Está en la página 1de 28

PROPUESTA DE SERVICIOS PROFESIONALES

Penetration testing

Presentado a:

<>

XX - FECHA- XX

La información contenida en esta propuesta es realizada por X ​ XXXX​. Las copias que se
expidan deberán hacerse respetando la reserva de que gocen las patentes,
Procedimientos y privilegios en atención a lo establecido en el artículo 24 numeral 4 de la
Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

ley 80 de 1.993.

© XXXXXXXXXX

Reservados todos los derechos. No se permite por parte de terceros la reproducción,


copia o utilización de parte de esta propuesta sin la autorización previa y escrita de
XXXXXX.

©XXXXXXXXX -CONFIDENCIAL- Página 2​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

Publicado por:

xXXXXXXX

Ciudad [FECHA].

Señor (a):

XXXXXXXXXXXX

Ref.: ​PROPUESTA DE SERVICIOS PROFESIONALES.

​ XXXXXXXX.
Reciba un cordial saludo por parte de todo el equipo de X

El siguiente documento es con el fin de presentarle formalmente la propuesta de servicios


profesionales solicitados por ​XXXXXXXXXXXXX​. Los servicios ofrecidos cuentan con los
más altos estándares de calidad para el cumplimiento cabal de los mismos. Lo invitamos a
leer la propuesta desarrollada para usted con el alcance específico solicitado previamente.

Agradecemos por la oportunidad brindada.

Cordialmente,

©XXXXXXXXX -CONFIDENCIAL- Página 3​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

Contacto Comercial

XXXXXXXX

​TABLA DE CONTENIDO​ ​Página

1. INTRODUCCIÓN​ ...................................................................................................................... 5

2. OBJETIVO DEL PROYECTO​ ................................................................................................. 6

2.1 OBJETIVOS ESPECIFICOS​ .......................................................................................... 6

2.2 ALCANCE DEL PROYECTO​ .......................................................................................... 6

2.3 EXCLUSIÓNES DEL ALCANCE​ .................................................................................... 9

3. PROPUESTA TÉCNICA​ ........................................................................................................ 10

3.1 METODOLOGIA(S) UTILIZADA(S) Y GUIAS​ ............................................................ 10


3.2 ESTANDARES DE MEJORES PRÁCTICAS – PLANES DE REMEDIACIÓN​ …. 11

3.3 FUENTES CONSULTADAS​ ......................................................................................... 11

©XXXXXXXXX -CONFIDENCIAL- Página 4​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

3.4 SOFTWARE UTILIZADO​ .............................................................................................. 12

3.5 DEFINICIÓN DEL CRITERIO DE CRITICIDAD EN VULNERABILIDADES​ ......... 15


3.6 ESCENARIOS DE TEST DE INTRUSIÓN EXTERNO E INTERNO​ ...................... 15
3.7 FASES DEL SERVICIO GESTIÓN Y ANALISIS DE VULNERABILIDADES .................
16
3.8 FASES DEL SERVICIO ETHICAL HACKING .....................................................................
17
4. EQUIPO DE TRABAJO - RECURSO HUMANO​ ............................................................... 21

5. CONDICIONES COMERCIALES​ ........................................................................................ 22

5.1 VALOR DEL SERVICIO​ ................................................................................................ 22

6. CONDICIONES GENERALES DE LA PROPUESTA​ ....................................................... 23

6.1 CONFIDENCIALIDAD DE LA PROPUESTA​ ............................................................. 23

6.2 TÉRMINOS Y CONDICIONES​ ..................................................................................... 24

©XXXXXXXXX -CONFIDENCIAL- Página 5​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

Penetration Testing – PenTest

1. INTRODUCCIÓN

HACKING ÉTICO​: Pruebas de intrusión “Penetration Test - PenTest”. En este servicio se


ejecutarán varias fases en donde se realizan diferentes tipos de pruebas o ataques,
cumpliendo con los requerimientos específicos del cliente.

Las pruebas de hacking ético consisten en poder ejecutar diferentes tipos de ataques
contra la infraestructura tecnológica y de comunicaciones simulando los ataques de una
persona mal intencionada o delincuente informático.

XXXXXXXX​, presenta los servicios para realizar actividades de hacking ético asociados a
las Tics y al recurso humano, con el fin de verificar los niveles de seguridad actuales.

