Compañía Nacional de Fuerza

y Luz, S.A. (CNFL)

Procedimiento por principio
No.2019PP-000472-0000200001
“Compra de software para el analisis y gestion de
vulnerabilidades”
28 de agosto de 2019

00
 Deloitte & Touche, S.A.
Centro Corporativo El Cafetal
Edificio B, piso 2
Ap. Postal 3667-1000
La Ribera, Belén, Heredia
Costa Rica

Tel: (506) 2246 5000

Fax: (506) 2246 5100
www.deloitte.com/cr

28 de agosto de 2019

Señor
Juan Diego Segura Céspedes,
Proveeduría Empresarial
Compañía Nacional de Fuerza y Luz, S.A.
Presente

Ref.: Procedimiento por principio No.2019PP-000472-0000200001 “Compra de software para el

análisis y gestión de vulnerabilidades”

Estimado señor:

Nos complace presentarle nuestra propuesta de servicios profesionales para nombramiento como
Consultores Externos de la Compañía Nacional de Fuerza y Luz, S.A. (CNFL). Es nuestro
entendimiento que nuestra responsabilidad como Consultores Externos incluirá la compra de software para
el análisis y gestión de vulnerabilidades.

Contamos con un sólido prestigio y experiencia en la prestación de servicios profesionales. Nuestra

clientela incluye una variada gama de organizaciones tanto del sector privado como del sector público de
nuestro país. Como Firma estamos sinceramente interesados en ser nombrados como Consultores
Externos de la Compañía Nacional de Fuerza y Luz, S.A. (CNFL). Estamos convencidos de que
poseemos el nivel de experiencia, competencia profesional, y los recursos humanos necesarios para
ejecutar en forma satisfactoria la evaluación.

1. Sólida estructura interna

Actualmente Deloitte & Touche, S.A. cuenta con socios en auditoría, consultoría, impuestos y
auditoría interna, respaldados por profesionales, ampliamente experimentados en cada uno de esos
campos. Esta sólida estructura profesional nos permite garantizarle a la Compañía Nacional de
Fuerza y Luz, S.A. (CNFL) que designaremos un equipo de trabajo sumamente flexible para la
ejecución del proyecto.

2. Compromiso con el servicio

La filosofía de nuestra Firma siempre ha sido y será la de prestar servicios profesionales de la más alta
de calidad; bajo ninguna circunstancia limitaremos a la Entidad en su atención personalizada que
caracterizan nuestros servicios.

Por eso nuestra futura relación profesional estará regida por los siguientes parámetros:

• Óptima calidad de los servicios brindados.

• Identificación oportuna de asuntos importantes para la evaluación externa.

• Atención personalizada y rápido acceso y disponibilidad de nuestros socios para atender sus
consultas.

• Estricto cumplimiento con la fecha pactada para la entrega de nuestros informes.

3. Nuestro interés en el sector público

El sector constituye para nuestra firma un factor clave en nuestro plan de servicios a la comunidad.
Debido a las características propias del sector y evidente impacto en el desarrollo económico del país,
consideramos que este sector proporciona oportunidades profesionales únicas para aquellas firmas
capacitadas para servirlo.

4. Nuestra experiencia en el sector público

Nuestra experiencia en el sector es muy importante entre todas las firmas que brindan servicios en el
área de auditoría como de consultoría. Es por ello que contamos con una inmejorable combinación de
aptitudes y deseos de darles un servicio como el que merece la Compañía Nacional de Fuerza y Luz,
S.A. (CNFL).

5. Propuesta de servicios

Respuesta a los términos de la contratación del cartel del Procedimiento por principio No.2019PP-
000472-0000200001 “Compra de software para el análisis y gestión de vulnerabilidades”.

Datos del Oferente

Razón social: Deloitte & Touche, S.A., inscrita en el Registro Público según tomo 120, folio 24, asiento
20, cédula jurídica 3-101-020162, nombre del representante legal de la Firma: Andrés Casas Cruz, cédula
de identidad 8-0091-0388.

Dirección: Centro Corporativo El Cafetal, Edificio B, Piso 2, La Ribera de Belén, Heredia.

Dirección postal: 3667-1000 San José.

Teléfono: (506) 2246-5103 / 2246-5000.

Fax: (506) 2246-5207 / (506) 2246-5100.

Correo/s electrónico/s: grguzman@deloitte.com

Cuenta cliente 10200009013016140 colones

BAC San José 10200009013016223 Dólares

Número patronal: 2-03101020162-001-001

Atentamente,
Firmado digitalmente por CARLOS

CARLOS ANDRES CASAS CRUZ (FIRMA)

Nombre de reconocimiento (DN):
serialNumber=CPF-08-0091-0388,
ANDRES CASAS sn=CASAS CRUZ, givenName=CARLOS
ANDRES, c=CR, o=PERSONA FISICA,

CRUZ (FIRMA) ou=CIUDADANO, cn=CARLOS

ANDRES CASAS CRUZ (FIRMA)
Fecha: 2019.08.28 11:30:12 -06'00'

MATI. Andrés Casas Cruz

Apoderado Generalísimo
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Tabla de contenido

