FEDERACIÓN COLOMBIANA DE MUNICIPIOS- DIRECCIÓN NACIONAL SIMIT

Transcripción

1 FEDERACIÓN COLOMBIANA DE MUNICIPIOS- DIRECCIÓN NACIONAL SIMIT Formato No. 1 PROPUESTA ECONÓMICA Prestar a la Federación Colombiana de Municipios - Dirección Nacional Simit, sus servicios de consultoría, en el Sistema de Gestión de Seguridad de la Información (SGSI) para el Sistema Integrado de Información Sobre Multas y Sanciones por Infracciones de Tránsito Simit. ENTIDAD FECHA SERVICIO ACTIVIDAD Y/O REQUISITO VALOR IVA INCLUIDO 1) Personal 1 Director de seguridad (Ciso) 1 Consultor Ethical Hacking 1 Consultor Tecnología de la Información 1 Auxiliar Seguridad de la Información 2) Identificación de vulnerabilidades 3) Capacitación, concientización y sensibilización 4) Asesoría permanente Realizar dos (2) Ethical Hacking externo y un (1) Ethical Hacking interno bajo la metodología OWASP Una (1) capacitación en la vigencia del contrato. Diseñando un plan de concientización y sensibilización en seguridad de la información dirigida a un máximo de 100 funcionarios de la Federación Colombiana de Municipios. asesorar a la Federación Colombiana de Municipios sin límite de horas en los siguientes temas: fraudes electrónicos, análisis forense digital, ethical hacking, atención de incidentes y fraudes VALOR TOTAL IVA INCLUIDO

2 Nombres y apellidos del proponente o Representante Legal o su apoderado: Dirección Comercial del proponente: NIT: Teléfonos: Fax: Firma del Representante Legal

3 FEDERACIÓN COLOMBIANA DE MUNICIPIOS-DIRECCIÓN NACIONAL SIMIT FORMATO No. 2 - Condiciones Técnicas Proceso de Selección N. 011 de 2015 Concurso de Méritos CONDICIONES TÉCNICAS 1. Identificación de vulnerabilidades El proponente deberá contar con todos los sistemas (software y hardware) necesarios para realizar las pruebas de Ethical Hacking tanto internas como externas. Deberá garantizar que dichas pruebas no afectarán el funcionamiento del sistema ni de la infraestructura tecnológica de la Federación Colombiana de Municipios. Deberá contar con la autorización del supervisor del contrato para la fecha y hora de realización de cada prueba de Ethical Hacking. Realizar el análisis de vulnerabilidades para determinar las debilidades existentes de los servicios a nivel interno y externo, aplicando como mínimo las recomendaciones de la metodología OWAS Realizar la delimitación del perímetro y verificación de la red del Simit Evaluar la configuración de los firewalls, entre otros: Lista de acceso, análisis de los puertos y los servicios abiertos. Realizar prueba de intrusión en la red de área local (LAN) tanto alámbrica como inalámbrica y con base en esta determinar el estado actual de la infraestructura tecnológica. Realizar pruebas de Hacking Etico: Buffer-Overflows, descubrimiento de contraseñas a la fuerza, cracking de contraseñas sobre cuentas privilegiadas de Base de Datos, secuestro de sesiones, errores en aplicaciones o configuraciones débiles, entre otras. Realizar pruebas de penetración en la IPs públicas con el fin de determinar el estado actual de la infraestructura tecnológica y la seguridad de su interconexión, para ello la consultoría podrá utilizar diferentes herramientas de ataque de todos los rangos públicos. Realizar análisis de vulnerabilidades en los host del Simit incluyendo como mínimo: Pruebas de patchlevel, de sistemas operativos y aplicaciones Pruebas de registro de Windows