©XXXXXXXXX -CONFIDENCIAL- Página 6​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

2. OBJETIVO DEL PROYECTO

De acuerdo a los requerimientos específicos de XXXXXXXXXXXXX a continuación se


especifican los objetivos específicos del proyecto:

2.1 OBJETIVOS ESPECIFICOS

Gestionar el conjunto de vulnerabilidades de la plataforma web, de manera tal que cubra


varios aspectos que permitan la identificación y remediación de sus principales
debilidades.

Características Generales:

La herramienta usada para el análisis de vulnerabilidades de la IPs externas debe


de estar en el listado de ASV (Approved Scanning Vendors) aprobadas por el
PCI SSC.
Entrega de cronograma de actividades para la ejecución de la detección de
vulnerabilidades.
Descubrimiento y Análisis de las vulnerabilidades
Entrega de informes, matriz y gestión de vulnerabilidades encontradas.
Entrega de informe diferencial de vulnerabilidades con respecto al reporte anterior y
entrega de informe mensual de avances en la gestión de las vulnerabilidades.
Implementación de Herramienta de análisis de vulnerabilidades con licenciamiento y
homologación CVE vigente, durante la ejecución del proyecto.
Brindar apoyo en la creación de planes de remediación y mitigación.
El tiempo de entrega de los reportes en 10 días calendarios, después de realizada
la revisión.

2.2 ALCANCE DEL PROYECTO

Por solicitud de ​XXXXXXXXXX., XXXXXXX pone en consideración dentro de esta


cotización los servicios de Análisis de Ethical Hacking, según el alcance dado:

Descripción de las IP’s.

©XXXXXXXXX -CONFIDENCIAL- Página 7​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

De acuerdo a la información de la infraestructura de la red interna, a continuación, se


describe el alcance para el proyecto, con el objetivo de dar cumplimiento a los
requerimientos exigidos en los dominios de pruebas de vulnerabilidad, Ethical Hacking y
Pen Testing.

Fases Alcance del Proyecto


Ethical Hacking / Pen Testing a:

Servicio Proxy Extranet. (1 IP)


Fase 1 - Análisis de vulnerabilidad
Pruebas - Identificación de posibles fallas
Iniciales - Fuerza Bruta
- Fuzzing
Directorio Activos
- Information Gathering
- Identificación de Servicios adicionales
- Denegación de servicio
- Explotación
- LDAP Injection
Servicio SAAS O365
- Directorios Transversales
- Escalación de privilegios
- Post-Explotación

Plan de Remediación
Ethical Hacking / Pen Testing a:

Servicio Proxy Extranet. (1 IP)


- Análisis de vulnerabilidad
- Identificación de posibles fallas
Fase 2 - Fuerza Bruta
- Fuzzing
Directorio Activos
- Information Gathering
- Identificación de Servicios adicionales
- Denegación de servicio
- Explotación
- LDAP Injection

©XXXXXXXXX -CONFIDENCIAL- Página 8​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

Re test Servicio SAAS O365


- Directorios Transversales
- Escalación de privilegios
- Post-Explotación
-

Entregables / Fases
Informes técnicos de resultados
Informes Ejecutivos de resultados
Presentación de gestión de vulnerabilidades
Matriz de gestión de remediaciones de vulnerabilidades
Plan de remediación de vulnerabilidades
Cronograma de actividades por fase
Sensibilización en las vulnerabilidades identificadas

Fase 3

©XXXXXXXXX -CONFIDENCIAL- Página 9​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

DEFINICIÓN DE ACTIVIDADES Y SERVICIOS OFERTADOS:

​RECOLECCIÓN DE INFORMACIÓN

Se realizará la recolección de toda la información necesaria para la realización del test de


intrusión externo e interno a toda la plataforma de información y de las tecnologías, lo cual
incluye como mínimo:

• Elementos de Red [Reconocimiento de la red, activos de información, etc.].


• Servidores ​• Bases de Datos.
• Aplicaciones.
• Servicios.
• Controles de seguridad.
• PC de usuario
• IP Internas de la red

​HACKING ÉTICO

XXXXXXXXX deberá determinar los problemas y debilidades de seguridad en los


elementos dispuestos por ​XXXXXXXXX​. Estos problemas de seguridad se deben
determinar usando no solo herramientas especializadas automáticas sino aplicando
técnicas especializadas de hacking ético.