Tabla de contenido

Tabla de contenido 1
Respuesta a las condiciones generales del
cartel 3
Nuestra propuesta de servicios profesionales 10
Honorarios profesionales 12
Anexo I Descripción de las herramientas 13
Anexo II Documentos legales 20

01
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Tabla
Procedimiento
de contenido
por principio No.2019PP-
000472-0000200001 “Compra de software para el analisis y gestion de vulnerabilidades”

Procedimiento por
principio No.2019PP-
000472-0000200001
“Compra de software
para el analisis y
gestion de
vulnerabilidades”

02
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Respuesta a las condiciones generales del
cartel

Respuesta a las
condiciones generales
del cartel
1. CONDICIONES PARTICULARES:

Cláusulas

Administrador del Jairo Rodríguez Rojas

Contrato:

Vigencia de Oferta: 30 DÍAS HÁBILES.

Precios: Los precios cotizados serán unitarios y totales (deben

desglosar todos los impuestos u otros que le sean
aplicables), en el lugar convenido de entrega, ciertos y
definitivos según vigencia oferta.

NOTA: CNFL NO ES EXENTA DEL 13% DE IVI O IVA,

SALVO LOS MATERIALES O SERVICIOS QUE PER SE
NO ESTAN SUJETOS A ESTOS.

Estructura de Precio: El precio deberá indicar como mínimo los siguientes

rubros:

1. Desglose de costos de mano de obra.

2. Desglose de costos de insumos.

3. Desglose de costos de gastos administrativos.

4. Utilidad o ganancia proyectada.

Garantía de N/A
Cumplimiento:

Clausula penal y multas N/A

Procedimiento para N/A

ejercer el derecho a la
defensa.

Forma de adjudicación La CNFL estudiará las ofertas que coticen el requerimiento

completo y adjudicará la que ofrezca el menor precio.

Forma de pago La forma de pago será Parcial (de manera mensual) una
vez recibido a entera satisfacción el material o equipo por
parte del Administrador del Contrato.

Audiencia de Descuento N/A

Forma de entrega Total

03
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Respuesta a las condiciones generales del
cartel

Cláusulas

Lugar de Entrega del Los bienes adjudicados serán entregados en: Plantel
material, equipo o Calle 21.
servicio:

Exoneraciones Aplicables La Compañía Nacional de Fuerza y Luz, S.A., es exenta

a CNFL S.A del impuesto del DAI (Derecha Arancelario a las
Importaciones) por lo que las ofertas cuya entrega sea
presentada en plaza y las mercancías requieran ser
nacionalizadas, no deberán considerar dicho impuesto
dentro del precio final ya que la Compañía otorgará la
exoneración correspondiente. Para este fin el
Adjudicatario tendrá que cumplir con los siguientes
puntos:

TRAMITE DE EXONERACION

• Solicitud escrita de exoneración suscrita por el

Adjudicatario o su representante, en esta hará
referencia a la contratación que da origen a la
solicitud y deberá indicar el número factura y el
número de documento de embarque. Además, deberá
hacer referencia al Almacén Fiscal en el cual se
encuentra depositada la mercancía y el nombre de la
Agencia Aduanal que tendrá a cargo el internamiento
de la mercancía.

• Original y copia de la factura endosada según

corresponda a nombre de la Compañía Nacional de
Fuerza y Luz S.A, en idioma español y detallando
claramente el objeto de la contratación.

• Original y copia del documento de transporte

endosado según corresponda a favor de la Compañía
Nacional de Fuerza y Luz S.A

• Declaración jurada por parte del Adjudicatario en la

cual da Fe que la exoneración extendida será utilizada
únicamente en el trámite de internamiento de la
mercancía adjudicada, indicando en la misma el
número de factura y número de documento de
transporte.

• Declaración jurada por parte de la Agencia Aduanal

encargada del trámite de internamiento en la cual da
Fe que la exoneración extendida será utilizada
únicamente para el fin por la que fue contratada,
indicando en la misma el número de factura y número
de documento de transporte

Datos de la persona que Nombre: Ricardo Puertas Jinesta, Teléfono: 2295-1588

recibe el material o
servicio

Tiempo de Entrega del 30 Días hábiles, después de la notificación del contrato.

material, equipo o

04
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Respuesta a las condiciones generales del
cartel

Cláusulas

servicio:

Tiempo de Garantía del El material o equipo deberá de tener una garantía mínima
Material, equipo o de 12 meses naturales, después del recibido a entera
servicio satisfacción por parte del Administrador del Contrato.

