Lote 1: Servicios integrales- análisis e identificación de riesgos de ciberseguridad ( desarrollo de matriz de riesgos) según alineado a la norma iso **** en lo relacionado con la co. Sa 17. 18/24 el proveedor del servicio deberá analizar, identificar, evaluar y determinar: a. Los riesgos que puedan afectar procesos, activos, información, factor humano, incluyendo las redes físicas y lógicas, grupos de empleados internos y externos y las interfases clave en los límites de la aplicación. B. La información considerada como sensible o valiosa en conjunto con el usuario y la dirección del sistemas. C. Si el cambio climático ( iso ****/4. 1) es un factor relevante que pueda poner en riesgo la operación de la organización. ( en caso de ser necesario, realizar un inventario de las áreas que se determine que puedan ser afectadas por el cambio climático ( seguir recomendaciones iso ****/4. 1). Entregables ( valor del entregable 20%) matriz marco de gestión de riesgos . A. La matriz marco de gestión de riesgos deberá incluir el riesgo, la evaluación de este, el responsable o propietario del manejo de este y los criterios que afecten al riesgo y que permita responder, evitar, cambiar las probabilidades o consecuencias del riesgo, transferirlo o aceptar el vivir con el riesgo. Siendo responsabilidad del proveedor entregar la metodología empleada para el manejo del riesgo. B. Dentro del alcance del análisis de riesgos y de acuerdo con el alcance del msgsi alineado al sgsi el proveedor deberá considerar las amenazas naturales, a instalaciones, tecnologías, aspectos sociales, operacionales y humanos que puedan ser afectados por el cambio climático. Nota: la matriz marco de gestión de riesgos señalada formará parte integral del msgsi del ait resultante, así como la metodología de evaluación del riesgo formarán parte integral de la carpeta msgsi que se solicita en numeral apoyo para la implementación del msgsi según alineado a la norma iso **** en lo relacionado con la cosa 17. 18/24
Lote 2: Servicios integrales- apoyo para la implementación del sistema marco de gestión de seguridad de la información ( smgsi) alineado al sgsi según la norma iso **** en lo relacionado con la co. Sa 17. 18/24, para el aeropuerto internacional de tulum. Establecer, implementar, mantener y mejorar continuamente un msgsi alineado conforme a los requisitos de la norma iso **** para proteger la información sensible de la organización y garantizar su confidencialidad, integridad y disponibilidad y reportar de forma mensual su avance. I. Alcance. A. Apoyo para la definición del alcance del msgsi a. Identificación de los límites y la aplicabilidad del msgsi dentro de la organización en lo relacionado con la co. Sa 17. 18/24. B. Determinación de las áreas, procesos y activos de información que serán cubiertos por el smgsi en lo relacionado con la co. Sa 17. 18/24. B. Políticas y procedimientos de seguridad de la información en lo relacionado con la co. Sa 17. 18/24: a. Desarrollo y documentación de políticas y procedimientos de seguridad de la información. B. Asegurarse de que las políticas y procedimientos cumplan con los requisitos de la norma iso ****. C. Implementación de controles de seguridad en lo relacionado con la co. Sa 17. 18/24: a. Implementación de controles de seguridad específicos según alineados con la norma iso ****. B. Asegurarse de que los controles implementados sean efectivos y adecuados para mitigar los riesgos identificados. C. Apoyo en el establecimiento para el comité de dirección: incluye la designación de un líder de equipo responsable de supervisar la implementación del msgsi, así como a los responsables de la seguridad de la información . D. Apoyo en la definición del alcance del msgsi determinando qué áreas, procesos y activos de información se incluirán en el msgsi. E. Apoyo para desarrollar y documentar procedimientos: establecer procedimientos para implementar los controles de seguridad. Se complementa con los especificado en anexo tecnico, subpartida 2
Lote 3: Servicios integrales- gestión continua de vulnerabilidades con base a los activos ( tecnológicos y de información) para proteger las operaciones del a. I. T. Con base en las acciones que desarrolla el operador aeroportuario, proveedores de servicios y aerolíneas que operen en el aeropuerto. El proveedor deberá llevar a cabo un análisis de vulnerabilidades, generando las recomendaciones pertinentes tendientes a generar un ciclo de gestión continua del riesgo, antes las amenazas actuales a los principales activos de información del aeropuerto internacional tulum. El proveedor tendrá la responsabilidad presencial o remota, con apoyo de su propio noc/soc y en su caso directamente en las instalaciones de la contratante llevar a cabo la gestión de las vulnerabilidades en el mes correspondiente en que sean detectadas, siendo responsable de apoyar, madurar y gestionar los apoyos técnicos necesarios para la gestión de vulnerabilidades conforme a los alcances de la co. Sa 17. 18/24 de la infraestructura propia del ait operativa y de soporte de servicios para proveer el servicio apropiado de ciberseguridad actual utilizado en el aeropuerto internacional de tulum, en línea base en lo relacionado con la co. Sa 17. 18/24 y las directrices del gafsacomm. Alcance: a. Análisis periódico de activos tecnológicos y de información. B. Servidores múltiples de plataforma del ait. C. Categorización de vulnerabilidades, basada en riesgo. D. Generar el plan de mitigación correspondiente. E. Escaneo de malware con firmas o indicadores conocidos. ( listado de equipos o un máximo estimado de equipos escaneado). F. Modelo de análisis con credenciales de inicio de sesión. G. Generación de reportes mensuales, de acuerdo con las actividades realizadas. H. Análisis trimestrales resumiendo la incidencia mensual. I. Análisis de estabilidad de actualizaciones, previo a la entrada en producción. Entregables ( valor del entregable 15%) plan de mitigación de vulnerabilidades, incluyendo la gestión de estas y un análisis resumen.
