Entregado: 23/07/2020 | Entregó: Susana Matallana – Account Manager LATAM

CIBERSEGURIDAD EN LA ERA DE LA

TRANSFORMACIÓN DIGITAL

Estudio de Mercado Servicio Análisis de Vulnerabilidades y Preubas de Seguridad

Preparada para: Fernando A. Vargas Herrera

USPEC

Copyright 2020 by SecPro All rights reserved

2 2

1. Quienes somos ........................................... 4

2. Alcance e inversión del servicio ................. 5

3. Requisitos Previos ...................................... 9

4. Responsabilidades SecPro ........................ 10

5. Garantía ................................................... 11

Contenido

3

Bogotá D.C., 23 de julio del 2020

Señores: UNIDAD DE SERVICIOS PENITENCIARIOS Y CARCELARIOS - USPEC Fernando A. Vargas Herrera Técnico Operativo

Gracias por elegirnos para cubrir las necesidades de su empresa. Estamos seguros de que quedará satisfecho con los servicios que ofrecemos para el estudio de mercado. La información adjunta le ayudará a sacar el máximo partido de nuestros servicios. Si tiene preguntas e inquietudes, no dude en contactarnos para cualquier aclaración o ampliación de la información contenida en la presente propuesta.

Si sus necesidades cambian, no dude en hacérnoslo saber para que las evaluemos y le ofrezcamos los servicios de entrenamiento pertinentes con el fin de alcanzar los nuevos objetivos. De nuevo le agradecemos por habernos elegido.

Cordialmente,

Susana Matallana Santiago Account Manager LATAM susana.matallana@secpro.org Calle 94A N°11A-50 Of. 104 Bogotá D.C, Colombia Teléfono: +57 (1) 7293165 Móvil: +57 3152365963

4

Más de 10 años en el

mercado

60 proyectos al año con

100% de satisfacción

Más 150 conferencias

Presencia en más de 50 eventos internacionales

Más de 2000 personas

capacitadas

1. Quienes somos Somos una compañía líder en la prestación de servicios y soluciones integrales en Seguridad Informática y Computo Forense. Nuestra misión es ofrecer a nuestros clientes las soluciones de Ciberseguridad que apoyen el desarrollo sostenible de sus organizaciones. Para lograr esta misión, hemos desarrollado, estructurado y afianzado un Portafolio de Soluciones de Ciberseguridad, basado en un Modelo de Seguridad Corporativa, orientado a descubrir, prevenir, controlar, neutralizar y disminuir los eventos que representan riesgo de alteración, perdida o indisponibilidad de la información, así como de los sistemas de información que se emplean para permitir el acceso autorizado a la misma dentro de la organización. Contamos con un amplio portafolio conformado por soluciones soportadas por una sólida infraestructura de Servicios Profesionales, la cual está basada en un equipo humano de Consultores e Ingenieros expertos que cuentan con las más reconocidas certificaciones internacionales entregadas por la Industria de Seguridad de la Información y amplia experiencia con empresas de diferentes sectores económicos en Latinoamérica. La oferta de SecPro es impulsada por la innovación y la evolución de las necesidades de nuestros clientes e incluye servicios en:

Ciberseguridad: servicios de diagnóstico, vigilancia digital y ICSOC.

Ciberdefensa: protección activa de servicios web. Informática forense. Estrategia de seguridad. Outsourcing de Seguridad Informática. Educación/Formación.

Buscamos establecer alianzas a largo plazo con nuestros clientes, proporcionándoles servicios que les permitan reducir los niveles de riesgo y fraude a los que las organizaciones están expuestas, a través de la implementación de estrategias de protección y control que les ayuden a alcanzar sus objetivos de negocio y optimizar la rentabilidad de sus inversiones en Ciberseguridad.

