneles VPN IPSec .14. Describir diferentes tipos de ataques de red.15. Describir, configurar y monitorear esquemas de funcionamiento para alta disponibilidad de los servicios de seguridad.16. Conceptos de detección de intrusiones.17. Fases de ataques en redes y su detección.18. Configuración inicial del sensor IPS / IDP.19. Proceso de despliegue del Sensor IPS / IDP.20. Vincular sensor IPS / IDP a la red.21. Flujo de paquetes a través de sensor IPS / IDP.22. Afinamiento de Políticas de Seguridad23. Configuración de otras reglas básicas24. Cómo utilizar perfiles para políticas de seguridad25. Utilitarios del sensor de operación IPS / IDP y su línea de comandos.26. Administración de políticas y del motor decodificador en base a utilitarios.27. Gestión de la configuración del sensor con base en utilitarios.

39

28. Supervisión con utilitarios.29. Administración de objetos de ataque.30. IPS / IDP inspección de paquetes.31. Mantenimiento y solución de problemas.32. Alta disponibilidad.33. Derivación de bypass.34. HA Standalone.35. HA Externo.

1.2 Sistema Operativo para EnrutamientoEste módulo provee a los estudiantes los conocimientos y habilidades necesarios para la configuración de enrutamiento, políticas de enrutamiento, filtros de firewall y clase de servicio (CoS).

Al completar este módulo los estudiantes estarán en capacidad de configurar y monitorear enrutamiento estático, configurar y monitorear los diferentes protocolos que maneja el equipo e implementar y verificar apropiadamente el manejo de CoS.

Las competencias técnicas en este entrenamiento son:1. Explicación de conceptos y operaciones básicas de enrutamiento.2. Revisión y descripción de enrutamiento y tablas de enrutamiento.3. Configurar y monitorear enrutamiento estático.4. Configurar y monitorear de los diferentes protocolos.5. Describir el marco de trabajo para políticas de enrutamiento y filtros de firewall.6. Explicar la evaluación de políticas de enrutamiento y filtros de firewall. 7. Identificar situaciones en donde se pudiera utilizar políticas de enrutamiento. 8. Escribir y aplicar políticas de enrutamiento.9. Identificar situaciones en donde se pudiera utilizar filtros de firewall.10. Identificar situaciones en donde se puedan escribir y aplicar filtros de firewall.11. Describir la operación y configuración para unicast reverse pathforwarding (RPF).12. Explicar el propósito y beneficio de clase de servicio (CoS).13. Enumerar y explicar los diferentes componentes de CoS.14. Implementar y verificar la apropiada operación de CoS.

1.3 Aplicación de Filtrado de Contenido WebEl propósito de este módulo es dotar a los participantes de conocimientos, destrezas y habilidades para la instalación, configuración, administración y soporte del software de filtrado de contenido Web. También obtendrán conocimiento sobre la funcionalidad de los componentes centrales y secundarios, como por ejemplo filtrados remotos, administración y creación de informes, resolución de problemas a través de procesos de diagnóstico internos y de terceros, entre otros.

Los temas a incluir en este entrenamiento técnico son:

1. Arquitectura de la solución.

40

2. Instalación, gestión y administración avanzada software de filtrado de contenido.3. Identificación de usuarios4. Creación de políticas de seguridad del software5. Resolución de fallas y optimización del sistema 6. Actualizaciones, respaldos y recuperaciones7. Herramientas de reportes, avisos y/o alarmas

MODULO 2. Redes Virtuales Privadas (VPN) y Comunicaciones Seguras

Los asistentes al curso adquirirán un conocimiento a fondo sobre las tecnologías de encriptación y los componentes involucrados para la conexión entre sitios y acceso remoto por medio de VPN y su implementación sobre MPLS. Criterios de diseño, herramientas de diagnóstico, metodologías de pruebas, protocolos, algoritmos de encriptación, métodos de autentificación y control de acceso. Además deberán examinarse a fondo las habilidades que un administrador de red necesita para implementar estas tecnologías.