Lote 4: Servicios integrales- correlación de eventos. El proveedor, mediante el empleo de un equipo de uso especifico, proporcionará una visión amplia de los eventos de ciberseguridad ocurridos y asociados a los activos monitoreados, relacionando los eventos de seguridad de los múltiples activos para detectar amenazas y comportamientos sospechosos en la infraestructura de red con la finalidad de correlacionarlos para identificar de manera ágil posibles incidentes de seguridad y responder eficientemente ante ellos abarcando la frontera de red del ait, es decir sus firewalls, así como los firewalls propios de los servidores y de los end points de la red, estableciendo las correlaciones con el ise. Alcance: equipos incluidos a. Fuentes: servidores de operación crítica, firewall perimetral e interno y sistema antimalware del ait. B. Alertas de seguridad ( estándar): reportar al equipo del ait amenazas detectadas en la correlación de eventos siem c. Almacenamiento de registro de eventos por 60 días online. Entregables ( valor del entregable 5%) a. Consecutivo de reportes de incidentes de correlación de eventos siem. ( ilimitados conforme ocurran). B. Cuatro reportes técnicos/ejecutivo de servicio con su evolución estadística histórica. C. Cuatro reportes de monitoreo del estado actual, análisis de causa raíz, recomendaciones de respuesta y reportes de cumplimiento; agregando información sobre el calendario de actualización de inventario. Esquema: a. Para que el proveedor logre los alcances planteados para este caso, la dependencia tendrá la responsabilidad de proveer los siguientes puntos: se complementa con lo descrito en anexo tecnico, subpartida 4
Lote 5: Servicios integrales- respuesta a incidentes. El proveedor tendrá la responsabilidad de establecer procedimientos de manejo de incidentes de ciberseguridad, atendidos por personal especializado en procesos, herramientas y técnicas de respuesta a incidentes de ciberseguridad, orientado a reducir el tiempo de respuesta y el impacto negativo de un evento de ciberseguridad que afecte la operación de la infraestructura y los procesos del aeropuerto internacional de tulum. Especificando las fases de respuesta y neutralización, así como los niveles de escalación, post mortem, análisis forense de los dispositivos afectados y restauración de operatividad. Alcance: a. Bolsa de horas de respuesta a incidentes ilimitada. B. Ciclo completo de respuesta a incidentes: a. Triage. B. Análisis de evidencias de incidente. C. Diagnóstico. D. Acompañamiento en contención de incidentes de ciberseguridad. E. Recomendaciones para prevención de incidentes posteriores. Entregables ( valor del entregable 20%) a. El proveedor en coordinación con el ait desarrollará un plan de respuesta a incidentes. B. Reporte técnico por incidente, incluyendo: a. Detección inicial. B. Actividades de contención. C. Solución implementada. D. Resumen de hallazgos. Esquema: para que el proveedor logre los alcances planteados para este caso, la dependencia tendrá la responsabilidad de proveer los siguientes puntos: a. Sesiones con personal del aérea de tecnologías de la información del aeropuerto internacional tulum para tener contexto de las responsabilidades de personal. B. Levantamiento de inventario de activos y servicios. C. Definición de mecanismos de entrega de evidencia. D. Seguimiento de los protocolos de reporte de incidentes.
