ESTUDIOS PREVIOS ANÁLISIS DE CONVENIENCIA CONCURSO DE MÉRITOS ABIERTO CON PROPUESTA TÉCNICA SIMPLIFICADA CM-04-2013

1 ESTUDIOS PREVIOS ANÁLISIS DE CONVENIENCIA CONCURSO DE MÉRITOS ABIERTO CON PROPUESTA TÉCNICA SIMPLIFICADA CM-04-2013 29 de Noviembre de 2013 1. NECESIDAD QUE SE PRETENDE SATISFACER CON LA CONTRATACIÓN: El COPNIA es una autoridad pública encargada de la inspección, control y vigilancia del ejercicio de la ingeniería, de sus profesiones afines y de sus profesiones auxiliares, que actúa como tribunal de ética de acuerdo con los parámetros establecidos en la ley, para proteger a la sociedad del riesgo que conlleva el eventual mal ejercicio de las profesiones encomendadas; en tal sentido, la Dirección General se encarga de dirigir el desarrollo y aplicación de las políticas institucionales y ejecutar los planes, programas y proyectos que contribuyan al mejoramiento administrativo de la entidad en cumplimiento de la misión, visión y objetivos institucionales. El Consejo Profesional Nacional de Ingeniería COPNIA se encuentra en un periodo de modernización tecnológica. Este proceso de modernización implica que los sistemas de información estén expuestos a un número cada vez más elevado de amenazas que pueden ser vulnerables los activos críticos de información en diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el hacking o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia Entidad o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos. Organizaciones públicas y privadas han diseñado e implementado normas y procedimientos que orientan sobre el uso adecuado de las nuevas tecnologías para obtener el mayor beneficio y evitar el uso indebido de la mismas minimizando el riesgo sobre los bienes y servicios. En este sentido, las Políticas de Seguridad Informática, surgen como una herramienta organizacional para garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la Entidad de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías, y consecuentemente se debe educar a cada uno de los miembros de la Entidad sobre la importancia y sensibilidad de la información y servicios.

2 ISO 27001 es el estándar para la seguridad de la información, aprobado y publicado como estándar internacional por ISO e IEC actualizado en 2013 y especifica los requisitos necesarios para establecer, implantar, utilizar, monitorear y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) del Ciclo de Deming : PDCA o PHVA acrónimo de Plan, Do, Check, Act. (Planificar, Hacer, Verificar, Actuar). ISO ha reservado la serie de numeración 27000 para las normas relacionadas con sistemas de gestión de seguridad de la información, las demás son: ISO/IEC 27002 (objetivos de control y controles), ISO/IEC 27003 (guía de implantación de un SGSI), ISO/IEC 27004 (métricas y técnicas de medida de la efectividad de un SGSI), ISO/IEC 27005 (guía para la gestión del riesgo de seguridad de la información) e ISO/IEC 27006 (proceso de acreditación de entidades de certificación y el registro de SGSI). De acuerdo con lo expuesto, el COPNIA considera procedente adoptar un Sistema de Gestión de Seguridad de la Información (SGSI), teniendo presente los objetivos misionales, asegurando la disponibilidad y buen desempeño de la plataforma tecnológica y por ende de todos los procesos que soporta. La adecuada seguridad de la información requiere que se preste el servicio de consultoría en seguridad informática, basada en la norma ISO/IEC 27001, tendiente a identificar riesgos y vulnerabilidades de seguridad, auditar medidas de seguridad perimetral y puntos críticos de los procesos. 2. DESCRIPCIÓN DEL OBJETO, CON SUS ESPECIFICACIONES TÉCNICAS, IDENTIFICACIÓN DEL CONTRATO Y CONDICIONES GENERALES DEL CONTRATO A CELEBRAR: 2.1 OBJETO Consultoría para evaluar y realizar el diagnóstico del estado actual del Sistema de Gestión de Seguridad de la Información del COPNIA, la identificación de las actividades a desarrollar y la implementación del sistema basado en la norma ISO/IEC 27001:2013. 2.2 ESPECIFICACIONES TÉCNICAS 2.2.1 Obligaciones Generales Dentro de las obligaciones principales de la consultoría, está la de realizar un diagnóstico acorde con los requerimientos del COPNIA en materia de seguridad

3 informática, realizando las pruebas que permitan identificar riesgos y vulnerabilidades de seguridad, auditar medidas de seguridad perimetral, puntos críticos de los procesos y realizar las actividades necesarias para la implementación del Sistema de Gestión de Seguridad de la Información con base en lo dispuesto en la norma ISO/IEC 27001:2013 y las buenas prácticas de la serie ISO27002. Entregar al supervisor del contrato los documentos que sustenten el cumplimiento de las obligaciones, así como los archivos físicos y magnéticos de los informes que reflejen las actividades realizadas durante la ejecución del contrato. Mantener estricta reserva y confidencialidad sobre la información que conozca por causa o con ocasión de la ejecución del contrato. No instalar ni utilizar software, sin contar con la autorización previa y escrita de parte del supervisor del contrato. Entregar para cada pago, la certificación suscrita por el representante legal o el revisor fiscal, que acredite el cumplimiento del pago de aportes al sistema de seguridad social integral y parafiscales (Cajas de Compensación Familiar, Instituto Colombiano de Bienestar Familiar y Servicio Nacional de Aprendizaje), durante los últimos seis (6) meses, acorde con el artículo 50 de la Ley 789 de 2002. 2.2.2 Cargas de Trabajo del Equipo Mínimo Requerido Gerente de proyecto: Tiene a su cargo la planificación, dirección y coordinación del proyecto en todos sus aspectos, definiendo y concretando los objetivos, identificando las actividades a realizar, los recursos técnicos y de personal, los plazos y los costos requeridos para la ejecución del contrato. Se encargará de mantener permanente contacto con las Directivas de la Entidad, el Supervisor del contrato y demás personal que se requiera durante la ejecución del proyecto, y tomará las medidas preventivas y correctivas pertinentes para contrarrestar los riesgos que se detecten. SGSI Profesional Senior certificado como auditor líder en ISO 27000 y CISSP Se encargará de liderar los procesos de autoevaluación de controles, monitorear los indicadores de riesgo operacional, efectuar seguimiento a las bases de perdidas,

