Entregado: 23/07/2020 | Entregó: Susana Matallana – Account Manager LATAM
CIBERSEGURIDAD EN LA ERA DE LA
TRANSFORMACIÓN DIGITAL
Estudio de Mercado Servicio Análisis de Vulnerabilidades y Preubas de Seguridad
Preparada para: Fernando A. Vargas Herrera
USPEC
Copyright 2020 by SecPro All rights reserved
2 2
1. Quienes somos ........................................... 4
2. Alcance e inversión del servicio ................. 5
3. Requisitos Previos ...................................... 9
4. Responsabilidades SecPro ........................ 10
5. Garantía ................................................... 11
Contenido
3
Bogotá D.C., 23 de julio del 2020
Señores: UNIDAD DE SERVICIOS PENITENCIARIOS Y CARCELARIOS - USPEC Fernando A. Vargas Herrera Técnico Operativo
Gracias por elegirnos para cubrir las necesidades de su empresa. Estamos seguros de que quedará satisfecho con los servicios que ofrecemos para el estudio de mercado. La información adjunta le ayudará a sacar el máximo partido de nuestros servicios. Si tiene preguntas e inquietudes, no dude en contactarnos para cualquier aclaración o ampliación de la información contenida en la presente propuesta.
Si sus necesidades cambian, no dude en hacérnoslo saber para que las evaluemos y le ofrezcamos los servicios de entrenamiento pertinentes con el fin de alcanzar los nuevos objetivos. De nuevo le agradecemos por habernos elegido.
Cordialmente,
Susana Matallana Santiago Account Manager LATAM [email protected] Calle 94A N°11A-50 Of. 104 Bogotá D.C, Colombia Teléfono: +57 (1) 7293165 Móvil: +57 3152365963
4
Más de 10 años en el
mercado
60 proyectos al año con
100% de satisfacción
Más 150 conferencias
Presencia en más de 50 eventos internacionales
Más de 2000 personas
capacitadas
1. Quienes somos Somos una compañía líder en la prestación de servicios y soluciones integrales en Seguridad Informática y Computo Forense. Nuestra misión es ofrecer a nuestros clientes las soluciones de Ciberseguridad que apoyen el desarrollo sostenible de sus organizaciones. Para lograr esta misión, hemos desarrollado, estructurado y afianzado un Portafolio de Soluciones de Ciberseguridad, basado en un Modelo de Seguridad Corporativa, orientado a descubrir, prevenir, controlar, neutralizar y disminuir los eventos que representan riesgo de alteración, perdida o indisponibilidad de la información, así como de los sistemas de información que se emplean para permitir el acceso autorizado a la misma dentro de la organización. Contamos con un amplio portafolio conformado por soluciones soportadas por una sólida infraestructura de Servicios Profesionales, la cual está basada en un equipo humano de Consultores e Ingenieros expertos que cuentan con las más reconocidas certificaciones internacionales entregadas por la Industria de Seguridad de la Información y amplia experiencia con empresas de diferentes sectores económicos en Latinoamérica. La oferta de SecPro es impulsada por la innovación y la evolución de las necesidades de nuestros clientes e incluye servicios en:
Ciberseguridad: servicios de diagnóstico, vigilancia digital y ICSOC.
Ciberdefensa: protección activa de servicios web. Informática forense. Estrategia de seguridad. Outsourcing de Seguridad Informática. Educación/Formación.
Buscamos establecer alianzas a largo plazo con nuestros clientes, proporcionándoles servicios que les permitan reducir los niveles de riesgo y fraude a los que las organizaciones están expuestas, a través de la implementación de estrategias de protección y control que les ayuden a alcanzar sus objetivos de negocio y optimizar la rentabilidad de sus inversiones en Ciberseguridad.