Muestras: N/A

Visita al sitio: N/A

El método de evaluación 100 % Precio. Requerimiento completo.

y selección de las ofertas
será:

Respuesta: Entendemos, cumplimos y aceptamos

2. ESPECIFICACIONES TECNICAS

La CNFL requiere adquirir el derecho de uso de un software para el análisis y

gestión de vulnerabilidades, por el periodo de (1) un año, prorrogable por
periodos iguales hasta un máximo de (4) cuatro años, y cumplir como
mínimo con los siguientes requerimientos técnicos:

El software ofertado debe permitir el análisis de vulnerabilidades en la

infraestructura de la CNFL con los siguientes servicios y al menos las
siguientes cantidades indicadas:

Servicio Tipo de servicio Cantidad

Gestión de vulnerabilidades Direcciones IP publicas 32

Direcciones IP internas 256

Análisis de aplicaciones web Aplicaciones web 1

La propuesta del derecho de uso de software debe:

El software ofertado debe estar basado en la plataforma Saas (Software

como un servicio) para los análisis realizados desde internet, y contar con al
menos un “scanner” virtual en sitio para la plataforma, debe ser compatible
con el ambiente virtual VMware con versión 6.5 o superior, y WMware NSX
6.4 o superior.

El software ofertado debe brindar la capacidad de analizar un número

ilimitado de veces y con cualquier frecuencia las IP’s/URLs licenciadas en la
solución.

El software ofertado debe permitir el análisis de vulnerabilidades, con

instrucciones detalladas de remediación y posterior verificación, para al

05
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Respuesta a las condiciones generales del
cartel

menos:

a. Sistemas Operativos

b. Servicios WEB

c. Puertos TCP y UDP

d. Servicios

e. Aplicaciones

f. Bases de Datos

El software ofertado debe ser accesible en cualquier momento y ubicación a

través de los navegadores Internet Explorer, Mozilla Firefox o Google
Chrome.

El software ofertado debe contar con la capacidad de escalamiento en el

número de direcciones IP o aplicaciones web a analizar.

Realizar la detección y clasificación de vulnerabilidades según el estándar

CVE y CVSS.

Los reportes de mapeo y escaneo podrán ser salvados en formatos como:

PDF, XML, CVS, o HTML.

El software ofertado debe permitir la calendarización automática de tareas

de escaneo, con la frecuencia deseada requerida por la CNFL, entre ellos:

a. Ejecución de análisis de vulnerabilidades de red y aplicaciones web.

b. Reportes y alertas con distribución automática según lo indicado por la

CNFL, como por ejemplo el correo electrónico.

Debe permitir el seguimiento de las tareas de solución de las

vulnerabilidades.

Debe permitir asignar las tareas de vulnerabilidades a los usuarios en forma

automática, basándose en reglas de negocio, para su respectiva solución.

Debe tener la capacidad de reportar cuando aparezcan amenazas del tipo

“zero day”, o sea que aún no cuentan con parches, y estimar cuántas IPs en
la red podrían estar bajo riesgo.

Debe mantenerse actualizado de forma automática con las últimas

vulnerabilidades de los diversos sistemas operativos y sus versiones.

El software ofertado debe tener una arquitectura de software como un

servicio y no requerir la instalación de agentes de ningún tipo en nuestros
equipos, web servers locales en la red, bases de datos, entre otros.

Para la gestión de vulnerabilidades el software debe:

06
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Respuesta a las condiciones generales del
cartel

Detectar y analizar vulnerabilidades de al menos los siguientes sistemas

operativos:

a. Microsoft Windows

b. LINUX

c. Cisco

d. VMware

e. MAC OS

Detectar y analizar vulnerabilidades en las principales Bases de Datos, al

menos:

a. Microsoft SQL Server

b. MySQL

c. MariaDB

d. Oracle

Detectar y analizar vulnerabilidades en plataformas WEB, al menos:

a. Microsoft IIS

b. Apache Tomcat

c. Oracle Weblogic

Detectar y analizar vulnerabilidades por puertos TCP /UDP y servicios como:

a. RDP

b. HTTPS

c. TELNET

d. SSH

e. SSL/TLS

f. SNMP

g. SMTP

h. HTTP

i. FTP

j. FTPS

07
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Respuesta a las condiciones generales del
cartel

k. SAMBA

Para el análisis de aplicaciones web el software debe:

Analizar en profundidad aplicaciones web, al menos las contenidas en el

principal listado de seguridad como lo es:

a. Open Web Application Security Project (OWASP) Top 10.

b. Valorar la configuración SSL/TLS del sitio.

c. Detectar la presencia de malware en el sitio.

El software ofertado debe ofrecer un portal web de capacitación, donde

existan cursos que brinden el conocimiento necesario para implementar y
operar la solución ofertada, debe estar incluir en el precio ofertado.

El software ofertado debe estar disponible en un horario de 24x7x365.

El contratista debe realizar la instalación y configuraciones necesarias para

dejar la solución solicitada en este cartel 100% funcional y a entera
satisfacción de la CNFL.

El contratista debe dar acceso al sitio del fabricante en donde se encuentran

los repositorios de información técnica relacionada, como: bases de datos de
conocimientos, foros técnicos, documentación y configuración de los
productos y asistencia técnica de los fabricantes. El contratista es el único
responsable de atender una solicitud realizada por la CNFL, todas las
solicitudes que se realicen al fabricante y el seguimiento respectivo debe
realizarlo el contratista, la CNFL debe tener acceso a las solicitudes
realizadas al fabricante.

El oferente debe aportar una carta del fabricante del software, indicando la
autorización para brindar el software ofertada. Dicho documento debe tener
una vigencia de al menos 30 días naturales de emitida.