4 liderar el comité de control interno y riesgo operacional de la división de medios y monitorear el cumplimiento de los compromisos de auditoría, entre otros. Profesional Certificado en CEH V7 Tiene a su cargo adelantar las actividades tendientes a detectar las debilidades y vulnerabilidades en los sistemas, utilizando para ello, el mismo conocimiento y herramientas de un hacker malicioso, con el fin de generar las herramientas de prevención que requiere el sistema. Consultor Certificado Auditor Líder. ISO 27001 Se encargará de todos los aspectos que conlleven a que el Sistema de Gestión de Seguridad de la Información del COPNIA esté conforme a la norma ISO 27001, realizando la planificación, el desarrollo y el cierre de la auditoría interna sobre el sistema. 2.2.3 Plan de Trabajo ÍTEM DESCRIPCIÓN 1. Revisión y ajustes de las políticas de seguridad de la información. Las políticas normas y procedimientos deberán revisarse y definirse teniendo como marco de 1.1. referencia normas y estándares internacionales, en especial la norma ISO/IEC 27001 y contemplando sus once dominios 1.2. El sistema SGSI deberá estar integrado con sistema de control de calidad del COPNIA. 1.3. Revisar la documentación existente, en particular el documento de políticas de seguridad de la información con miras a la redefinición de las mismas. El proponente deberá definir los procesos para la continuidad y el mantenimiento del esquema de 1.4. políticas de seguridad, a través de la definición de los procedimientos necesarios para el manejo de documentación, control de cambios y versiones, definiendo los roles y las responsabilidades del personal involucrado en el mantenimiento de las políticas de seguridad 1.5 Revisión de los puntos críticos en las fallas de los procesos misionales de la entidad. 2. Revisión y ajustes al enfoque para la valoración de riesgos 2.1. Identificar y revisar la documentación existente sobre el enfoque actual de gestión de riesgos 2.2. Definir la metodología para la gestión de riesgos del SGSI 2.3. Definir los criterios de Valoración de Riesgos del SGSI 2.4. Definir los criterios de para la aceptación de los riesgos, y los niveles de riesgos aceptable 2.5. Informe y valoración del riesgo resultante de aplicar la metodología de evaluación. 3. Análisis Gap 3.1. Revisión de la estructura metodológica y de control de la entidad, teniendo como marco de referencia la norma ISO/IEC 27001:2013. 3.2. Revisar la documentación existente del SGSI 3.3. Revisión y análisis de controles y brechas de seguridad para cada uno de los proceso. 3.4. Agrupar cada una de las categorías de análisis documentadas en Pilares junto con aspectos fundamentales de interés y relevancia 3.5. Hacer Auditorías y Trazabilidad de Registros

5 3.6. Efectuar un análisis de los controles implementados actualmente, para determinar si son o no adecuados 3.7. Detallar planes de acción para reducir las brechas encontradas 3.8. Informe ejecutivo con los resultados El proponente debe entregar el documento de declaración de aplicabilidad, que contenga la lista de 3.9. los controles identificados, y haciendo las excepciones respectivas para aquellos controles propuestos por la norma que no aplican en la entidad. 4. Pruebas de vulnerabilidades 4.1. Realizar la pruebas de Vulnerabilidades y de Étical Hacking mínimo para 5 IPs. 4.2. Análisis de las pruebas y preparación de informes de resultado 4.3. Presentación y entrega de los informes con resultados 4.4. Presentación y entrega de planes de acción para reducir las brechas encontradas 4.5. Acompañamiento en la Remediación 4.6. Entregar el orden de prioridad de los riesgos encontrados 4.7. Entregar recomendaciones paso a paso para remediar cada vulnerabilidad 4.8. Generar reportes detallados y ejecutivos incluyendo debilidades potenciales y riesgos de red, tendencias y análisis comparativos; 4.9. Pruebas en el patchlevel de OS; 4.10. Pruebas en el patchlevel de Aplicaciones 4.11. Pruebas de registros de Windows; 4.12. Soporte para fuentes de datos customizadas 4.13. Soporte para SMB y pruebas locales de SSH 4.14. Pruebas de Firewalls, IDS, routers, and switches 4.15. Pruebas de Hosts y redes VPN 4.16. Pruebas de Hosts y redes inalámbricas 4.17. Audita prácticamente todo tipo de equipo de red 4.18. Audita prácticamente todo servicio TCP o UDP 4.19. Escaneo de host Virtual 4.20. Busca por más de vulnerabilidades 4.21. Análisis Externo e Interno 4.22. Las herramientas usadas deben ser certificadas ASV 5. Pruebas de Étical Hacking Seguir las recomendaciones del OSSTMM (The Open Source Security TestingMethodology Manual), 5.1. la cual es una metodología orientada a la ejecución de pruebas de seguridad y establecimiento de métricas de seguridad; 5.2. Buffer Overflows sobre Servicios 5.3. Descubrimiento de Passwords a Fuerza. Bruta directamente contra servicios y aplicaciones 5.4. Cracking de passwords sobre cuentas privilegiadas en bases de datos obtenidas directamente de los sistemas objetivo; 5.5. Secuestro de sesiones si es posible y apropiado 5.6. Errores en aplicaciones o configuraciones débiles que permitan acciones no apropiadas 5.7. Informe de Pruebas de Étical Hacking 6. Análisis BIA 6.1. Identificar y clasificar según su impacto aquellos procesos que son misionales para el negocio 6.2. Determinar el tiempo objetivo de recuperación de los procesos RTO 6.3. Determinar el punto objetivo de recuperación de los procesos RPO 6.4. Identificar los recursos y requerimientos mínimos de recuperación para cada proceso misional 6.5. Informe del análisis BIA 7. Identificar y clasificar los activos de información