5

2. Alcance e inversión del servicio

REQUERIMIENTOS TÉCNICOS MÍNIMOS

Ítem Descripción Requerimientos Valor

1

Prestación y suministro de servicios profesionales especializados orientados a la ejecución de ejercicios de la

disciplina de Ethical Hacking/Pentesting para los siguientes servicios tecnológicos y con los siguientes

requerimientos mínimos:

- Red alámbrica e inalámbrica: Ejercicio de Caja Negra. Evaluar la seguridad de los servicios de red instalados y

configurados en la USPEC, mediante la aplicación de por lo menos los siguientes métodos: Identificación de

debilidad de longitud de claves, vulneración de claves a través de ataques de fuerza bruta, WiFi Spoofing (Evil

Twins), DoS WiFi, y cualquier otro método que se considere con el objetivo de obtener acceso no autorizado a

cada uno de los servicios de red. En caso de lograr acceso arbitrario a la red de la entidad, se deben ejecutar

pruebas de enumeración de puertos, Packet-sniffing, Man-in-the-Middle, o cualquier otro mecanismo que

pueda llegar a lograr ser usado para intentar acceder a servicios de equipos y servidores en red y que permitan

evidenciar el tipo de exposición al que la entidad pueda estar vulnerable.

- Directorio Activo: Ejercicio de Caja Gris. Ejecutar como mínimo estas pruebas de evaluación de la seguridad;

Enumeración y abuso de privilegios de dominio, escalada de privilegios (aplicaciones y servicios locales),

extracción de contraseñas, movimientos laterales, password cracking al menos a 200 usuarios de la red.

Adicionalmente se deberán ejecutar por lo menos 2 pruebas diferentes y adicionales que se consideren

relevantes para este servicio.

- Aplicaciones web institucionales (6 aplicaciones web distribuidas en 6 servidores Web con sus respectivos

servidores de bases de datos): Ejercicio de Caja Gris. El proceso de ejecución de Ethical Hacking para

aplicaciones web debe estar enfocado en el marco de referencia de vulnerabilidades de Aplicaciones Web

OWASP Security Knowledge Framework y/o Top Ten OWASP, para este ejercicio se deberá informar las

pruebas específicas a realizar y su objetivo.

Se deberán entregar informes individuales de cada uno de los ejercicios ejecutados, donde se expongan a

través de capturas de pantalla secuenciales y/o videos los resultados de las pruebas realizadas a los

correspondientes servicios o activos atacados.

$29.620.000

6

REQUERIMIENTOS TÉCNICOS MÍNIMOS

Ítem Descripción Requerimientos Valor

2

Ejecución de análisis de vulnerabilidades a 50 IP correspondientes a activos de la infraestructura tecnológica

de USPEC (45 IP internas - 5 IP externas), Estas direcciones IP pueden ser de diferentes activos tecnológicos

(servidores, dispositivos de red, estaciones de trabajo, DB, APPs, etc.) que a su vez operan sobre diferentes

versiones de Sistemas Operativos. De las 5 IP externas, 2 corresponden a activos ubicados en una nube

pública.

La actividad de análisis de vulnerabilidades debe ser ejecutada de tal manera que las vulnerabilidades

identificadas NO sean producto únicamente de enumeración de puertos, por lo cual se deberán usar

herramientas licenciadas que permitan identificar vulnerabilidades comprobadas. Las herramientas usadas

para el desarrollo del análisis de vulnerabilidades deberán estar homologadas por el CVE (Common

Vulnerabilities and Exposures) y la corporación Mitre, además deberán estar actualizadas a la fecha de su

utilización, el licenciamiento de las mismas debe ser propiedad del proponente.

Se debe entregar un informe que contenga en analisis de todas las vulnerabilidades comprobadas de los

activos evaluados. El informe entregado debe proveer la información específica de las vulnerabilidades que

representan un alto riesgo y que pueden ser aprovechadas para la ejecución de exploits o que pueden ser

fácilmente explotadas a través de la ejecución arbitraria de programas o acciones especializadas.

$10.710.000

3

Ejecución de por lo menos 5 pruebas de Pentesting con objetivo a vulnerabilidades catalogadas como

extremas y/o altas encontradas en diferentes activos críticos que se hayan determinado explotables durante el

ejercicio de Análisis de Vulnerabilidades. Se debe realizar la planeación y ejecución de las actividades de

intrusión.

