Diferencias entre la versión 5 y 6 del Pliego de la Licitación 439555 - Servicio de Test de Seguridad de Hackeo Interno y Externo (SBE) - Ad Referéndum

ESPECIFICACIONES TECNICAS

INTRODUCCIÓN

En vista a la importancia que tiene la seguridad de la información para toda organización y al hecho de que el fortalecimiento de la seguridad es un proceso dinámico y constante, el Banco Nacional de Fomento (de aquí en adelante BNF) ha dispuesto la contratación de los servicios profesionales de empresas especializadas en seguridad de la información.

Como fuera mencionado más arriba, asegurar las infraestructuras tecnológicas implica el desarrollo de actividades en forma constante y sistemática, y abarcan aspectos normativos, de procedimientos, de personas, tecnológicos, entre otros. Por otra parte, estos procesos deben acompañar de manera cercana y flexible a todo el ciclo de vida de los elementos a asegurar, lo cual incluye naturalmente contar con profesionales con la debida capacitación y formación en seguridad de la información.

Tomando en cuenta lo mencionado, es que el BNF solicita la prestación de servicios de seguridad de la información en la modalidad de Servicio bajo Demanda, en formato remoto y on-site, para lo cual cada requerimiento del BNF será cotizado, aprobado y ejecutado por separado, en base al esfuerzo horas--hombre demandado para la ejecución del trabajo y al costo por hora ofertado en la presente licitación.

Será la Gerencia Departamental de Administración de Seguridad de TIC (de aquí en adelante GDASTIC) del BNF, el área encargada de la administración y control del servicio prestado. La GDASTIC nombrará a un supervisor (de aquí en adelante El Supervisor) que actuará como contraparte para todas las relaciones con la empresa adjudicada (de aquí en adelante El Oferente Adjudicado).

El BNF solicita la prestación de dos subconjuntos de servicios, a saber: Servicio de Hackeo Interno y Externo.

Generalidades En el caso de que una empresa sea adjudicada El Oferente adjudicado deberá realizar cada trabajo solicitado y aprobado debe ser ejecutado en tiempo y forma, sin que ninguna otra actividad se vea afectada por la misma. En el caso de que un oferente se presente deberá presentar una nómina con personales técnicos. Dependiendo de cada actividad y necesidad del BNF, los trabajos deberán realizarse de manera remota o en sitio, es decir, en alguna de las instalaciones del Banco, en Asunción, Encarnación y Ciudad del Este (éstas dos últimas muy ocasionalmente las cuales son enunciativas no limitativas). Además, el oferente adjudicado deberá prever un tiempo de respuesta para los trabajos on-site no mayor a 8 (ocho) horas para los trabajos en Asunción, y no mayor a 48 (cuarenta y ocho) horas para el interior del país. En el caso de solicitud de servicio o asistencia remota, la misma deberá ser provista en un tiempo no mayor a 4 (cuatro) horas.

Si bien cada profesional de El Oferente Adjudicado deberá disponer de sus propias herramientas de trabajo (notebook, acceso a internet, útiles de oficina, etc.), en el caso de que el servicio se realice en las instalaciones del BNF, este pondrá a disposición de los especialistas un servicio limitado de conexión a Internet y un escritorio para el desarrollo de sus actividades.

Dada la naturaleza de los servicios a contratar, se espera que todos los miembros del plantel técnico se caractericen por su ética profesional, tanto durante la realización del trabajo como posterior a ello, inclusive tras la finalización del contrato, respecto a la divulgación de cualquier información a la cual hayan tenido acceso, por cualquier medio, sin la debida autorización del BNF. Tanto El Oferente Adjudicado, como cada uno de los miembros del plantel en forma particular, deberá firmar acuerdos de confidencialidad con el BNF.