Los temas mínimos en este entrenamiento técnico son:

2.1 VPNArquitecturas VPN VPN's para interconexión entre localidades fijas VPN's para redes inalámbricas VPN's para comunicaciones IP (telefonía IP y videoconferencia) VPN's para redes de alta confidencialidad VPN's MPLS vs. VPN's IP Componentes de una red VPN

Tecnologías de Encriptación Encriptación simétrica vs. encriptación asimétrica Funciones hash Algoritmos de encriptación y fortalezas relativas DES, 3DES, AES, 3AES, Diffie-Hellman, El-Gamal, DSS Firmas digitales Certificados digitales Autoridades independientes vs. autoridades comerciales

Métodos de autentificación Autentificación débil vs. autentificación robusta Autentificación basada en passwords, funciones hash y certificados digitales Autentificación centralizada RADIUS, 802.1X, EAP Un sólo "login" para la red ¿Qué sigue después de la autentificación? Autorización de uso de recursos Auditoría

41

Tecnologías VPN de primera generación PPTP y L2TP Arquitectura de protocolos Arquitecturas de implementación de VPN Túneles voluntarios vs. túneles obligatorios Beneficios y debilidades Casos de estudio: Implementaciones PPTP

Redes IPSec Arquitectura de protocolos Modo túnel vs. modo de transporte Métodos de autentificación en IP Sec IPSec para comunicación entre sitios fijos IPSec para usuarios móviles Vulnerabilidades de IPSec y riesgos de implementación Interoperabilidad Casos de estudio: Implementaciones IPSec.

VPN's TLS Arquitectura SSL / TLS Asegurando protocolos no-seguros con TLS TLS como tecnología de autentificación, encriptación y transporte VPN's TLS-IP vs. "Web VPN's" o "Clientless VPN's" Casos de estudio: OpenVPN vs. Implementaciones de Vendors de redes.

Criterios de diseño de redes VPN Consideraciones de ruteo Vulnerabilidades y deficiencias de implementación Vulnerabilidades de IPSec Vulnerabilidades de TLS Protección vs. efectividad NAC: Network Access Control Autentificación, validación y restricción de acceso Redes en cuarentena Protección antivirus Facilidad de uso vs. restricción de acceso Políticas de seguridad para la red VPN

2.2 VPN sobre MPLSConceptos básicos MPLS Conceptos de MPLS El modelo OSI y como se vincula MPLS con los niveles 2 y 3. Comparación entre los métodos de enrutamiento y la transferencia de etiquetas Componentes de MPLS LSR de borde y de núcleo (E-LSR y P-LSR)

42

Planos de control y de transferencia Protocolos de transferencia Protocolos de asignación y distribución de etiquetas

El plano de transferencia Clases de equivalencia de transferencia (FEC) Creación de caminos de conmutación de etiquetas (LSP) Pilas de etiquetas, agregación y sumarización de LSP

El plano de control Distribución de etiquetas. Distribución bajo demanda. Extensiones de enrutamiento para la asignación de etiquetas El protocolo de distribución de etiquetas (LDP)

Resumen de Beneficios de MPLS Ingeniería de tráfico en MPLS Definición de rutas explicitas y delimitadas Extensión de LDP para Ingeniería de tráfico: CR-LDP Extensiones de RSVP: RSVP-TE Comparación entre RSVP y LDP

Aplicación de MPLS para VPN Modelos de conexión peer y overlay Componentes de la aplicación VPN Ingeniería de tráfico para soluciones VPN Propagación de rutas Transferencia de datos

Construcción de VPN de nivel 2 (L2VPN) en MPL Introducción a L2VPN. Modelos Virtual Private Wire Service (VPWS) Virtual Private LAN Service (VPLS)

MÓDULO 3. NAC –Network Access Control

Este curso analiza la configuración de la solución Network Access ControlNAC(el Controlador NAC, la herramienta de Aplicación de Políticas y el Agente de Usuarios); para configurar acceso seguro a los recursos de la red. Al finalizar este curso, los estudiantes estarán en capacidad de instalar, configurar y mantener el Controlador NAC en ambientes seguros de red.

