ESTUDIO DE MERCADO PARA LA DEFINICIÓN

DE PRESUPUESTO REFERENCIAL

SUBASTA INVERSA ELECTRÓNICA

SERVICIO DE ANÁLISIS DE CÓDIGO FUENTE Y VULNERABILIDADES DEL SISTEMA INFORMÁTICO PARA

LA COMPRA CORPORATIVA CENTRALIZADA Y EXTERNALIZACIÓN DE LA DISTRIBUCIÓN DE
MEDICAMENTOS

1. OBJETIVO

El presente documento tiene por objetivo determinar el presupuesto referencial para la

contratación del “Servicio de análisis de código fuente y vulnerabilidades del sistema informático
para la compra corporativa centralizada y externalización de la distribución de medicamentos”.

2. NORMATIVA VIGENTE

Para realizar la definición del presupuesto referencial a ser utilizado en un procedimiento de

contratación, se debe observar lo establecido en el número 2 del artículo 9 de la Resolución Externa
Nro. R.E. SERCOP-2016-0000072 de 31 de agosto de 2016, reformada, misma que establece:
“Estudio de mercado para la definición de presupuesto referencial, que deberá contener las
siguientes consideraciones mínimas: 1. Análisis del bien o servicio a ser adquirido: características
técnicas, el origen (nacional, importado o ambos), facilidad de adquisición en el mercado, número
de oferentes, riesgo cambiario en caso de que el precio no esté expresado en dólares; 2. Considerar
los montos de adjudicaciones similares realizadas en años pasados; 3. Tomar en cuenta la variación
de precios locales e/o importados, según corresponda. De ser necesario traer los montos a valores
presentes, considerando la inflación (nacional e/o internacional); es decir, realizar el análisis a
precios actuales; 4. Considerar la posibilidad de la existencia de productos o servicios sustitutos más
eficientes; y, 5. Proformas de proveedores de las obras, bienes o servicios a contratar. En la
elaboración de las especificaciones técnicas o términos de referencia por parte de la entidad
contratante, en el estudio de mercado para la definición del presupuesto referencial, así como en la
elaboración y entrega de proformas o cotizaciones por parte de los proveedores, se deberá desglosar
y enumerar de forma detallada e individual cada obra, bien o servicio que conforman el objeto
contractual, especificando el código CPC, la cantidad de unidades requeridas y el desglose del precio
por cada unidad o ítem.”.

3. DEFINICIÓN DEL PRESUPUESTO REFERENCIAL

3.1 ANÁLISIS DEL SERVICIO A SER ADQUIRIDO:

El servicio a contratar permitirá analizar el sistema informático del SERCOP en busca de vulnerabilidades
que sean mitigadas a través de la implementación de mejores prácticas, herramientas, recursos y técnicas
que incrementen el nivel de seguridad del proyecto para la compra corporativa centralizada y
externalización de la distribución de medicamentos.

SERVICIO DE ETHICAL HACKING

El servicio de Ethical Hacking debe abarcar el análisis de todos los elementos que forman parte del
sistema tecnológico del SERCOP y la seguridad operativa, así como las diferentes áreas o canales como
se observa en la siguiente tabla:

Página 1 de 18
 Canal Sección Descripción
Redes de datos Redes de datos en las dependencias
1.1 Black Box Testing institucionales
- Hacking ético Telecomunicaciones Comunicaciones digitales que forman
externo parte de la infraestructura
institucional y
acceso remoto
1.1 Black Box Testing Comunicaciones Puntos de acceso a redes
- Hacking ético inalámbricas inalámbricas institucionales.
externo
1.2 Gray Box y White Humano Funcionarios/servidores/trabajadores
Box Testing - Hacking y actores externos
ético interno Físico Acceso a Equipamiento tecnológico
1.3 Ingeniería Social de la institución y equipos
tecnológicos

Previo a la ejecución de las tareas de Ethical Hacking el contratista firmará los acuerdos de
confidencialidad que establezca el SERCOP, en conjunto con el contrato.