El BNF se reserva el derecho de rescindir el Contrato, con causa justificada, toda vez que considere que el servicio prestado por El Oferente Adjudicado no cumpla con las especificaciones técnicas requeridas y el nivel de servicio esperado

El Oferente debe presentar una nómina compuesta por profesionales dependientes de una filial o sucursal de la empresa, que también se encuentre especializada en seguridad de la información, sea esta nacional o internacional, siempre y cuando se cumpla alguna de las siguientes condiciones (la propuesta deberá incluir la documentación que lo acredite):

1. El profesional se desempeña como personal dependiente en una sucursal, filial, franquicia o empresa origen de El Oferente, sea nacional o internacional. Presentar copia simple contrato de trabajo, contrato de prestación de servicios o Declaración Jurada de Relación de Dependencia Laboral.

1. El Oferente ha firmado un acuerdo de cooperación, representación y/o comercialización de los servicios de consultoría de seguridad con la sucursal, filial, franquicia o empresa origen de la cual es dependiente el profesional nominado. Presentar declaración Jurada de Relación de Dependencia Laboral o copia simple del acuerdo de cooperación, representación y/o comercialización de servicios firmado.

El Oferente debe dedicarse en forma exclusiva, o al menos contar con una división técnica dedicada y exclusiva, al rubro de Seguridad de la Información (consultorías de seguridad, test de intrusión, ciberseguridad, capacitación en seguridad, entre otros). Presentar el currículum de la empresa donde se debe plasmar en El organigrama organizacional la presencia de la división.

Metodología de trabajo y Facturación

En base a las necesidades del BNF, El Supervisor solicitará a El Oferente Adjudicado la realización de algún servicio descrito en las Especificaciones técnicas al cual fue adjudicado, definiendo las actividades del trabajo a realizar. En base a esta solicitud, El Oferente Adjudicado deberá remitir al Supervisor un proyecto lo más detallado posible indicando las actividades que realizará para la consecución de los objetivos requeridos, además de las horas hombre que demandará el servicio.

En el caso de que el proyecto técnico sea aprobado, El Oferente Adjudicado deberá ejecutar el trabajo de acuerdo con el detalle remitido y en base a los delineamientos del Supervisor. Todo el servicio será acompañado y controlado por El Supervisor o por quien éste designe.

El Oferente Adjudicado podrá presentar las facturas por los servicios autorizados y aprobados únicamente cuando estos hayan finalizado totalmente acompañado de un informe de los trabajos realizados. En ningún caso El Oferente Adjudicado podrá transferir los costos de viáticos, traslado, o similares al BNF, siendo posible únicamente la facturación en base a las horas demandadas para el servicio en cuestión.

Requerimientos Generales

Ante la solicitud de servicios, el plantel técnico deberá determinar las vulnerabilidades, amenazas y/o riesgos de seguridad de la información a los cuales se encuentran expuestos las aplicaciones, la infraestructura tecnológica, los procesos y procedimientos del BNF, además de las posibles mejoras que puedan ser implementadas. Los mismos deben ser presentados en dos informes al culminar los trabajos (Ejecutivo y Detallado).

Tanto para las pruebas externas como internas, las pruebas de intrusión deberán focalizarse en determinar las amenazas y vulnerabilidades que podrían permitir a un atacante real tener acceso al equipamiento o aplicaciones del BNF, para cualquiera de sus sitios de procesamiento y filiales. Además, se podrá requerir la implementación de las mejoras propuestas.

La metodología a utilizar deberá estar basada en por lo menos una de las siguientes: NIST SP 800-115, OSSTMM, PTES, ISSAF. Para las pruebas a las aplicaciones web, la metodología deberá basarse en OTP (OWASP).

El Oferente Adjudicado deberá proveer los informes que correspondan, a solicitud y entera conformidad del Supervisor. Estos pudieran ser:

1. Descripción detallada de la(s) metodología(s) a utilizar durante el servicio.

2. Plan de trabajo a desarrollar.

3. Lista detallada de todos los servicios, aplicaciones y equipos evaluados.

4. Detalle cronológico de cada procedimiento realizado.

5. Lista y detalle técnico de las vulnerabilidades detectadas en cada plataforma, con una descripción de la criticidad de cada vulnerabilidad, además de un análisis de impacto para la infraestructura tecnológica y aplicaciones.