6 7.1. Identificar y generar un inventario y clasificación de los activos de información con base a metodología definida 7.2. Se deberá definir las escalas y criterios de calificación de la confidencialidad de los activos de información 7.3. Se deberán definir y documentar el proceso metodológico las escalas y criterios de calificación de la confidencialidad de los activos de información 7.4. Determinar los datos y CIs de la información 7.5. Construir la matriz con inventario de clasificación de activos según plantillas e instructivos en el cual se deberá identificar además el propietario de la información. 7.6. Determinar Flujos, Roles, Aplicaciones y Funciones de Negocio en el uso de la información 7.7. Identificar los métodos de almacenamiento de la información sensitiva de la organización 7.8. Identificar los riesgos de Confidencialidad Vs Canales 7.9. Revisar la política y procedimiento frente a las necesidades y los riesgos 7.10. Identificación de los mecanismos de protección existentes 7.11 Valorar el Impacto de los riesgos. 7.12. Estimar los niveles de Riesgo. 7.13. Identificar los mecanismos de protección recomendados 7.14. Definir las estrategias de prevención y control de fuga de información 8. Identificar y clasificar los riesgos de seguridad de la información Identificar las amenazas asociadas a los activos de información de la entidad de acuerdo a la 8.1. metodología definida para determinar la probabilidad de la materialización ante vulnerabilidades y determinar el impacto que puede ocasionar en la entidad. 8.2. Revisar documentación preexistente del SGSI 8.3. Hacer Sesiones de análisis 8.4. Identificar los activos involucrados 8.5. Identificar Amenazas y sus fuentes. 8.6. Clasificar Amenazas 8.7. Identificar las vulnerabilidades que pueden ser explotadas por las amenazas y que pueden causar daño a la organización 8.8. Identificar el Impacto de la pérdida de confidencialidad, disponibilidad e integridad de la información en los activos y en la continuidad de negocio 8.9. Evaluar el impacto en la organización al ocurrir los diferentes escenarios de incidentes 8.10. Analizar la probabilidad de ocurrencia de los escenarios de incidentes Efectuar un análisis cualitativo, medir el desempeño y la capacidad de los controles que han sido 8.11. implementados y de los que se planean implementar para minimizar, eliminar o controlar una amenaza que se puede materializar 9. Plan de tratamiento de riesgos 9.1. El proponente deberá realizar la matriz de riesgo 9.2. El proponente deberá proponer un plan con las recomendaciones, actividades y acciones necesarias para la implementación o mejora de los controles sobre riesgos identificados 9.3. Identificar y evaluar las opciones para el tratamiento de los riesgos 9.4. Declaración de aplicabilidad SOA-Statement of Applicability ; documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de valoración y tratamiento de riesgo, justificando inclusiones y exclusiones 10. Implementación 10.1 Hacer la revisión y afinamiento de la política de seguridad informática y demás documentos del SGSI. 10.2. Definición de Alcance y Límites del SGSI 10.3. Definición de la Política del SGSI 10.4. Definición de Enfoque Organizacional para la Valoración del Riesgo 10.5. Procedimiento de Gestión y Clasificación de la Información

7 10.6. Procedimiento de Gestión e Inventario de Activos 10.7. Informe de Valoración de Riesgos 10.8. Plan de Tratamiento de Riesgos 10.9. La Declaración de Aplicabilidad (SOA) El proponente deberá documentar y /o realizar los ajustes pertinentes a la documentación de los 10.10. procedimientos del sistema de gestión de seguridad. Para los procedimientos se debe definir como mínimo : Objetivo. Alcance Roles y responsabilidades 10.11. Actividades Recursos Desarrollo del proceso Comentarios y requisitos para su implantación 11. Definición y desarrollo de las métricas 11.1. El proponente deberá determinar y documentar las métricas (KPIs y BSC) Alinear las Métricas al BSC del SGSI en sus 4 Perspectivas y objetivos estratégicos Determinar las fuentes de los datos Determinar el tipo obtención de los datos (Manual, Automático, etc.) 11.2. Determinar los responsables de cada KPI Determinar la frecuencia de cada KPI Completar la hoja de vida de cada KPI 12. Divulgación y cultura en seguridad Implementar la nueva política de seguridad informática y cultura en seguridad de la información que incluye Plan de comunicación y divulgación, así como los Grupos objetivo, cuándo y cómo se les debe comunicar, y qué material debe ser usado para cada grupo. Se deberá incluir: 12.1. Plan de formación y generación de cultura en seguridad de la información. Plan de comunicación y divulgación Entregar las evidencias que incluyan las encuestas de concientización 12.2 Curso de auditor interno en ISO27001 certificado. El consultor deberá brindar acompañamiento en la elaboración de las acciones preventivas y 12.3 correctivas. 2.2.4 Test de Intrusión A través de un test de seguridad se realizará una valoración tecnológica mediante la ejecución de pruebas de intrusión tanto internas como externas, las cuales son un conjunto de actividades que se desarrollarán desde internet y en la red interna del COPNIA, que permitan conocer hasta donde un ataque a la infraestructura de seguridad puede ser efectivo y encontrar así los elementos a mejorar en la misma. La prueba debe ser idónea para verificar la efectividad de los controles establecidos tanto a nivel interno como externo, sometiéndolos a prueba con técnicas diseñadas para vulnerar su seguridad y con el manejo de sofisticadas herramientas administradas

8 por un grupo de profesionales con amplia experiencia en su utilización y un alto sentido de la ética. Objetivos Verificar los controles de seguridad actuales de la plataforma tecnológica del COPNIA. Brindar las recomendaciones necesarias con el fin de cerrar la brecha de seguridad hallada en la plataforma tecnológica del COPNIA. Metodología a. Levantamiento de información. En esta actividad se recogerá toda la información necesaria para la realización del test de intrusión. El nivel de información será de la plataforma con conocimiento limitado del contratista. Se especificarán las direcciones IP de los sistemas a los cuales se les quiere realizar el test. Se debe invertir más tiempo en identificar y explotar vulnerabilidades. El contratista realizará el descubrimiento para la recolección de información para identificar objetivos específicos (servidores, aplicaciones, bases de datos, servicios, etc.) en las redes involucradas en el servicio. Se realizará la identificación de las direcciones IP, servicios ofrecidos por los servidores, puertos abiertos, versiones de los servicios, enumeración de usuarios, e identificación de sistemas operativos y bases de datos. Se realizará una sesión de trabajo para que un consultor acompañe a los administradores y/u operadores de la plataforma de TI en este levantamiento de información determinando cuales elementos son de criticidad baja, media o alta, para de esta forma concentrar de manera más especifica el trabajo realizado sobre los elementos más importantes de la infraestructura. b. Planteamiento de vulnerabilidades. Hay que determinar los problemas de seguridad en los puntos hallados en la etapa de recolección de información. Estos problemas de seguridad se deben determinar usando herramientas especializadas, además se deben determinar los falsos positivos. Como resultado del