Evaluación de intrusión externa (1.1- Black Box Testing - Hacking ético externo)

En este punto se evalúa la seguridad de la información y de la infraestructura tecnológica sin ningún tipo
de acceso concedido por el SERCOP, para lo cual se considera desarrollar las siguientes actividades:

- Ejecución de pruebas de intrusión que permitan identificar las posibles vulnerabilidades a las
que se encuentra expuesta externamente la información, aplicaciones, enlaces, redes de datos,
redes inalámbricas y equipos. Dichas pruebas deben orientarse a permitir realizar acciones
preventivas y correctivas que eliminen y/o disminuir los riesgos y vulnerabilidades encontradas.

- Elaboración de informe técnico de los riesgos y vulnerabilidades encontradas, con sus

respectivas recomendaciones. Además, deberá detallarse los mecanismos de implementación
que permitan mitigarlas, mismo que será entregado al Administrador de Contrato, quien en
conjunto con el Director de Seguridad Informática revisaran y aprobarán la información
entregada.

Evaluación de intrusión interna (1.2 Gray Box y White Box Testing - Hacking ético interno)

Esta es consecutiva con la etapa precedente y debe analizar los sistemas informáticos con distintos
niveles de acceso concedido por el SERCOP

- Evaluar vulnerabilidades emulando usuarios internos. Este proceso deberá realizarse de

manera controlada, es decir, sin alterar la funcionalidad de los servicios y equipos tecnológicos
(clave de usuario o configuraciones de red proporcionado por el SERCOP)
- Evaluar accesos y búsqueda de vulnerabilidades a través de emulación de un usuario externo
con acceso a la red (punto de red habilitado)
- Evaluar acceso desde direcciones IP proporcionadas en redes inalámbricas
- Evaluar acceso físico a equipos al interior de las dependencias
- Evaluar acceso físico a áreas restringidas donde se contenga la infraestructura tecnológica.
- Elaboración de informe técnico de los riesgos y vulnerabilidades encontradas, con sus
respectivas recomendaciones. Además, deberá detallarse los mecanismos de implementación
que permitan mitigarlas, el cual será entregado al Administrador de Contrato, quien en

Página 2 de 18
 conjunto con el Director de Seguridad Informática revisaran y aprobarán la información
entregada.

Ingeniería Social (1.3 Ingeniería Social)

La ingeniería social está orientada a realizar pruebas sobre el recurso humano de la Institución, con la
finalidad de obtener la confianza del mismo para ejecutar determinada acción que podría originar un
delito informático.

La cantidad de servidores públicos necesarios para esta fase se define para obtener un nivel de
confianza del 90% y un nivel de error del 10% de acuerdo a la siguiente formula.

Muestra

n = Muestra
z = Nivel de confianza
p = Proporción de la población éxito
q = Proporción de la población fracaso
d = nivel de error
N = Tamaño de la población

Para obtener un nivel de confianza del 90% y un margen de error del 10%, se establecerá una muestra
poblacional basada en el número de funcionarios que laboran en planta central, esta información será
facilitada por la Dirección de Administración del Talento Humano

SERVICIO ANÁLISIS DE CÓDIGO FUENTE

El desarrollo de este servicio requiere que el análisis de vulnerabilidades de código fuente se realice en
servidores locales, a continuación, se detalla lo requerido:

Estándares de Seguridad
El servicio ofertado debe cumplir con:
- Controles de validación que incluyan las mejores prácticas al menos con alguno de los
siguientes estándares de seguridad: OWASP, SANS y MITRE.

Capacidad de escaneo
Mínimo un millón de líneas diarias

Características Técnicas
El servicio de análisis de código fuente deberá contar con las siguientes funcionalidades que se ajustaran
a las etapas (2.1.- Puesta en marcha del servicio, 2.2.-Escaneo de código fuente, 2. 3.- Análisis de
resultados):

- Detectar vulnerabilidades en el código fuente de los aplicativos del SERCOP.

- Una funcionalidad que permita determinar y planificar los recursos, y el esfuerzo requerido
para solventar los eventos identificados.
- Permitir la identificación y priorización de vulnerabilidades detectadas en base a la
probabilidad y el impacto.
- Identificar líneas o bloques de código duplicados por cada lenguaje de programación, así
como un levantamiento del inventario de componentes técnicos y relaciones de toda la
aplicación (a nivel del fichero, clase, recurso, tablas de bases de datos de manera
automática).