Las competencias de entrenamiento técnico son:

43

1. Configurar interconectividad básica entre componentes NAC.2. Configurar elementos de administración en el NAC.3. Configurar la herramienta de Aplicación de Políticas.4. Configurar el servidor NAC para usar RADIUS para ejecución de la normativa 802.1X.5. Describir requerimientos de configuración de los conmutadores.6. Configurar por medio de la herramienta de Aplicación de Políticas un cliente RADIUS 802.1X.7. Usar las funciones integradas de registro para verificar conectividad de usuario y asignación de políticas.8. Uso de la trazabilidad de políticas para detectar y localizar fallas de la asignación de la política del usuario.9. Administración de archivos de configuración.10. Habilitar opciones disponibles de autentificación para usuarios.11. Configurar opciones de autentificación: AD/NT, RADIUS, LDAP o Single sign-on.12. Configurar acceso de invitados y autentificación anónima.13. Analizar opciones de defensa del punto final.14. Configurar opciones de remediación.15. Configurar opciones de Acceso de Agentes Cliente.16. Configurar conectividad sin Agentes Clientes.

MODULO 4. Sistema de Autenticación, Autorización y Contabilización (AAA)

Este curso analiza la configuración de la solución AAA para configurar autenticación, autorización y contabilización de acceso a usuarios a los recursos de la red. Al finalizar este curso, los estudiantes estarán en capacidad de instalar, configurar y mantener el AAA en ambientes seguros de acceso a usuarios a la red.

Los temas en este entrenamiento técnico son:

a. Conceptos generales de AAAb. Configuración e implementación de un servidor AAAc. Aprovisionamiento de servicios de autenticación, autorización y contabilización. Incluyendo VPN (IPSec y SSL), 802.1x, WPA2.d. Generación de reportes y estadísticas de forma dinámica.e. Manejo de bitácoras de actividad Almacenamiento local de los registros de bitácoras de auditoría.f. Soporte de soluciones LDAP: AD de Microsoft Windows Integración con BD Manejo del servicio AAA y su integración a bases de usuarios externas.g. Protocolos de autenticación: PAP, MS-CHAP, EAP-MD5, EAP-PEAP, EAP-FAST y EAP-TLS.h. Autenticación de usuarios contra cualquier método de autenticación ó combinación de métodos: Microsoft Windows Domain (incluyendo Microsoft Active Directory y sistemas de seguridad

44

UNIX) Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Cuentas Active Directory (AD), Habilitar Machine Authentication (MA) con EAPTLS y User Authentication con EAP-TLS con AD. Manejo de usuarios tanto locales como grupales.i. Esquema de sincronización (replicación): Integración y sincronización con AD institucionalj. Manejo de la interface Web browser; k. Creación, modificación, desactivación de filtros para la captura de eventos.l. Manejo de directorios tipo LDAP:Versiones de Novell y de Sun Java

MODULO 5. Sistema Correlacionador de Eventos

Los asistentes al módulo adquirirán competencias necesarias para reunir, relacionar y notificar por medio del Sistema Correlacionador de Eventos los sucesos de seguridad de los dispositivos de cualquier marca (Cisco, Juniper, Dell, HP, Huawei, etc.). Además, que aprendan como configurarlo para recoger eventos de redes y seguridad y correlacionarlos, con el fin de proporcionar información concisa y procesable o “incidencias” por medio de una representación visual de la incidencia, el objetivo del ataque y el mejor punto en la red para solucionarlo.

Los temas en este entrenamiento técnico son:

1. Introducción y generalidades del Sistema Correlacionador de Eventos2. Entender la arquitectura del sistema 3. Gestión y administración del sistema 4. Adicionar dispositivos sin importar su marca para integrarlos con todas las opciones disponibles al sistema5. Generar informes de resumen6. Configurar el dispositivo para que cumpla con la investigación de incidentes y la mitigación de ataques 7. Entender consultas y reportes8. Crear consultas y enviar alertas9. Investigar y mitigar incidentes 10. Trabajar con plantillas personalizadas definidas por el usuario 11. Resolución de fallas y optimización del sistema

MODULO 6. Ethical Hacking

Este módulo deberá tener un entorno interactivo, donde los estudiantes podrán explorar, probar, "hackear" y asegurar sus redes y sistemas.