9 descubrimiento de vulnerabilidades, se determinará la estrategia a seguir durante las pruebas de seguridad, Además se realizará la detección de vulnerabilidades para identificar problemas con potenciales ataques entre otros y adicionales a los solicitados específicamente, los siguientes tipos: Cliente Debilidades de autenticación Cross Site Script Ataques Java Ataques al browser Keylogger Red Comprobación de password y protocolos de ciframiento débiles. Enumeración de la red Reconocimiento de la red Sniffing Ataques man-in-the-middle Spoof de DNS Re enrutamiento Enumeración y explotación de Wi-Fi Screen logger. Arpspoofing. Gateway IP-email-spoof. Explotación de vulnerabilidades. Filtering bypass. Sniffing. Sistemas operativos Identificación del sistema operativo del objetivo. Instalaciones por defecto de servicios y aplicativos. Identificación de los puertos abiertos en los objetivos (TCP, UDP). Identificación de los servicios que se están ejecutando en los objetivos. Rompimiento de claves. Identificación de vulnerabilidades del SO. Negación de servicios. Búsqueda de información sensible accesible por la red como la existente en las carpetas compartidas.

10 Sniffing. Verificación de logs. Servidores Web Identificación del sistema operativo del objetivo. Vulnerabilidades asociadas a malas prácticas de programación. Identificación de los servicios que se están ejecutando en los objetivos. Explotación de vulnerabilidades. Búfer Overflow. Configuración por defecto. Negación de servicios y Análisis de logs. Aplicaciones Formas. Directory transversal. Meta-caracteres. Sesión Hijacking. Códigos de error. Búfer Overflow. Rompimiento de claves. Base de datos SQL Injection. Queries estructuradas. Claves por defecto. Claves fáciles. Autenticación de base de datos. Extracción de información confidencial. Usuarios por defecto. c. Definición de objetivos. Basado en la información generada por la fase de planteamiento de vulnerabilidades, se deben determinar aquellos objetivos específicos que puedan proporcionar una mayor probabilidad de éxito durante el ataque o aumentar el grado de penetración para alcanzar cualquiera de las metas definidas. d. Ataque. Se debe atacar los objetivos seleccionados en la fase anterior utilizando las vulnerabilidades descubiertas. Dentro de la etapa de ataque, se debe probar la existencia real de las vulnerabilidades encontradas en las etapas anteriores, para así

11 determinar el impacto de las mismas en la organización. Si dentro del desarrollo de los ataques, surgen nuevas vulnerabilidades no detectadas en las fases anteriores, se deben incluir dentro de esta etapa, para su verificación. e. Determinación de Resultados. Al lograr el grado de penetración interna para alcanzar la meta se debe repetir el ciclo volviendo a la fase 1. Esta recolección de información se puede dar, ya sea, desde un servidor, aplicación, usuario, etc., que haya sido vulnerado o con información más completa obtenida en las fases anteriores. Si las metas o los objetivos planteados en las pruebas, fueron logrados o se determina que las pruebas han sido finalizadas, se continuará con la documentación. f. Verificación final y documentación. Se debe generar un informe detallado con los resultados obtenidos durante todo el proceso de ejecución de las pruebas, con la correspondiente revisión de dicha información, para poder ser interpretada de manera correcta y entender las implicaciones a nivel de seguridad sobre la infraestructura informática verificada, con las recomendaciones necesarias para solucionar dichos problemas. g. Definición del Nivel de Riesgo desde el punto de vista técnico. Adicionalmente, se debe incluir a las recomendaciones, una clasificación de riesgo por cada vulnerabilidad encontrada. Esta clasificación debe estar dada por definiciones para los diferentes niveles y criterio, por ejemplo: Bajo. Cuando la vulnerabilidad es utilizada con el fin de recolectar información relacionada con el servidor, tales como enumeración de usuario, servicios, identificación de sistemas operativos. También se debe incluir fallas que correspondan a malas prácticas de configuración de sistemas operativos. Estos se corrigen realizando configuraciones internas al servidor. Medio. Cuando la falla compromete la confidencialidad de la información tal como la utilización de protocolos no seguros y/o utilización de contraseña débiles. También se tienen en cuenta problemas con los permisos de acceso y visualización de estructuras internas del servidor. Además se consideran aquellos problemas relacionados con malas prácticas de programación. Finalmente se consideran problemas de mala configuración que permitan el control total o parcial de un aplicativo en modo de

12 administración. Estos se corregirán realizando configuraciones internas al servidor, a los aplicativos o corrigiendo malas prácticas de programación. Alto. Cuando la falla se relaciona a unja vulnerabilidad que permita ataques de denegación de servicio al elemento evaluado o ataques de ejecución de código arbitrario, que permite la obtención de privilegios en el elemento para su control total o parcial. Estos se corrigen aplicando parches, fixes o actualizando las versiones de los servicios involucrados en la falla. Alcance Test Externo: se debe realizar la revisión de seguridad externa que se debe llevar a cabo durante 40 horas de trabajo con cero conocimientos de la infraestructura. Test Interno: se debe realizar una muestra de hasta 3 servidores, hasta 10 equipos activos de red del Core, hasta 04 bases de datos (SMBD) y hasta 4 aplicativos críticos en producción. En cuanto a las estaciones de usuarios se deben realizar pruebas sobre un elemento (usuario típico) por cada tipo de sistema operativo presente en la infraestructura, hasta un máximo de 03 elementos. Realización de un Re-Test: se debe realizar una segunda prueba con el fin de determinar si las recomendaciones entregadas fueron exitosamente implementadas por parte del COPNIA. Este Re-test se realizará para verificar ya de manera puntual solamente si las vulnerabilidades han sido mitigadas o no. Se definirá en conjunto cuando se realizarán estas pruebas. En cada una de estas sesiones un consultor deberá explicar los resultados de la aplicación de la metodología y el contenido del informe final, haciendo énfasis en los hallazgos y las recomendaciones a aplicar. Estas reuniones tienen por objetivo resolver en una primera instancia inquietudes por parte del COPNIA y presentar de manera más específica las recomendaciones que se deben aplicar por parte de los administradores de la plataforma. Mejores Prácticas Las mejores prácticas nos ofrecen recomendaciones o guías que nos permiten cumplir de manera clara con las necesidades de seguridad de la información puntuales de cada componente.