6. Resultados del análisis de tráfico.

7. Documentos de certificación del estado de la seguridad, para cualquier momento dado y para cualquier elemento.

8. Normas, políticas y documentaciones de seguridad.

9. Otros informes que El Supervisor solicite.

El Oferente Adjudicado podrá facilitar cualquier otro informe o documentación final que considere oportuno, en base a las metodologías utilizadas, conclusiones y/o sugerencias técnicas, etcétera.

En caso de eventuales daños o perjuicios de cualquier tipo causado al Banco Nacional de Fomento o a algún tercero en la ejecución del servicio, El Oferente Adjudicado deberá hacerse responsable de la remediación y asumir los costos de estos antes de la finalización del servicio.

Para las pruebas de intrusión externa o servicio remoto, el plantel técnico deberá disponer de su propia conexión que tenga acceso a la nube pública de internet, quedando a exclusivo cargo del plantel técnico cualquier gasto o responsabilidad asociada al uso de este.

Para las pruebas de intrusión interna o servicios on-site, el BNF proveerá el ambiente desde el cual deberá realizar las pruebas, quedando a cargo del plantel técnico todo gasto de movilidad que sea necesario, incluyendo los gastos de movilidad para hasta dos técnicos del BNF (ocasionalmente). El horario de los trabajos será acordado y coordinado con El Supervisor.

La infraestructura tecnológica del BNF distribuida entre el sitio primario y secundario, está compuesta de la siguiente manera (lista referencial, no limitativa):

ESPECIFICACIONES TÉCNICAS

Justificación Certificación ISO 27001 Lead Auditor, ISO 27001 Lead Implementer ISO 9001 ISO 14001

1. Especificar cuál es el objeto de la certificación, qué es lo certificado (la producción, el producto, la distribución, otros)

El objeto de la certificación asegura el correcto control y protección de la confidencialidad, integridad y disponibilidad de la información. Es el estándar de la gestión de la seguridad de la información.

2. Explicar cómo incide dicha certificación en la ejecución del contrato;

Entrega un trabajo de alta calidad certificada según estándares internacionales.

3. Especificar las empresas en el mercado que cuentan con la certificación indicada (mencionar tres Empresas por lo menos)

Algunas de las empresas que cuentan con la certificación son Ernst and Young, Deloitte, Price Waterhouse Cooper.

4. Si se han previsto en el pliego de bases y condiciones otras certificaciones equivalentes definidas como tales para satisfacer el requerimiento establecido.

Sí se han previsto otras certificaciones como CISM o CGEIT

Propuesta de planilla de precios

ESPECIFICACIONES TECNICAS

INTRODUCCIÓN

En vista a la importancia que tiene la seguridad de la información para toda organización y al hecho de que el fortalecimiento de la seguridad es un proceso dinámico y constante, el Banco Nacional de Fomento (de aquí en adelante BNF) ha dispuesto la contratación de los servicios profesionales de empresas especializadas en seguridad de la información.

Como fuera mencionado más arriba, asegurar las infraestructuras tecnológicas implica el desarrollo de actividades en forma constante y sistemática, y abarcan aspectos normativos, de procedimientos, de personas, tecnológicos, entre otros. Por otra parte, estos procesos deben acompañar de manera cercana y flexible a todo el ciclo de vida de los elementos a asegurar, lo cual incluye naturalmente contar con profesionales con la debida capacitación y formación en seguridad de la información.

Tomando en cuenta lo mencionado, es que el BNF solicita la prestación de servicios de seguridad de la información en la modalidad de Servicio bajo Demanda, en formato remoto y on-site, para lo cual cada requerimiento del BNF será cotizado, aprobado y ejecutado por separado, en base al esfuerzo horas--hombre demandado para la ejecución del trabajo y al costo por hora ofertado en la presente licitación.