El oferente debe ser distribuidor autorizado en Costa Rica del software, para
lo cual debe aportar documento original emitido por el fabricante de la
solución. Dicho documento debe tener una vigencia de al menos 30 días
naturales de emitida.

Respuesta: Entendemos, cumplimos y aceptamos

3. CLÁUSULA DE CONFIDENCIALIDAD.

El contratista y el personal bajo su cargo, deberán apegarse a las normas de

ética profesional y técnica, por lo tanto no podrán usar ni revelar
información de cualquier naturaleza, propiedad de la CNFL, sin el previo
consentimiento por escrito por parte de la CNFL.

El contratista y el personal bajo su cargo no deberán compartir, trasmitir,

divulgar o de alguna manera revelar o exponer, parcial o totalmente, a
clientes o terceros, información confidencial entregada por CNFL o de la que

08
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Respuesta a las condiciones generales del
cartel

tenga conocimiento por cualquier otra razón, sin su autorización expresa y

por escrito.

El contratista se compromete de igual forma, a entregar con prontitud,

todas las copias y documentos que estén en su posesión, especialmente, si
contienen información confidencial. Para todos estos efectos, se entiende
por “información confidencial”, aquella información que generalmente no es
conocida en el mercado o por el público y que es usada, manejada y
obtenida exclusivamente por CNFL en conexión con sus negocios. En caso de
incumplimiento, la CNFL podrá accionar judicialmente.

Respuesta: Entendemos, cumplimos y aceptamos

09
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Nuestra propuesta de servicios profesionales

Nuestra propuesta de
servicios profesionales
Deloitte entiende los retos que enfrenta CNFL, así
como también las oportunidades inherentes de
conocer el estado actual de los mecanismos de
seguridad implementados para la protección de la
infraestructura externa e interna de sus redes y
equipos tecnológicos, por medio de la utilización de
herramientas de evaluación de vulnerabilidades.
Herramienta ofertada

Para cumplir con los requerimientos técnicos de la herramienta de evaluación

de vulnerabilidades planteados en el cartel, proponemos la siguiente solución:

Servicio Herramienta ofertada Tipo de servicio Cantidad

Gestión de Tenable.io Direcciones IP publicas 32

vulnerabilidades
Nessus Professional Direcciones IP internas 256

Análisis de Tenable.io Web Application Aplicaciones web 1

aplicaciones web Scanning

Una descripción de los productos se adjunta en el anexo Data Sheet.

Deloitte es un socio comercial de Tenable, estado que puede ser comprobado

atravez de la página WEB del fabricante. En el siguiente link se puede evaluar
el reconocmiento como socio comercial:
https://www.tenable.com/partners/channel-partner-
directory?field_partner_region_tid=All&field_partner_audience_tid=All&title=De
loitte&=Apply

Adicional, adjuntamos una imagen obtenida de la página web del fabricante:

10
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Nuestra propuesta de servicios profesionales

11
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Honorarios profesionales

Honorarios
profesionales
Ustedes deben sentirse seguros que nuestro trabajo cumplirá con los
requerimientos y operará al nivel de calidad contratado. Nuestros precios son
los mejores, los cuales reflejan el tiempo estimado y la inversión necesaria para
realizar el proyecto.

Estamos comprometidos a desplegar un equipo con experiencia en la materia,

en la industria y en la gestión de proyecto. Los honorarios profesionales que la
Empresa pagará a Deloitte en concepto de los servicios profesionales para
completar el trabajo propuesto están detallados a continuación.

Honorarios profesionales

A continuación, los honorarios del servicio e impuesto al valor agregado.

Servicio Honorarios

Herramienta Analisis de Vulnerabilidades US$20,260.06

Impuesto al Valor Agregado (IVA) US$2,633.88

Subtotal US$22,894.48

El total de los honorarios es por un monto de US$22,894.48 (veitidos mil

ochocientos noventa y cuatro con cuarenta y ocho centavos dólares de los
Estados Unidos de América).

Desgloce del precio de honorarios

Descripción Porcentaje Monto

Porcentaje de costo de mano de obra del precio de cotización 10% US$2,289.45

Porcentaje de insumos del precio de cotización 55% US$12,591.96

Porcentaje de gastos administrativos del precio de cotización 8% US$1,831.56

Porcentaje de utilidad del precio de cotización 27% US$6,181.51

Total 100% US$22,894.48

Nuestra oferta tiene una vigencia de 90 días hábiles, posteriores a la

presentación de la misma.

12
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Anexo I Descripción de las herramientas

Anexo I Descripción de
las herramientas

13
 Compañía Nacional de Fuerza y Luz (CNFL) | Anexo I Descripción de las herramientas

MODERN VULNERABILITY KEY BENEFITS

MANAGEMENT
The IT landscape is changing, and your security strategy needs • Eliminate Blind Spots
to change along with it. IT environments today are filled with Provides 32% greater vulnerability coverage than
traditional and modern, dynamic assets. Beyond physical servers, competitors, with more than 109,000 plugins
organizations are embracing virtual and cloud assets, which can be
across both applications and operating systems.
deployed quickly as needed, on demand. These elastic assets,
including mobile devices and containers, come and go from • Boost Productivity
networks in an instant. Traditional quarterly, monthly or even weekly Take advantage of the SaaS-based solution to run
vulnerability scanning is no longer enough to provide the visibility your initial assessments in less than 5 minutes
and security needed as part of a Cyber Exposure program. without the IT hardware or maintenance burden.