Entregables de los servicios de valor agregado:

Informe Ejecutivo:

- Descripción del trabajo realizado


- Resumen de las actividades realizadas
- Descripción del informe final entregado
- Descripción de principales hallazgos
- Conclusiones
- Recomendaciones

Informe Técnico de seguridad:

- Descripción de las pruebas realizadas


- ​ ​ Elemento evaluado
Metodología utilizada -

©XXXXXXXXX -CONFIDENCIAL- Página 10​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

- Puertos y servicios habilitados.


- Listado de vulnerabilidades encontradas
- en los elementos de la plataforma tecnológica
- Descripción de la vulnerabilidad
- Nivel de criticidad (Alto, Medio, Bajo)
- Recomendación para la remediación.

2.3 EXCLUSIÓNES DEL ALCANCE

- Actividades de administración de plataformas tecnológicas


- Actividades relacionadas con servicios forenses e investigación de delitos
informáticos.
- No contempla la modificación de parámetros de sistemas de información,
Plataformas e infraestructura tecnológica.
- No contempla la ejecución de actividades de aseguramiento y remediación;
solamente contempla soporte telefónico y aclaraciones sobre los hallazgos de las
vulnerabilidades y las recomendaciones de mitigación de cada uno de los
hallazgos identificados.
- No contempla auditorias y pruebas adicionales a Ethical Hacking y Análisis de
vulnerabilidades para la identificación de amenazas persistentes en las redes del
XXXXXXXXX.
- No contempla horas adicionales de consultorías en Ethical Hacking e Ingeniería
Social estipuladas en el presente alcance.

Se considera como ​FUERA DEL ALCANCE cualquier actividad adicional que no esté
relacionada en esta propuesta.

©XXXXXXXXX -CONFIDENCIAL- Página 11​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

3. PROPUESTA TÉCNICA

3.1 METODOLOGIA(S) UTILIZADA(S) Y GUIAS

La ejecución de las pruebas de hacking ético está basada en la metodología OSSTMM y la


guía de OWASP, las cuales ofrecen una forma ordenada de trabajo y ratifica la calidad en
las pruebas ejecutadas.

Solo se tomarán en cuenta las etapas que afectan la ejecución de la propuesta y se


omitieron entre otras, la verificación de las políticas debido a que no están dentro del
alcance de las pruebas.

A nivel general y a diferencia de otro tipo de procesos tales como los de “Vulnerability
Assessment” o “Security Test”, la ejecución de un “Test de Penetración”, tiene un carácter
intrusivo y se encuentra orientado a encontrar y explotar las vulnerabilidades y debilidades
de manera controlada.

OSSTMM V3:

Ref.: ​http://www.isecom.org/mirror/OSSTMM.3.pdf

GUÍA DE PRUEBAS OWASP 2015 V4.0

©XXXXXXXXX -CONFIDENCIAL- Página 12​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

3.2 ESTANDARES DE MEJORES PRÁCTICAS – PLANES DE REMEDIACIÓN

A continuación, mencionamos algunos estándares de los cuales son guía para realizar las
recomendaciones de remediación.

Las bases de datos consultadas de nuestros servicios se encuentran sustentadas por las
siguientes entidades:

©XXXXXXXXX -CONFIDENCIAL- Página 13​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

Para la ejecución de las pruebas de seguridad, nuestros consultores se apoyarán en el


siguiente software:

- Distribución para pruebas de seguridad “Kali Linux”

Kali Linux es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la
auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente
©XXXXXXXXX -CONFIDENCIAL- Página 14​ de 28
Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

tiene una gran popularidad y aceptación en la comunidad que se mueve en torno a la


seguridad informática.
Incluye una larga lista de herramientas de seguridad listas para usar, entre las que
destacan numerosos scanners de puertos y vulnerabilidades, bases de datos de exploits,
sniffers, herramientas de análisis forense y herramientas para la auditoría Wireless, entre
otras orientas a pruebas de Ethical Hacking en todas sus fases.

- Analizador de vulnerabilidades “Tenable Nessus ProfessionalFeed”

Esta herramienta es un software utilizado para buscar vulnerabilidades en equipos


informáticos. Algunas de las características claves de la herramienta son:

• Identificar vulnerabilidades de los sistemas operativos instalados.


• Reportar posibles soluciones a las vulnerabilidades encontradas.

- Nmap ("Network Mapper")

Es una herramienta libre y de código abierto utilizada para la exploración de red o de


auditoría de seguridad.