5
2. Alcance e inversión del servicio
REQUERIMIENTOS TÉCNICOS MÍNIMOS
Ítem Descripción Requerimientos Valor
1
Prestación y suministro de servicios profesionales especializados orientados a la ejecución de ejercicios de la
disciplina de Ethical Hacking/Pentesting para los siguientes servicios tecnológicos y con los siguientes
requerimientos mínimos:
- Red alámbrica e inalámbrica: Ejercicio de Caja Negra. Evaluar la seguridad de los servicios de red instalados y
configurados en la USPEC, mediante la aplicación de por lo menos los siguientes métodos: Identificación de
debilidad de longitud de claves, vulneración de claves a través de ataques de fuerza bruta, WiFi Spoofing (Evil
Twins), DoS WiFi, y cualquier otro método que se considere con el objetivo de obtener acceso no autorizado a
cada uno de los servicios de red. En caso de lograr acceso arbitrario a la red de la entidad, se deben ejecutar
pruebas de enumeración de puertos, Packet-sniffing, Man-in-the-Middle, o cualquier otro mecanismo que
pueda llegar a lograr ser usado para intentar acceder a servicios de equipos y servidores en red y que permitan
evidenciar el tipo de exposición al que la entidad pueda estar vulnerable.
- Directorio Activo: Ejercicio de Caja Gris. Ejecutar como mínimo estas pruebas de evaluación de la seguridad;
Enumeración y abuso de privilegios de dominio, escalada de privilegios (aplicaciones y servicios locales),
extracción de contraseñas, movimientos laterales, password cracking al menos a 200 usuarios de la red.
Adicionalmente se deberán ejecutar por lo menos 2 pruebas diferentes y adicionales que se consideren
relevantes para este servicio.
- Aplicaciones web institucionales (6 aplicaciones web distribuidas en 6 servidores Web con sus respectivos
servidores de bases de datos): Ejercicio de Caja Gris. El proceso de ejecución de Ethical Hacking para
aplicaciones web debe estar enfocado en el marco de referencia de vulnerabilidades de Aplicaciones Web
OWASP Security Knowledge Framework y/o Top Ten OWASP, para este ejercicio se deberá informar las
pruebas específicas a realizar y su objetivo.
Se deberán entregar informes individuales de cada uno de los ejercicios ejecutados, donde se expongan a
través de capturas de pantalla secuenciales y/o videos los resultados de las pruebas realizadas a los
correspondientes servicios o activos atacados.
$29.620.000
6
REQUERIMIENTOS TÉCNICOS MÍNIMOS
Ítem Descripción Requerimientos Valor
2
Ejecución de análisis de vulnerabilidades a 50 IP correspondientes a activos de la infraestructura tecnológica
de USPEC (45 IP internas - 5 IP externas), Estas direcciones IP pueden ser de diferentes activos tecnológicos
(servidores, dispositivos de red, estaciones de trabajo, DB, APPs, etc.) que a su vez operan sobre diferentes
versiones de Sistemas Operativos. De las 5 IP externas, 2 corresponden a activos ubicados en una nube
pública.
La actividad de análisis de vulnerabilidades debe ser ejecutada de tal manera que las vulnerabilidades
identificadas NO sean producto únicamente de enumeración de puertos, por lo cual se deberán usar
herramientas licenciadas que permitan identificar vulnerabilidades comprobadas. Las herramientas usadas
para el desarrollo del análisis de vulnerabilidades deberán estar homologadas por el CVE (Common
Vulnerabilities and Exposures) y la corporación Mitre, además deberán estar actualizadas a la fecha de su
utilización, el licenciamiento de las mismas debe ser propiedad del proponente.
Se debe entregar un informe que contenga en analisis de todas las vulnerabilidades comprobadas de los
activos evaluados. El informe entregado debe proveer la información específica de las vulnerabilidades que
representan un alto riesgo y que pueden ser aprovechadas para la ejecución de exploits o que pueden ser
fácilmente explotadas a través de la ejecución arbitraria de programas o acciones especializadas.
$10.710.000
3
Ejecución de por lo menos 5 pruebas de Pentesting con objetivo a vulnerabilidades catalogadas como
extremas y/o altas encontradas en diferentes activos críticos que se hayan determinado explotables durante el
ejercicio de Análisis de Vulnerabilidades. Se debe realizar la planeación y ejecución de las actividades de
intrusión.