Organizations need a modern, comprehensive strategy to quickly • Prioritize Cyber Risks

and accurately identify vulnerabilities and misconfigurations Reduce the number of vulnerabilities requiring
in their dynamic infrastructures, that delivers clear guidance and immediate attention by up to 97% with Predictive
recommendations on how to prioritize and remediate any Prioritization.
exposures to risk.
• Automate Processes
Tenable.io™ helps solve today’s toughest vulnerability management Leverage a fully documented API and pre-built
challenges. Using an advanced asset identification algorithm, integrations to import third-party data, automate
Tenable.io provides the most accurate information about dynamic scans, and share data with your IT systems.
assets and vulnerabilities in ever-changing environments. As a
cloud-delivered solution, its intuitive dashboard visualizations, • Maximize ROI
comprehensive risk-based prioritization, and seamless integration Eliminate double- or triple-counting of assets
with third-party solutions help security teams maximize efficiency that have multiple IP addresses with the
and scale for greater productivity. When visibility and insight matter industry’s first asset-based licensing model.
most, Tenable.io helps you focus on the right action every time.

Tenable.io provides an accurate view

of assets and vulnerabilities across
your environment to help you
prioritize remediation based on
actual cyber risks.

14 COPYRIGHT 2018 TENABLE, INC. ALL RIGHTS RESERVED. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER CONTINUOUS VIEW AND LOG CORRELATION ENGINE ARE
REGISTERED TRADEMARKS OF TENABLE, INC. TENABLE.SC, LUMIN, ASSURE, AND THE CYBER EXPOSURE COMPANY ARE TRADEMARKS OF TENABLE, INC. ALL OTHER PRODUCTS OR SERVICES ARE TRADEMARKS OF THEIR
RESPECTIVE OWNERS.
 Compañía Nacional de Fuerza y Luz (CNFL) | Anexo I Descripción de las herramientas
KEY CAPABILITIES
Customer-Friendly Elastic Asset Licensing
Tenable.io offers a first-to-market asset-based licensing model that
consumes just a single license unit per asset, even if the asset has
multiple IP addresses. The solution’s elastic model also continues to
permit scanning when license counts are temporarily exceeded and
automatically recovers licenses for rarely scanned assets or
one-time bursts.
Comprehensive Assessment Options
Tenable.io leverages Nessus Sensors, a mix of active scanners, agents,
and passive network monitoring, to help maximize scan coverage
across your infrastructure and reduce vulnerability blind spots. This
mix of data sensor types helps you include hard-to-scan assets in your
vulnerability management program, such as transient devices analyzed
by agents, and sensitive systems like industrial control systems
which, can be monitored through passive traffic listening.
Accurate Asset-Based Vulnerability Tracking
Tenable.io provides the ability to track assets and their vulnerabilities
more accurately than any other solution in the industry. An advanced
asset identification algorithm uses an extensive set of attributes (such
as Tenable ID, NetBIOS name, MAC address and many others) to
accurately identify and track changes to assets, regardless of how they
roam or how long they last.
Vulnerability Prioritization Based on Actual Risk
Tenable.io prioritizes vulnerabilities based on the probability that it
will be leveraged in an attack by combining over 150 data sources,
including Tenable and third-party vulnerability and threat data. A
proprietary machine learning algorithm is used to identify
vulnerabilities with the highest likelihood of exploitability to help you
focus first on the security issues that matter most to your organization.
Simplified Vulnerability Management
Through a modern interface with intuitive dashboard visualizations,
Tenable.io makes common tasks, such as configuring scans, running an
assessment, and analyzing results, easier than ever. Pre-defined scan
templates and configuration audit checks that follow best practices
frameworks, such as CIS and DISA STIG, help you protect your
organization with a fraction of the effort otherwise needed. Customize
your reporting and analysis with pre-configured, out-of-the-box
dashboards or quickly build your own from a blank canvas to meet
organizational needs.
15 COPYRIGHT 2018 TENABLE, INC. ALL RIGHTS RESERVED. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER CONTINUOUS VIEW AND LOG CORRELATION ENGINE ARE
REGISTERED TRADEMARKS OF TENABLE, INC. TENABLE.SC, LUMIN, ASSURE, AND THE CYBER EXPOSURE COMPANY ARE TRADEMARKS OF TENABLE, INC. ALL OTHER PRODUCTS OR SERVICES ARE TRADEMARKS OF THEIR
RESPECTIVE OWNERS.
Automated Cloud Visibility
Tenable.io enables continuous visibility and assessments into public
cloud environments. Cloud Connectors automatically identify assets in
Amazon Web Services, Microsoft Azure, and Google Cloud Platform and
monitor their status in real-time. Assess cloud environments with
Nessus Sensors to detect vulnerabilities, malware, and configuration
and compliance issues.
Pre-Built Integrations and a Documented API and
Integrated SDK
Tenable.io has pre-built integrations – called “plugins” - available for
popular credential management, SIEM, ticketing systems and other
complementary solutions, so you can easily build an efficient
vulnerability management process. A complete listing can be found
here: https://www.tenable.com/partners/technology. Additionally, you
can easily create your own integrations to Tenable.io by leveraging a
fully documented API set and SDK. There is no extra cost to use these
tools to maximize the value of your vulnerability data.
SLA with Uptime Guarantee
Tenable provides the vulnerability management industry’s first and
only uptime guarantee through a robust service level agreement (SLA)
for Tenable.io. Service credits are offered if the SLA is not met, just like
leading cloud vendors, such as Amazon Web Services.
PCI-Certified Approved Scanning Vendor
Tenable.io is a PCI-Certified Approved Scanning Vendor (ASV) solution
that enables merchants and service providers to demonstrate their
Internet-facing systems are secure, according to PCI Data Security
Standard (PCI DSS) external network vulnerability scanning
requirements.
Backed by Tenable Research
Tenable.io is backed by Tenable Research, delivering world-class Cyber
Exposure intelligence, data science insights, alerts, and security
advisories. Frequent updates from Tenable Research ensure the latest
vulnerability checks, zero-day research, and configuration benchmarks
are immediately available to help you secure your organization.
For More Information: Please visit tenable.com
Contact Us: Please email us at sales@tenable.com or visit
tenable.com/contact
 Compañía Nacional de Fuerza y Luz (CNFL) | Anexo I Descripción de las herramientas