13 Las mejores prácticas de seguridad en general se basan en estándares de seguridad avalados por proveedores e instituciones y con expertos en los temas de seguridad de diferentes plataformas (sistemas operativos, aplicaciones, base de datos, dispositivos de comunicaciones y dispositivos de seguridad). El alcance de las mejores prácticas no incluye especificaciones de cambios y los procedimientos técnicos a seguir para la modificación de los componentes y valores específicos de las configuraciones. Recomendaciones de seguridad de la información El objetivo de las recomendaciones de seguridad de la información es entregar un compilado de experiencias recogidas por el fabricante y los usuarios, en este agregado se definen puntos específicos a tener en cuenta a la hora de generar configuraciones seguras para los componentes a asegurar. Las recomendaciones de seguridad de la información incluyen recomendaciones específicas en lo relacionado con las configuraciones de seguridad propias de cada uno de los componentes, estas recomendaciones son normalmente validadas por expertos en el tema. 2.2.5 PRODUCTOS ENTREGABLES Informe ejecutivo: Descripción del trabajo realizado. Resumen de las actividades realizadas. Descripción del informe final entregado. Descripción de principales hallazgos. Conclusiones. Recomendaciones generales. Informe Técnico de seguridad Descripción de las pruebas realizadas. Metodología utilizada. Elemento evaluado. Puertos y servicios habilitados.

14 Listado de vulnerabilidades encontradas en los elementos de la plataforma tecnológica. Descripción de la vulnerabilidad. Nivel de criticidad (alto, medio, bajo). Riesgo asociado a impacto. Recomendación para mitigación. Informe de resultados de las pruebas de ingeniería social. 2.2.6 IDENTIFICACIÓN DEL CONTRATO El contrato que se va a celebrar es de Consultoría, con observancia en el procedimiento que rige para el Concurso de Méritos, regulado por lo establecido en la Ley 80 de 1993, la Ley 1150 de 2007, el Decreto reglamentario 734 de 2012 y la Resolución No.1525 de fecha 14 de agosto de 2013, Por la cual el Consejo Profesional Nacional de Ingeniería-COPNIA se acoge al período de transición otorgado por el Decreto 1510 de 2013 2.2.7 CONDICIONES DEL CONTRATO A EJECUTAR: 1. Objeto 2. Plazo de ejecución 3. Vigencia del Contrato 4. Lugar de Ejecución 5. Forma de pago Consultoría para evaluar y realizar el diagnóstico del estado actual del Sistema de Gestión de Seguridad de la Información del COPNIA, la identificación de las actividades a desarrollar y la implementación del sistema basado en la norma ISO/IEC 27001:2013. Seis (6) meses contados a partir de la suscripción del acta de inicio, previo perfeccionamiento, legalización del contrato y aprobación de la garantía única de cumplimiento. A partir del perfeccionamiento, durante su ejecución y cuatro (4) meses más. Seccionales del COPNIA a Nivel Nacional El COPNIA realizará el pago correspondiente, con las entregas parciales de los bienes contratados según la programación coordinada con el supervisor del contrato, contra la presentación de la factura correspondiente, dentro de los veinte (20) días hábiles siguientes a su radicación en la sede del COPNIA Nacional, previo diligenciamiento del formato de Control de supervisión y aprobación de pago firmado por el supervisor. El COPNIA sólo pagará al contratista y bajo ningún motivo o circunstancia aceptará o hará pagos directos a terceros. El COPNIA únicamente radicará facturas o cuentas de cobro, a partir del primer día hábil y hasta el día 25 o el día hábil inmediatamente anterior de cada mes.

15 El oferente en su solución deberá incluir los siguientes entregables como resultado de las actividades anteriormente descritas en medio físico y digital en concordancia con el modelo descrito en ISO/IEC 27001: a) Un primer pago del 30% previa presentación y aprobación de: Informe definiendo el alcance del SGSI para el COPNIA. Cronograma del proyecto. Informe de actividades y entregables correspondientes a los ítems 1, 2 y 3 de la Ficha Técnica Anexo No.2 : 1. Revisión y ajustes de las políticas de seguridad de la información. 2. Revisión y ajustes al enfoque para la valoración de riesgos. 3. Análisis Gap. Proporcionar Herramientas metodológicas, formatos/plantillas y guías que faciliten la planeación, diseño, implementación, operación, seguimiento y control del Sistema de Gestión de Seguridad de la Información. Documento con el diagnóstico en COPNIA de los siguientes catorce (14) objetivos de control y controles definidos en el anexo A de la norma NTC-ISO/IEC27001:2013: Política de seguridad Organización de la seguridad de la información Gestión de activos Seguridad de los recursos humanos Seguridad física y del entorno Operaciones de seguridad Gestión de comunicaciones y operaciones Control de acceso criptografía Adquisición, desarrollo y mantenimiento de los sistemas de información. Relaciones con los proveedores Gestión de los incidentes de la seguridad de la información Gestión de la continuidad del negocio y planes de contingencia Cumplimiento. b) Un segundo pago del 30% previa presentación y aprobación del informe de actividades y entregables de los ítems 4, 5 y 6 de la Ficha Técnica Anexo No.2 : 4. Pruebas de vulnerabilidades 5. Pruebas de Étical Hacking 6. Análisis BIA. Documento con el análisis de vulnerabilidades, proceso técnico que busca mediante escaneos de redes, software y servidores, determinar los puntos débiles de la infraestructura tecnológica de