$21.100.000
4
Elaborar, presentar y sustentar para aprobación de la Oficina de Tecnología el Plan de remediación. Éste debe
incluir la totalidad de las vulnerabilidades y debilidades identificadas como resultado de los ejercicios de
Ethical Hacking, pruebas de vulnerabilidad y Pentesting, categorizadas de acuerdo a su impacto y riesgo en
función de probabilidad de explotación en por lo menos las siguientes categorías: Extrema, Alta, Media y Baja,
así como todas las recomendaciones requeridas para la mitigación y/o remediación de dichas vulnerabilidades.
Los informes
derivados del
servicio hacen
parte de la
metodología, pr
ende, no se cobra
como un item
aparte.
7
REQUERIMIENTOS TÉCNICOS MÍNIMOS
Ítem Descripción Requerimientos Valor
5
Proveer acompañamiento y asesoría técnica a la USPEC para la ejecución del plan de remediación de
vulnerabilidades y debilidades en las aplicaciones y servicios. El acompañamiento y asesoría en la remediación
se debe suministrar en la modalidad de bolsa de horas, por lo tanto la entidad requiere la provisión de hasta
100 horas en el marco de lo cual, el contratista debe proveer el(los) profesional(es) experto(s) que se
considere(n) para apoyar la ejecución del plan de remediación (proceso de hardening) de la infraestructura
tecnológica evaluada (servicios y activos). Estas horas y el apoyo al plan de remediación, podrán ser orientadas
también al fortalecimiento de capacidades técnicas para el personal de la USPEC y en dado caso de requerirse,
jornadas de sensibilización en seguridad informatica, de la información y ciberseguridad para funcionarios y
contratistas de la USPEC.
Nota: En el evento en que no se ejecuten la totalidad de horas de la bolsa de horas contratadas, para la
tasación del consumo de estas horas, la entidad pagará únicamente el valor correspondiente de las horas
consumidas, lo cual se calculará sobre el valor de la hora unitaria por la cantidad de horas que se consuman,
esto teniendo en cuenta que para la entidad es imposible determinar las horas reales que se requieren para
mitigar o remediar las vulnerabilidades, sabiendo que no se puede establecer una proyección de las
remediaciones que se vayan a requerir en función de la vulnerabilidades que se vayan a encontrar.
$21.100.000
6 Ejecución de Retest de analisis de vulnerabilidades a todos los activos evaluados (50 IP).
El Retest hace
parte de nuestra
metodología, por
ende, no se cobra
como un ítme
aparte.
7
EQUIPO MÍNIMO DE TRABAJO
Especialista en pruebas, análisis y/o investigación en seguridad informática y/o de la información.
Ingeniero de sistemas o electrónico o de Telecomunicaciones o Telemática o Carreras afines graduado, quien
deberá certificar:
- Experiencia de mínimo cinco (5) años como consultor, analista, coordinador o contratista en seguridad
informática y/o seguridad de la información, cargos en los cuales debe demostrar mediante sus certificaciones
que ha ejecutado proyectos relacionados con ejecución de Pruebas de Vulnerabilidad y/o análisis y gestión de
vulnerabilidades y/o test de penetración y/o pruebas de ethical hacking a infraestructuras tecnológicas, estas
certificaciones deben ser posteriores a 2014.
- Contar con al menos tres (3) de la siguientes certificaciones:
Certificaciones en Seguridad
a. CISSP Certified Information Systems Security Professional o CISM Certified Information Security
El equipo de
trabajo hace parte
de la nómina de
SecPro.