Página 3 de 18
- Asignar grupos de portafolios que contengan segmentos de código, sistemas y/o
subsistemas de las diferentes aplicaciones que serán objeto de medición
- Definir permisos y funciones para sus usuarios. Controlar qué información y qué acciones
puede realizar cada miembro del equipo.
- Generar al menos indicadores de riesgo de vulnerabilidad basados en la seguridad,
fiabilidad y mantenibilidad de la aplicación.
- Generar y administrar varios planes de acción para mitigar vulnerabilidades por cada
aplicación evaluada.
- Capacidad de registrar análisis de tipo “baseline” para cada una de las aplicaciones,
permitiendo la comparación entre la evaluación inicial (línea base del código analizado) y el
avance de los planes de acción para remediación de incidentes.
- La herramienta o reporteador que el contratista configure para este servicio debe generar
un resumen ejecutivo que permita determinar el avance de las actividades de acuerdo con
la planificación, los recursos y la información en base a los portafolios previamente
establecidos.
- Detectar defectos de programación, deseable en las dimensiones de: confiabilidad,
eficiencia, seguridad, portabilidad y mantenibilidad.
- Como parte de los resultados debe proponer mejores prácticas de desarrollo y seguridad
para la corrección de los defectos.
- Permitir crear métricas de medición de la seguridad, de tal manera que se puedan
visualizar en cuadros de mando para su análisis.
- Compatibilidad con navegadores (Mozilla versión 60.0 o superior, Chrome versión 66.0 o
superior, Opera versión 53.0 o superior, Explorer versión 11.0 o superior, los mismos que
son de uso general en los equipos institucionales.
- Permitir hacer pruebas de seguridad del código fuente que se ejecuta de al menos las
siguientes bases de datos: SQLServer (2012 o superior), Mysql (versión 5.0, o superior),
Oracle, PostgreSQL (Versión 9.1 o superior), con las cuales cuenta el SERCOP.
- El servicio debe actualizarse automáticamente sin costo adicional para la institución
durante el tiempo de vigencia del mismo, sin que esto afecte a la información histórica
generada en revisiones de código, ni a las funcionalidades requeridas por la Institución y
detalladas en este documento.
- Alta disponibilidad sin que el SERCOP deba proveer de recursos de hardware y software
para tal efecto.
- Las consultas sobre arquitectura, diseño, funcionamiento y configuración del servicio serán
ilimitadas, a través de vía telefónica o correo electrónico, proporcionados por el contratista
y no representarán costos adicionales para la institución, se aplicará el SLA que consta en el
numeral 19. Multas de este documento.
-
- De ser el caso, el contratista se encargará de las migraciones, actualizaciones y
mantenimiento de la plataforma, sin costo adicional para el SERCOP, cuando el
Administrador de Contrato lo requiera.

Generación de reportes
Los reportes esperados una vez finalizado el análisis de código fuente deberán:

- Filtrar y agrupar información de acuerdo al portafolio de aplicaciones en cualquier

momento.
- Analizar los riesgos de vulnerabilidades más importantes en las aplicaciones.
- Detectar aplicaciones y portafolios con posibles vulnerabilidades de seguridad.
- Analizar la evolución de su cartera de aplicaciones para predecir la forma temprana donde
se convertirán en problemas.
- Mostrar información histórica completa, para saber cuál era la situación exacta en
cualquier momento.
- Generar históricos de la evolución de los indicadores principales de calidad de código.

Página 4 de 18
Lenguajes soportados
El software debe soportar al menos los siguientes lenguajes de programación:
- .Net (versión 8.0 o superior),
- Java (versión 6.4 o superior),
- PHP (versión 5.0 o superior),
- Java Script

Análisis de código estático en los elementos de programación

El servicio ofertado debe cumplir con:

- Uso de un analizador de código estático para efectuar la detección de vulnerabilidades de

seguridad en los elementos de programación.
- Uso de un analizador de código estático para efectuar mediciones al nivel de calidad
(confiabilidad, eficiencia, seguridad, portabilidad, mantenibilidad).
- Actualizar de forma automática su base de conocimiento para evaluación de seguridad y
mejores prácticas de desarrollo, sin costo adicional para la institución.
- Identificar el nivel de vulnerabilidad, ubicación del archivo y línea de código de las
vulnerabilidades detectadas.
- Permitir la identificación del código duplicado, así como un levantamiento del inventario
de componentes técnicos y relaciones de toda la aplicación (a nivel de fichero, clase,
recurso, tablas de bases de datos de manera automática).