Será la Gerencia Departamental de Administración de Seguridad de TIC (de aquí en adelante GDASTIC) del BNF, el área encargada de la administración y control del servicio prestado. La GDASTIC nombrará a un supervisor (de aquí en adelante El Supervisor) que actuará como contraparte para todas las relaciones con la empresa adjudicada (de aquí en adelante El Oferente Adjudicado).

El BNF solicita la prestación de dos subconjuntos de servicios, a saber: Servicio de Hackeo Interno y Externo.

Generalidades En el caso de que una empresa sea adjudicada El Oferente adjudicado deberá realizar cada trabajo solicitado y aprobado debe ser ejecutado en tiempo y forma, sin que ninguna otra actividad se vea afectada por la misma. En el caso de que un oferente se presente deberá presentar una nómina con personales técnicos. Dependiendo de cada actividad y necesidad del BNF, los trabajos deberán realizarse de manera remota o en sitio, es decir, en alguna de las instalaciones del Banco, en Asunción, Encarnación y Ciudad del Este (éstas dos últimas muy ocasionalmente las cuales son enunciativas no limitativas). Además, el oferente adjudicado deberá prever un tiempo de respuesta para los trabajos on-site no mayor a 8 (ocho) horas para los trabajos en Asunción, y no mayor a 48 (cuarenta y ocho) horas para el interior del país. En el caso de solicitud de servicio o asistencia remota, la misma deberá ser provista en un tiempo no mayor a 4 (cuatro) horas.

Si bien cada profesional de El Oferente Adjudicado deberá disponer de sus propias herramientas de trabajo (notebook, acceso a internet, útiles de oficina, etc.), en el caso de que el servicio se realice en las instalaciones del BNF, este pondrá a disposición de los especialistas un servicio limitado de conexión a Internet y un escritorio para el desarrollo de sus actividades.

Dada la naturaleza de los servicios a contratar, se espera que todos los miembros del plantel técnico se caractericen por su ética profesional, tanto durante la realización del trabajo como posterior a ello, inclusive tras la finalización del contrato, respecto a la divulgación de cualquier información a la cual hayan tenido acceso, por cualquier medio, sin la debida autorización del BNF. Tanto El Oferente Adjudicado, como cada uno de los miembros del plantel en forma particular, deberá firmar acuerdos de confidencialidad con el BNF.

El BNF se reserva el derecho de rescindir el Contrato, con causa justificada, toda vez que considere que el servicio prestado por El Oferente Adjudicado no cumpla con las especificaciones técnicas requeridas y el nivel de servicio esperado

El Oferente debe presentar una nómina compuesta por profesionales dependientes de una filial o sucursal de la empresa, que también se encuentre especializada en seguridad de la información, sea esta nacional o internacional, siempre y cuando se cumpla alguna de las siguientes condiciones (la propuesta deberá incluir la documentación que lo acredite):

1. El profesional se desempeña como personal dependiente en una sucursal, filial, franquicia o empresa origen de El Oferente, sea nacional o internacional. Presentar copia simple contrato de trabajo, contrato de prestación de servicios o Declaración Jurada de Relación de Dependencia Laboral.

1. El Oferente ha firmado un acuerdo de cooperación, representación y/o comercialización de los servicios de consultoría de seguridad con la sucursal, filial, franquicia o empresa origen de la cual es dependiente el profesional nominado. Presentar declaración Jurada de Relación de Dependencia Laboral o copia simple del acuerdo de cooperación, representación y/o comercialización de servicios firmado.

El Oferente debe dedicarse en forma exclusiva, o al menos contar con una división técnica dedicada y exclusiva, al rubro de Seguridad de la Información (consultorías de seguridad, test de intrusión, ciberseguridad, capacitación en seguridad, entre otros). Presentar el currículum de la empresa donde se debe plasmar en El organigrama organizacional la presencia de la división.

Metodología de trabajo y Facturación

En base a las necesidades del BNF, El Supervisor solicitará a El Oferente Adjudicado la realización de algún servicio descrito en las Especificaciones técnicas al cual fue adjudicado, definiendo las actividades del trabajo a realizar. En base a esta solicitud, El Oferente Adjudicado deberá remitir al Supervisor un proyecto lo más detallado posible indicando las actividades que realizará para la consecución de los objetivos requeridos, además de las horas hombre que demandará el servicio.

