Está en la página 1de 28

1

ESTUDIOS PREVIOS
ANLISIS DE CONVENIENCIA
CONCURSO DE MRITOS ABIERTO
CON PROPUESTA TCNICA SIMPLIFICADA
CM-04-2013
29 de Noviembre de 2013
1. NECESIDAD QUE SE PRETENDE SATISFACER CON LA CONTRATACIN:
El COPNIA es una autoridad pblica encargada de la inspeccin, control y vigilancia
del ejercicio de la ingeniera, de sus profesiones afines y de sus profesiones
auxiliares, que acta como tribunal de tica de acuerdo con los parmetros
establecidos en la ley, para proteger a la sociedad del riesgo que conlleva el eventual
mal ejercicio de las profesiones encomendadas; en tal sentido, la Direccin General
se encarga de dirigir el desarrollo y aplicacin de las polticas institucionales y
ejecutar los planes, programas y proyectos que contribuyan al mejoramiento
administrativo de la entidad en cumplimiento de la misin, visin y objetivos
institucionales.
El Consejo Profesional Nacional de Ingeniera COPNIA se encuentra en un periodo
de modernizacin tecnolgica. Este proceso de modernizacin implica que los
sistemas de informacin estn expuestos a un nmero cada vez ms elevado de
amenazas que pueden ser vulnerables los activos crticos de informacin en diversas
formas de fraude, espionaje, sabotaje o vandalismo. Los virus informticos, el
hacking o los ataques de denegacin de servicio son algunos ejemplos comunes y
conocidos, pero tambin se deben considerar los riesgos de sufrir incidentes de
seguridad causados voluntaria o involuntariamente desde dentro de la propia Entidad
o aquellos provocados accidentalmente por catstrofes naturales y fallos tcnicos.
Organizaciones pblicas y privadas han diseado e implementado normas y
procedimientos que orientan sobre el uso adecuado de las nuevas tecnologas para
obtener el mayor beneficio y evitar el uso indebido de la mismas minimizando el
riesgo sobre los bienes y servicios. En este sentido, las Polticas de Seguridad
Informtica, surgen como una herramienta organizacional para garantizar que los
riesgos de la seguridad de la informacin sean conocidos, asumidos, gestionados y
minimizados por la Entidad de una forma documentada, sistemtica, estructurada,
repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el
entorno y las tecnologas, y consecuentemente se debe educar a cada uno de los
miembros de la Entidad sobre la importancia y sensibilidad de la informacin y
servicios.
CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA
Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

ISO 27001 es el estndar para la seguridad de la informacin, aprobado y publicado


como estndar internacional por ISO e IEC actualizado en 2013 y especifica los
requisitos necesarios para establecer, implantar, utilizar, monitorear y mejorar un
Sistema de Gestin de Seguridad de la Informacin (SGSI) del Ciclo de Deming:
PDCA o PHVA acrnimo de Plan, Do, Check, Act. (Planificar, Hacer, Verificar,
Actuar). ISO ha reservado la serie de numeracin 27000 para las normas
relacionadas con sistemas de gestin de seguridad de la informacin, las dems son:

ISO/IEC 27002 (objetivos de control y controles),


ISO/IEC 27003 (gua de implantacin de un SGSI),
ISO/IEC 27004 (mtricas y tcnicas de medida de la efectividad de un SGSI),
ISO/IEC 27005 (gua para la gestin del riesgo de seguridad de la informacin)
e
ISO/IEC 27006 (proceso de acreditacin de entidades de certificacin y el
registro de SGSI).
De acuerdo con lo expuesto, el COPNIA considera procedente adoptar un Sistema
de Gestin de Seguridad de la Informacin (SGSI), teniendo presente los objetivos
misionales, asegurando la disponibilidad y buen desempeo de la plataforma
tecnolgica y por ende de todos los procesos que soporta. La adecuada seguridad
de la informacin requiere que se preste el servicio de consultora en seguridad
informtica, basada en la norma ISO/IEC 27001, tendiente a identificar riesgos y
vulnerabilidades de seguridad, auditar medidas de seguridad perimetral y puntos
crticos de los procesos.
2. DESCRIPCIN DEL OBJETO, CON SUS ESPECIFICACIONES TCNICAS,
IDENTIFICACIN DEL CONTRATO Y CONDICIONES GENERALES DEL
CONTRATO A CELEBRAR:
2.1 OBJETO

Consultora para evaluar y realizar el diagnstico del estado actual del Sistema de
Gestin de Seguridad de la Informacin del COPNIA, la identificacin de las
actividades a desarrollar y la implementacin del sistema basado en la norma
ISO/IEC 27001:2013.
2.2 ESPECIFICACIONES TCNICAS
2.2.1 Obligaciones Generales

Dentro de las obligaciones principales de la consultora, est la de realizar un


diagnstico acorde con los requerimientos del COPNIA en materia de seguridad

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

informtica, realizando las pruebas que permitan identificar riesgos y vulnerabilidades


de seguridad, auditar medidas de seguridad perimetral, puntos crticos de los
procesos y realizar las actividades necesarias para la implementacin del Sistema de
Gestin de Seguridad de la Informacin con base en lo dispuesto en la norma ISO/IEC
27001:2013 y las buenas prcticas de la serie ISO27002.
Entregar al supervisor del contrato los documentos que sustenten el
cumplimiento de las obligaciones, as como los archivos fsicos y magnticos de
los informes que reflejen las actividades realizadas durante la ejecucin del
contrato.
Mantener estricta reserva y confidencialidad sobre la informacin que conozca
por causa o con ocasin de la ejecucin del contrato.
No instalar ni utilizar software, sin contar con la autorizacin previa y escrita de
parte del supervisor del contrato.
Entregar para cada pago, la certificacin suscrita por el representante legal o
el revisor fiscal, que acredite el cumplimiento del pago de aportes al sistema
de seguridad social integral y parafiscales (Cajas de Compensacin Familiar,
Instituto Colombiano de Bienestar Familiar y Servicio Nacional de
Aprendizaje), durante los ltimos seis (6) meses, acorde con el artculo 50 de
la Ley 789 de 2002.
2.2.2 Cargas de Trabajo del Equipo Mnimo Requerido

Gerente de proyecto:
Tiene a su cargo la planificacin, direccin y coordinacin del proyecto en todos sus
aspectos, definiendo y concretando los objetivos, identificando las actividades a
realizar, los recursos tcnicos y de personal, los plazos y los costos requeridos para
la ejecucin del contrato.
Se encargar de mantener permanente contacto con las Directivas de la Entidad, el
Supervisor del contrato y dems personal que se requiera durante la ejecucin del
proyecto, y tomar las medidas preventivas y correctivas pertinentes para
contrarrestar los riesgos que se detecten.
SGSI Profesional Senior certificado como auditor lder en ISO 27000 y CISSP
Se encargar de liderar los procesos de autoevaluacin de controles, monitorear los
indicadores de riesgo operacional, efectuar seguimiento a las bases de perdidas,

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

liderar el comit de control interno y riesgo operacional de la divisin de medios y


monitorear el cumplimiento de los compromisos de auditora, entre otros.
Profesional Certificado en CEH V7
Tiene a su cargo adelantar las actividades tendientes a detectar las debilidades y
vulnerabilidades en los sistemas, utilizando para ello, el mismo conocimiento y
herramientas de un hacker malicioso, con el fin de generar las herramientas de
prevencin que requiere el sistema.
Consultor Certificado Auditor Lder. ISO 27001
Se encargar de todos los aspectos que conlleven a que el Sistema de Gestin de
Seguridad de la Informacin del COPNIA est conforme a la norma ISO 27001,
realizando la planificacin, el desarrollo y el cierre de la auditora interna sobre el
sistema.
2.2.3 Plan de Trabajo
TEM
1.
1.1.
1.2.
1.3.