4 Pruebas de IDS-IPS (Intrusion Detection System-Intrusion Prevention System), Routers, Switches. Pruebas de Hosts y redes VPN Auditar prácticamente todo tipo de equipo Red, todo servicio TCP-UDP Escaneo de host virtuales Análisis externo e interno El oferente deberá entregar como producto de las pruebas realizadas como mínimo lo siguiente: Documento que contenga la metodología utilizada, resumen de actividades, principales hallazgos, conclusiones y recomendaciones. Documento técnico de seguridad. Que incluya como mínimo: o Descripción de las pruebas o Elemento evaluado o Listado de vulnerabilidades encontradas o Descripción de las vulnerabilidades y nivel de la criticidad. o Acciones de mitigación de las vulnerabilidades detectadas o Recomendaciones con el paso a paso para remediar cada vulnerabilidad. o Plan de acción para reducir las brechas encontradas Documento que contenga como mínimo: o Descripción de las tareas llevadas a cabo para cada una de las actividades o Información recopilada en el proceso o Conclusiones del estudio o Recomendaciones asociadas. o 2. Capacitación, concientización y sensibilización Previa iniciación ejecución del plan de sensibilización deberá contar con la aprobación de la Federación Colombiana de Municipios Dirección Nacional Simit. En caso de requerir logística o instalaciones externas, en ningún caso podrá trasmitir el costo de estas a la Federación Colombiana de Municipios. Todas las actividades que impliquen la asistencia de personal perteneciente a la Federación Colombiana de Municipios Dirección Nacional Simit deberá llevar un control de asistencia Realizar capacitaciones a un máximo de 100 funcionarios de la Federación Colombiana de Municipios Dirección Nacional Simit

5 3. Asesoría Permanente El Oferente deberá asistir a las reuniones en que la Federación Colombiana de Municipios Dirección Nacional Simit considere necesario. Realizar la revisión de los documentos que la Federación Colombiana Municipios Dirección Nacional Simit. Entregar los documentos o conceptos técnicos relacionados a seguridad de la información que la entidad le solicite. 4 Atención de Incidentes y Fraudes Realizar acompañamiento a la respuesta a cualquier incidente de seguridad de las áreas de la entidad. Con la presentación de la oferta los oferentes se comprometen al cumplimiento de las condiciones técnicas. 5 Personal 5.1 Consultor en sitio (CISO): Uno (1) El CISO (Chief Information Security Officer, o director de seguridad de la información) debe ser un ejecutivo de alto nivel responsable de alinear las iniciativas de seguridad con los programas corporativos y los objetivos de negocio, garantizando que los bienes y tecnologías de la información estén adecuadamente protegidos. Sus deberes y responsabilidades en el acompañamiento estratégico deben ser: Recomendar políticas relacionadas con la seguridad de la información. Supervisar el cumplimiento normativo en materia de seguridad de la información. Garantizar la privacidad de los datos. Administrar al Equipo de Respuesta ante Incidentes de seguridad. Supervisar la administración de identidades y acceso. Establecer y supervisar la arquitectura de seguridad de la organización. Llevar a cabo el descubrimiento electrónico y las investigaciones forenses digitales.

6 Trabajar con los actores para establecer los planes de recuperación de desastres (DR) y continuidad del negocio. 5.2 Dedicación horaria del equipo de trabajo Cantidad Perfil Horas 1 Director de Seguridad (CISO) 1 Consultor ethical Hacking 1 Consultor tecnología de la información 1 Auxiliar Seguridad de la información Nota: Con la presentación del presento formato garantizó el cumplimiento de las condiciones técnicas establecidas por la Federación Colombiana de Municipios para la ejecución del contrato. Nombres y apellidos del proponente o Representante Legal o su apoderado: Dirección Comercial del proponente: NIT: Teléfonos: Fax: Firma del Representante Legal