Además, con el conocimiento y práctica impartido por el instructor, los asistentes estarán en capacidad de optar por la certificación CEH en caso de que así lo requiera la empresa.

45

Los temas en este entrenamiento técnico son:

1: Ethics and Legality 2: Footprinting3: Scanning 4: Enumeration 5: System Hacking 6: Trojans and Backdoors 7: Sniffers 8: Denial of Service 9: Social Engineering 10: Session Hijacking 11: Hacking Web Servers 12: Web Application Vulnerabilities 13: Web Based Password Cracking Techniques 14: SQL Injection 15: Hacking Wireless Networks 16 : Virus and Worms 17: Physical Security 18: Linux Hacking 19: Evading Firewalls, IDS and Honeypots 20 Buffer Overflows 21 : Cryptography 22 :Penetration Testing

MODULO.7 Network Forensics

Los asistentes adquirirán las competencias necesarias para aplicar la metodología de análisis forense a investigaciones orientadas a buscar evidencias en registros sobre elementos de networking y la arquitectura de seguridad en general con el fin de definir quién, cómo, cuándo y dónde se presentó un evento determinado y fortalecer la arquitectura de seguridad perimetral de la DPSI, habilitando funciones para registrar evidencias.

Además, con el conocimiento y práctica impartido por el instructor, los asistentes estarán en capacidad de optar por la certificación CHFI en caso de que así lo requiera la empresa.

Los temas en este entrenamiento técnico son:1. Informática Forense en el mundo de hoy2. Informática Forense proceso de investigación, búsqueda3. La búsqueda, la incautación de equipos, sistemas informáticos (msj, tecnología android, entre otros…)4. Obtención de Evidencia digital5. Procedimientos de Primeros Auxilios o Respuesta Inmediata6. Laboratorio de computo Forense

46

7. Comprensión de discos duros y sistemas de archivos8. Windows Forensics9. Adquisición de Datos y la Reproducción10. Recuperar archivos borrados y particiones borrados11. Investigación Forense12. Uso de Access Data FTK y Uso de Investigación Forense con Encase13. La esteganografía y Medicina Forense de archivo de imagen, audio y video14. Galletas de aplicación de contraseña “Password Cracking”15. Captura de registro y Correlación de Eventos16. Investigación de los registros de la red forense de instrucción y el tráfico de red17. Investigación de los ataques inalámbricos18. Investigación de los ataques Web + Investigación de ataques mediante Malware19. Seguimiento de mensajes y correo electrónico para la investigación de crímenes por internet20. Forense móviles21. Preparación de informes de investigación22. Cómo convertirse en un testigo experto

Requerimientos Didácticos

Se deben cumplir los siguientes requerimientos didácticos:

a) Facilitador/a: El adjudicatario le garantizará al ICE que los instructores cuentan con los conocimientos necesarios y suficientes para impartir la capacitación y atender consultas, por lo que se deberá brindar el currículum del o los instructores. Deben ser personas con conocimiento y experiencia en los equipos relativos a los cursos que serán impartidos más una experiencia en el campo docente y sobre esta materia, no menor a 3 años. En la propuesta el oferente aportará el currículo del o los instructores y las certificaciones de los atestados respectivos, con el fin de comprobar el grado de especialidad y experiencia sobre el equipo ofertado. Deberán ser profesionales certificados por el fabricante y/o centros de educación superior especializados en la materia de interés.b) Idioma: El idioma de las lecciones será español. Los instructores deben tener dominio del idioma español.c) Lugar: La capacitación se llevará a cabo en el sitio que el oferente escoja. Para ello facilitará una sala de reuniones para la realización de dicho evento. El equipo para apoyar las acciones docentes, serán aportadas por el oferente.d) Población: La capacitación debe planificarse para 8 personas.e) Duración: La duración de la capacitación será no menor de 4 horas en horario diurno efecti-vas por día. El número de días será definido por el oferente y el I.C.E. con la asesoría del CADE, en función del diseño de la actividad educativa. El diseño de la actividad educativa deberá ser presentado junto con la oferta y se tendrán 5 días hábiles para ser revisado y avalado por el CADE. Si hubiese algún cambio, este será discutido con el proveedor. f) Cronograma: El oferente aportará un cronograma de curso, donde se detalle por día los te-mas a tratar y las horas a invertir en cada uno de ellos. Debe ser enviado al Centro de Aprendizaje y Desarrollo Empresarial, CADE, 5 días hábiles antes del inicio de la capacitación para su retroali-mentación correspondiente, a través del Administrador del contrato.