16 COPNIA y sobre los que se deberá hacer especial énfasis en el aseguramiento de la información. Informe de intrusión ejecutivo y técnico de seguridad (Ver. Numeral 2.2.) c) Un Tercer pago del 20% previa presentación y aprobación del informe de actividades y entregables de los ítems 7, 8, 9 y 10 de la Ficha Técnica Anexo No.2 : 7. Identificar y clasificar los activos de información 8. Identificar y clasificar los riesgos de seguridad de la información 9. Plan de tratamiento de riesgos 10. Implementación El oferente en su solución debe incluir los siguientes entregables como resultado de las actividades anteriormente descritas: Documento con el establecimiento del Sistema de Gestión de la Seguridad de la Información para el COPNIA, el cual comprende: Prioridades del COPNIA para desarrollar el SGSI, junto con la lista de requisitos reglamentarios, contractuales y de la industria de juegos de suerte y azar, relacionados con seguridad de la información. Bosquejo de las características del COPNIA, estructura, su ubicación, activos, servicios y tecnología. Definición del alcance y límites del SGSI. Definición de la política de SGSI. Definición del enfoque organizacional para la valoración del riesgo. Identificación de los riesgos. Análisis y evaluación de los riesgos. Identificación y evaluación de las opciones para el tratamiento de los riesgos. Selección de los objetivos de control y los controles para el tratamiento de los riesgos. Coadyuvar en la obtención de la aprobación de la presidencia del COPNIA sobre los riesgos residuales propuestos. Coadyuvar en la obtención de la autorización de la presidencia del COPNIA para implementar y operar el SGSI. Elaboración de la declaración de aplicabilidad que incluya: los objetivos de control y controles seleccionados, los objetivos de control y controles implementados actualmente y la exclusión de cualquier objetivo de control y controles enumerados en el anexo A de la norma NTC-ISO/IEC 27001:2006 y la justificación para su exclusión. d) Un Cuarto pago del 20% previa presentación y aprobación del informe de actividades y entregables de los ítems 11 y 12 de la Ficha Técnica Anexo No.2 : 11. Definición y desarrollo de las métricas. 12. Divulgación y cultura en seguridad.

17 6. Requisitos para el perfeccionamiento y la ejecución. 7. Interventor y/o Supervisor 8. Obligaciones del Contratista Para el perfeccionamiento del contrato se requiere de la firma de las partes, para la legalización, la expedición del registro presupuestal y para su ejecución, la aprobación de la garantía única por parte del COPNIA, la acreditación del pago de aportes parafiscales al sistema de seguridad social integral de los trabajadores del contratista y la suscripción del acta de inicio. Para la ejecución, el Director General designará a un funcionario del COPNIA como supervisor del contrato. a) Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. b) Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. c) Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. d) Para el cumplimento de los requerimientos técnicos descritos en este pliego y/o documentos anexos el proyecto se deberá planear y ejecutar alineado al marco de referencia de la norma ISO/IEC 27001 (ISO/IEC 27001 a ISO/IEC 27006) y/o anexos e) Para gestionar e implementar el SGSI en el COPNIA, el CONTRATISTA deberá con base a ISO/IEC 27001, utilizar el ciclo de mejora continua PDCA (sigla en inglés) f) Entregar los servicios objeto del contrato, de acuerdo con las características técnicas contenidas en la oferta presentada, dentro del plazo pactado. g) Aceptar que el COPNIA se reserva el derecho de aprobar o rechazar cualquier elemento que a su juicio, no cumpla con las especificaciones establecidas en el Pliego de Condiciones. h) Acreditar el pago de los aportes de sus empleados a los sistemas de salud, riesgos profesionales, pensiones y aportes a las Cajas de Compensación Familiar, Instituto Colombiano de Bienestar Familiar y Servicio Nacional de Aprendizaje. i) Conocer a cabalidad los Pliegos de condiciones, con sus respectivos adendas, la propuesta y el contrato, para realizar la ejecución del mismo con eficiencia y eficacia. Presentar previo a la firma del acta de inicio los documentos necesarios para su ejecución j) Cumplir con idoneidad y oportunidad la ejecución contractual y todas las obligaciones contenidas en el presente contrato, así como las que se detallen en los Anexos Técnicos y/o Financieros que se suscriban. k) Suscribir oportunamente el acta de inicio y el acta liquidación del contrato, y las modificaciones si las hubiere, conjuntamente con el supervisor o interventor del mismo. l) Responder por los documentos físicos o magnéticos elaborados o entregados con ocasión de la ejecución del contrato, así como responder por la seguridad y el debido manejo de los documentos y registros propios de la Entidad para que reposen en las dependencias correspondientes.

18 m) Suministrar al supervisor del contrato toda la información que le sea solicitada para verificar el correcto y oportuno cumplimiento de las obligaciones que contrae, de acuerdo con los artículos 4º y 5º de la Ley 80 de 1993. n) Acatar y aplicar de manera diligente las observaciones y recomendaciones impartidas por el supervisor del contrato. o) Asistir a las reuniones que sean convocadas por el supervisor del contrato, para revisar el estado de ejecución del mismo, el cumplimiento de las obligaciones a cargo del contratista o cualquier aspecto técnico referente al mismo. p) Presentar los informes sobre la ejecución del contrato que le sean solicitadas por el supervisor o interventor del mismo. q) El contratista está obligado a cumplir con los requerimientos técnicos, establecidos en los estudios previos, en el pliego de condiciones, anexos técnicos y en la oferta presentada por el contratista, para dar cumplimiento a los servicios ofrecidos. r) Las demás que se deriven del objeto contractual y las que sean exigidas por el supervisor. 3 FUNDAMENTOS JURÍDICOS QUE SOPORTAN LA MODALIDAD DE SELECCIÓN De acuerdo con el objeto a contratar, el presente proceso de selección se adelanta con fundamento en la Ley 80 de 1993, el numeral 3 del artículo 2 de la ley 1150 de 2007, modificado por el artículo 219 del Decreto 019 de 2012, que establece el concurso de méritos como el procedimiento que corresponde a la modalidad de selección para consultoría, reglamentada en el Capítulo III del Título III del Decreto 734 de 2012. De acuerdo con lo establecido en el artículo 3.3.1.2 del Decreto 734 de 2012, La selección se llevará a cabo por el sistema de Concurso de Méritos Abierto, y el tipo de propuesta técnica será Simplificada (PTS), ya que el Consejo suministrará los requerimientos técnicos, la metodología para su ejecución y el plan de cargas y trabajo de la misma. Lo anterior, acorde con lo dispuesto en la Resolución No.1525 de fecha 14 de agosto de 2013, Por la cual el Consejo Profesional Nacional de Ingeniería-COPNIA se acoge al período de transición otorgado por el Decreto 1510 de 2013 4 ANÁLISIS TÉCNICO Y ECONÓMICO Para realizar el análisis técnico del proceso se solicitó cotización técnica y económica a las siguientes empresas: REAL TIME, MANAGEMENT AND QUALITY y CROSS