Gestión de usuarios
La solución debe:
- Integrarse a Active Directory
- Permitir la creación de usuarios
- Permitir la creación de roles o perfiles de acuerdo con la necesidad de la institución. El
Administrador de Contrato comunicará por escrito al contratista la necesidad.

Transferencia de conocimiento en la aplicación de buenas prácticas de seguridad

La trasferencia de conocimiento en la aplicación de buenas prácticas de seguridad

comprenderá los siguientes puntos:
- Configuración y operación del servicio (hasta 8 horas),
o Parámetros técnicos requeridos para la prestación del servicio.
o Definición de repositorios de código fuente a analizar
o Interpretación de resultados generales
o Análisis de resultados, revisión de hallazgos, y determinación de falsos
positivos
o Generación de planes de acción

- Buenas prácticas de seguridad (con el marco de pruebas OWASP)

- Como constancia de la inducción de buenas prácticas de seguridad, el contratista
deberá incluir folletos, manuales de configuración, instalación y administración del
servicio.

La transferencia de conocimientos de buenas prácticas de seguridad, tendrá una duración de 8

horas, durante el transcurso de la ejecución del servicio, el lugar, fecha de reunión y número de
usuarios de la Coordinación Técnica de Innovación Tecnológica – CTIT, serán establecidos entre
el contratista y el Administrador de Contrato. Esta transferencia se ejecutará una vez que
finalice el análisis de código fuente

Página 5 de 18
TRANSFERENCIA DE CONOCIMIENTOS EN EL ANÁLISIS DE RESULTADOS Y MEJORES PRACTICAS DE
DESARROLLO SEGURO
Una vez concluido los análisis y escaneos objeto de esta contratación, se realizará un acompañamiento
de acuerdo a los resultados para implementar las mejores prácticas de desarrollo seguro, por parte del
contratista. Transferencia que contará con una participación de 20 servidores públicos de la CTIT,
mismos que serán designados por la Coordinación Técnica de Innovación Tecnológica del SERCOP, con
una duración de 20 horas, el cual podrá ser dictado de manera virtual y deberá ser coordinado con el
administrador de contrato. La transferencia debe considerar los siguientes temas:

- ¿Qué es SDL? y ventajas de su uso

- El proceso de desarrollo de código seguro
- Roles involucrados en un proceso SDL
- Definición de SDL
- Realización de un Secure Code Review
- Revisión Manual de Códigos
- Uso de herramienta de análisis estático
- Uso Find Bugs
- La integración de revisión de código en el SDLC
- Principales tipos de ataques
- Pruebas de Seguridad
- La explotación de XSS, CSRF, y la inyección de SQL
- Codificación segura

La transferencia de conocimiento en el análisis de resultados y mejores prácticas de desarrollo seguro

deberá ser certificada para los asistentes y además, se deberá llevar un registro de la asistencia de cada
uno de los participantes, la evidencia de estas acciones será un habilitante para el pago final.

Esta transferencia de conocimiento se realizará una vez que culmine la inducción de buenas prácticas de
seguridad, acordándose la fecha, hora y lugar con el Administrador de Contrato.

ENTREGABLES

Todos los productos se entregarán impresos y en CD en formato digital, así como también la
información de las pruebas y sus resultados.

Los informes, correspondientes a los entregables, se presentarán por área evaluada y tendrán el
siguiente contenido:

- Metodología usada en el análisis (si aplica)

- Evidencia del procedimiento realizado.
- Situación actual y debilidades encontradas para cada uno de los componentes analizados,
clasificados de acuerdo al nivel de impacto, posibles riesgos y acciones correctivas
recomendadas.
- Estado de la infraestructura evaluada en relación a las normas de seguridad y mejores prácticas
de la industria.
- Evidencias de las principales vulnerabilidades encontradas.
- Mapa de los riesgos principales asociados a las vulnerabilidades identificadas.
- Matriz de recomendaciones para mitigación, priorizadas y clasificadas por esfuerzo, enfatizando
detalles técnicos, mejores prácticas y sugerencias de implementación al corto, mediano y
largo plazo.

