Está en la página 1de 3

TERMINOS DE REFERENCIA PARA LA CONTRATACION DEL SERVICIO

DE ETHICAL HACKING DE LA COOPERATIVA XXXXXX.


1. ANTECEDENTES
La Cooperativa XXXXX. con ms de 50 aos de experiencia en servicios de
intermediacin financiera, cuenta con una infraestructura tecnolgica acorde
con las operaciones que efecta con la misin de garantizar sus servicios de
forma oportuna y transparente hacia sus clientes, para ello trabaja en la mejora
continua en los esquemas de seguridad perimetral a nivel de red, preservacin
de la confidencialidad, integridad y disponibilidad de la informacin.
2. OBJETIVO
La COOPERATIVA, desea evaluar su seguridad determinando las
vulnerabilidades potenciales que puedan ser alcanzadas o identificadas por un
intruso externo e interno. As tambin, cumplir con la normativa XXXXX en
Captulo X, Seccin X, Artculo X Anlisis de vulnerabilidades tcnicas.
3. ALCANCES
El proceso de evaluacin de seguridad de la Informacin tendr como alcance
lo siguiente:
o Proveer una visin del nivel de seguridad informtica vista desde el
Internet y determinar si los controles implementados ante eventos de
seguridad son los adecuados.
o Identificar los factores de vulnerabilidades especficos como caminos de
acceso para penetrar los sistemas y las redes internas de la
COOPERATIVA.
o Confirmar que las medidas de seguridad implementadas por la
COOPERATIVA son las adecuadas y si son capaces de resistir un
ataque.
o Realizar este servicio de forma remota desde las instalaciones del
proveedor y de forma local desde la Oficina Central de la
COOPERATIVA.
o Proporcionar informacin sobre la estructura de sus sistemas tratando
de seguir las mismas pautas que si un hacker estuviese intentando
atacar. En ningn momento generar ningn tipo de cambio sobre los
sistemas y/o informacin a las que se logre acceso.
o Efectuar recomendaciones especficas y generales que permitan a la
COOPERATIVA adelantar los procesos de mejora y correccin de
vulnerabilidades con el propsito de implementar mecanismos de
seguridad informtica acorde con las mejores prcticas en seguridad
informtica y redes.
o Abarcar router, firewall, servidor proxy, servidor principal y de correo,
servidores de bases de datos, dispositivos de red, intentando penetrar
en ellos y de esta forma alcanzar zonas de la red de la COOPERATIVA
como pueden ser la red interna o la DMZ
4. ACTIVIDADES A REALIZAR
o

Sondeo de la red: Anlisis de la red con el objetivo de obtener un mapa

o
o
o

o
o
o
o

detallado de la misma.
Escaneo de puertos, identificacin de servicios y sistemas operativos.
Determinar utilizando herramientas las deficiencias de seguridad que
existen en los sistemas incluidos dentro del servicio.
Se intentar obtener cuentas de usuarios (login y password) del sistema
a travs de herramientas automticas utilizadas por los hackers. Se
utilizan passwords por defecto del sistema, ataques por fuerza bruta,
diccionarios de passwords, etc.
Se recopilar la mayor cantidad de informacin susceptible de ser
utilizada para romper cualquiera de las protecciones de las que pudiera
disponer la COOPERATIVA.
Comprobar la existencia de antivirus y el nivel de defensa que ofrecen.
Comprobar la existencia de herramientas de contencin y el nivel de
defensa que ofrecen frente a la llegada de cdigo malicioso.
Analizar problemas en las aplicaciones WEB y cookies que pudieran
poner al descubierto la seguridad del sistema.

5. ENTREGABLES
1. Informe ejecutivo que muestre las vulnerabilidades y amenazas y las
recomendaciones de mejora, desde un enfoque general.
2. Informe tcnico que detalle todas las pruebas realizadas especificando
su objetivo y los resultados obtenidos.
3. La informacin y material obtenido durante el servicio.
4. Recomendaciones que permitan solucionar de la forma ms acertada
los problemas de seguridad encontrados.
5. Recomendaciones de Mejores Prcticas.
Luego de recibido el documento se discutirn con el personal del Dpto. de
Sistemas y el Oficial de Seguridad, los hallazgos y vulnerabilidades
encontradas.
6. PLAN DE TRABAJO
Debern entregar un plan de trabajo en donde se detalle la metodologa que se
utilizar para el desarrollo del presente servicio, debiendo contar el mismo con
los siguientes requisitos mnimos:
o Fase de Planeamiento (Objetivos, reas de trabajo involucradas, las fechas
para la realizacin de las pruebas, servicios a ser incluidos, etc.)
o Fase de Levantamiento de Informacin.
o Fase de Preparacin de las pruebas.
o Fase de Ejecucin de las pruebas.
o Fase de Documentacin de las pruebas.
7. EXPERIENCIA ESPECFICA DEL POSTOR
Para ejecutar el servicio el postor deber acreditar en su propuesta tcnica lo
siguiente:
o Experiencia en servicios del tipo de la presente convocatoria no menor a
dos aos y que haya realizado servicios similares en Entidades de
Intermediacin Financiera.
o Contar con personal tcnico que cuente con conocimientos en
certificaciones de Seguridad de la Informacin y Seguridad Informtica
relacionadas a este servicio, por lo menos un (1) consultor con experiencia

o
o

en servicios similares al de la presente convocatoria no menor a un (1) ao


y con certificacin de CEH (Certified Ethical Hacker) otorgado por RC
Council.
Presentar una metodologa para realizar el servicio.
Presentar una declaracin jurada comprometindose a guardar la
adecuada reserva del servicio realizado

8. CONDICIONES GENERALES

La COOPERATIVA designar a los funcionarios que se encargarn de


realizar todas las coordinaciones pertinentes con EL CONTRATISTA
durante la ejecucin del Servicio.
EL CONTRATISTA se compromete al desarrollo de las labores
encomendadas dentro del plazo establecido para la entrega del proyecto de
estudio y diagnostico solicitado.
La COOPERATIVA, brindar las facilidades de acceso de informacin y
ambiente fsico que faciliten el normal desarrollo de las actividades del
CONTRATISTA
La COOPERATIVA, facilitar la documentacin o informacin necesaria de
la institucin que solicite el CONTRATISTA.
EL CONTRATISTA elaborar un cronograma de actividades el cual ser
revisado peridicamente por la COOPERATIVA.
EL CONTRATISTA y la COOPERATIVA coordinarn, a fin de velar por la
correcta marcha del servicio.
EL CONTRATISTA y la COOPERATIVA firmarn un acuerdo de
confidencialidad en la que el CONTRATISTA se compromete a mantener la
confidencialidad de la informacin a la cual tenga acceso durante el
servicio, el mismo que perdurar inclusive hasta despus de la finalizacin
de la relacin contractual.

9. DURACION DEL SERVICIO


La consultora tendr una duracin mnima de 10 das y mximo de 15 das
hbiles contados a partir de la recepcin de la orden de servicio y se realizar
en las instalaciones del CONTRATISTA y en la Oficina Central de la
COOPERATIVA.
10. LUGAR DE DESARROLLO DE ACTIVIDADES
Las actividades sern desarrolladas mayormente y de preferencia en las
oficinas que dispone la COOPERATIVA.

También podría gustarte