1.4.
1.5
2.
2.1.
2.2.
2.3.
2.4.
2.5.
3.
3.1.
3.2.
3.3.
3.4.
3.5.

DESCRIPCIN
Revisin y ajustes de las polticas de seguridad de la informacin.
Las polticas normas y procedimientos debern revisarse y definirse teniendo como marco de
referencia normas y estndares internacionales, en especial la norma ISO/IEC 27001 y
contemplando sus once dominios
El sistema SGSI deber estar integrado con sistema de control de calidad del COPNIA.
Revisar la documentacin existente, en particular el documento de polticas de seguridad de la
informacin con miras a la redefinicin de las mismas.
El proponente deber definir los procesos para la continuidad y el mantenimiento del esquema de
polticas de seguridad, a travs de la definicin de los procedimientos necesarios para el manejo de
documentacin, control de cambios y versiones, definiendo los roles y las responsabilidades del
personal involucrado en el mantenimiento de las polticas de seguridad
Revisin de los puntos crticos en las fallas de los procesos misionales de la entidad.
Revisin y ajustes al enfoque para la valoracin de riesgos
Identificar y revisar la documentacin existente sobre el enfoque actual de gestin de riesgos
Definir la metodologa para la gestin de riesgos del SGSI
Definir los criterios de Valoracin de Riesgos del SGSI
Definir los criterios de para la aceptacin de los riesgos, y los niveles de riesgos aceptable
Informe y valoracin del riesgo resultante de aplicar la metodologa de evaluacin.
Anlisis Gap
Revisin de la estructura metodolgica y de control de la entidad, teniendo como marco de referencia
la norma ISO/IEC 27001:2013.
Revisar la documentacin existente del SGSI
Revisin y anlisis de controles y brechas de seguridad para cada uno de los proceso.
Agrupar cada una de las categoras de anlisis documentadas en Pilares junto con aspectos
fundamentales de inters y relevancia
Hacer Auditoras y Trazabilidad de Registros

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

3.6.
3.7.
3.8.
3.9.
4.
4.1.
4.2.
4.3.
4.4.
4.5.
4.6.
4.7.
4.8.
4.9.
4.10.
4.11.
4.12.
4.13.
4.14.
4.15.
4.16.
4.17.
4.18.
4.19.
4.20.
4.21.
4.22.
5.
5.1.
5.2.
5.3.
5.4.
5.5.
5.6.
5.7.
6.
6.1.
6.2.
6.3.
6.4.
6.5.
7.

Efectuar un anlisis de los controles implementados actualmente, para determinar si son o no


adecuados
Detallar planes de accin para reducir las brechas encontradas
Informe ejecutivo con los resultados
El proponente debe entregar el documento de declaracin de aplicabilidad, que contenga la lista de
los controles identificados, y haciendo las excepciones respectivas para aquellos controles
propuestos por la norma que no aplican en la entidad.
Pruebas de vulnerabilidades
Realizar la pruebas de Vulnerabilidades y de tical Hacking mnimo para 5 IPs .
Anlisis de las pruebas y preparacin de informes de resultado
Presentacin y entrega de los informes con resultados
Presentacin y entrega de planes de accin para reducir las brechas encontradas
Acompaamiento en la Remediacin
Entregar el orden de prioridad de los riesgos encontrados
Entregar recomendaciones paso a paso para remediar cada vulnerabilidad
Generar reportes detallados y ejecutivos incluyendo debilidades potenciales y riesgos de red,
tendencias y anlisis comparativos;
Pruebas en el patchlevel de OS;
Pruebas en el patchlevel de Aplicaciones
Pruebas de registros de Windows;
Soporte para fuentes de datos customizadas
Soporte para SMB y pruebas locales de SSH
Pruebas de Firewalls, IDS, routers, and switches
Pruebas de Hosts y redes VPN
Pruebas de Hosts y redes inalmbricas
Audita prcticamente todo tipo de equipo de red
Audita prcticamente todo servicio TCP o UDP
Escaneo de host Virtual
Busca por ms de vulnerabilidades
Anlisis Externo e Interno
Las herramientas usadas deben ser certificadas ASV
Pruebas de tical Hacking
Seguir las recomendaciones del OSSTMM (The Open Source Security TestingMethodology Manual),
la cual es una metodologa orientada a la ejecucin de pruebas de seguridad y establecimiento de
mtricas de seguridad;
Buffer Overflows sobre Servicios
Descubrimiento de Passwords a Fuerza. Bruta directamente contra servicios y aplicaciones
Cracking de passwords sobre cuentas privilegiadas en bases de datos obtenidas directamente de
los sistemas objetivo;
Secuestro de sesiones si es posible y apropiado
Errores en aplicaciones o configuraciones dbiles que permitan acciones no apropiadas
Informe de Pruebas de tical Hacking
Anlisis BIA
Identificar y clasificar segn su impacto aquellos procesos que son misionales para el negocio
Determinar el tiempo objetivo de recuperacin de los procesos RTO
Determinar el punto objetivo de recuperacin de los procesos RPO
Identificar los recursos y requerimientos mnimos de recuperacin para cada proceso misional
Informe del anlisis BIA
Identificar y clasificar los activos de informacin

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

7.1.
7.2.
7.3.
7.4.
7.5.
7.6.
7.7.
7.8.
7.9.
7.10.
7.11
7.12.
7.13.
7.14.
8.
8.1.
8.2.
8.3.
8.4.
8.5.
8.6.
8.7.
8.8.
8.9.
8.10.
8.11.
9.
9.1.
9.2.
9.3.
9.4.
10.
10.1
10.2.
10.3.
10.4.
10.5.

Identificar y generar un inventario y clasificacin de los activos de informacin con base a


metodologa definida
Se deber definir las escalas y criterios de calificacin de la confidencialidad de los activos de
informacin
Se debern definir y documentar el proceso metodolgico las escalas y criterios de calificacin de la
confidencialidad de los activos de informacin
Determinar los datos y CIs de la informacin
Construir la matriz con inventario de clasificacin de activos segn plantillas e instructivos en el cual
se deber identificar adems el propietario de la informacin.
Determinar Flujos, Roles, Aplicaciones y Funciones de Negocio en el uso de la informacin
Identificar los mtodos de almacenamiento de la informacin sensitiva de la organizacin
Identificar los riesgos de Confidencialidad Vs Canales
Revisar la poltica y procedimiento frente a las necesidades y los riesgos
Identificacin de los mecanismos de proteccin existentes
Valorar el Impacto de los riesgos.
Estimar los niveles de Riesgo.
Identificar los mecanismos de proteccin recomendados
Definir las estrategias de prevencin y control de fuga de informacin
Identificar y clasificar los riesgos de seguridad de la informacin
Identificar las amenazas asociadas a los activos de informacin de la entidad de acuerdo a la
metodologa definida para determinar la probabilidad de la materializacin ante vulnerabilidades y
determinar el impacto que puede ocasionar en la entidad.
Revisar documentacin preexistente del SGSI
Hacer Sesiones de anlisis
Identificar los activos involucrados
Identificar Amenazas y sus fuentes.
Clasificar Amenazas
Identificar las vulnerabilidades que pueden ser explotadas por las amenazas y que pueden causar
dao a la organizacin
Identificar el Impacto de la prdida de confidencialidad, disponibilidad e integridad de la informacin
en los activos y en la continuidad de negocio
Evaluar el impacto en la organizacin al ocurrir los diferentes escenarios de incidentes
Analizar la probabilidad de ocurrencia de los escenarios de incidentes
Efectuar un anlisis cualitativo, medir el desempeo y la capacidad de los controles que han sido
implementados y de los que se planean implementar para minimizar, eliminar o controlar una
amenaza que se puede materializar
Plan de tratamiento de riesgos
El proponente deber realizar la matriz de riesgo
El proponente deber proponer un plan con las recomendaciones, actividades y acciones necesarias
para la implementacin o mejora de los controles sobre riesgos identificados
Identificar y evaluar las opciones para el tratamiento de los riesgos
Declaracin de aplicabilidad SOA-Statement of Applicability ; documento que contiene los objetivos
de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de
valoracin y tratamiento de riesgo, justificando inclusiones y exclusiones
Implementacin
Hacer la revisin y afinamiento de la poltica de seguridad informtica y dems documentos del SGSI.
Definicin de Alcance y Lmites del SGSI
Definicin de la Poltica del SGSI
Definicin de Enfoque Organizacional para la Valoracin del Riesgo
Procedimiento de Gestin y Clasificacin de la Informacin

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

10.6.
10.7.
10.8.
10.9.
10.10.