En el caso de que el proyecto técnico sea aprobado, El Oferente Adjudicado deberá ejecutar el trabajo de acuerdo con el detalle remitido y en base a los delineamientos del Supervisor. Todo el servicio será acompañado y controlado por El Supervisor o por quien éste designe.

El Oferente Adjudicado podrá presentar las facturas por los servicios autorizados y aprobados únicamente cuando estos hayan finalizado totalmente acompañado de un informe de los trabajos realizados. En ningún caso El Oferente Adjudicado podrá transferir los costos de viáticos, traslado, o similares al BNF, siendo posible únicamente la facturación en base a las horas demandadas para el servicio en cuestión.

Requerimientos Generales

Ante la solicitud de servicios, el plantel técnico deberá determinar las vulnerabilidades, amenazas y/o riesgos de seguridad de la información a los cuales se encuentran expuestos las aplicaciones, la infraestructura tecnológica, los procesos y procedimientos del BNF, además de las posibles mejoras que puedan ser implementadas. Los mismos deben ser presentados en dos informes al culminar los trabajos (Ejecutivo y Detallado).

Tanto para las pruebas externas como internas, las pruebas de intrusión deberán focalizarse en determinar las amenazas y vulnerabilidades que podrían permitir a un atacante real tener acceso al equipamiento o aplicaciones del BNF, para cualquiera de sus sitios de procesamiento y filiales. Además, se podrá requerir la implementación de las mejoras propuestas.

La metodología a utilizar deberá estar basada en por lo menos una de las siguientes: NIST SP 800-115, OSSTMM, PTES, ISSAF. Para las pruebas a las aplicaciones web, la metodología deberá basarse en OTP (OWASP).

El Oferente Adjudicado deberá proveer los informes que correspondan, a solicitud y entera conformidad del Supervisor. Estos pudieran ser:

1. Descripción detallada de la(s) metodología(s) a utilizar durante el servicio.

2. Plan de trabajo a desarrollar.

3. Lista detallada de todos los servicios, aplicaciones y equipos evaluados.

4. Detalle cronológico de cada procedimiento realizado.

5. Lista y detalle técnico de las vulnerabilidades detectadas en cada plataforma, con una descripción de la criticidad de cada vulnerabilidad, además de un análisis de impacto para la infraestructura tecnológica y aplicaciones.

6. Resultados del análisis de tráfico.

7. Documentos de certificación del estado de la seguridad, para cualquier momento dado y para cualquier elemento.

8. Normas, políticas y documentaciones de seguridad.

9. Otros informes que El Supervisor solicite.

El Oferente Adjudicado podrá facilitar cualquier otro informe o documentación final que considere oportuno, en base a las metodologías utilizadas, conclusiones y/o sugerencias técnicas, etcétera.

En caso de eventuales daños o perjuicios de cualquier tipo causado al Banco Nacional de Fomento o a algún tercero en la ejecución del servicio, El Oferente Adjudicado deberá hacerse responsable de la remediación y asumir los costos de estos antes de la finalización del servicio. Los daños se refieren a perdida de los datos y la infraestructura de dichas aplicaciones.

Para las pruebas de intrusión externa o servicio remoto, el plantel técnico deberá disponer de su propia conexión que tenga acceso a la nube pública de internet, quedando a exclusivo cargo del plantel técnico cualquier gasto o responsabilidad asociada al uso de este.

Para las pruebas de intrusión interna o servicios on-site, el BNF proveerá el ambiente desde el cual deberá realizar las pruebas, quedando a cargo del plantel técnico todo gasto de movilidad que sea necesario, incluyendo los gastos de movilidad para hasta dos técnicos del BNF (ocasionalmente). El horario de los trabajos será acordado y coordinado con El Supervisor.

