REPUBLICA DE COLOMBIA SUPERINTENDENCIA DE VALORES 300 Doctor JOSUÉ ALEXANDER FLORIÁN Director Comercial IOTE jflorian@iote.net Asunto: 331 11 Respetado doctor Florian: En atención a su comunicación recibida por correo electrónico el 8 de noviembre de 2004, donde realizan algunas preguntas sobre los términos de referencia para la contratación de una solución tipo appliance (hardware y software) que permita controlar Spam (correo no deseado) en los mensajes que son recibidos en la entidad, me permito remitirle la respuesta dada a la misma, la cual fue elaborada por la Oficina de Sistemas de la entidad. Igualmente, estos documentos los podrán consultar en el sitio Web de la entidad www.supervalores.gov.co. Cualquier duda o inquietud sobre el particular con gusto será atendida por esta Secretaría. Cordialmente, Claudia Franco Vélez Secretaria General Anexo: 1 folio. REPUBLICA DE COLOMBIA SUPERINTENDENCIA DE VALORES Respuesta a las observaciones presentada a los términos de referencia de la contratación directa para la adquisición de una solución tipo appliance (hardware y software) que permita controlar Spam A continuación me permito dar respuesta a las observaciones presentadas por Iote. Mediante comunicación enviada por correo electrónico el 8 de noviembre de 2004, Iote informa: “Con la intención de participar en el concurso de adquisición de app liance antispam nos permitimos formular las siguientes inquietudes: 1. Plataforma de propósito especifico. La supervalores solicita que la maquina tenga una plataforma de propósito especifico. En caso de suministrar soluciones que cumplan las características de funcionalidad solicitadas por la supervalores, en plataformas que no son de propósito especifico solicitamos sean tenidas en cuenta dichas soluciones, ya que el objetivo final es eliminar el spam que afecta la productividad y recarga los sistemas de la supervalores.” Respuesta Se requiere de una plataforma de propósito específico (tipo appliance) ya que de esta manera la Superintendencia está siendo coherente con el modelo de seguridad implementado con tecnologías de seguridad similares operando en la actualidad. De esta forma, la entidad está garantizando el cumplimiento de las mejores prácticas en seguridad y al mismo tiempo obteniendo un sistema antispam diseñado especialmente para soportar una eventual avalancha de spam y así poder determinar óptimamente cuáles son correos válidos y cuales son basura. Verificadas 8 soluciones de software antispam la mayoría de ellas corren en appliance. Por lo tanto, el requerimiento formulado responde a la tendencia del mercado para este tipo de soluciones. Por lo dicho anteriormente el proveedor deberá presentar una propuesta donde la solución sea certificada como plataforma especifica para contrarrestar el spam. 2. “El sistema operativo debe ser de propósito específico. Según este punto, es necesario que la solución cuente con un sistema operativo diseñado específicamente para la misma y excluye específicamente REPUBLICA DE COLOMBIA SUPERINTENDENCIA DE VALORES el sistema operativo Linux, Win, Unix como sistemas operativos base. Consideramos que no hay productos anti-spam que cumplan a cabalidad este requerimiento, ya que todos se basan en algún sistema operativo preexistente, con modificaciones del proveedor de la solución para ajustarlo a su producto, por lo que solicitamos nos aclaren este punto. Solicitamos sean tenidas en cuenta las soluciones que cuentan con una versiones de sistemas operativos Linux especializadas y optimizadas para cumplir la función de gateway anti-spam.” Respuesta Se acepta que la solución ofrecida corra bajo un sistema operacional de propósito específico, como se solicitó inicialmente, o bajo Linux, como lo solicita la compañía Iote. Ya que en los términos de referencia se estableció que la solución no debía estar basada en software libre, por consistencia con la anterior modificación, se suprime este requerimiento. 3. “En cuanto al uso de métodos de escaneo heurísticos y probabilísticos, a qué se refiere con escaneo heurístico? Si esto hace alusión al uso de reglas como "rechazar todos los correos que contengan la frase: haga dinero fácil" no recomendamos reglas de este estilo, ya que estas reglas de primera generación, estáticas han probado no ser tan eficaces y tienden a generar muchos falsos positivos, atentando contra el desempeño de la solución. Recomendamos, el uso exclusivo de un sistema probabilístico de autoaprendizaje(algoritmos Bayesianos) metodos de ultima generación que ofrecen muchos mejores resultados. “ Respuesta Los métodos de detección heurísticos son necesarios ya que realizan una inspección inteligente del correo de forma que lo que no se conoce como Spam pueda ser detectado analizando su comportamiento al igual que los métodos probabilísticos. Las listas negras y blancas proveen información de lo que ya se conoce como Spam, pero que es necesario complementar con lo que hasta ahora no se conoce como Spam y que aún no se ha publicado en las listas. Las 8 soluciones de antispam mencionadas en el numeral 1 de este documento hacen detección heurística. Las soluciones son: Barracuda, REPUBLICA DE COLOMBIA SUPERINTENDENCIA DE VALORES BorderWare, Brightmail, Espion Interceptor, IronPort, ProofPoint Protection, Sophos. 4. “El sistema debe permitir la integración con directorios LDAP para la administración de políticas y reglas a nivel de usuarios. Qué tipo de políticas y reglas a nivel de usuarios desearían implementar a nivel de LDAP además de especificar el listado de direcciones de correo locales” Respuesta La integración con sistemas (LDAP) con el filtrado de entrada y de salida del correo nos permitirá manejar reglas a nivel de usuarios y grupos de usuarios, lo cual permite discriminar según el perfil, que usuario o dominio pueden o no tener privilegios de envío o recepción de correo hacia o desde el interior de la Superintendencia. Adicionalmente, la seguridad aumenta dado que los usuarios internos tienen que autenticarse y ello hace que sea menos factible la generación de Spam. 5. “El hardware debe contar con un procesador Intel Xeon. existen soluciones que ha sido certificada para operar en procesadores de 32 bits y para el volumen de tráfico de las especificaciones, un procesador Intel Pentium de al menos 2.4 GHz es suficiente. ¿Es posible suministrar la solución en un procesador que no sea Xeon de 64 Bits?” Respuesta La Superintendencia necesita una plataforma robusta que soporte el nivel de tráfico actual y que permita un crecimiento futuro implementando las actualizaciones de software sin que sea necesario actualizar el hardware. La solución ofrecida deberá operar sin contratiempos por al menos tres (3) años. Adicionalmente, el hardware cada vez es más económico y permite adquirir soluciones bien configuradas. Sin embargo, se acepta que la solución se ofrezca con un procesador Intel Pentium 4 de al menos 2.8 GHz. Atentamente, MIGUEL ANGEL VILLALOBOS HERNANDEZ Jefe Oficina de Sistemas