19 BORDER. Las cuales cumplieron con los requerimientos técnicos exigidos por el COPNIA. De acuerdo con las cotizaciones recibidas, se realizó el siguiente análisis económico para determinar el presupuesto oficial del proceso: 4.1 Precios del Mercado. DESCRIPCIÓN REAL TIME FASE 1-2 Y 4 Julio-10-2013 MANAGEMENT AND QUALITY LTDA Ver. 2 de Jul-12-2013 CROSS BORDER Diseño y acompañamiento en la implementación del sistema de gestión de seguridad de la información del $110.000.000,00 $ 105.172.413,79 $123.000.000,00 COPNIA IVA $ 17.600.000,00 $ 16.827.586,21 $ 19.680.000,00 VALOR TOTAL $127.600.000,00 $ 122.000.000,00 $ 142.680.000,00 VALOR PROMEDIO PROPUESTAS $ 130.760.000,00 4.2 Presupuesto del proceso de Selección. Acorde con lo anterior, se establece como presupuesto oficial para el presente proceso de contratación la suma de CIENTO TREINTA Y UN MILLONES DE PESOS M/CTE ($131.000.000) INCLUIDO IVA, de acuerdo con el Certificado de Disponibilidad Presupuestal número 898 del 29 de noviembre de 2013. El valor de la oferta no puede superar el presupuesto oficial asignado so pena de rechazo de la misma; en el numeral 2 de este estudio, se establece en forma detallada las características y especificaciones técnicas de los elementos a adquirir 5 JUSTIFICACIÓN DE LOS FACTORES DE SELECCIÓN QUE PERMITAN IDENTIFICAR LA OFERTA MÁS FAVORABLE De conformidad con lo dispuesto en el numeral 2 del artículo 2.2.9 del Decreto 734 de 2012, en los procesos de selección por Concurso de méritos, la oferta más favorable a la entidad será aquella que presente la mejor calidad, de acuerdo con los criterios señalados en el citado Decreto y en el pliego de condiciones, con independencia del precio, que no será factor de calificación o evaluación. En concordancia con lo anterior, para el presente proceso de selección se estima que es determinante para la evaluación y adjudicación considerar la experiencia del

20 proponente de manera específica en concordancia con el personal que el mismo destinará para la ejecución del contrato que se pretende. La exigencia de la acreditación de la experiencia especifica del proponente, garantiza que el futuro contratista cuente con experiencia técnica suficiente en la ejecución de contratos relacionados con el objeto del proceso de selección. En relación con el personal requerido para la ejecución del contrato, se considera necesaria la evaluación del personal principal que impacta sustancialmente el desarrollo de las actividades del contrato, por lo que se requiere garantizar que al inicio del contrato se cuente con el personal idóneo para su ejecución. Adicionalmente y dando cumplimiento a lo dispuesto en la ley 816 de 2003, la Entidad considera ecuánime y oportuno incentivar la participación de bienes y servicios de origen nacional. 6 SOPORTES DE ESTIMACIÓN, TIPIFICACIÓN Y ASIGNACIÓN DE LOS RIESGOS PREVISIBLES QUE PUEDAN AFECTAR EL EQUILIBRIO ECONÓMICO DEL CONTRATO. Teniendo en cuenta la naturaleza de la presente contratación y previendo que durante la ejecución del contrato se pueden configurar situaciones que den lugar a la alteración de las condiciones económicas de las partes y en cumplimiento de lo señalado en el artículo 4 de la ley 1150 de 2007 y el artículo 2.1.2 del Decreto 734 de 2012, se considera necesario estimar, tipificar y distribuir los riesgos de la siguiente manera: ASIGNACIÓN DE RIESGOS PREVISIBLES RIESGO ENTIDAD CONTRATISTA Riesgo ocasionado por cambios en la normatividad x técnica durante la ejecución del proyecto Riesgo presentado por accidentalidad y/o muerte de personal del interventor durante la ejecución del contrato, por causas externas al proyecto o por x ausencia o falta o deficiencia del sistema de seguridad industrial del interventor. Ajustes al contrato. Cuando se presente aumento o disminución de precios, generados en prorrogas o x suspensiones imputables al contratista no habrá lugar a reajustes Incumplimiento de obligaciones laborales. Cuando x no se cumplan oportunamente las disposiciones

21 ASIGNACIÓN DE RIESGOS PREVISIBLES RIESGO ENTIDAD CONTRATISTA laborales vigentes, relacionadas con el personal vinculado al contrato. Incumpliendo en los entregables de cada fase. Cuando el Contratista no entregue los resultados de x la implementación del esquema de seguridad en el plazo establecido en el Pliego. Variación de precios generados por los cambios en x la Tasa Representativa de Mercado del dólar. Los riesgos tipificados en caso de su ocurrencia, serán asumidos económicamente en un 100%, según la asignación, de igual forma la cuantificación de los mismos se realizará en el momento en que se presenten. 7 ANALISIS DE COBERTURA DE LAS OBLIGACIONES SURGIDAS CON OCASIÓN DEL PROCESO DE SELECCIÓN Y DEL CONTRATO A CELEBRAR. Garantía: El proponente favorecido se compromete a constituir a favor del Consejo Profesional Nacional de Ingeniería - COPNIA, una garantía única para entidades Estatales que ampare el cumplimiento de las obligaciones surgidas del contrato, expedida por una Compañía de Seguros establecida legalmente en Colombia que cubra los riesgos, en las cuantías y vigencias que se establecen a continuación: RIESGO % SOBRE EL VALOR Cumplimiento del contrato 20 Del Contrato Calidad de los servicios adquiridos. Pago de salarios, prestaciones sociales e indemnizaciones laborales VIGENCIA La del contrato y cuatro (4) meses más. 20 Del Contrato La del contrato y un (1) año más 10 Del Contrato La del contrato y tres (3) años más. Corresponde al contratista el pago de las primas, relativo al otorgamiento de las Garantías exigidas para el respectivo contrato. El Contratista debe mantener vigente la póliza y debe ajustar los amparos siempre que se produzca alguna modificación en el plazo y/o valor del contrato.