$21.100.000

4

Elaborar, presentar y sustentar para aprobación de la Oficina de Tecnología el Plan de remediación. Éste debe

incluir la totalidad de las vulnerabilidades y debilidades identificadas como resultado de los ejercicios de

Ethical Hacking, pruebas de vulnerabilidad y Pentesting, categorizadas de acuerdo a su impacto y riesgo en

función de probabilidad de explotación en por lo menos las siguientes categorías: Extrema, Alta, Media y Baja,

así como todas las recomendaciones requeridas para la mitigación y/o remediación de dichas vulnerabilidades.

Los informes

derivados del

servicio hacen

parte de la

metodología, pr

ende, no se cobra

como un item

aparte.

7

REQUERIMIENTOS TÉCNICOS MÍNIMOS

Ítem Descripción Requerimientos Valor

5

Proveer acompañamiento y asesoría técnica a la USPEC para la ejecución del plan de remediación de

vulnerabilidades y debilidades en las aplicaciones y servicios. El acompañamiento y asesoría en la remediación

se debe suministrar en la modalidad de bolsa de horas, por lo tanto la entidad requiere la provisión de hasta

100 horas en el marco de lo cual, el contratista debe proveer el(los) profesional(es) experto(s) que se

considere(n) para apoyar la ejecución del plan de remediación (proceso de hardening) de la infraestructura

tecnológica evaluada (servicios y activos). Estas horas y el apoyo al plan de remediación, podrán ser orientadas

también al fortalecimiento de capacidades técnicas para el personal de la USPEC y en dado caso de requerirse,

jornadas de sensibilización en seguridad informatica, de la información y ciberseguridad para funcionarios y

contratistas de la USPEC.

Nota: En el evento en que no se ejecuten la totalidad de horas de la bolsa de horas contratadas, para la

tasación del consumo de estas horas, la entidad pagará únicamente el valor correspondiente de las horas

consumidas, lo cual se calculará sobre el valor de la hora unitaria por la cantidad de horas que se consuman,

esto teniendo en cuenta que para la entidad es imposible determinar las horas reales que se requieren para

mitigar o remediar las vulnerabilidades, sabiendo que no se puede establecer una proyección de las

remediaciones que se vayan a requerir en función de la vulnerabilidades que se vayan a encontrar.

$21.100.000

6 Ejecución de Retest de analisis de vulnerabilidades a todos los activos evaluados (50 IP).

El Retest hace

parte de nuestra

metodología, por

ende, no se cobra

como un ítme

aparte.

7

EQUIPO MÍNIMO DE TRABAJO

Especialista en pruebas, análisis y/o investigación en seguridad informática y/o de la información.

Ingeniero de sistemas o electrónico o de Telecomunicaciones o Telemática o Carreras afines graduado, quien

deberá certificar:

- Experiencia de mínimo cinco (5) años como consultor, analista, coordinador o contratista en seguridad

informática y/o seguridad de la información, cargos en los cuales debe demostrar mediante sus certificaciones

que ha ejecutado proyectos relacionados con ejecución de Pruebas de Vulnerabilidad y/o análisis y gestión de

vulnerabilidades y/o test de penetración y/o pruebas de ethical hacking a infraestructuras tecnológicas, estas

certificaciones deben ser posteriores a 2014.

- Contar con al menos tres (3) de la siguientes certificaciones:

Certificaciones en Seguridad

a. CISSP Certified Information Systems Security Professional o CISM Certified Information Security

El equipo de

trabajo hace parte

de la nómina de

SecPro.