47

g) Ejecución del entrenamiento: La capacitación deberá iniciarse a más tardar 10 días hábiles después de emitida la orden de compra. h) Diseño de cada módulo de la actividad educativa curso: Debe contener el detalle de los ob-jetivos de aprendizaje, la metodología de evaluación y un cronograma que detalle la distribución de los objetivos y temática del curso, así como requisitos de conocimiento necesarios para asimi-lar la capacitación por los participantes. La capacitación se realizará en sesiones que combinen la teoría y la práctica. i) La capacitación debe impartirse en idioma español, el cual debe ser dominado por el instruc-tor. El material didáctico debe ser en idioma español y de buena calidad, utilizando material ori-ginal certificado por el fabricante para cada participante. La logística y costo del mismo correrán por parte del adjudicatario. Una vez finalizada la capacitación el material didáctico entregado pa-sará a ser propiedad del ICE, al igual que los contenidos de los cursos propuestos.j) Evaluación: Esta capacitación será de aprovechamiento y deben evaluarse los objetivos de aprendizaje cuantitativamente, resultados que serán contabilizados en el expediente de cada tra-bajador por el CADE. La valoración de los objetivos de aprendizaje y competencias será por mó-dulo y en ningún caso, el aprovechamiento cuantitativo será menor al 80%. k) Si en algún caso uno o varios participantes por razones justificadas pierden un módulo, el ad-judicatario deberá diseñar una estrategia para que se rescaten los objetivos de aprendizaje con el porcentaje de aprobación requerido. Esto no debe exceder una semana calendario de tiempo.l) Certificados: El instructor deberá entregar certificados de aprovechamiento para cada uno de los participantes de la actividad por módulo aprobado.

1.1. Alcances de la Capacitación

Responsabilidades del adjudicatario

Son responsabilidades del adjudicatario los siguientes aspectos:

a) Material didáctico: Debe estar en idioma español. La logística y costo del mismo correrá por parte del adjudicado.b) Equipos didácticos: El adjudicatario deberá aportar los equipos didácticos necesarios que contribuyan al logro de los objetivos de esta capacitación. Corresponderá al adjudicatario trami-tar y pagar todo lo correspondiente a des almacenaje de equipos necesarios para impartir los cur-sos de capacitación.c) Incluirá los materiales entregados, manuales y certificados del curso para cada participante. Los certificadores deben estar en idioma españold) La capacitación, que se realizará en el sitio aportado por el oferente y debe reunir condicio-nes apropiadas para el aprendizaje, tales como iluminación, ventilación, espacio físico apropiado que permita la interacción de las clases teóricas y prácticas. El sitio escogido por el oferente, será evaluado y se deberán hacer las mejoras que el I.C.E. determine. La valoración será realizada por el CADE y los resultados informados a través del administrador del contrato. El sitio deberá tener condiciones apropiadas para alimentación y parqueo.e) Las condiciones que establezcan los instructores serán cubiertas por el adjudicatario, en su totalidad, (pasajes aéreos, hospedaje, alimentación, seguro de vida o médico, gastos de alquiler

48

de vehículo, transporte interno dentro del país, etc.) del o los instructores que designe serán cu-biertos por el adjudicatario.