10.11.

11.
11.1.

11.2.

12.

12.1.

12.2
12.3

Procedimiento de Gestin e Inventario de Activos


Informe de Valoracin de Riesgos
Plan de Tratamiento de Riesgos
La Declaracin de Aplicabilidad (SOA)
El proponente deber documentar y /o realizar los ajustes pertinentes a la documentacin de los
procedimientos del sistema de gestin de seguridad.
Para los procedimientos se debe definir como mnimo :
Objetivo.
Alcance
Roles y responsabilidades
Actividades
Recursos
Desarrollo del proceso
Comentarios y requisitos para su implantacin
Definicin y desarrollo de las mtricas
El proponente deber determinar y documentar las mtricas (KPIs y BSC)
Alinear las Mtricas al BSC del SGSI en sus 4 Perspectivas y objetivos estratgicos
Determinar las fuentes de los datos
Determinar el tipo obtencin de los datos (Manual, Automtico, etc.)
Determinar los responsables de cada KPI
Determinar la frecuencia de cada KPI
Completar la hoja de vida de cada KPI
Divulgacin y cultura en seguridad
Implementar la nueva poltica de seguridad informtica y cultura en seguridad de la informacin que
incluye Plan de comunicacin y divulgacin, as como los Grupos objetivo, cundo y cmo se les
debe comunicar, y qu material debe ser usado para cada grupo. Se deber incluir:
Plan de formacin y generacin de cultura en seguridad de la informacin.
Plan de comunicacin y divulgacin
Entregar las evidencias que incluyan las encuestas de concientizacin
Curso de auditor interno en ISO27001 certificado.
El consultor deber brindar acompaamiento en la elaboracin de las acciones preventivas y
correctivas.

2.2.4 Test de Intrusin

A travs de un test de seguridad se realizar una valoracin tecnolgica mediante la


ejecucin de pruebas de intrusin tanto internas como externas, las cuales son un
conjunto de actividades que se desarrollarn desde internet y en la red interna del
COPNIA, que permitan conocer hasta donde un ataque a la infraestructura de
seguridad puede ser efectivo y encontrar as los elementos a mejorar en la misma.
La prueba debe ser idnea para verificar la efectividad de los controles establecidos
tanto a nivel interno como externo, sometindolos a prueba con tcnicas diseadas
para vulnerar su seguridad y con el manejo de sofisticadas herramientas administradas

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

por un grupo de profesionales con amplia experiencia en su utilizacin y un alto sentido


de la tica.
Objetivos
Verificar los controles de seguridad actuales de la plataforma tecnolgica del
COPNIA.
Brindar las recomendaciones necesarias con el fin de cerrar la brecha de
seguridad hallada en la plataforma tecnolgica del COPNIA.
Metodologa
a. Levantamiento de informacin.
En esta actividad se recoger toda la informacin necesaria para la realizacin
del test de intrusin. El nivel de informacin ser de la plataforma con
conocimiento limitado del contratista.
Se especificarn las direcciones IP de los sistemas a los cuales se les quiere
realizar el test.
Se debe invertir ms tiempo en identificar y explotar vulnerabilidades.
El contratista realizar el descubrimiento para la recoleccin de informacin para
identificar objetivos especficos (servidores, aplicaciones, bases de datos,
servicios, etc.) en las redes involucradas en el servicio.
Se realizar la identificacin de las direcciones IP, servicios ofrecidos por los
servidores, puertos abiertos, versiones de los servicios, enumeracin de
usuarios, e identificacin de sistemas operativos y bases de datos.
Se realizar una sesin de trabajo para que un consultor acompae a los
administradores y/u operadores de la plataforma de TI en este levantamiento de
informacin determinando cuales elementos son de criticidad baja, media o alta,
para de esta forma concentrar de manera ms especifica el trabajo realizado
sobre los elementos ms importantes de la infraestructura.
b. Planteamiento de vulnerabilidades.
Hay que determinar los problemas de seguridad en los puntos hallados en la etapa de
recoleccin de informacin.
Estos problemas de seguridad se deben determinar usando herramientas
especializadas, adems se deben determinar los falsos positivos. Como resultado del

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

descubrimiento de vulnerabilidades, se determinar la estrategia a seguir durante las


pruebas de seguridad, Adems se realizar la deteccin de vulnerabilidades para
identificar problemas con potenciales ataques entre otros y adicionales a los solicitados
especficamente, los siguientes tipos:
Cliente
Debilidades de autenticacin
Cross Site Script
Ataques Java
Ataques al browser
Keylogger
Red
Comprobacin de password y protocolos de ciframiento dbiles.
Enumeracin de la red
Reconocimiento de la red
Sniffing
Ataques man-in-the-middle
Spoof de DNS
Re enrutamiento
Enumeracin y explotacin de Wi-Fi
Screen logger.
Arpspoofing.
Gateway
IP-email-spoof.
Explotacin de vulnerabilidades.
Filtering bypass.
Sniffing.
Sistemas operativos
Identificacin del sistema operativo del objetivo.
Instalaciones por defecto de servicios y aplicativos.
Identificacin de los puertos abiertos en los objetivos (TCP, UDP).
Identificacin de los servicios que se estn ejecutando en los objetivos.
Rompimiento de claves.
Identificacin de vulnerabilidades del SO.
Negacin de servicios.
Bsqueda de informacin sensible accesible por la red como la existente en las
carpetas compartidas.

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

10

Sniffing.
Verificacin de logs.
Servidores Web
Identificacin del sistema operativo del objetivo.
Vulnerabilidades asociadas a malas prcticas de programacin.
Identificacin de los servicios que se estn ejecutando en los objetivos.
Explotacin de vulnerabilidades.
Bfer Overflow.
Configuracin por defecto.
Negacin de servicios y Anlisis de logs.
Aplicaciones
Formas.
Directory transversal.
Meta-caracteres.
Sesin Hijacking.
Cdigos de error.
Bfer Overflow.
Rompimiento de claves.
Base de datos
SQL Injection.
Queries estructuradas.
Claves por defecto.
Claves fciles.
Autenticacin de base de datos.
Extraccin de informacin confidencial.
Usuarios por defecto.
c. Definicin de objetivos.
Basado en la informacin generada por la fase de planteamiento de vulnerabilidades,
se deben determinar aquellos objetivos especficos que puedan proporcionar una
mayor probabilidad de xito durante el ataque o aumentar el grado de penetracin para
alcanzar cualquiera de las metas definidas.
d. Ataque.
Se debe atacar los objetivos seleccionados en la fase anterior utilizando las
vulnerabilidades descubiertas. Dentro de la etapa de ataque, se debe probar la
existencia real de las vulnerabilidades encontradas en las etapas anteriores, para as