Nmap utiliza paquetes IP en bruto en formas novedosas para determinar qué hosts están
disponibles en la red, qué servicios (nombre de la aplicación y versión), qué sistemas
operativos (OS y versiones) están corriendo, que tipo de filtros o cortafuegos están en
uso, y docenas de otras características. Fue diseñado para escanear rápidamente redes
muy grandes, pero funciona muy bien contra los equipos independientes.

Nmap se ejecuta en todos los sistemas informáticos operativos principales.

©XXXXXXXXX -CONFIDENCIAL- Página 15​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

- Metasploit en las versiones Community y Framework

• Identificar las vulnerabilidades críticas que podrían conducir a una violación de


datos.

• Reducir el esfuerzo necesario para las pruebas de PRUEBAS DE ANALISIS DE


VULNERABILIDADES Y PENTEST, lo que le permite probar más sistemas con
más frecuencia.

• Contiene una base datos de exploits, para realizar intrusiones contra los objetivos
descritos en el alcance de la propuesta.

• Descubra los modelos débiles de confianza causada por las credenciales


compartidas que son vulnerables a ataques de fuerza bruta.

• Localizar la información sensible de forma automatizada, con la explotación pos


búsquedas de archivos de sistema.

Otros Software y Distribuciones

©XXXXXXXXX -CONFIDENCIAL- Página 16​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

3.5 DEFINICIÓN DEL CRITERIO DE CRITICIDAD EN VULNERABILIDADES

Para la determinación de criticidad de las vulnerabilidades encontradas se utilizó como


base principal el valor de gravedad asignado a cada vulnerabilidad por las herramientas
utilizadas en el testing. Posterior a esta calificación inicial (que se presenta dentro de
criterios de aceptabilidad definidos en CVSS, documento NISTIR 7435) se llevó a cabo
por parte del consultor una prueba directa de explotación de la vulnerabilidad.

Se tuvieron en cuenta vulnerabilidades de clasificación alta, media y baja, siendo en


últimas la criticidad de éstas determinada principalmente por la percepción del consultor, y
estando dicha percepción definida por:

• La explotabilidad efectiva de la vulnerabilidad.


• El vector de acceso necesario para la ejecución de un exploit efectivo.
• La complejidad de programación o de ejecución del ataque.
• El nivel de autenticación requerido para el lanzamiento de un ataque exitoso.
• La disponibilidad de detalles públicos sobre la explotación de la vulnerabilidad.
• El nivel de automatización del proceso de explotación requerido para tener éxito en
el aprovechamiento de los hallazgos.

3.6 ESCENARIOS DE TEST DE INTRUSIÓN INTERNO

Dentro de los escenarios de ataque y de gestión de vulnerabilidades se encuentran


incluidos un vector de análisis:

©XXXXXXXXX -CONFIDENCIAL- Página 17​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

NOTA: Cada escenario evaluado es un (1) hacking ético. Se debe entender que si
contratan dos escenarios son dos hacking ético diferentes.
DIFICULTAD:

XXXXXXXXX. ​elegirá la dificultad de los ataques, estos se dividen bajo las siguientes
dificultades:

​CAJA BLANCA: El cliente, sí subministrará toda la información del objetivo


solicitada por los consultores de XXXXXXXXX. Adicionalmente credenciales de
acceso a los objetivos entre otros.

​CAJA GRIS: El cliente, no subministrará información del objetivo, pero los


consultores de XXXXXXXXX estarán ubicados dentro de la organización, lo que
permitirá al atacante obtener información sobre el objetivo por su cuenta. Un
ejemplo claro puede ser la perspectiva de un funcionario de la organización.

​CAJA NEGRA:​ El cliente, no subministrará información alguna del objetivo


analizado. Un ejemplo es simular el ataque de una persona externa a la
organización.

©XXXXXXXXX -CONFIDENCIAL- Página 18​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

3.7 FASES DEL SERVICIO GESTIÓN Y ANALISIS DE VULNERABILIDADES

Esta fase hace referencia a los escaneos de seguridad realizados a cada uno de los
objetivos analizados, se exponen los siguientes escaneos de seguridad informática:

Escaneo de dispositivos activos en la red.

o Análisis de dispositivos activos en la red.


o Trazabilidad de la ruta desde el equipo del consultor hacia el objetivo.