22 8 CESIÓN DEL CONTRATO El CONTRATISTA no podrá ceder el contrato a ninguna persona natural o jurídica, nacional o extranjera, sin autorización previa y expresa del COPNIA 9 CRITERIOS DE EVALUACIÓN. Los criterios de selección objetiva para comparar las propuestas obedecen estrictamente a los siguientes criterios de experiencia: N CRITERIO PUNTAJE MÁXIMO 1 EXPERIENCIA ESPECÍFICA DEL PROPONENTE 50 Puntos 2 EXPERIENCIA ESPECÍFICA DEL EQUIPO DE PROFESIONALES 50 Puntos PUNTAJE MÁXIMO 100 Puntos 9.1 EXPERIENCIA DEL PROPONENTE: Una vez verificada la documentación que sustenta la experiencia de cada uno de los proponentes el puntaje total del concursante resultará de sumar los puntos que haya obtenido en los aspectos: Experiencia especifica del proponente y Experiencia Específica del Equipo de Trabajo. 9.1.1 EXPERIENCIA ESPECÍFICA DEL PROPONENTE. La valoración de la experiencia específica del proponente podrá llegar hasta un puntaje máximo de 50 puntos, así: EXPERIENCIA ESPECÍFICA DEL PROPONENTE Una certificación de experiencia en contratos de consultoría así: Para la Implementación de Sistemas de Gestión de Seguridad de la Información (SGSI) con base a la norma ISO/IEC 27001, o En Servicios de Pruebas de Ethical Hacking, o En Proyectos relacionados con Implementación y prueba de Plan de Continuidad del Negocio. Dos certificaciones de experiencia en contratos de consultoría así: Para la Implementación de Sistemas de Gestión de Seguridad de la Información (SGSI) con base a la norma ISO/IEC 27001, y En Servicios de Pruebas de Ethical Hacking, o 10 Puntos 30 Puntos

23 En Proyectos relacionados con Implementación y prueba de Plan de Continuidad del Negocio. Tres certificaciones de experiencia en contratos de consultoría así: Para la Implementación de Sistemas de Gestión de Seguridad de la Información (SGSI) con base a la norma ISO/IEC 27001, y En Servicios de Pruebas de Ethical Hacking, y En Proyectos relacionados con Implementación y prueba de Plan de Continuidad del Negocio. PUNTAJE MAXIMO 50 Puntos 50 Puntos Requisitos mínimos de los contratos acreditados: a) El oferente debe acreditar de uno (1) a tres (3) contratos cuyo objeto sea similar a la CONSULTORÍA objeto del proceso de selección, mediante la presentación de certificaciones de empresas del sector público o privado, que hayan sido suscritos durante los últimos 10 años anteriores a la fecha de cierre del presente proceso. b) Cada uno de los contratos acreditados debe estar terminado y/o liquidado con anterioridad a la fecha de cierre del presente Concurso de Méritos Abierto. c) El valor de la sumatoria de la totalidad de los contratos acreditados debe ser igual o superior al presupuesto oficial estimado para este proceso. d) Las certificaciones de cada uno de los contratos acreditados deben contener como mínimo la siguiente información: Nombre de la empresa contratante, nombre del contratista, número del contrato, objeto u obligaciones del contrato, fecha de suscripción, fecha de terminación y/o de liquidación, valor del contrato, concepto de cumplimiento (regular, bueno, satisfactorio, excelente), y firma de quien expide la certificación. En el evento que las certificaciones no contengan la información que permita su evaluación, el concursante deberá anexar a la propuesta copia del contrato o de los documentos soportes que permitan tomar la información que falte en la certificación. Reglas generales para la evaluación: a) Si el concursante es un Consorcio o una Unión Temporal se tendrán en cuenta las certificaciones aportadas por cualquiera de sus

24 integrantes. Para la evaluación se sumarán las experiencias de cada uno de ellos. b) En el evento que el concursante presente certificaciones de experiencia donde haya participado en Consorcio o Unión Temporal, para efectos de la calificación de este factor, se tomarán las actividades y los valores certificados en forma proporcional al porcentaje de participación del concursante en el Consorcio o Unión Temporal del cual acredite la experiencia. En este caso, el concursante debe en la certificación de experiencia indicar el porcentaje de su participación en el respectivo Consorcio o Unión Temporal. c) En ningún caso los oferentes podrán para efectos de la evaluación acumular la experiencia de terceras personas. d) Sólo se evaluarán las certificaciones de contratos que indiquen que los servicios fueron prestados, como mínimo en forma satisfactoria. Se entiende por satisfactoria: excelente, muy buena, buena, a satisfacción. 9.1.2 EXPERIENCIA ESPECÍFICA DEL EQUIPO DE TRABAJO: La valoración de la experiencia específica del equipo de trabajo podrá llegar hasta un puntaje máximo de 50 puntos. La evaluación de la experiencia específica del equipo de trabajo ofrecido por el concursante para la ejecución del contrato que resulte de este proceso de selección, se evaluará de acuerdo con las siguientes tablas de calificación: EXPERIENCIA ESPECÍFICA DEL EQUIPO DE TRABAJO CARGO PUNTAJE Gerente de Proyecto 15 Puntos SGSI Profesional Senior certificado como 10 Puntos auditor líder en ISO 27000 y CISSP Profesional Certificado en CEH V7 10 Puntos Consultor Certificado Auditor Líder. ISO 27001 15 Puntos TOTAL PUNTAJE PERSONAL OFRECIDO 50 Puntos En el evento que el contratista no ofrezca el personal mínimo exigido con las calidades señaladas para la ejecución del contrato que se pretende celebrar,