A MODERN APPROACH KEY BENEFITS

TO DYNAMIC APPLICATION
SECURITY TESTING • Improve Scanning Confidence
Deliver highly accurate results with minimal false
Modern web applications continue to be a challenge for positives and negatives, giving you and your
organizations to secure as developers build increasingly developers confidence that your reports are accurate.
complex business applications faster than ever. Many • Reduce Manual Work Efforts
organizations are releasing new or updated web applications No-touch automated scanning allows you to
multiple times per day, each containing multiple vulnerabilities understand your web application security risks as
on average. Often outnumbered by developers by 100:1, security your environment changes without the manual
teams are struggling to keep up, and many web applications are effort and time otherwise needed.
not assessed for security issues until it’s too late. Lack of The Tenable.io UI provides an intuitive "Health at a Glance" view of
application security skills and resources inhibit many • Remove
assets Security Blind
and vulnerabilities Spots
across the infrastructure.
organizations from adequately defending against cyberthreats. Scan all of your applications, including those built
using modern web frameworks, such as JavaScript,
But yet another standalone security product isn’t the answer. AJAX and HTML5.
Security leaders must have visibility into the security of all of
• Eliminate Application Disruptions
their web applications as part of a comprehensive Cyber
Define the parts of your web applications that are
Exposure solution to gain a complete view of their security and
safe to be scanned to prevent disruptions or
compliance posture.
performance latency in critical web applications
due to scanning.
Tenable.io™ Web Application Scanning provides this visibility as
part of a comprehensive Cyber Exposure solution. The product • Reduce Product Sprawl
delivers safe and automated vulnerability scanning to cover the Gain visibility into your true cyber risks across your
entire online portfolio, so security professionals can rapidly modern attack surface as part of the Tenable Cyber
assess their web applications without heavy manual effort. Exposure platform to decrease complexity and
Tenable.io Web Application Scanning provides high detection product sprawl.
rates with minimal false positives, ensuring you understand the
true cyber risks in your web applications.

Tenable.io Web Application Scanning

allows security teams to view
identified vulnerabilities to ensure
visibility and prioritize remediation.