7 FEDERACIÓN COLOMBIANA DE MUNICIPIOS-DIRECCIÓN NACIONAL SIMIT FORMATO No. 3 experiencia adicional Proceso de Selección N. 011 de 2015 Concurso de Méritos EXPERIENCIA ADICIONAL 1) FACTORES DE EVALUACIÓN (Escala de 0 a Puntos) FACTORES DE EVALUACIÓN Experiencia específica adicional del proponente. Experiencia específica adicional del personal mínimo solicitado. Apoyo a la industria nacional Total puntaje PUNTAJE ASIGNADO 500 puntos 400 puntos 100 puntos puntos 1.1 Factores de ponderación del proponente (hasta 500 puntos) EXPERIENCIA ESPECÍFICA Y ADICIONAL DEL PROPONENTE (500 PUNTOS) CUMPLE OBSERVACIONES Experiencia Experiencia específica en fortalecimiento del SGSI. Experiencia específica en temas de gestión, prevención y manejo de riesgos Puntaje Asignado 300 puntos 200 puntos experiencia en fortalecimiento del SGSI EXPERIENCIA ESPECIFICA EN FORTALECIMIENTO DEL SGSI (300 PUNTOS) Hasta cien millones de pesos en moneda legal ($ oo). (100 puntos) Puntaje asignado

8 Hasta doscientos millones de pesos en moneda legal ($ oo). (150 puntos) Hasta trescientos millones de pesos en moneda legal ($ oo). (200 puntos) Hasta cuatrocientos millones de pesos en moneda legal ($ oo). (250 puntos Desde quinientos millones de pesos en moneda legal ($ oo) en adelante. (300 puntos) TOTAL Experiencia específica en temas de gestión, prevención y manejo de riesgos EXPERIENCIA ESPECIFICA EN GESTIÓN, PREVENCIÓN Y MANEJO DE RIESGOS (300 PUNTOS) Hasta cien millones de pesos en moneda legal ($ oo). (40 puntos) Hasta doscientos millones de pesos en moneda legal ($ oo). (80 puntos) Hasta trescientos millones de pesos en moneda legal ($ oo). (120 puntos) Puntaje asignado Hasta cuatrocientos millones de pesos en moneda legal ($ oo). (160 puntos) Desde quinientos millones de pesos en moneda legal ($ oo) en adelante. (200 puntos) TOTAL 1.2 Factores de ponderación del personal mínimo propuesto (hasta 400 puntos) EXPERIENCIA ESPECÍFICA Y ADICIONAL DEL PERSONAL MÍNIMO SOLICITADO (500 PUNTOS) CUMPLE OBSERVACIONES Requisitos adicionales Por cada certificación adicional Por cada año de experiencia adicional Puntaje Asignado 120 puntos 280 puntos

9 1.2.1 Por cada año de experiencia específica adicional presentada por el personal mínimo propuesto. CERTIFICACIONES ADICIONALES (120 PUNTOS) Certificación en ACFE (Asociación de Examinadores de Fraude Certificados). (40 puntos) Certificación en ACE (AccessData Certified Examiner). (40 puntos) Puntaje asignado Certificación en COBIT (Control Objectives for Information and related Technologies). (40 puntos) TOTAL Certificaciones adicionales presentadas por el personal mínimo propuesto (280 puntos) PERSONAL CRITERIO PUNTAJE MÁXIMO Consultor en Sitio 30 puntos por cada año de 150 puntos (CISO) experiencia específica adicional hasta un máximo Consultores en Seguridad de 150 puntos 26 puntos por cada año de experiencia específica adicional hasta un máximo de 130 puntos TOTAL 130 puntos CALIFICACIÓN

10 FORMATO No. 4 COMPROMISO CONFORMACIÓN DE UNIÓN TEMPORAL Bogotá, D. C., de de 2015 Señores FEDERACIÓN COLOMBIANA DE MUNICIPIOS Atn. DR. GILBERTO TORO GIRALDO Carrera 7 Nº 74 56/64 piso 18 Ciudad Ref. Proceso de selección número 011 de 2015, Concurso de méritos, cuyo objeto es Prestar a la Federación Colombiana de Municipios - Dirección Nacional Simit, sus servicios de consultoría, en el Sistema de Gestión de Seguridad de la Información (SGSI) para el Sistema Integrado de Información Sobre Multas y Sanciones por Infracciones de Tránsito Simit.. Los representantes, y, debidamente autorizados para actuar en nombre de, y, hemos convenido asociarnos en UNIÓN TEMPORAL para participar en la convocatoria del presente proceso de selección y por lo tanto manifestamos lo siguiente: 1. La duración de esta UNIÓN TEMPORAL será igual al plazo del contrato y un (1) año más. 2. La UNIÓN TEMPORAL está integrada por las siguientes personas que desarrollarán las actividades con los porcentajes de participación que a continuación se indican: NOMBRE ACTIVIDAD A EJECUTAR % de PARTICIPACIÓN (*) Discriminar actividades por ejecutar por parte de cada uno de los integrantes 3. La responsabilidad de los integrantes de la UNIÓN TEMPORAL será solidaria.