Escaneo de puertos abiertos, cerrados y filtrados (UDP, TCP).

o Análisis de puertos sospechosos.

Escaneo de servicios asociados a los puertos identificados.

o Análisis de puertos abiertos.


o Evidencias de puertos filtrados por el firewall o cerrado.

Escaneo de Vulnerabilidades.

o Análisis de Vulnerabilidades.

Escaneo de red asociada al dispositivo ha analizado. (En caso que aplique).

o Análisis de seguridad perimetral.


o Escaneo realizando técnicas de evasión a los equipos de seguridad
perimetral.

©XXXXXXXXX -CONFIDENCIAL- Página 19​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

Escaneo de enumeración.

o Identificación de usuarios asociados a cada dispositivo.

Escaneo de Sistema Operativo

o Identificación del Sistema Operativo del objetivo.

3.8 FASES DEL SERVICIO ETHICAL HACKING

Las siguientes son las fases del servicio que se realizarán a los dispositivos mencionados
en el alcance:

A continuación, se especifica de forma detallada el trabajo a realizar en cada una de las


fases:

©XXXXXXXXX -CONFIDENCIAL- Página 20​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

Hace referencia a la fase preparatoria donde los consultores buscan y obtienen


información acerca del objetivo.

Mediante técnicas avanzadas se realizará la búsqueda de todos los puntos débiles


de los objetivos, esto con el fin de encontrar posibles agujeros de seguridad en los
objetivos.

Dependiendo del objetivo en esta fase se podrá realizar adquisición de información


de diferentes fuentes; empleados, clientes, redes, operaciones, procesos, entre
otros. En esta fase se adquiere información de la compañía y de los sistemas.

Se efectuarán técnicas de adquisición de información directamente a los sistemas


objetivos analizados.

Esta fase hace referencia a los escaneos de seguridad realizados a cada uno de los
objetivos analizados, se exponen los siguientes escaneos de seguridad informática:

Escaneo de dispositivos activos en la red.

o Análisis de dispositivos activos en la red.


o Trazabilidad de la ruta desde el equipo del consultor hacia el objetivo.

Escaneo de puertos abiertos, cerrados y filtrados (UDP, TCP).

o Análisis de puertos sospechosos.

Escaneo de servicios asociados a los puertos identificados.

o Análisis de puertos abiertos.


o Evidencias de puertos filtrados por el firewall o cerrado.

©XXXXXXXXX -CONFIDENCIAL- Página 21​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

Escaneo de Vulnerabilidades.

o Análisis de Vulnerabilidades.

Escaneo de red asociada al dispositivo ha analizado. (En caso que aplique).

o Análisis de seguridad perimetral.


o Escaneo realizando técnicas de evasión a los equipos de seguridad
perimetral.

Escaneo de enumeración.

o Identificación de usuarios asociados a cada dispositivo.

Escaneo de Sistema Operativo

o Identificación del Sistema Operativo del objetivo.

Esta fase simula los métodos que un delincuente informático utilizaría para realizar un
acceso no autorizado a la organización o al dispositivo analizado.

En este punto se aprovechan las vulnerabilidades críticas, altas, medias, baja e


informativa, así como los errores de programación, las configuraciones por defecto, y las
malas prácticas de seguridad informática y de la información por parte de los
administradores de las Tics a nivel corporativo.

Se identificarán los puntos críticos en la infraestructura informática en las cuales una


persona con conocimientos medios y avanzados podría realizar ataques de forma mal
intencionado contra la organización para algún fin personal o comercial.

Se ejecutará software propietario y software libre para las pruebas de “PENTEST”.

Entregables:

©XXXXXXXXX -CONFIDENCIAL- Página 22​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

Evidencias de las intrusiones o ataques fallidas realizadas a los dispositivos


estipulados en el alcance específico del servicio.

Evidencias de las intrusiones o ataques realizados satisfactoriamente.

Hallazgos importantes de las intrusiones realizadas satisfactoriamente.

NOTA 1: ​Es posible que algunas vulnerabilidades que se detecten, no sean explotables
en ese caso particular (tipo de plataforma, origen del ataque, etc.). Estas vulnerabilidades
serán exploradas de igual forma, estas se deben contemplar para su posterior
seguimiento y verificación.