La infraestructura tecnológica del BNF distribuida entre el sitio primario y secundario, está compuesta de la siguiente manera (lista referencial, no limitativa):

ESPECIFICACIONES TÉCNICAS

Observación: Las pruebas deberán preverse en cualquiera de las sucursales y/o oficinas periféricas de la institución.

Justificación Certificación ISO 27001 Lead Auditor, ISO 27001 Lead Implementer ISO 9001 ISO 14001

1. Especificar cuál es el objeto de la certificación, qué es lo certificado (la producción, el producto, la distribución, otros)

El objeto de la certificación asegura el correcto control y protección de la confidencialidad, integridad y disponibilidad de la información. Es el estándar de la gestión de la seguridad de la información.

2. Explicar cómo incide dicha certificación en la ejecución del contrato;

Entrega un trabajo de alta calidad certificada según estándares internacionales.

3. Especificar las empresas en el mercado que cuentan con la certificación indicada (mencionar tres Empresas por lo menos)

Algunas de las empresas que cuentan con la certificación son Ernst and Young, Deloitte, Price Waterhouse Cooper.

4. Si se han previsto en el pliego de bases y condiciones otras certificaciones equivalentes definidas como tales para satisfacer el requerimiento establecido.

Sí se han previsto otras certificaciones como CISM o CGEIT

Propuesta de planilla de precios

ESPECIFICACIONES TECNICAS

INTRODUCCIÓN

En vista a la importancia que tiene la seguridad de la información para toda organización y al hecho de que el fortalecimiento de la seguridad es un proceso dinámico y constante, el Banco Nacional de Fomento (de aquí en adelante BNF) ha dispuesto la contratación de los servicios profesionales de empresas especializadas en seguridad de la información.

Como fuera mencionado más arriba, asegurar las infraestructuras tecnológicas implica el desarrollo de actividades en forma constante y sistemática, y abarcan aspectos normativos, de procedimientos, de personas, tecnológicos, entre otros. Por otra parte, estos procesos deben acompañar de manera cercana y flexible a todo el ciclo de vida de los elementos a asegurar, lo cual incluye naturalmente contar con profesionales con la debida capacitación y formación en seguridad de la información.

Tomando en cuenta lo mencionado, es que el BNF solicita la prestación de servicios de seguridad de la información en la modalidad de Servicio bajo Demanda, en formato remoto y on-site, para lo cual cada requerimiento del BNF será cotizado, aprobado y ejecutado por separado, en base al esfuerzo horas--hombre demandado para la ejecución del trabajo y al costo por hora ofertado en la presente licitación.

Será la Gerencia Departamental de Administración de Seguridad de TIC (de aquí en adelante GDASTIC) del BNF, el área encargada de la administración y control del servicio prestado. La GDASTIC nombrará a un supervisor (de aquí en adelante El Supervisor) que actuará como contraparte para todas las relaciones con la empresa adjudicada (de aquí en adelante El Oferente Adjudicado).

El BNF solicita la prestación de dos subconjuntos de servicios, a saber: Servicio de Hackeo Interno y Externo.

Generalidades En el caso de que una empresa sea adjudicada El Oferente adjudicado deberá realizar cada trabajo solicitado y aprobado debe ser ejecutado en tiempo y forma, sin que ninguna otra actividad se vea afectada por la misma. En el caso de que un oferente se presente deberá presentar una nómina con personales técnicos. Dependiendo de cada actividad y necesidad del BNF, los trabajos deberán realizarse de manera remota o en sitio, es decir, en alguna de las instalaciones del Banco, en Asunción, Encarnación y Ciudad del Este (éstas dos últimas muy ocasionalmente las cuales son enunciativas no limitativas). Además, el oferente adjudicado deberá prever un tiempo de respuesta para los trabajos on-site no mayor a 8 (ocho) horas para los trabajos en Asunción, y no mayor a 48 (cuarenta y ocho) horas para el interior del país. En el caso de solicitud de servicio o asistencia remota, la misma deberá ser provista en un tiempo no mayor a 4 (cuatro) horas.