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

11

determinar el impacto de las mismas en la organizacin. Si dentro del desarrollo de los


ataques, surgen nuevas vulnerabilidades no detectadas en las fases anteriores, se
deben incluir dentro de esta etapa, para su verificacin.
e. Determinacin de Resultados.
Al lograr el grado de penetracin interna para alcanzar la meta se debe repetir el ciclo
volviendo a la fase 1. Esta recoleccin de informacin se puede dar, ya sea, desde un
servidor, aplicacin, usuario, etc., que haya sido vulnerado o con informacin ms
completa obtenida en las fases anteriores. Si las metas o los objetivos planteados en
las pruebas, fueron logrados o se determina que las pruebas han sido finalizadas, se
continuar con la documentacin.
f. Verificacin final y documentacin.
Se debe generar un informe detallado con los resultados obtenidos durante todo el
proceso de ejecucin de las pruebas, con la correspondiente revisin de dicha
informacin, para poder ser interpretada de manera correcta y entender las
implicaciones a nivel de seguridad sobre la infraestructura informtica verificada, con
las recomendaciones necesarias para solucionar dichos problemas.
g. Definicin del Nivel de Riesgo desde el punto de vista tcnico.
Adicionalmente, se debe incluir a las recomendaciones, una clasificacin de riesgo por
cada vulnerabilidad encontrada. Esta clasificacin debe estar dada por definiciones
para los diferentes niveles y criterio, por ejemplo:
Bajo. Cuando la vulnerabilidad es utilizada con el fin de recolectar informacin
relacionada con el servidor, tales como enumeracin de usuario, servicios,
identificacin de sistemas operativos. Tambin se debe incluir fallas que correspondan
a malas prcticas de configuracin de sistemas operativos. Estos se corrigen
realizando configuraciones internas al servidor.
Medio. Cuando la falla compromete la confidencialidad de la informacin tal como la
utilizacin de protocolos no seguros y/o utilizacin de contrasea dbiles. Tambin se
tienen en cuenta problemas con los permisos de acceso y visualizacin de estructuras
internas del servidor. Adems se consideran aquellos problemas relacionados con
malas prcticas de programacin. Finalmente se consideran problemas de mala
configuracin que permitan el control total o parcial de un aplicativo en modo de

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

12

administracin. Estos se corregirn realizando configuraciones internas al servidor, a


los aplicativos o corrigiendo malas prcticas de programacin.
Alto. Cuando la falla se relaciona a unja vulnerabilidad que permita ataques de
denegacin de servicio al elemento evaluado o ataques de ejecucin de cdigo
arbitrario, que permite la obtencin de privilegios en el elemento para su control total o
parcial. Estos se corrigen aplicando parches, fixes o actualizando las versiones de los
servicios involucrados en la falla.
Alcance
Test Externo: se debe realizar la revisin de seguridad externa que se debe llevar a
cabo durante 40 horas de trabajo con cero conocimientos de la infraestructura.
Test Interno: se debe realizar una muestra de hasta 3 servidores, hasta 10 equipos
activos de red del Core, hasta 04 bases de datos (SMBD) y hasta 4 aplicativos crticos
en produccin. En cuanto a las estaciones de usuarios se deben realizar pruebas sobre
un elemento (usuario tpico) por cada tipo de sistema operativo presente en la
infraestructura, hasta un mximo de 03 elementos.
Realizacin de un Re-Test: se debe realizar una segunda prueba con el fin de
determinar si las recomendaciones entregadas fueron exitosamente implementadas
por parte del COPNIA. Este Re-test se realizar para verificar ya de manera puntual
solamente si las vulnerabilidades han sido mitigadas o no. Se definir en conjunto
cuando se realizarn estas pruebas.
En cada una de estas sesiones un consultor deber explicar los resultados de la
aplicacin de la metodologa y el contenido del informe final, haciendo nfasis en los
hallazgos y las recomendaciones a aplicar. Estas reuniones tienen por objetivo resolver
en una primera instancia inquietudes por parte del COPNIA y presentar de manera ms
especfica las recomendaciones que se deben aplicar por parte de los administradores
de la plataforma.
Mejores Prcticas
Las mejores prcticas nos ofrecen recomendaciones o guas que nos permiten cumplir
de manera clara con las necesidades de seguridad de la informacin puntuales de cada
componente.

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

13

Las mejores prcticas de seguridad en general se basan en estndares de seguridad


avalados por proveedores e instituciones y con expertos en los temas de seguridad de
diferentes plataformas (sistemas operativos, aplicaciones, base de datos, dispositivos
de comunicaciones y dispositivos de seguridad).
El alcance de las mejores prcticas no incluye especificaciones de cambios y los
procedimientos tcnicos a seguir para la modificacin de los componentes y valores
especficos de las configuraciones.
Recomendaciones de seguridad de la informacin
El objetivo de las recomendaciones de seguridad de la informacin es entregar un
compilado de experiencias recogidas por el fabricante y los usuarios, en este agregado
se definen puntos especficos a tener en cuenta a la hora de generar configuraciones
seguras para los componentes a asegurar.
Las recomendaciones de seguridad de la informacin incluyen recomendaciones
especficas en lo relacionado con las configuraciones de seguridad propias de cada
uno de los componentes, estas recomendaciones son normalmente validadas por
expertos en el tema.
2.2.5 PRODUCTOS ENTREGABLES

Informe ejecutivo:
Descripcin del trabajo realizado.
Resumen de las actividades realizadas.
Descripcin del informe final entregado.
Descripcin de principales hallazgos.
Conclusiones.
Recomendaciones generales.
Informe Tcnico de seguridad
Descripcin de las pruebas realizadas.
Metodologa utilizada.
Elemento evaluado.
Puertos y servicios habilitados.

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

14

Listado de vulnerabilidades encontradas en los elementos de la plataforma


tecnolgica.
Descripcin de la vulnerabilidad.
Nivel de criticidad (alto, medio, bajo).
Riesgo asociado a impacto.
Recomendacin para mitigacin.
Informe de resultados de las pruebas de ingeniera social.
2.2.6 IDENTIFICACIN DEL CONTRATO

El contrato que se va a celebrar es de Consultora, con observancia en el


procedimiento que rige para el Concurso de Mritos, regulado por lo establecido
en la Ley 80 de 1993, la Ley 1150 de 2007, el Decreto reglamentario 734 de 2012
y la Resolucin No.1525 de fecha 14 de agosto de 2013, Por la cual el Consejo
Profesional Nacional de Ingeniera-COPNIA se acoge al perodo de transicin
otorgado por el Decreto 1510 de 2013
2.2.7 CONDICIONES DEL CONTRATO A EJECUTAR:

1.

2.
3.
4.

5.

Consultora para evaluar y realizar el diagnstico del estado actual del


Sistema de Gestin de Seguridad de la Informacin del COPNIA, la
Objeto
identificacin de las actividades a desarrollar y la implementacin del sistema
basado en la norma ISO/IEC 27001:2013.
Seis (6) meses contados a partir de la suscripcin del acta de inicio, previo
Plazo de ejecucin perfeccionamiento, legalizacin del contrato y aprobacin de la garanta nica
de cumplimiento.
Vigencia
del
A partir del perfeccionamiento, durante su ejecucin y cuatro (4) meses ms.
Contrato
Lugar
de
Seccionales del COPNIA a Nivel Nacional
Ejecucin
El COPNIA realizar el pago correspondiente, con las entregas parciales de
los bienes contratados segn la programacin coordinada con el supervisor
del contrato, contra la presentacin de la factura correspondiente, dentro de
los veinte (20) das hbiles siguientes a su radicacin en la sede del COPNIA
Nacional, previo diligenciamiento del formato de Control de supervisin y
aprobacin de pago firmado por el supervisor.
Forma de pago
El COPNIA slo pagar al contratista y bajo ningn motivo o circunstancia
aceptar o har pagos directos a terceros.
El COPNIA nicamente radicar facturas o cuentas de cobro, a partir del
primer da hbil y hasta el da 25 o el da hbil inmediatamente anterior de
cada mes.
CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA
Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