f) El adjudicatario deberá aportar de forma oportuna todos los materiales didácticos y equipos necesarios para el logro de los objetivos de la capacitación, tales como: Computadora (instructor), rota folio, pizarra, aulas para trabajo grupal, papel periódico, videos, retroproyector, cartulina, papel, material de apoyo, pruebas, papelería.

g) Asimismo; el oferente pondrá a disposición por un período de 1 año en su sitio web, material de consulta referente a la temática del programa en cuestión, el cual se utilizará como un recurso de aprendizaje continuo y de autodesarrollo; de forma tal que el participante tenga la posibilidad de hacer consultas, repasar, actualizar sus conocimientos, o bien realizar transferencia de conocimientos a otros colaboradores.

1.2. Responsabilidades del ICE

Para realizar la capacitación el ICE se compromete a organizar el tiempo requerido para que los funcionarios asistan al proceso educativo, con base en lo planificado y pactado con el adjudicatario. A través del administrador de contrato, y de un representante del CADE, mantendrá una comunicación constante para valorar el proceso y los objetivos de aprendizaje en los participantes, con el propósito de reforzar los procesos docentes y garantizarse la adquisición de las competencias en los educandos.

1.3. Evaluación y certificación

El curso será evaluado, por lo tanto es de aprovechamiento. La nota mínima de aprobación es de un 70%.

El adjudicatario deberá presentar en su oferta el sistema de evaluación ¿y el plan de certificación mencionado arriba?, el cual debe de aplicar a los participantes.

El sistema de evaluación debe incluir un porcentaje significativo relacionado con el comportamiento del evaluado; que mida aspectos tales como: puntualidad, trabajo en equipo, orden, disciplina y presentación puntual de tareas, utilizando herramientas tales como listas de cotejo y bitácoras de registro, que evidencien conductas observables que son de gran relevancia para el desarrollo óptimo de la capacitación y que reflejen el interés y compromiso del alumno con la formación. (conoc. hab y destrezas)

Así mismo se deberá de realizar una prueba escrita y/o práctica (quién elige), por cada uno de los módulos; de la cual se obtendrá un promedio final.

Al finalizar la capacitación, el adjudicatario debe entregar un informe detallado al administrador de contrato, con el detalle de las notas finales y detalles evaluados. Posteriormente y con el aval del coordinador del curso, el proveedor entregará los certificados de aprovechamiento.

49

Al finalizar la capacitación el Proveedor entregará un certificado de aprovechamiento a cada participante que haya obtenido una nota igual o superior a 70%.

El certificado debe contener: Nombre y logotipo de la empresa que brinda la instrucción, nombre del curso, nombre completo del participante, lugar, fecha, horas teóricas y prácticas, nombre completo y firmas del facilitador y director de la empresa Proveedora, en papel apropiado para Certificación de Cursos, lugar y fecha de entrega de certificados, indicación de que el certificado es de Aprovechamiento.

El oferente deberá incluir el licenciamiento necesario para que cuatro (4) de los participantes puedan optar por un nivel de certificación del fabricante en los módulos (Firewall, Ethical Hacking y Network Forensics. Para esto el administrador de contrato estará enviando al oferente adjudicado el perfil que tendrán los participantes para certificarse.

1.4. Cronograma de Seguimiento.

El proveedor de la capacitación se compromete a entregar al administrador del contrato, un informe sobre el aprovechamiento en general de cada módulo y de las potenciales dificultades que se pudieron presentar en las sesiones.

1.5. Informe Final.

Al finalizar el curso, el proveedor tendrá 5 días hábiles como máximo para entregar el informe final con la evaluación de cada participante, y todas las recomendaciones o sugerencias en relación con el aprovechamiento del curso.

1.6. Valoración de la capacitación

El curso se someterá a una evaluación realizada por el CADE, donde se verificará el cumplimiento de los requerimientos didácticos antes enunciados.