Si bien cada profesional de El Oferente Adjudicado deberá disponer de sus propias herramientas de trabajo (notebook, acceso a internet, útiles de oficina, etc.), en el caso de que el servicio se realice en las instalaciones del BNF, este pondrá a disposición de los especialistas un servicio limitado de conexión a Internet y un escritorio para el desarrollo de sus actividades.

Dada la naturaleza de los servicios a contratar, se espera que todos los miembros del plantel técnico se caractericen por su ética profesional, tanto durante la realización del trabajo como posterior a ello, inclusive tras la finalización del contrato, respecto a la divulgación de cualquier información a la cual hayan tenido acceso, por cualquier medio, sin la debida autorización del BNF. Tanto El Oferente Adjudicado, como cada uno de los miembros del plantel en forma particular, deberá firmar acuerdos de confidencialidad con el BNF.

El BNF se reserva el derecho de rescindir el Contrato, con causa justificada, toda vez que considere que el servicio prestado por El Oferente Adjudicado no cumpla con las especificaciones técnicas requeridas y el nivel de servicio esperado

El Oferente debe presentar una nómina compuesta por profesionales dependientes de una filial o sucursal de la empresa, que también se encuentre especializada en seguridad de la información, sea esta nacional o internacional, siempre y cuando se cumpla alguna de las siguientes condiciones (la propuesta deberá incluir la documentación que lo acredite):

1. El profesional se desempeña como personal dependiente en una sucursal, filial, franquicia o empresa origen de El Oferente, sea nacional o internacional. Presentar copia simple contrato de trabajo, contrato de prestación de servicios o Declaración Jurada de Relación de Dependencia Laboral.

1. El Oferente ha firmado un acuerdo de cooperación, representación y/o comercialización de los servicios de consultoría de seguridad con la sucursal, filial, franquicia o empresa origen de la cual es dependiente el profesional nominado. Presentar declaración Jurada de Relación de Dependencia Laboral o copia simple del acuerdo de cooperación, representación y/o comercialización de servicios firmado.

El Oferente debe dedicarse en forma exclusiva, o al menos contar con una división técnica dedicada y exclusiva, al rubro de Seguridad de la Información (consultorías de seguridad, test de intrusión, ciberseguridad, capacitación en seguridad, entre otros). Presentar el currículum de la empresa donde se debe plasmar en El organigrama organizacional la presencia de la división.

Metodología de trabajo y Facturación

En base a las necesidades del BNF, El Supervisor solicitará a El Oferente Adjudicado la realización de algún servicio descrito en las Especificaciones técnicas al cual fue adjudicado, definiendo las actividades del trabajo a realizar. En base a esta solicitud, El Oferente Adjudicado deberá remitir al Supervisor un proyecto lo más detallado posible indicando las actividades que realizará para la consecución de los objetivos requeridos, además de las horas hombre que demandará el servicio.

En el caso de que el proyecto técnico sea aprobado, El Oferente Adjudicado deberá ejecutar el trabajo de acuerdo con el detalle remitido y en base a los delineamientos del Supervisor. Todo el servicio será acompañado y controlado por El Supervisor o por quien éste designe.

El Oferente Adjudicado podrá presentar las facturas por los servicios autorizados y aprobados únicamente cuando estos hayan finalizado totalmente acompañado de un informe de los trabajos realizados. En ningún caso El Oferente Adjudicado podrá transferir los costos de viáticos, traslado, o similares al BNF, siendo posible únicamente la facturación en base a las horas demandadas para el servicio en cuestión.

Requerimientos Generales

Ante la solicitud de servicios, el plantel técnico deberá determinar las vulnerabilidades, amenazas y/o riesgos de seguridad de la información a los cuales se encuentran expuestos las aplicaciones, la infraestructura tecnológica, los procesos y procedimientos del BNF, además de las posibles mejoras que puedan ser implementadas. Los mismos deben ser presentados en dos informes al culminar los trabajos (Ejecutivo y Detallado).