15

El oferente en su solucin deber incluir los siguientes entregables como


resultado de las actividades anteriormente descritas en medio fsico y digital
en concordancia con el modelo descrito en ISO/IEC 27001:
a) Un primer pago del 30% previa presentacin y aprobacin de:
Informe definiendo el alcance del SGSI para el COPNIA.
Cronograma del proyecto.
Informe de actividades y entregables correspondientes a los tems
1, 2 y 3 de la Ficha Tcnica Anexo No.2:
1.
Revisin y ajustes de las polticas de seguridad de la informacin.
2.
Revisin y ajustes al enfoque para la valoracin de riesgos.
3.
Anlisis Gap.
Proporcionar Herramientas metodolgicas, formatos/plantillas y
guas que faciliten la planeacin, diseo, implementacin, operacin,
seguimiento y control del Sistema de Gestin de Seguridad de la
Informacin.
Documento con el diagnstico en COPNIA de los siguientes catorce
(14) objetivos de control y controles definidos en el anexo A de la
norma NTC-ISO/IEC27001:2013:
Poltica de seguridad
Organizacin de la seguridad de la informacin
Gestin de activos
Seguridad de los recursos humanos
Seguridad fsica y del entorno
Operaciones de seguridad
Gestin de comunicaciones y operaciones
Control de acceso
criptografa
Adquisicin, desarrollo y mantenimiento de los sistemas de
informacin.
Relaciones con los proveedores
Gestin de los incidentes de la seguridad de la informacin
Gestin de la continuidad del negocio y planes de contingencia
Cumplimiento.
b) Un segundo pago del 30% previa presentacin y aprobacin del
informe de actividades y entregables de los tems 4, 5 y 6 de la Ficha
Tcnica Anexo No.2:
4.
Pruebas de vulnerabilidades
5.
Pruebas de tical Hacking
6.
Anlisis BIA.
Documento con el anlisis de vulnerabilidades, proceso tcnico que
busca mediante escaneos de redes, software y servidores,
determinar los puntos dbiles de la infraestructura tecnolgica de

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

16

COPNIA y sobre los que se deber hacer especial nfasis en el


aseguramiento de la informacin.
Informe de intrusin ejecutivo y tcnico de seguridad (Ver. Numeral
2.2.)
c) Un Tercer pago del 20% previa presentacin y aprobacin del
informe de actividades y entregables de los tems 7, 8, 9 y 10 de la Ficha
Tcnica Anexo No.2:
7.
Identificar y clasificar los activos de informacin
8.
Identificar y clasificar los riesgos de seguridad de la informacin
9.
Plan de tratamiento de riesgos
10.
Implementacin
El oferente en su solucin debe incluir los siguientes entregables como
resultado de las actividades anteriormente descritas:
Documento con el establecimiento del Sistema de Gestin de la
Seguridad de la Informacin para el COPNIA, el cual comprende:
Prioridades del COPNIA para desarrollar el SGSI, junto con la lista
de requisitos reglamentarios, contractuales y de la industria de
juegos de suerte y azar, relacionados con seguridad de la
informacin. Bosquejo de las caractersticas del COPNIA,
estructura, su ubicacin, activos, servicios y tecnologa.
Definicin del alcance y lmites del SGSI.
Definicin de la poltica de SGSI.
Definicin del enfoque organizacional para la valoracin del riesgo.
Identificacin de los riesgos.
Anlisis y evaluacin de los riesgos.
Identificacin y evaluacin de las opciones para el tratamiento de
los riesgos.
Seleccin de los objetivos de control y los controles para el
tratamiento de los riesgos.
Coadyuvar en la obtencin de la aprobacin de la presidencia del
COPNIA sobre los riesgos residuales propuestos.
Coadyuvar en la obtencin de la autorizacin de la presidencia del
COPNIA para implementar y operar el SGSI.
Elaboracin de la declaracin de aplicabilidad que incluya: los
objetivos de control y controles seleccionados, los objetivos de
control y controles implementados actualmente y la exclusin de
cualquier objetivo de control y controles enumerados en el anexo A
de la norma NTC-ISO/IEC 27001:2006 y la justificacin para su
exclusin.
d) Un Cuarto pago del 20% previa presentacin y aprobacin del
informe de actividades y entregables de los tems 11 y 12 de la Ficha
Tcnica Anexo No.2:
11.
Definicin y desarrollo de las mtricas.
12.
Divulgacin y cultura en seguridad.

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

17

Para el perfeccionamiento del contrato se requiere de la firma de las partes,


6. Requisitos para el para la legalizacin, la expedicin del registro presupuestal y para su
perfeccionamiento ejecucin, la aprobacin de la garanta nica por parte del COPNIA, la
acreditacin del pago de aportes parafiscales al sistema de seguridad social
y la ejecucin.
integral de los trabajadores del contratista y la suscripcin del acta de inicio.
7. Interventor
y/o Para la ejecucin, el Director General designar a un funcionario del COPNIA
Supervisor
como supervisor del contrato.
a) Confidencialidad: la informacin no se pone a disposicin ni se revela
a individuos, entidades o procesos no autorizados.
b) Integridad: mantenimiento de la exactitud y completitud de la
informacin y sus mtodos de proceso.
c) Disponibilidad: acceso y utilizacin de la informacin y los sistemas
de tratamiento de la misma por parte de los individuos, entidades o
procesos autorizados cuando lo requieran.
d) Para el cumplimento de los requerimientos tcnicos descritos en este
pliego y/o documentos anexos el proyecto se deber planear y
ejecutar alineado al marco de referencia de la norma ISO/IEC 27001
(ISO/IEC 27001 a ISO/IEC 27006) y/o anexos
e) Para gestionar e implementar el SGSI en el COPNIA, el
CONTRATISTA deber con base a ISO/IEC 27001, utilizar el ciclo de
mejora continua PDCA (sigla en ingls)
f) Entregar los servicios objeto del contrato, de acuerdo con las
caractersticas tcnicas contenidas en la oferta presentada, dentro
del plazo pactado.
g) Aceptar que el COPNIA se reserva el derecho de aprobar o rechazar
cualquier elemento que a su juicio, no cumpla con las
8. Obligaciones del
especificaciones establecidas en el Pliego de Condiciones.
Contratista
h) Acreditar el pago de los aportes de sus empleados a los sistemas de
salud, riesgos profesionales, pensiones y aportes a las Cajas de
Compensacin Familiar, Instituto Colombiano de Bienestar Familiar y
Servicio Nacional de Aprendizaje.
i) Conocer a cabalidad los Pliegos de condiciones, con sus respectivos
adendas, la propuesta y el contrato, para realizar la ejecucin del
mismo con eficiencia y eficacia. Presentar previo a la firma del acta
de inicio los documentos necesarios para su ejecucin
j) Cumplir con idoneidad y oportunidad la ejecucin contractual y todas
las obligaciones contenidas en el presente contrato, as como las que
se detallen en los Anexos Tcnicos y/o Financieros que se suscriban.
k) Suscribir oportunamente el acta de inicio y el acta liquidacin del
contrato, y las modificaciones si las hubiere, conjuntamente con el
supervisor o interventor del mismo.
l) Responder por los documentos fsicos o magnticos elaborados o
entregados con ocasin de la ejecucin del contrato, as como
responder por la seguridad y el debido manejo de los documentos y
registros propios de la Entidad para que reposen en las dependencias
correspondientes.