8
REQUERIMIENTOS TÉCNICOS MÍNIMOS
Ítem Descripción Requerimientos Valor
Management o CISA Certified Information Systems Auditor o CRISC Certified in Risk and Information Systems
Control o Auditor interno en ISO 27001;2013 o Auditor líder en ISO 27001:2013.
b. CEH Certified Ethical Hacking (Como mínimo una de las últimas 2 versiones vigentes a febrero de 2020 (CEH
v9 o v10).
c. ECSA/LPT - Ec Council Certified Security Analyst o Licenced Penetration Tester.
d. CDFE - Certified Digital Forensics Examiner.
e. CompTIA Security+ Certified.
f. CHFI – Computer Hacking Forensic Investigator.
g. OSCP - Offensive security Certified Professional
h. CPTE Certified Pentester Engineer.
Este personal debe estar vinculado directamente a la(s) compañía(s) representada(s) por el proponente, para
lo cual deberá demostrar mediante certificación su vinculación laboral.
Además del personal relacionado anteriormente, el proponente deberá contar con los profesionales
adicionales que se requieran durante la ejecución del contrato y proveer los servicios de estos a la entidad
para cumplir con el objeto del contrato tanto en su plazo como en calidad.
SSuUBTOTAL $ 82.530.000
IVA $ 15.680.700
TOTAL $ 98.210.700
Condiciones Comerciales Los anteriores valores están dados en Pesos Colombianos. Se debe incluir el Valor del IVA. No Incluye viáticos.
Forma de Pago y Facturación La forma de pago se hará de la siguiente forma:
100% del valor del servicio análisis de vulnerabildiades contra estrega del informe técnico como resultado del Test. 100% del valor del servicio preubas de penetración contra estrega del informe técnico como resultado del Test. 100% del valor de la bolsa de horas contra legalización del contrato. Forma de pago: Factura a 30 días calendario a partir de su radicación.
Vigencia La presente oferta tiene una vigencia de 30 días calendario a partir de su presentación.
9
3. Requisitos Previos
Suministrar Información Adicional que se requiera por parte de SecPro.
Establecer las fechas y horarios de ejecución del servicio con la persona a
cargo del proyecto designada por el cliente.
Para el caso de las pruebas internas de forma remota, el cliente deberá suministrar la conexión por VPN con acceso a
las diferentes IPs.
Establecer las reglas de partida antes de iniciar las pruebas y firmar el acuerdo de confidencialidad.
10
4. Responsabilidades SecPro
Ejecutar el servicio de acuerdo con lo establecido en la presente propuesta.
Retroalimentar a los clientes sobre cualquier consulta o aclaración en cuanto al servicio.
Monitorear el avance de las actividades y reportar cualquier novedad relacionada con el servicio prestado.
Mantener la confidencialidad del
servicio durante y después de la prestación de este.
Determinar las reglas de combate (o reglas de
partida) en conjunto con el cliente.
Entregar los informes especificados en el numeral
de Entregables.
11
5. Garantía SecPro garantiza que: (i) los Servicios se realizarán de manera profesional y que ninguno de dichos Servicios son o serán incompatibles con cualquier obligación que SecPro pueda tener con los terceros; (ii) todo el trabajo bajo esta propuesta será trabajo original de SecPro y ninguno de los Servicios, Invenciones o cualquier desarrollo, uso, producción, distribución o explotación de los mismos infringirá, o violará cualquier propiedad intelectual u otro derecho de cualquier persona o entidad; (iii) SecPro tiene el derecho total de proporcionar a la Compañía Cliente los derechos previstos en este documento; (iv) SecPro deberá cumplir con todas las leyes aplicables y las reglas de seguridad de la Compañía Cliente en el curso de la prestación de los Servicios y (v) si el trabajo de SecPro requiere una licencia, SecPro ha obtenido esa licenci a y la licencia está en pleno vigor y efecto.
12
SECPRO HEADQUARTER Calle 94A N°11A-50 Of. 104 Teléfono: +57 (1) 7293165 Bogotá D.C, Colombia SECPRO WEBSITE http://www.secpro.co SECPRO LEARNING PLATFORM https://secpro.online SECPRO CTO YOUTUBE CHANNEL http://bit.ly/2rag5Kq SECPRO CTO TWITTER @davidpereiracib SECPRO SUPPORT Email: [email protected] FEEDBACK Email: [email protected]
Top Related