16 COPYRIGHT 2018 TENABLE, INC. ALL RIGHTS RESERVED. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER CONTINUOUS VIEW AND LOG CORRELATION ENGINE ARE
REGISTERED TRADEMARKS OF TENABLE, INC. TENABLE.SC, LUMIN, ASSURE, AND THE CYBER EXPOSURE COMPANY ARE TRADEMARKS OF TENABLE, INC. ALL OTHER PRODUCTS OR SERVICES ARE TRADEMARKS OF THEIR
RESPECTIVE OWNERS.
 Compañía Nacional de Fuerza y Luz (CNFL) | Anexo I Descripción de las herramientas
KEY CAPABILITIES
Understand Your Web Applications
Tenable.io Web Application Scanning helps you understand the
sitemap and layout of your web applications. You can perform
a crawl that shows you parts of the web application that the
scanner sees, providing more detailed information about the
web applications you own.
“At-a-Glance” Dashboard Visibility
Dashboards in Tenable.io Web Application Scanning give you
“at-a-glance” visibility into scanned web applications. View
vulnerabilities over time and based on risk level, OWASP Top 10
security issues, and descriptions of all vulnerabilities with
detailed remediation instructions for developers.
Safe Scanning of Web Applications
In order to prevent performance latency and disruptions, it’s
important to define parts of critical web applications that are
safe to scan and define other parts that should never be
scanned. With Tenable.io Web Application Scanning, you can
exclude parts of the web application to be scanned by providing
the URLs or file extensions to be excluded from the scan,
ensuring the scanner is non-intrusive.
Automated Web Application Scanning
With the scarcity (and cost) of security professionals, it’s
important to find solutions that offer automation to help
alleviate the lack of security resources. Tenable.io Web
Application Scanning allows you to simply and rapidly assess
all of your web applications with a highly automated solution
that reduces your manual work effort.
17 COPYRIGHT 2018 TENABLE, INC. ALL RIGHTS RESERVED. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER CONTINUOUS VIEW AND LOG CORRELATION ENGINE ARE
REGISTERED TRADEMARKS OF TENABLE, INC. TENABLE.SC, LUMIN, ASSURE, AND THE CYBER EXPOSURE COMPANY ARE TRADEMARKS OF TENABLE, INC. ALL OTHER PRODUCTS OR SERVICES ARE TRADEMARKS OF THEIR
RESPECTIVE OWNERS.
Gain actionable insight into web
application vulnerabilities and
remediation instructions for
developers to fix security issues.
Unified Web App Scanning and Vulnerability Management
Tenable.io Web Application Scanning delivers comprehensive
and accurate web application scanning into the Tenable Cyber
Exposure platform so you can gain a complete view of your
security and compliance exposure. This helps eliminate data
silos and minimize the burden of product sprawl, so you can
understand your cyber risk and protect your organization with
one solution.
Coverage of HTML5, JavaScript and AJAX Web Applications
Legacy web app scanners can’t keep up with the modern
applications that have exploded in development today.
Tenable.io Web Application Scanning is not only able to scan
traditional HTML web applications, but also supports modern
web applications built using HTML5, JavaScript and AJAX
frameworks.
Advanced Authentication Support
Many web applications implement authentication to control
access to sensitive user data, which can inhibit the ability for
vulnerability scanners to assess the application. Tenable.io Web
Application Scanning supports a broad range of authentication
options, such as form-based authentication, cookie-based
authentication, NTLM support, and Selenium-based
authentication, to address most web application requirements.
For More Information: Please visit tenable.com
Contact Us: Please email us at sales@tenable.com or visit
tenable.com/contact
 Compañía Nacional de Fuerza y Luz (CNFL) | Anexo I Descripción de las herramientas

Automatic plugin updates: Shrink the time to

Nessus Professional: assess and remediate
The de facto industry standard With more than 100,000 plugins automatically updating in
real-time, get timely information for the latest vulnerabilities
for vulnerability assessment and malware to shrink the time to assess, research and
remediate issues.
Scarce resources, limited time, a constantly changing attack • Custom plugins allow you to create specific checks
surface – it’s difficult for security practitioners on the front to assess the security of applications unique to
lines to keep pace with attackers. You need a fast, easy way your organization.
to proactively find and fix vulnerabilities.
• Custom audit files help you verify your organization's
Trusted by more than 27,000 organizations worldwide, configuration requirements and compliance standards.
Nessus® Professional automates point-in-time
assessments to help quickly identify and fix vulnerabilities,
including software flaws, missing patches, malware, and
misconfigurations, across a variety of operating
systems, devices and applications.

NESSUS IS #1 IN VULNERABILITY ASSESSMENT

#1 in Accuracy
Nessus has the industry’s lowest false positive rate
with six-sigma accuracy (measured at .32 defects per
1 million scans).

#1 in Coverage
Plugins are automatically updated in Nessus in real-time,
Nessus has the deepest and broadest coverage with more
providing you with timely information on the latest
than 100,000 plugins, coverage for more than 45,000 CVE
vulnerabilities and malware, a simple set of remediation
and over 100 new plugins released weekly within 24 hours
actions, and a fast and easy way to see if your systems
of vulnerability disclosure.
are vulnerable.

#1 in Adoption Insights through threat intelligence feeds

Nessus is trusted by more than 27,000 organizations globally,
including 2 million downloads. 50% of the Fortune 500 and Gain insight into potential malware running on hosts
25% of the Global 2000 rely on Nessus. throughout your environment via seamless integration
with multiple commercial threat intelligence feeds.

BREADTH AND DEPTH OF COVERAGE Broad, deep visibility into vulnerabilities

Get broad and deep visibility into vulnerabilities with every
Tenable Research works closely with the security community assessment. Nessus offers coverage for over 47,000 unique IT
to discover new vulnerabilities (we have discovered more than assets, including:
100 zero-day vulnerabilities over the past three years) and
• Network devices (e.g., Cisco, Juniper, HP, F5
provide insights to help organizations mature their
and SonicWall)
vulnerability assessment practices. We build this intelligence
into Nessus through plugins to help take the guesswork • MobileIron and VMware AirWatch to assess mobile
out of vulnerability assessment – without requiring you to devices for vulnerabilities against policies
be an expert – for more accurate, comprehensive
vulnerability assessment. • Operating systems (e.g., Windows, MacOS, and Linux)
• Applications ranging from small driver update utilities
to complex Office productivity suites