Lote 6: Servicios integrales- phishing test. El proveedor tendrá que realizar una simulación de prueba de suplantación de identidad para usuarios finales, mediante el empleo de ingeniería social ( anzuelos o hooks) a los usuarios del aeropuerto internacional de tulum, con el objetivo de identificar el nivel de vulnerabilidad y propensión general a caer en engaños y fraudes, donde a partir de ello, se refuerce la concientización dentro del aeródromo, respecto al impacto que tienen este tipo de ataques y enunciar las mejores prácticas de seguridad para identificarlos y prevenirlos. Alcance: a. Pruebas de ingeniería social simuladas. B. Envío de hooks ( correos de engaño) a la totalidad o a una muestra definida de usuarios finales. C. Capacitación en mejores prácticas para la prevención de phishing. Entregables ( valor del entregable 5%). A. Reporte ejecutivo con estadísticas sobre la prueba enviada. B. Recomendaciones para la prevención de phishing. Esquema: a. Un ejercicio de simulación de ataque hacia los buzones de correo de los usuarios ( remoto). B. Para que el proveedor logre los alcances planteados para este caso, la dependencia tendrá la responsabilidad de proveer los siguientes puntos: a. Base de datos actualizada de correos electrónicos de personal a evaluar. B. Autorización expresa para la ejecución de la prueba. C. Inclusión del dominio de prueba usado para la simulación, en listas blancas del servidor de correo del a. I. T. D. Actualizaciones de altas y bajas de correos electrónicos de personal a evaluar.
Lote 7: Servicios integrales- pruebas de pre- verificación deberá implementar acciones y pruebas de pre- verificación ( entry level) en preparación y apoyo a la maduración de la infraestructura, basada en los niveles que permita evaluar las políticas de ciberseguridad implementadas y alineadas por el msgsi, así como su efectividad y cumplimiento de objetivos y normativas locales e internacionales aplicables, así como, utilizar herramientas y técnicas de hackeo ético, para descubrir vulnerabilidades de seguridad con el fin de identificar puntos débiles en aplicaciones, dispositivos, en las redes de datos y procedimientos del ait, conforme a lo establecido por la afac. De manera general, el proveedor deberá realizar pruebas de penetración semestralmente ( previas a la de la unidad verificadora autorizada) en toda la infraestructura informática del ait para: a. Identificar si un atacante remoto podría penetrar las defensas y medidas de seguridad consideradas en la co. Sa. 17. 18/24. B. Determinar la confidencialidad, integridad y accesibilidad/disponibilidad de la información privada y los servicios del ait. Además, para la evaluación del cumplimiento deberá: a. Apoyar al ait en el envío del informe semestral de las medidas implementadas para el cumplimiento de esta circular en el ait. En dicho informe se deberá: 1. Detallar si existió o no algún ataque o tentativa con fines de interferencia ilícita y las características de este y, 2. Presentar el reporte de prueba de penetración realizado por la unidad verificadora autorizada ( para esto, el aeropuerto deberá contar con contrato previo y vigente con una unidad verificadora autorizada por la afac). Se complementa con información del anexo técnico subpartida 7
Lote 8: Servicios integrales- campañas de concientizacion ( boletines de ciberseguridad ( first). El proveedor proporcionará información relevante a boletines de ciberseguridad, provenientes de un centro de respuesta a incidentes ( first) certificado internacionalmente, validando, generando y entregando información sobre amenazas cibernéticas en el entorno del aeropuerto internacional del tulum, con la finalidad de definir estrategias para la toma de decisiones en las áreas tecnológicas y de la alta dirección del a. I. T. Alcance: a. Boletín semanal o cuando surja alguna nueva actualización sobre principales amenazas registradas en el entorno de ciberseguridad. B. Descripción de amenazas. C. Recomendaciones preventivas. D. Remediaciones correctivas. Entregables ( valor del entregable 5%). Entrega de consecutivo mensual en formato digital. Esquema: el proveedor deberá realizar un listado actualizado de correos electrónicos de personal de it y seguridad del aeropuerto internacional del tulum para poder enviar los boletines de amenazas detectadas.
Lote 9: Servicios integrales- capacitación ( valor del entregable 5%) a. El proveedor brindará cuando menos 40 horas de capacitación mínimo de manera continua a cuando menos 3 personas de la gerencia de tics del aeropuerto internacional de tulum, conforme a al plan de capacitación acordado con el área de ciberseguridad del a. I. T. , misma que deberá proporcionarse por personal debidamente capacitado de acuerdo con los temas a tratarse, entregándose la constancia al personal participante con valor curricular. B. Un curso para una persona de itil v4 foundation de al menos 18 horas. C. Un curso cobit 5 foundation de al menos 20 horas. D. Un curso service desk manager v8 de al menos 16 horas. E. La capacitación dará inicio 20 días hábiles después de poner en marcha el objeto de la contratación del presente procedimiento. F. La capacitación será remota y se propondrá entre el proveedor y la gerencia de tic del aeropuerto internacional de tulum. G. Los cursos de capacitación deberán ser a través de una empresa externa dedicada a la capacitación en los cursos manifestados. H. El proveedor entregará un informe escrito y gráfico de las capacitaciones realizadas adjuntando las constancias de los cursantes.