11 4. El representante de la UNIÓN TEMPORAL es, identificado con cédula de ciudadanía No de, quien está expresamente facultado para firmar, presentar la oferta y en caso de salir favorecidos con la adjudicación, para firmar el contrato y tomar todas las determinaciones que fueren necesarias al respecto, con amplias y suficientes facultades. En constancia se firma en a los días del mes de de NOMBRE Y FIRMA NOMBRE Y FIRMA C. C. No. C. C. No.

12 FORMATO No. 5 MODELO DE CARTA CONFORMACIÓN DE CONSORCIOS Bogotá D. C., de de 2015 Señores FEDERACIÓN COLOMBIANA DE MUNICIPIOS Ciudad Ref. Proceso de selección número 011 de 2015, Concurso de méritos, cuyo objeto es Prestar a la Federación Colombiana de Municipios - Dirección Nacional Simit, sus servicios de consultoría, en el Sistema de Gestión de Seguridad de la Información (SGSI) para el Sistema Integrado de Información Sobre Multas y Sanciones por Infracciones de Tránsito Simit.. Los representantes y, debidamente autorizados para actuar en nombre de y, hemos convenido asociarnos en CONSORCIO para participar en el presente proceso de selección, y por lo tanto manifestamos lo siguiente: 1. La duración de este consorcio será igual al término estimado del plazo del contrato y un (1) año más. 2. El consorcio está integrado así: (NOMBRE PORCENTAJE DE PARTICIPACIÓN). 3. La responsabilidad de los integrantes del consorcio es solidaria, ilimitada y mancomunada. 4. El representante del consorcio es, identificado con cédula de ciudadanía No de, quien está expresamente facultado para firmar, presentar la propuesta y en caso de salir favorecidos con la adjudicación, para firmar el contrato y tomar todas las determinaciones que fueren necesarias al respecto, con amplias y suficientes facultades. En constancia se firma en a los días del mes de de NOMBRE Y FIRMA NOMBRE Y FIRMA C. No. C. C. No.

13 FORMATO No. 6 FACTOR DE EVALUACION DE APOYO A LA INDUSTRIA NACIONAL (LEY 816/2003) Bogotá D. C., de de Señores FEDERACIÓN COLOMBIANA DE MUNICIPIOS Atención doctor GILBERTO TORO GIRALDO Carrera 7 Nº 74-56/64 piso 18 Ciudad Ref. Proceso de selección número 011 de 2015, Concurso de méritos, cuyo objeto es Prestar a la Federación Colombiana de Municipios - Dirección Nacional Simit, sus servicios de consultoría, en el Sistema de Gestión de Seguridad de la Información (SGSI) para el Sistema Integrado de Información Sobre Multas y Sanciones por Infracciones de Tránsito Simit.. Diligenciar en el cuadro siguiente el porcentaje que aplica para los servicios de origen nacional o extranjero ofrecidos en la propuesta: En mi calidad de representante legal de la firma, certifico que el porcentaje de recurso humano es el siguiente: Factor de apoyo a la industria nacional Menos del 50% del recurso humano nacional. 0 puntos 50% recurso humano nacional 50 puntos 51% al 99% del recurso humano nacional. 70 puntos 100% recurso humano nacional 100 puntos Firma Representante Legal C.C.