1 COPYRIGHT 2019 TENABLE, INC. ALL RIGHTS RESERVED. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER CONTINUOUS VIEW AND LOG CORRELATION ENGINE ARE
18
REGISTERED TRADEMARKS OF TENABLE, INC. TENABLE.SC, LUMIN, ASSURE, AND THE CYBER EXPOSURE COMPANY ARE TRADEMARKS OF TENABLE, INC. ALL OTHER PRODUCTS OR SERVICES ARE TRADEMARKS OF THEIR
RESPECTIVE OWNERS.
 Compañía Nacional de Fuerza y Luz (CNFL) | Anexo I Descripción de las herramientas

EASE OF USE
Consultants Love Nessus
Built for security practitioners, by security practitioners,
Nessus was created with the single focus of providing an Nessus is ideal for security consultants
intuitive experience for security pros on the front lines to because it offers:
find and fix vulnerabilities, faster and more confidently.
• Unlimited assessments: No limit to the
number of IPs or assessments
• Easily transferable license: Quickly and easily
“Well-organized interface which classifies plugins transfer your license between computers
in a neat, structured manner.” – Nessus user
• Customizable reporting: Easily customize
reports with client name and logo. Email
directly to the client after every assessment

Quickly see vulnerabilities with pre-built policies

and templates
Out-of-the-box, pre-configured templates for IT and mobile
assets, including configuration audits and patch management Customize reports easily
effectiveness, help you quickly understand where you
have vulnerabilities. Create reports based on customized views (e.g., specific
vulnerability types, vulnerabilities by host/plugin, by
team/client) – in a variety of formats (HTML, CSV
and Nessus XML).

Intelligent vulnerability assessment with Live Results

Live Results performs intelligent vulnerability assessment
in offline mode with every plugin update – without having
to run a scan. Just log in and see the results of potential
vulnerabilities based on your scan history. With a click of a
button, you can run a scan to validate the presence of the
vulnerability, creating a faster more efficient process for
assessing, prioritizing and remediating issues.

Laser focus with Grouped View

More than 450 compliance and configuration templates
allow you to audit configuration compliance against Similar issues or categories of vulnerabilities are grouped
CIS benchmarks and other best practices. together and presented in one thread. Snoozing allows users
to select issues to disappear from view for a specified period
of time. This helps with prioritization, allowing you to focus
only on the issues you are working on at a given time.

Start your free trial of Nessus today!

For More Information:

tenable.com/products/nessus/nessus-professional

Contact Us: sales@tenable.com

2 COPYRIGHT 2019 TENABLE, INC. ALL RIGHTS RESERVED. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER CONTINUOUS VIEW AND LOG CORRELATION ENGINE ARE
19
REGISTERED TRADEMARKS OF TENABLE, INC. TENABLE.SC, LUMIN, ASSURE, AND THE CYBER EXPOSURE COMPANY ARE TRADEMARKS OF TENABLE, INC. ALL OTHER PRODUCTS OR SERVICES ARE TRADEMARKS OF THEIR
RESPECTIVE OWNERS.
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Anexo II Documentos legales

Anexo II Documentos
legales
Cédula jurídica

Cédula apoderado generalísimo

20
Compañía Nacional de Fuerza y Luz, S.A. (CNFL) | Anexo II Documentos legales

Deloitte se refiere a una o más Deloitte Touche Tohmatsu Limited, una

compañía privada de garantía limitada del Reino Unido ("DTTL"), y a su red
de firmas miembro, y sus entidades relacionadas. DTTL y cada una de sus
firmas miembro es una entidad legalmente separada e independiente. DTTL
(también conocida como "Deloitte Global") no provee servicios a clientes.
Por favor, consulte www.deloitte.com/about para una descripción detallada
de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas
miembro.

Deloitte provee servicios de auditoría, consultoría, asesoría financiera,

gestión de riesgo, impuestos y servicios relacionados a clientes públicos y
privados abarcando múltiples industrias. Deloitte atiende cuatro de cada
cinco compañías del Fortune Global 500® a través de una red global de
firmas miembro en más de 150 países brindando capacidades de clase
mundial, conocimiento y servicio de alta calidad para hacer frente a los
desafíos de negocios más complejos de los clientes. Para conocer más
acerca de cómo aproximadamente 225.000 profesionales de Deloitte
generan un impacto que trasciende, por favor contáctenos en Facebook,
LinkedIn o Twitter.

Este documento sólo contiene información general y ni Deloitte Touche

Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas
afiliadas (en conjunto la “Red Deloitte”), presta asesoría o servicios por
medio de esta publicación. Antes de tomar cualquier decisión o medida que
pueda afectar sus finanzas o negocio, debe consultar a un asesor profesional
calificado. Ninguna entidad de la Red Deloitte, será responsable de la
pérdida que pueda sufrir cualquier persona que consulte este documento.

© 2019. Para más información, contacte a Deloitte & Touche, S.A. Member
of Deloitte Touche Tohmatsu Limited.
21