La evaluación abarcara los siguientes ítems:a) Desempeño del instructorb) Habilidades de enseñanzac) Evaluación e instrumentos de evaluaciónd) Calidad del material didáctico

Si el resultado de la evaluación es mayor o igual a 90%, la capacitación se aceptará como impartida a satisfacción; evaluaciones con notas entre 70% y 89% obligarán al oferente a impartir las horas adicionales requeridas, para el logro de los objetivos, esto sin costo para el ICE y con previa coordinación para buscar el beneficio de ambas partes.

Ello debido a que el ICE debe garantizar las competencias de los participantes en la operación del sistema.En el caso de incumplimiento de alguno de los puntos antes citados, se valorará su impacto en el

50

cumplimiento de los objetivos del curso. De ser necesario, este incumplimiento debe ser corregido de forma inmediata.

Ponderación de la evaluación del curso:a) A entera satisfacción si la evaluación va de un 90 al 100%.b) De un 71 al 89%, el contratista deberá repetir específicamente los objetivos que no se han logrado y deberá volver a evaluar.c) En caso de una calificación inferior al 70%, el contratista deberá repetir el curso por su cuenta y riesgo, tantas veces como sea necesario, hasta que el ICE obtenga el aprovechamiento deseado. Se adjunta tabla de valoración de la capacitación:

INSTITUTO COSTARRICENSE DE ELECTRICIDADDIVISION CAPITAL HUMANO

AREA FORMACION Y DESASRROLLOVARIABLE DESCRIPCION DE INDICADORES VALOR %

Desempeño del instructor

Competencia profesional / técnica y capacidad pedagógica que faciliten al participante el logro de los objetivos 30%

1. Conocimiento del tema 2. Desarrollo de los contenidos conforme a la secuencia de aprendizaje

3. Aplicación de los métodos de aprendizaje 4. Utilización de las técnicas didácticas 5. Utilización de los medios, ayudas audiovisuales, guías de apoyo

6. Cumplimiento de los tiempos de clase, horarios establecidos en el cronograma de instrucción

7. Interacción con los participantes 8. Orientación a los participantes para el logro de los objetivos

Habilidades de enseñanza

Habilidad para explicar los contenidos y motivar a los participantes 10%

1. Lenguaje 2. Voz 3. Gestos y movimientos 4. Motivación 5. Participación

Evaluación y/e instrumentos de

evaluación

Habilidad para evaluar el aprendizaje y el logro de los objetivos 20%1. Pertinencia 2.- Relación con los objetivos 3. Tipo de evaluación 4. Resultados 5. Retroalimentación

Calidad del material didáctico

Construcción del material apegado a la especificación de la actividad formativa 20%

1. Forma y contenido 2. Idioma

51

3. Estructura acorde con la actividad formativa 4. Claridad de presentación

Condiciones ambientales e instalaciones

Condiciones de infraestructura y equipamiento adecuadas y pertinentes para la formación 20%

1. Espacio adecuado para la formación 2. Ubicación / disponibilidad de servicios 3. Iluminación / aislamiento ruido 4. Mobiliario 5. Equipos / herramientas

PONDERACION FINAL OBSERVACIONES:

52

Anexo Nº 3Tabla de Estimación de la Cláusula Penal

53

Tabla estimación de cláusula penalFACTOR PUNTOS

1 .-Repercusiones de eventual incumplimiento (30, 20 o 10 puntos, según corresponda) 30

2.- Riesgos del incumplimiento del plazo (30, 20 o 10 puntos, según corresponda) 30

3.- Preponderancia del plazo de entrega (15, 10 o 5 puntos, según corresponda) 15

4.- Monto del contrato (15, 10 o 5 puntos, según corresponda) 15

Indicar monto estimado de la licitación: 140 000 000 CRC

TOTAL DE PUNTOS: 90

Calificación de la importancia de la cláusula penal y porcentaje a aplicarPuntaje Importancia de la Cláusula penal Porcentaje multa a

aplicar por día

De 90 a 70 puntos Alta 0.6 %

De menos de 70 a 50 puntos Media 0.5%

Menos de 50 puntos Moderada 0.4%

54