ETHICAL HACKING

Página 6 de 18
 Fase Entregable Carácter
Acta de reunión preparatoria Obligatorio
Preparatoria conforme la metodología indicada en
este documento
Planificación de la ejecución del Obligatorio
proyecto (actividades y cronograma)
Planificación y temario del Obligatorio
acompañamiento requerido.
Informe Técnico Ethical Hacking Obligatorio
Ejecutoria Sistema Informático
Informe Técnico Ethical Hacking – Obligatorio
Aplicaciones
Informe técnico Prueba Ingeniería Obligatorio
Social
Informe Técnico Aseguramiento de Obligatorio
Analítica Hardware y Bases de Datos del
Sistema Informático del SERCOP
Informe taller prevención de ataques
de Ingeniería Social Obligatorio
Informe Técnico hardening de cierre Obligatorio
de vulnerabilidades del ethical
(Presentación de resultados y análisis
de propuesta)
Informe Técnico - Plan de remediación, Obligatorio
para mitigar los riesgos y
vulnerabilidades encontradas en
función de la criticidad de los
hallazgos, detallando las soluciones
para el cierre de las vulnerabilidades,
en el corto, mediano y largo plazo.

ANALISIS DE CÓDIGO FUENTE

El contratista al final del análisis entregara los siguientes documentos:

- Acta de entrega recepción del servicio de análisis de vulnerabilidades del código

fuente y control de calidad del software, que deberá estar listo y funcionando
completamente.
- Plan de soporte, e instructivo indicando los teléfonos, direcciones y/o correos
electrónicos para reportar los casos de soporte que requieran atención. El
contratista determinará un gestor de soporte centralizado sin costo adicional para
el SERCOP para coordinar la atención de todos los casos que requiera el SERCOP.
- Guía de buenas prácticas de desarrollo seguro ajustados a la realidad de la
institución.
- El contratista otorgará acta entrega recepción en el que cual se indique links y
credenciales de acceso a la plataforma que permita visualizar el resultado del
análisis y deberán estar disponibles 365 días posteriores a la ejecución del análisis
realizado que consta en el ítem 13 de este TDR., sin costo adicional para el SERCOP
- Manual de usuario.
- Manual de Instalación y Configuración del servicio ofertado.
- Informe de análisis de resultados del análisis de código fuente

Página 7 de 18
 TRANSFERENCIA DE CONOCIMIENTOS EN LA APLICACIÓN DE BUENAS PRÁCTICAS DE
SEGURIDAD

- Informe de la inducción realizada por parte del contratista.

- Acta de reunión
- Presentación del registro de la asistencia de los participantes delegados por la
CTIT.

TRANSFERENCIA DE CONOCIMIENTOS EN EL ANÁLISIS DE RESULTADOS Y MEJORES

PRACTICAS DE DESARROLLO SEGURO
- Informe de transferencia de conocimientos de buenas prácticas de seguridad
recibido por parte del contratista al personal que la coordinadora de la CTIT haya
designado, incluido la asistencia, como se indica en el ítem 9.3
- Certificados de participación emitidos por el contratista a nombre de los
participantes del SERCOP.

a) Origen del servicio:

Los profesionales expertos en Ethical Hacking y análisis de código reciben capacitación de

personal ecuatoriano que adquiere conocimientos y experiencia en seguridad informática de
fuentes internacionales especializadas en ciberseguridad, las mismas que autorizan a empresas
nacionales emitir certificaciones en estos temas y realizan implementaciones del conocimiento,
en instituciones y empresas instaladas en el territorio nacional, por tanto el servicio se
considera de origen ecuatoriano.

b) Facilidad de Adquisición en el Mercado

Actualmente, existe en el mercado proveedores a nivel nacional, que tienen la capacidad de

realizar subasta inversa electrónica, por lo cual se realizó la consulta en el portal de compras
públicas sobre el número de proveedores que se encuentran registrados en el SOCE de acuerdo
al código CPC 83160, y hasta la presente fecha, el número de proveedores registrados en el
SOCE asciende a 5818 oferentes.