8

REQUERIMIENTOS TÉCNICOS MÍNIMOS

Ítem Descripción Requerimientos Valor

Management o CISA Certified Information Systems Auditor o CRISC Certified in Risk and Information Systems

Control o Auditor interno en ISO 27001;2013 o Auditor líder en ISO 27001:2013.

b. CEH Certified Ethical Hacking (Como mínimo una de las últimas 2 versiones vigentes a febrero de 2020 (CEH

v9 o v10).

c. ECSA/LPT - Ec Council Certified Security Analyst o Licenced Penetration Tester.

d. CDFE - Certified Digital Forensics Examiner.

e. CompTIA Security+ Certified.

f. CHFI – Computer Hacking Forensic Investigator.

g. OSCP - Offensive security Certified Professional

h. CPTE Certified Pentester Engineer.

Este personal debe estar vinculado directamente a la(s) compañía(s) representada(s) por el proponente, para

lo cual deberá demostrar mediante certificación su vinculación laboral.

Además del personal relacionado anteriormente, el proponente deberá contar con los profesionales

adicionales que se requieran durante la ejecución del contrato y proveer los servicios de estos a la entidad

para cumplir con el objeto del contrato tanto en su plazo como en calidad.

SSuUBTOTAL $ 82.530.000

IVA $ 15.680.700

TOTAL $ 98.210.700

Condiciones Comerciales Los anteriores valores están dados en Pesos Colombianos. Se debe incluir el Valor del IVA. No Incluye viáticos.

Forma de Pago y Facturación La forma de pago se hará de la siguiente forma:

100% del valor del servicio análisis de vulnerabildiades contra estrega del informe técnico como resultado del Test. 100% del valor del servicio preubas de penetración contra estrega del informe técnico como resultado del Test. 100% del valor de la bolsa de horas contra legalización del contrato. Forma de pago: Factura a 30 días calendario a partir de su radicación.

Vigencia La presente oferta tiene una vigencia de 30 días calendario a partir de su presentación.

9

3. Requisitos Previos

Suministrar Información Adicional que se requiera por parte de SecPro.

Establecer las fechas y horarios de ejecución del servicio con la persona a

cargo del proyecto designada por el cliente.

Para el caso de las pruebas internas de forma remota, el cliente deberá suministrar la conexión por VPN con acceso a

las diferentes IPs.

Establecer las reglas de partida antes de iniciar las pruebas y firmar el acuerdo de confidencialidad.

10

4. Responsabilidades SecPro

Ejecutar el servicio de acuerdo con lo establecido en la presente propuesta.

Retroalimentar a los clientes sobre cualquier consulta o aclaración en cuanto al servicio.

Monitorear el avance de las actividades y reportar cualquier novedad relacionada con el servicio prestado.

Mantener la confidencialidad del

servicio durante y después de la prestación de este.

Determinar las reglas de combate (o reglas de

partida) en conjunto con el cliente.

Entregar los informes especificados en el numeral

de Entregables.

11

5. Garantía SecPro garantiza que: (i) los Servicios se realizarán de manera profesional y que ninguno de dichos Servicios son o serán incompatibles con cualquier obligación que SecPro pueda tener con los terceros; (ii) todo el trabajo bajo esta propuesta será trabajo original de SecPro y ninguno de los Servicios, Invenciones o cualquier desarrollo, uso, producción, distribución o explotación de los mismos infringirá, o violará cualquier propiedad intelectual u otro derecho de cualquier persona o entidad; (iii) SecPro tiene el derecho total de proporcionar a la Compañía Cliente los derechos previstos en este documento; (iv) SecPro deberá cumplir con todas las leyes aplicables y las reglas de seguridad de la Compañía Cliente en el curso de la prestación de los Servicios y (v) si el trabajo de SecPro requiere una licencia, SecPro ha obtenido esa licenci a y la licencia está en pleno vigor y efecto.

12

SECPRO HEADQUARTER Calle 94A N°11A-50 Of. 104 Teléfono: +57 (1) 7293165 Bogotá D.C, Colombia SECPRO WEBSITE http://www.secpro.co SECPRO LEARNING PLATFORM https://secpro.online SECPRO CTO YOUTUBE CHANNEL http://bit.ly/2rag5Kq SECPRO CTO TWITTER @davidpereiracib SECPRO SUPPORT Email: SoporteVirtual@secpro.org FEEDBACK Email: info@secpro.org