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

18

m) Suministrar al supervisor del contrato toda la informacin que le sea


solicitada para verificar el correcto y oportuno cumplimiento de las
obligaciones que contrae, de acuerdo con los artculos 4 y 5 de la
Ley 80 de 1993.
n) Acatar y aplicar de manera diligente las observaciones y
recomendaciones impartidas por el supervisor del contrato.
o) Asistir a las reuniones que sean convocadas por el supervisor del
contrato, para revisar el estado de ejecucin del mismo, el
cumplimiento de las obligaciones a cargo del contratista o cualquier
aspecto tcnico referente al mismo.
p) Presentar los informes sobre la ejecucin del contrato que le sean
solicitadas por el supervisor o interventor del mismo.
q) El contratista est obligado a cumplir con los requerimientos tcnicos,
establecidos en los estudios previos, en el pliego de condiciones,
anexos tcnicos y en la oferta presentada por el contratista, para dar
cumplimiento a los servicios ofrecidos.
r) Las dems que se deriven del objeto contractual y las que sean
exigidas por el supervisor.

3 FUNDAMENTOS
SELECCIN

JURDICOS

QUE

SOPORTAN

LA

MODALIDAD

DE

De acuerdo con el objeto a contratar, el presente proceso de seleccin se adelanta


con fundamento en la Ley 80 de 1993, el numeral 3 del artculo 2 de la ley 1150 de
2007, modificado por el artculo 219 del Decreto 019 de 2012, que establece el
concurso de mritos como el procedimiento que corresponde a la modalidad de
seleccin para consultora, reglamentada en el Captulo III del Ttulo III del Decreto
734 de 2012.
De acuerdo con lo establecido en el artculo 3.3.1.2 del Decreto 734 de 2012, La
seleccin se llevar a cabo por el sistema de Concurso de Mritos Abierto, y el tipo de
propuesta tcnica ser Simplificada (PTS), ya que el Consejo suministrar los
requerimientos tcnicos, la metodologa para su ejecucin y el plan de cargas y trabajo
de la misma.
Lo anterior, acorde con lo dispuesto en la Resolucin No.1525 de fecha 14 de agosto
de 2013, Por la cual el Consejo Profesional Nacional de Ingeniera-COPNIA se acoge
al perodo de transicin otorgado por el Decreto 1510 de 2013
4 ANLISIS TCNICO Y ECONMICO
Para realizar el anlisis tcnico del proceso se solicit cotizacin tcnica y econmica
a las siguientes empresas: REAL TIME, MANAGEMENT AND QUALITY y CROSS

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

19

BORDER. Las cuales cumplieron con los requerimientos tcnicos exigidos por el
COPNIA.
De acuerdo con las cotizaciones recibidas, se realiz el siguiente anlisis econmico
para determinar el presupuesto oficial del proceso:
4.1 Precios del Mercado.

DESCRIPCIN

REAL TIME
FASE 1-2 Y 4
Julio-10-2013

Diseo y acompaamiento en la
implementacin del sistema de gestin
$110.000.000,00
de seguridad de la informacin del
COPNIA
$ 17.600.000,00
IVA
VALOR TOTAL
VALOR PROMEDIO PROPUESTAS

$127.600.000,00

MANAGEMENT AND
QUALITY LTDA
CROSS BORDER
Ver. 2 de Jul-12-2013

$ 105.172.413,79

$123.000.000,00

$ 16.827.586,21

$ 19.680.000,00

$ 122.000.000,00

$ 142.680.000,00

$ 130.760.000,00

4.2 Presupuesto del proceso de Seleccin.


Acorde con lo anterior, se establece como presupuesto oficial para el presente
proceso de contratacin la suma de CIENTO TREINTA Y UN MILLONES DE
PESOS M/CTE ($131.000.000) INCLUIDO IVA, de acuerdo con el Certificado de
Disponibilidad Presupuestal nmero 898 del 29 de noviembre de 2013.
El valor de la oferta no puede superar el presupuesto oficial asignado so pena de
rechazo de la misma; en el numeral 2 de este estudio, se establece en forma
detallada las caractersticas y especificaciones tcnicas de los elementos a adquirir
5 JUSTIFICACIN DE LOS FACTORES DE SELECCIN QUE PERMITAN
IDENTIFICAR LA OFERTA MS FAVORABLE
De conformidad con lo dispuesto en el numeral 2 del artculo 2.2.9 del Decreto 734
de 2012, en los procesos de seleccin por Concurso de mritos, la oferta ms
favorable a la entidad ser aquella que presente la mejor calidad, de acuerdo con
los criterios sealados en el citado Decreto y en el pliego de condiciones, con
independencia del precio, que no ser factor de calificacin o evaluacin. En
concordancia con lo anterior, para el presente proceso de seleccin se estima que
es determinante para la evaluacin y adjudicacin considerar la experiencia del

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

20

proponente de manera especfica en concordancia con el personal que el mismo


destinar para la ejecucin del contrato que se pretende.
La exigencia de la acreditacin de la experiencia especifica del proponente,
garantiza que el futuro contratista cuente con experiencia tcnica suficiente en la
ejecucin de contratos relacionados con el objeto del proceso de seleccin.
En relacin con el personal requerido para la ejecucin del contrato, se considera
necesaria la evaluacin del personal principal que impacta sustancialmente el
desarrollo de las actividades del contrato, por lo que se requiere garantizar que al
inicio del contrato se cuente con el personal idneo para su ejecucin.
Adicionalmente y dando cumplimiento a lo dispuesto en la ley 816 de 2003, la
Entidad considera ecunime y oportuno incentivar la participacin de bienes y
servicios de origen nacional.
6 SOPORTES DE ESTIMACIN, TIPIFICACIN Y ASIGNACIN DE LOS
RIESGOS PREVISIBLES QUE PUEDAN AFECTAR EL EQUILIBRIO
ECONMICO DEL CONTRATO.
Teniendo en cuenta la naturaleza de la presente contratacin y previendo que
durante la ejecucin del contrato se pueden configurar situaciones que den lugar a
la alteracin de las condiciones econmicas de las partes y en cumplimiento de lo
sealado en el artculo 4 de la ley 1150 de 2007 y el artculo 2.1.2 del Decreto 734
de 2012, se considera necesario estimar, tipificar y distribuir los riesgos de la
siguiente manera:
ASIGNACIN DE RIESGOS PREVISIBLES
RIESGO
ENTIDAD CONTRATISTA
Riesgo ocasionado por cambios en la normatividad
x
tcnica durante la ejecucin del proyecto
Riesgo presentado por accidentalidad y/o muerte
de personal del interventor durante la ejecucin del
contrato, por causas externas al proyecto o por
x
ausencia o falta o deficiencia del sistema de
seguridad industrial del interventor.
Ajustes al contrato. Cuando se presente aumento o
disminucin de precios, generados en prorrogas o
x
suspensiones imputables al contratista no habr
lugar a reajustes
Incumplimiento de obligaciones laborales. Cuando
x
no se cumplan oportunamente las disposiciones

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

21

ASIGNACIN DE RIESGOS PREVISIBLES


RIESGO
ENTIDAD CONTRATISTA
laborales vigentes, relacionadas con el personal
vinculado al contrato.
Incumpliendo en los entregables de cada fase.
Cuando el Contratista no entregue los resultados de
x
la implementacin del esquema de seguridad en el
plazo establecido en el Pliego.
Variacin de precios generados por los cambios en
x
la Tasa Representativa de Mercado del dlar.
Los riesgos tipificados en caso de su ocurrencia, sern asumidos econmicamente
en un 100%, segn la asignacin, de igual forma la cuantificacin de los mismos se
realizar en el momento en que se presenten.
7 ANALISIS DE COBERTURA DE LAS OBLIGACIONES SURGIDAS CON
OCASIN DEL PROCESO DE SELECCIN Y DEL CONTRATO A CELEBRAR.
Garanta: El proponente favorecido se compromete a constituir a favor del Consejo
Profesional Nacional de Ingeniera - COPNIA, una garanta nica para entidades
Estatales que ampare el cumplimiento de las obligaciones surgidas del contrato,
expedida por una Compaa de Seguros establecida legalmente en Colombia que
cubra los riesgos, en las cuantas y vigencias que se establecen a continuacin:

RIESGO

SOBRE EL
VALOR

VIGENCIA

Cumplimiento del contrato

20

Del Contrato

La del contrato y cuatro (4) meses


ms.