Tanto para las pruebas externas como internas, las pruebas de intrusión deberán focalizarse en determinar las amenazas y vulnerabilidades que podrían permitir a un atacante real tener acceso al equipamiento o aplicaciones del BNF, para cualquiera de sus sitios de procesamiento y filiales. Además, se podrá requerir la implementación de las mejoras propuestas.

La metodología a utilizar deberá estar basada en por lo menos una de las siguientes: NIST SP 800-115, OSSTMM, PTES, ISSAF. Para las pruebas a las aplicaciones web, la metodología deberá basarse en OTP (OWASP).

El Oferente Adjudicado deberá proveer los informes que correspondan, a solicitud y entera conformidad del Supervisor. Estos pudieran ser:

1. Descripción detallada de la(s) metodología(s) a utilizar durante el servicio.

2. Plan de trabajo a desarrollar.

3. Lista detallada de todos los servicios, aplicaciones y equipos evaluados.

4. Detalle cronológico de cada procedimiento realizado.

5. Lista y detalle técnico de las vulnerabilidades detectadas en cada plataforma, con una descripción de la criticidad de cada vulnerabilidad, además de un análisis de impacto para la infraestructura tecnológica y aplicaciones.

6. Resultados del análisis de tráfico.

7. Documentos de certificación del estado de la seguridad, para cualquier momento dado y para cualquier elemento.

8. Normas, políticas y documentaciones de seguridad.

9. Otros informes que El Supervisor solicite.

El Oferente Adjudicado podrá facilitar cualquier otro informe o documentación final que considere oportuno, en base a las metodologías utilizadas, conclusiones y/o sugerencias técnicas, etcétera.

En caso de eventuales daños o perjuicios de cualquier tipo causado al Banco Nacional de Fomento o a algún tercero en la ejecución del servicio, El Oferente Adjudicado deberá hacerse responsable de la remediación y asumir los costos de estos antes de la finalización del servicio. Los daños se refieren a perdida de los datos y la infraestructura de dichas aplicaciones.

Para las pruebas de intrusión externa o servicio remoto, el plantel técnico deberá disponer de su propia conexión que tenga acceso a la nube pública de internet, quedando a exclusivo cargo del plantel técnico cualquier gasto o responsabilidad asociada al uso de este.

Para las pruebas de intrusión interna o servicios on-site, el BNF proveerá el ambiente desde el cual deberá realizar las pruebas, quedando a cargo del plantel técnico todo gasto de movilidad que sea necesario, incluyendo los gastos de movilidad para hasta dos técnicos del BNF (ocasionalmente). El horario de los trabajos será acordado y coordinado con El Supervisor.

La infraestructura tecnológica del BNF distribuida entre el sitio primario y secundario, está compuesta de la siguiente manera (lista referencial, no limitativa):

ESPECIFICACIONES TÉCNICAS

Observación: Las pruebas deberán preverse en cualquiera de las sucursales y/o oficinas periféricas de la institución.

Justificación Certificación ISO 27001 Lead Auditor, ISO 27001 Lead Implementer ISO 9001 ISO 14001

1. Especificar cuál es el objeto de la certificación, qué es lo certificado (la producción, el producto, la distribución, otros)

El objeto de la certificación asegura el correcto control y protección de la confidencialidad, integridad y disponibilidad de la información. Es el estándar de la gestión de la seguridad de la información.

2. Explicar cómo incide dicha certificación en la ejecución del contrato;

Entrega un trabajo de alta calidad certificada según estándares internacionales.

3. Especificar las empresas en el mercado que cuentan con la certificación indicada (mencionar tres Empresas por lo menos)

Algunas de las empresas que cuentan con la certificación son Ernst and Young, Deloitte, Price Waterhouse Cooper.

4. Si se han previsto en el pliego de bases y condiciones otras certificaciones equivalentes definidas como tales para satisfacer el requerimiento establecido.

Sí se han previsto otras certificaciones como CISM o CGEIT

Propuesta de planilla de precios