Página 8 de 18
 c) Número de oferentes
El número de proveedores que ofrecen este servicio especializado registrado en el SOCE
asciende a 5818 oferentes.

d) Riesgo cambiario en caso que no exista expresado en dólares.

El presupuesto referencial será expresado en dólares de los Estados Unidos de América, por lo
que no se consideran ajustes por riesgos cambiarios.

3.2 ANÁLISIS DE MONTOS DE ADJUDICACIONES SIMILARES REALIZADAS:

a) PROCESOS DEL SERVICIO NACIONAL DE CONTRATACIÓN PÚBLICA

El Servicio Nacional de Contratación Pública, por medio de la Coordinación Técnica de

Innovación Tecnológica – CTIT, el 11 de noviembre de 2015, realizó el ACOMPAÑAMIENTO EN
SEGURIDAD INFORMATICA Y DE LA INFORMACIÓN Y ANÁLISIS DE CÓDIGO PARA EL SISTEMA
OFICIAL DE CONTRATACIÓN DEL ESTADO SOCE, el mismo que en ese momento cumplió con la
necesidad institucional y a la fecha el requerimiento actual se ha incrementado y se basa en el

Página 9 de 18
análisis del sistema informático que la institución administra, especialmente, la subasta inversa
corporativa de medicamentos; por lo tanto no será tomando en cuenta para el análisis de
servicios y precios.

RESOLUCIÓN DE ADJUDICACIÓN

Página 10 de 18
Este proceso no es aplicable debido a que el requerimiento actual cubre dos tipos de análisis: ethical
hacking y código fuente, además desde el año 2015 hasta la fecha las aplicaciones se han actualizado y
las líneas de código han aumentado.

b) PROCESO DE OTRA ENTIDAD CONTRATANTE:

Se ha realizado la búsqueda en el portal institucional del SERCOP, de 24 meses atrás de un proceso

de contratación similar al requerido, se usó las palabras claves: “análisis de código, ethical
hacking” con el fin de conocer el precio de adquisición, se encontraron los siguientes procesos:

Código de Procedimiento: SIE-CACES-008-2019

Fecha de Adjudicación: 27 de noviembre de 2019

Página 11 de 18
RESOLUCIÓN DE ADJUDICACIÓN

Página 12 de 18
Código de Procedimiento: CDC-EECS-DT-126-2019
Fecha de Adjudicación: 18 de diciembre de 2019

Página 13 de 18
RESOLUCIÓN DE ADJUDICACIÓN

Página 14 de 18
Código de Procedimiento: CDC-BANEC-002-2018
Fecha de Adjudicación: 27 de noviembre de 2019

Página 15 de 18
Una vez que se analizó las características de los procesos mencionados anteriormente, se
determinó que los mismos no son similares de ninguna manera, debido a que el alcance
requerido de cada uno, contempla servicios e infraestructura propias de cada institución, la
cual es diferente a la que el SERCOP administra. Además, cada uno de los procesos mostrados
realizan solamente Ethical Hacking y el requerimiento institucional contempla Ethical hacking y
análisis de código fuente.

Página 16 de 18
3.4 PRODUCTOS O SERVICIOS SUSTITUTIVOS MÁS EFICIENTES.

Para el desarrollo del presente proyecto es necesario contar con software especializado que
permita realizar las diferentes etapas del ethical hacking (grey, White y black box) y análisis de
código (escaneo de código fuente), el personal especializado de la institución realiza este tipo de
tareas manualmente y con herramientas de software libre que no permiten la optimización
requerida, ya que las mismas no liberan funcionalidades necesarias para realizar el análisis
exhaustivo que la infraestructura tecnológica institucional requiere; en cambio, el software
licenciado permite definir detalladamente el escaneo realizado, ya que cuentan con funcionalidades
que permiten verificar potenciales fallas en las aplicaciones e infraestructura, así como posibles
alternativas de solución o corrección, de esta manera obtienen resultados en menor tiempo.