20

Del Contrato

La del contrato y un (1) ao ms

10

Del Contrato

La del contrato y tres (3) aos ms.

Calidad de los servicios


adquiridos.
Pago de salarios,
prestaciones sociales e
indemnizaciones laborales

Corresponde al contratista el pago de las primas, relativo al otorgamiento de las


Garantas exigidas para el respectivo contrato. El Contratista debe mantener vigente
la pliza y debe ajustar los amparos siempre que se produzca alguna modificacin
en el plazo y/o valor del contrato.

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

22

CESIN DEL CONTRATO

El CONTRATISTA no podr ceder el contrato a ninguna persona natural o jurdica,


nacional o extranjera, sin autorizacin previa y expresa del COPNIA

9 CRITERIOS DE EVALUACIN.
Los criterios de seleccin objetiva para comparar las propuestas obedecen
estrictamente a los siguientes criterios de experiencia:
N
1
2

CRITERIO
EXPERIENCIA ESPECFICA DEL PROPONENTE
EXPERIENCIA ESPECFICA DEL EQUIPO DE
PROFESIONALES
PUNTAJE MXIMO

PUNTAJE MXIMO
50 Puntos
50 Puntos
100

Puntos

9.1 EXPERIENCIA DEL PROPONENTE:


Una vez verificada la documentacin que sustenta la experiencia de cada uno de los
proponentes el puntaje total del concursante resultar de sumar los puntos que haya
obtenido en los aspectos: Experiencia especifica del proponente y Experiencia
Especfica del Equipo de Trabajo.
9.1.1 EXPERIENCIA ESPECFICA DEL PROPONENTE.
La valoracin de la experiencia especfica del proponente podr llegar hasta
un puntaje mximo de 50 puntos, as:
EXPERIENCIA ESPECFICA DEL PROPONENTE
Una certificacin de experiencia en contratos de consultora
as:
Para la Implementacin de Sistemas de Gestin de
Seguridad de la Informacin (SGSI) con base a la
10 Puntos
norma ISO/IEC 27001, o
En Servicios de Pruebas de Ethical Hacking, o
En Proyectos relacionados con Implementacin y
prueba de Plan de Continuidad del Negocio.
Dos certificaciones de experiencia en contratos de consultora
as:
Para la Implementacin de Sistemas de Gestin de
30 Puntos
Seguridad de la Informacin (SGSI) con base a la
norma ISO/IEC 27001, y
En Servicios de Pruebas de Ethical Hacking, o

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

23

En Proyectos relacionados con Implementacin y


prueba de Plan de Continuidad del Negocio.
Tres certificaciones de experiencia en contratos de consultora
as:
Para la Implementacin de Sistemas de Gestin de
Seguridad de la Informacin (SGSI) con base a la
norma ISO/IEC 27001, y
En Servicios de Pruebas de Ethical Hacking, y
En Proyectos relacionados con Implementacin y
prueba de Plan de Continuidad del Negocio.
PUNTAJE MAXIMO

50 Puntos

50 Puntos

Requisitos mnimos de los contratos acreditados:


a) El oferente debe acreditar de uno (1) a tres (3) contratos cuyo objeto sea

similar a la CONSULTORA objeto del proceso de seleccin, mediante la


presentacin de certificaciones de empresas del sector pblico o privado,
que hayan sido suscritos durante los ltimos 10 aos anteriores a la fecha
de cierre del presente proceso.
b) Cada uno de los contratos acreditados debe estar terminado y/o liquidado
con anterioridad a la fecha de cierre del presente Concurso de Mritos
Abierto.
c) El valor de la sumatoria de la totalidad de los contratos acreditados debe ser
igual o superior al presupuesto oficial estimado para este proceso.
d) Las certificaciones de cada uno de los contratos acreditados deben
contener como mnimo la siguiente informacin: Nombre de la empresa
contratante, nombre del contratista, nmero del contrato, objeto u
obligaciones del contrato, fecha de suscripcin, fecha de terminacin y/o
de liquidacin, valor del contrato, concepto de cumplimiento (regular,
bueno, satisfactorio, excelente), y firma de quien expide la certificacin.
En el evento que las certificaciones no contengan la informacin que
permita su evaluacin, el concursante deber anexar a la propuesta copia
del contrato o de los documentos soportes que permitan tomar la
informacin que falte en la certificacin.
Reglas generales para la evaluacin:
a) Si el concursante

es un Consorcio o una Unin Temporal se


tendrn en cuenta las certificaciones aportadas por cualquiera de sus

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

24

integrantes. Para la evaluacin se sumarn las experiencias de cada uno


de ellos.
b) En el evento que el concursante presente certificaciones de experiencia
donde haya participado en Consorcio o Unin Temporal, para efectos de
la calificacin de este factor, se tomarn las actividades y los valores
certificados en forma proporcional al porcentaje de participacin del
concursante en el Consorcio o Unin Temporal del cual acredite la
experiencia. En este caso, el concursante debe en la certificacin de
experiencia indicar el porcentaje de su participacin en el respectivo
Consorcio o Unin Temporal.
c) En ningn caso los oferentes podrn para efectos de la evaluacin
acumular la experiencia de terceras personas.
d) Slo se evaluarn las certificaciones de contratos que indiquen que los
servicios fueron prestados, como mnimo en forma satisfactoria. Se
entiende por satisfactoria: excelente, muy buena, buena, a satisfaccin.
9.1.2 EXPERIENCIA ESPECFICA DEL EQUIPO DE TRABAJO:
La valoracin de la experiencia especfica del equipo de trabajo podr llegar hasta
un puntaje mximo de 50 puntos.
La evaluacin de la experiencia especfica del equipo de trabajo ofrecido por el
concursante para la ejecucin del contrato que resulte de este proceso de
seleccin, se evaluar de acuerdo con las siguientes tablas de calificacin:
EXPERIENCIA ESPECFICA DEL EQUIPO DE TRABAJO
CARGO
PUNTAJE
Gerente de Proyecto
15 Puntos
SGSI
Profesional Senior certificado como
10 Puntos
auditor lder en ISO 27000 y CISSP
Profesional Certificado en CEH V7
10 Puntos
Consultor Certificado Auditor Lder. ISO 27001
15 Puntos
TOTAL PUNTAJE PERSONAL OFRECIDO
50 Puntos
En el evento que el contratista no ofrezca el personal mnimo exigido con las
calidades sealadas para la ejecucin del contrato que se pretende celebrar,

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

25

dar lugar a la calificacin de la propuesta como


TCNICAMENTE" y por consiguiente no podr ser evaluada.

"NO

CUMPLE

a) Gerente de Proyecto: Se evaluar de la siguiente forma:


DESCRIPCION
PUNTAJE
Gerente de Proyectos Certificado en Auditor lder en ISO 27001 y certificado CISM
(Certified information Security Manager) o CISA (Certified Information System Auditor).
El profesional deber contar mnimo con seis (6) aos de experiencia, en gerencia de
proyectos seguridad informtica y mnimo tres (3) aos con entidades pblicas,
certificada por el cliente final.