NOTA 2: ​Nuestras pruebas de pentest se realizan de forma controlada, sin embargo, hay
una muy baja probabilidad en que algunos de los exploit ejecutados ocasionen perdida de
información, negación del servicio o fallas en el hardware del dispositivo, entre otros
aspectos como accidentes en las pruebas de pentest, ​XXXXXXXXX. debe proveer un plan
de contingencia en caso de causarse algunos de estos factores.

La última fase tiene como objetivo presentar los resultados finales de todos los
dispositivos analizados, exponiendo los hallazgos significativos y los riesgos identificados
a lo largo de las pruebas.

Entregables:

Presentación de un informe técnico/ejecutivo de todo el servicio realizado.

Análisis del protocolo ICMP para los dispositivos.

©XXXXXXXXX -CONFIDENCIAL- Página 23​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

Análisis de traceroute desde la fuente de los ataques perpetuados por los


consultores de XXXXXXXXX.

Análisis de la información de cada uno de los servicios asociados al dispositivo


analizado.

Se documentarán en español y en ingles las vulnerabilidades de orden ​CRITICO,


ALTO, MEDIO. Las vulnerabilidades de orden Bajo e informativo estarán
únicamente mencionadas en los anexos. Estas vulnerabilidades son
documentadas de forma manual por el criterio del consultor basándose de las
diferentes herramientas certificadas para este fin. (todos los informes se realizarán
en español e inglés).

Tres reuniones con ​XXXXXXXXX.​ para identificar los procesos misionales afectados

Generación del informe de acuerdo al requerimiento hecho por Controles


Empresariales el cual identifica los procesos afectados y cuan puede ser el
impacto al mismo.

Evidencias de las pruebas de intrusión tanto fallidas como las pruebas de intrusión
exitosas. Hallazgos significativos.

Recomendaciones y Conclusiones.

Concepto del consultor acerca de la seguridad informática de este dispositivo.

Todos los anexos asociados a las pruebas de hacking ético anteriormente


contemplados.

NOTA: ​Una vez finalizado el proyecto, toda la información recopilada será entregada al
responsable del proyecto debidamente cifrada, a través de un DVD o FTP seguro, FTPS o
SFTP.

4. EQUIPO DE TRABAJO - RECURSO HUMANO

XXXXXXXXX cuenta en su staff de consultores expertos en seguridad de la información,


con certificaciones internacionales como Lead Auditor ISO 27001®, CEH®, CHFI, IDF,
ECSA, CSSA, Lead Auditor BS25999-2®, AI 22301, AI 2000 y experiencia en proyectos
©XXXXXXXXX -CONFIDENCIAL- Página 24​ de 28
Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

de Ethical Hacking en diferentes clientes; a continuación, se describe el equipo de trabajo


asignado a este proyecto.

Equipo de Trabajo del proyecto:


ROL PROFESIONAL Dedicación
(%)
Consultor Consultor de Seguridad 100%
Seguridad Sénior CEH / Pen Testing
Apoyo 1

Duración del Proyecto:

Fase Inicial; 15 Días Hábiles. Fase


Re test: 5 Días Hábiles.

Nota: adicionalmente ​XXXXXXXXX presenta un consultor de Backup con perfil similar o


igual al consultor de Apoyo, para los temas de disponibilidad los recursos en la ejecución
de cada una de las fases del proyecto.

Nota 1: las pruebas RETEST deberán ser desarrolladas en un periodo de tiempo no


mayor a 30 días hábiles, una vez finalizadas la fase de pruebas iniciales internas.

Nota 2:

Los precios anteriores no tienen aplicados el valor del IVA y son libres de
impuestos y retenciones.

• No se incluyen gastos de viajes y viáticos que incluyen pasaje aéreo y hotel


o estadía en las actividades de cada una de las fases en campo o sedes del
XXXXXXXXX. fuera de la ciudad de Bogotá.
• Los servicios contratados pueden ser cotizados por separados o por ofertas
completadas de todas las 5 fases en general para abordar todos los activos
de información de toda la organización.

©XXXXXXXXX -CONFIDENCIAL- Página 25​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

6. CONDICIONES GENERALES DE LA PROPUESTA

La comunicación entre las partes únicamente será manejada por medio del director del
proyecto, ninguna pregunta, inquietud o comentario será tramitada entre XXXXXXXXX y
XXXXXXXXX. menos que esta haya sido previamente autorizada.