Una vez realizado el análisis técnico y de mercado se consideró que las características especificadas
para este servicio son las más eficientes, satisfacen las necesidades de la institución, debido a que al
realizar un servicio de ethical hacking y análisis de código fuente con las especificaciones técnicas
mencionadas anteriormente, el servicio solicitado requiere de personal especializado en seguridad
informática y software con alto detalle en el análisis requerido.

En la ejecución de estas tareas los especialistas pueden emplear herramientas ofertadas en el

mercado pero los resultados que se extraigan de estas requiere análisis por parte de los expertos de
la institución y especialistas certificados, ya que los primeros conocen la infraestructura tecnológica
institucional, es por eso que no existen productos sustitutivos más eficientes.

3.5 PROFORMAS DE PROVEEDORES DE SERVICIO A CONTRATAR.

Se solicitó cotizaciones en el mercado con base en su experiencia en prestación de servicios de

seguridad informática, se trabajó con tres oferentes que prestan este tipo de servicio, de los
cuales la propuesta de menor valor corresponde a BUSINESSINSIGHTS S.A., teniendo como
resultado el siguiente detalle:

COSTO VALOR TOTAL

RUC DETALLE CPC CANTIDAD TOTAL
UNITARIO (INCLUYE IVA)
1792180996001 Análisis de Vulnerabilidades 83160 1 $ 20.800,00 $ 23.296,00
SELTIKA Seguridad 83160 $ 4.500,00 $ 5.040,00
Prueba Ingenieria Social 1 $ 72.240,00
Informática y Tecnología
del Ecuador S.A. Análisis de codigo fuente 83160 1 $ 39.200,00 $ 43.904,00
1790590542001 Análisis de Vulnerabilidades 83160 1 $ 10.000,00 $ 11.200,00
GMS MICROSISTEMAS Análisis de codigo fuente 83160 1 $ 35.500,00 $ 39.760,00 $ 53.760,00
JOVICHSA S.A Prueba Ingenieria Social 83160 1 $ 2.500,00 $ 2.800,00
Análisis de Vulnerabilidades 83160 1 $ 24.050,00 $ 26.936,00
1793012493001
Análisis de código fuente 83160 1 $ 20.150,00 $ 22.568,00 $ 51.520,00
BUSINESSINSIGHTS S.A.
Prueba Ingeniería social 83160 1 $ 1.800,00 $ 2.016,00

Al realizar un análisis de las cotizaciones presentadas por los proveedores, se determina que el valor
más bajo es de $ 46 000,00 (Cuarenta y seis mil dólares de Estados Unidos de América con 00/100), más
IVA.

Página 17 de 18
4. CONCLUSIÓN:

Una vez aplicado el procedimiento indicado en el ítem 2 de este estudio, no se encontraron procesos
similares al presente objeto de contratación, se procedió a realizar la comparación de cotizaciones
tomando como presupuesto referencial para la presente contratación el valor total más bajo ofertado
por estos oferentes, siendo BUSINESSINSIGHTS S.A., el proveedor que cotiza el valor de $ 46 000,00
(Cuarenta y seis mil dólares de Estados Unidos de América con 00/100), más IVA

5. RECOMENDACIÓN:

Considerando lo expuesto y cumpliendo lo determinado en el número 2 del artículo 9 de la

Resolución Externa Nro. R.E. SERCOP-2016-0000072 de 31 de agosto de 2016, emitida por el
Servicio Nacional de Contratación Pública, reformada, se recomienda establecer como presupuesto
referencial para la contratación del “Servicio de análisis de código fuente y vulnerabilidades del
sistema informático para la compra corporativa centralizada y externalización de la distribución de
medicamentos”, el valor de $ 46 000,00 (Cuarenta y seis mil dólares de Estados Unidos de América con
00/100), más IVA

Quito, 07 de septiembre de 2020

Elaborado por: Revisado y Aprobado por:

Firmado electrónicamente por: Firmado electrónicamente por:

BLANCA JEANNETH CHRISTIAN
AMORES HURTADO MAURICIO TORRES
ARCOS

Blanca Amores Christian Torres

Analista de Seguridad Director de Seguridad Informática
Informática

Página 18 de 18