15 Puntos

Gerente de Proyectos Certificado en Auditor lder en ISO 27001 y certificado CISM


(Certified information Security Manager) o CISA (Certified Information System Auditor).
El profesional deber contar mnimo con cuatro (4) aos de experiencia, en gerencia
de proyectos seguridad informtica y mnimo dos (2) ao con entidades pblicas,
certificada por el cliente final.

b)

10 Puntos

SGSI Profesional Senior certificado como auditor lder en ISO 27000


y CISSP: Se evaluar de la siguiente forma:

DESCRIPCION
PUNTAJE
Experto SGSI Profesional Senior certificado como auditor lder en ISO 27000 y CISSP
(Computer Information System Security Professional), o CISM (Certified Information
Security Manager) o CEH; debe contar mnimo con cinco (5) aos de experiencia 10 Puntos
especifica como experto en seguridad de la informacin basados en Iso 27001 a nivel
Nacional, certificada por el cliente final.
Experto SGSI Profesional Senior certificado como auditor lder en ISO 27000 y CISSP
(Computer Information System Security Professional), o CISM (Certified Information
Security Manager) o CEH; debe contar mnimo con tres (3) aos de experiencia
especifica como experto en seguridad de la informacin basados en Iso 27001 a nivel
Nacional, certificada por el cliente final.

c)

5 Puntos

Profesional Certificado en CEH V7: Se evaluar de la siguiente forma:

DESCRIPCION
PUNTAJE
Experto SGSI Profesional Senior certificado como auditor lder en ISO 27000 y CISSP
(Computer Information System Security Professional), o CISM (Certified Information
Security Manager) o CEH; debe contar mnimo con cinco (5) aos de experiencia 10 Puntos
especifica como experto en seguridad de la informacin basados en Iso 27001 a nivel
Nacional, certificada por el cliente final.

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

26

Experto SGSI Profesional Senior certificado como auditor lder en ISO 27000 y CISSP
(Computer Information System Security Professional), o CISM (Certified Information
Security Manager) o CEH; debe contar mnimo con tres (3) aos de experiencia
especifica como experto en seguridad de la informacin basados en Iso 27001 a nivel
Nacional, certificada por el cliente final.

d)

5 Puntos

Consultor Certificado Auditor Lder. ISO 27001 : Se evaluar de la


siguiente forma:

DESCRIPCION
PUNTAJE
Consultor Certificado Auditor Lder. ISO 27001 e ISO 9001 con mnimo dos (2) aos
15 Puntos
de experiencia. Certificado por el cliente final.
Consultor Certificado Auditor Lder. ISO 27001 e ISO 9001 con mnimo un (1) ao de
experiencia. Certificado por el cliente final.

10 Puntos

Criterios Para La Evaluacin Del Equipo De Trabajo


El equipo de trabajo propuesto por el oferente se evaluar de acuerdo con los
siguientes criterios, con relacin a los requisitos de formacin acadmica y de
experiencia del Recurso Humano relacionados en los Requerimientos Tcnicos
Mnimos.
a) Calificaciones profesionales: Se evaluarn por la formacin acadmica
y especializacin de acuerdo con los perfiles profesionales requeridos
por e l C O P N I A , atendiendo para ello lo estipulado en las normas
vigentes sobre la materia.
b) Certificacin de Experiencia del Recurso Humano Expedida por el
Oferente: Para el caso en que el recurso humano propuesto, preste sus
servicios a la firma Oferente, se deber anexar a la oferta una
certificacin firmada por el representante legal de la empresa, en donde se
acredite la experiencia del recurso humano incorporado al proyecto.
Nota: Para los profesionales vigilados por el COPNIA la experiencia se
contabilizar a partir de la expedicin de la tarjeta profesional.
c) Para la evaluacin el contratista debe adjuntar: la hoja de vida, los ttulos de
idoneidad y las certificaciones de experiencia requeridas y que acrediten la
formacin acadmica y la experiencia profesional y laboral del recurso
humano incorporado al proyecto.
d) Para el clculo de la experiencia en meses y/o aos se tendr en cuenta el
tiempo efectivo calendario prestado y cuando se acredite experiencia
simultnea, es decir, en caso de traslapo se contabilizar una sola vez dicho
perodo.
e) Para efectos de la evaluacin, las fechas de inicio y terminacin de contratos
CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA
Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

27

f)

g)
h)

i)

que aparecen en las certificaciones, sern vlidas con da, mes y ao; en
caso de no contener el da se contabilizar como del ltimo da del mes; si
faltare el mes se contabilizar como del ltimo mes del ao.
El concursante seleccionado deber presentar la Tarjeta Profesional de
cada una de las personas que integran el equipo de trabajo ofrecido, para
la suscripcin del contrato que resulte de este proceso de seleccin,
segn se exija en la normatividad aplicable a la respectiva disciplina.
El COPNIA se reserva la facultad de solicitar informacin complementaria
a la acreditada por el concursante para la evaluacin de este factor.
Dentro del equipo de trabajo propuesto por el oferente, no ser tenido en
cuenta el personal que ostente la calidad de Representante Legal, dado
el rol que desempea y la dedicacin requerida por la Entidad.
El oferente se compromete a asignar y mantener al servicio del proyecto el
personal que relacion como mnimo obligatorio y por el cual se le otorg
puntaje y en caso de cambio, para el personal que lo reemplace deber
acreditar las mismas caractersticas y perfil de experiencia y de formacin
mnimas iguales o superiores a las establecidas en el Pliego de Condiciones
y ofrecidas en su propuesta.

10 REGISTRO NICO DE PROPONENTES R.U.P.

En razn a que a partir del 1 de septiembre de 2012, los proponentes que hayan
actualizado, renovado o realizado su inscripcin en el registro ante las cmaras de
comercio, rigindose por el Decreto 734 de 2012, en el cual las ACTIVIDADES,
ESPECIALIDAD Y GRUPO quedaron abolidos y fueron remplazados por los
CDIGOS CIIU- Clasificacin Industrial Internacional Uniforme de todas las
actividades econmicas, adaptada para Colombia (CIIU), conservaran su vigencia
durante el ao para el cual debern cumplir con la clasificacin del presente cuadro,
con el objetivo de brindar pluralidad en el presente proceso de negociacin. Se
anexa el cdigo CIIU donde el oferente debe estar inscrito como mnimo en dos (2)
de los cdigos que a continuacin se mencionan:
DESCRIPCION ESPECFICA VERSIN 4.
Actividades de desarrollo de sistemas informticos (planificacin, anlisis, diseo,
programacin, pruebas)
Actividades de consultora informtica y actividades de administracin de instalaciones
informticas
Otras actividades de tecnologas de informacin y actividades de servicios
informticos
Procesamiento de datos, alojamiento (hosting) y actividades relacionadas
Portales web
Actividades de arquitectura e ingeniera y otras actividades conexas de consultora
tcnica
Ensayos y anlisis tcnicos

CODIGO
CIIU
6201
6202
6209
6311
6312
7110
7120

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co

28

11. INDICACIN DE SI LA CONTRATACIN EST COBIJADA POR UN


ACUERDO INTERNACIONAL O UN TRATADO DE LIBRE COMERCIO
VIGENTE EN COLOMBIA.
La presente contratacin NO esta cobijada por un acuerdo internacional o un
tratado de libre comercio vigente para Colombia
Por cuanto se encuentra incluido en las "Exclusiones de aplicabilidad y
excepciones" de las compras pblicas los contratos hasta por $235.558.000
(US$125.000), por ser los que se encuentran para beneficio de las Micro, Pequeas
y Medianas Empresas. De acuerdo con lo anterior, las contrataciones hasta por el
monto sealado se encuentran excluidas del captulo de compras y sobre las
mismas no son predicables las obligaciones del acuerdo.

NUBIA ROCO POVEDA PARRA


Profesional de Gestin de Contratacin

Vo. Bo. LUZ MARINA RESTREPO TREJOS


Subdirectora Administrativa y Financiera

Vo. Bo. CARLOS ROBERTO VALLEJO CUBILLOS


Profesional de Gestin de Sistemas

Vo. Bo. ISAAC JOSE PEREIRA MORALES


Ingeniero de Sistemas

CONSEJO PROFESIONAL NACIONAL DE INGENIERA - COPNIA


Calle 78 N 9-57 Piso 13 PBX 3220102 - email: contratacion@copnia.gov.co - Bogot D.C.
www.copnia.gov.co