Todo cambio o modificación al alcance solicitada por XXXXXXXXX. debe ser notificado al
director del proyecto para ser validado y en caso de requerirse una inversión adicional de
tiempo o económica esta se revisará entre XXXXXXXXX y XXXXXXXXX. por medio del
director de proyecto

El proyecto cuenta con un líder técnico por parte de XXXXXXXXX., toda actividad
relacionada con ethical hackings, ingeniería social y generación y presentación de
informes debe ser revisada por esta previa entrega al director de proyecto.

6.1 CONFIDENCIALIDAD DE LA PROPUESTA

XXXXXXXXX. se obliga a que toda información contenida en la presente propuesta no sea


de acceso público. Esta "Información", será mantenida en forma estrictamente
confidencial y utilizada exclusivamente para el desarrollo del objeto de la(s) actividad(es)
en esta descrita por XXXXXXXXX S.A.S. Igualmente, XXXXXXXXX. se compromete a
tomar todas las medidas necesarias para que la información no llegue a manos de
terceros bajo ninguna circunstancia y se obliga a no utilizarla para ningún objeto diferente
al de adelantar las tareas que se deriven directamente del cumplimiento de las actividades
mencionadas. Las obligaciones señaladas en el presente acuerdo, continuaran vigentes
aún después de su vencimiento o terminación.

EL ALCANCE DEL PROYECTO NO CONTEMPLA

• El servicio no implica el entrenamiento especializado a personal de TICs de


XXXXXXXXX, ni la transferencia de habilidades del servicio prestado al cliente.
• Cierre o la ejecución de remediación de las vulnerabilidades en las plataformas
tecnológicas y comunicaciones cubiertas por la evaluación.
• En general, todos aquellos aspectos no contemplados en la sección de objetivos
y alcance de este documento.

6.2 TÉRMINOS Y CONDICIONES

©XXXXXXXXX -CONFIDENCIAL- Página 26​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

La definición XXXXXXXXX. hace referencia a la razón social de XXXXXXXXX.

DESVINCULACIÓN LABORAL​.- En razón a que XXXXXXXXX S.A.S. actúa en desarrollo


de la presente propuesta como persona jurídica especializada e independiente y presta
los servicios objeto de la presente oferta bajo su propio riesgo y cuenta, XXXXXXXXX
S.A.S. es el único empleador del personal que utilice, en consecuencia entre
XXXXXXXXX S.A.S. y XXXXXXXXX., y entre éste y el personal de empleados de
XXXXXXXXX S.A.S. no existe relación laboral alguna.

CESIÓN Y SUBCONTRATACIÓN. -​ Si la presente oferta es aceptada XXXXXXXXX


S.A.S. no podrá ceder o subcontratar a ningún título, ni en parte ni en todo a título gratuito
a una tercera persona, ninguna de las obligaciones o derechos correspondientes al
acuerdo contractual derivado de la aceptación de la oferta sin previa autorización por
escrito de XXXXXXXXX S.A.S.

CAUSALES DE TERMINACIÓN​. - Además de las causales establecidas en la ley, la


presente propuesta se podrá dar por terminada por:

1. Unilateralmente por cualquiera de las partes, en caso de incumplimiento de las


obligaciones de la presente propuesta, para lo cual la parte cumplida dará a conocer a la
otra por escrito su decisión, sin perjuicio del cobro de las indemnizaciones por los daños y
perjuicios que el incumplimiento le haya ocasionado. XXXXXXXXX S.A.S. se compromete
a pagar el valor de los servicios efectivamente prestados en proporción al tiempo
transcurrido e inspecciones y revisiones realizadas y pendientes de pago.

2. En forma XXXXXXXXX S.A.S., por su completa ejecución, entendiéndose por tal,


el cumplimiento total de las obligaciones contraídas.

3. En forma XXXXXXXXX., por mutuo acuerdo entre las partes, expresado por escrito
y firmado por las personas revestidas con tales facultades por cada parte.

GARANTIA Y LÍMITE DE RESPONSABILIDAD. ​XXXXXXXXX S.A.S. no es responsable


en caso de pérdidas o daños causados por alguna brecha en los sistemas o aplicaciones
de la entidad evaluada posterior a los servicios estipulados en esta propuesta.

©XXXXXXXXX -CONFIDENCIAL- Página 27​ de 28


Propuesta Técnica

Servicios profesionales
PENETRATION TESTING

- FIN DEL DOCUMENTO -

©XXXXXXXXX -CONFIDENCIAL- Página 28​ de 28