Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DE PRESUPUESTO REFERENCIAL
1. OBJETIVO
2. NORMATIVA VIGENTE
El servicio a contratar permitirá analizar el sistema informático del SERCOP en busca de vulnerabilidades
que sean mitigadas a través de la implementación de mejores prácticas, herramientas, recursos y técnicas
que incrementen el nivel de seguridad del proyecto para la compra corporativa centralizada y
externalización de la distribución de medicamentos.
Página 1 de 18
Canal Sección Descripción
Redes de datos Redes de datos en las dependencias
1.1 Black Box Testing institucionales
- Hacking ético Telecomunicaciones Comunicaciones digitales que forman
externo parte de la infraestructura
institucional y
acceso remoto
1.1 Black Box Testing Comunicaciones Puntos de acceso a redes
- Hacking ético inalámbricas inalámbricas institucionales.
externo
1.2 Gray Box y White Humano Funcionarios/servidores/trabajadores
Box Testing - Hacking y actores externos
ético interno Físico Acceso a Equipamiento tecnológico
1.3 Ingeniería Social de la institución y equipos
tecnológicos
Previo a la ejecución de las tareas de Ethical Hacking el contratista firmará los acuerdos de
confidencialidad que establezca el SERCOP, en conjunto con el contrato.
Evaluación de intrusión externa (1.1- Black Box Testing - Hacking ético externo)
En este punto se evalúa la seguridad de la información y de la infraestructura tecnológica sin ningún tipo
de acceso concedido por el SERCOP, para lo cual se considera desarrollar las siguientes actividades:
- Ejecución de pruebas de intrusión que permitan identificar las posibles vulnerabilidades a las
que se encuentra expuesta externamente la información, aplicaciones, enlaces, redes de datos,
redes inalámbricas y equipos. Dichas pruebas deben orientarse a permitir realizar acciones
preventivas y correctivas que eliminen y/o disminuir los riesgos y vulnerabilidades encontradas.
Evaluación de intrusión interna (1.2 Gray Box y White Box Testing - Hacking ético interno)
Esta es consecutiva con la etapa precedente y debe analizar los sistemas informáticos con distintos
niveles de acceso concedido por el SERCOP
Página 2 de 18
conjunto con el Director de Seguridad Informática revisaran y aprobarán la información
entregada.
La ingeniería social está orientada a realizar pruebas sobre el recurso humano de la Institución, con la
finalidad de obtener la confianza del mismo para ejecutar determinada acción que podría originar un
delito informático.
La cantidad de servidores públicos necesarios para esta fase se define para obtener un nivel de
confianza del 90% y un nivel de error del 10% de acuerdo a la siguiente formula.
Muestra
n = Muestra
z = Nivel de confianza
p = Proporción de la población éxito
q = Proporción de la población fracaso
d = nivel de error
N = Tamaño de la población
Para obtener un nivel de confianza del 90% y un margen de error del 10%, se establecerá una muestra
poblacional basada en el número de funcionarios que laboran en planta central, esta información será
facilitada por la Dirección de Administración del Talento Humano
Estándares de Seguridad
El servicio ofertado debe cumplir con:
- Controles de validación que incluyan las mejores prácticas al menos con alguno de los
siguientes estándares de seguridad: OWASP, SANS y MITRE.
Capacidad de escaneo
Mínimo un millón de líneas diarias
Características Técnicas
El servicio de análisis de código fuente deberá contar con las siguientes funcionalidades que se ajustaran
a las etapas (2.1.- Puesta en marcha del servicio, 2.2.-Escaneo de código fuente, 2. 3.- Análisis de
resultados):
Página 3 de 18
- Asignar grupos de portafolios que contengan segmentos de código, sistemas y/o
subsistemas de las diferentes aplicaciones que serán objeto de medición
- Definir permisos y funciones para sus usuarios. Controlar qué información y qué acciones
puede realizar cada miembro del equipo.
- Generar al menos indicadores de riesgo de vulnerabilidad basados en la seguridad,
fiabilidad y mantenibilidad de la aplicación.
- Generar y administrar varios planes de acción para mitigar vulnerabilidades por cada
aplicación evaluada.
- Capacidad de registrar análisis de tipo “baseline” para cada una de las aplicaciones,
permitiendo la comparación entre la evaluación inicial (línea base del código analizado) y el
avance de los planes de acción para remediación de incidentes.
- La herramienta o reporteador que el contratista configure para este servicio debe generar
un resumen ejecutivo que permita determinar el avance de las actividades de acuerdo con
la planificación, los recursos y la información en base a los portafolios previamente
establecidos.
- Detectar defectos de programación, deseable en las dimensiones de: confiabilidad,
eficiencia, seguridad, portabilidad y mantenibilidad.
- Como parte de los resultados debe proponer mejores prácticas de desarrollo y seguridad
para la corrección de los defectos.
- Permitir crear métricas de medición de la seguridad, de tal manera que se puedan
visualizar en cuadros de mando para su análisis.
- Compatibilidad con navegadores (Mozilla versión 60.0 o superior, Chrome versión 66.0 o
superior, Opera versión 53.0 o superior, Explorer versión 11.0 o superior, los mismos que
son de uso general en los equipos institucionales.
- Permitir hacer pruebas de seguridad del código fuente que se ejecuta de al menos las
siguientes bases de datos: SQLServer (2012 o superior), Mysql (versión 5.0, o superior),
Oracle, PostgreSQL (Versión 9.1 o superior), con las cuales cuenta el SERCOP.
- El servicio debe actualizarse automáticamente sin costo adicional para la institución
durante el tiempo de vigencia del mismo, sin que esto afecte a la información histórica
generada en revisiones de código, ni a las funcionalidades requeridas por la Institución y
detalladas en este documento.
- Alta disponibilidad sin que el SERCOP deba proveer de recursos de hardware y software
para tal efecto.
- Las consultas sobre arquitectura, diseño, funcionamiento y configuración del servicio serán
ilimitadas, a través de vía telefónica o correo electrónico, proporcionados por el contratista
y no representarán costos adicionales para la institución, se aplicará el SLA que consta en el
numeral 19. Multas de este documento.
-
- De ser el caso, el contratista se encargará de las migraciones, actualizaciones y
mantenimiento de la plataforma, sin costo adicional para el SERCOP, cuando el
Administrador de Contrato lo requiera.
Generación de reportes
Los reportes esperados una vez finalizado el análisis de código fuente deberán:
Página 4 de 18
Lenguajes soportados
El software debe soportar al menos los siguientes lenguajes de programación:
- .Net (versión 8.0 o superior),
- Java (versión 6.4 o superior),
- PHP (versión 5.0 o superior),
- Java Script
Gestión de usuarios
La solución debe:
- Integrarse a Active Directory
- Permitir la creación de usuarios
- Permitir la creación de roles o perfiles de acuerdo con la necesidad de la institución. El
Administrador de Contrato comunicará por escrito al contratista la necesidad.
Página 5 de 18
TRANSFERENCIA DE CONOCIMIENTOS EN EL ANÁLISIS DE RESULTADOS Y MEJORES PRACTICAS DE
DESARROLLO SEGURO
Una vez concluido los análisis y escaneos objeto de esta contratación, se realizará un acompañamiento
de acuerdo a los resultados para implementar las mejores prácticas de desarrollo seguro, por parte del
contratista. Transferencia que contará con una participación de 20 servidores públicos de la CTIT,
mismos que serán designados por la Coordinación Técnica de Innovación Tecnológica del SERCOP, con
una duración de 20 horas, el cual podrá ser dictado de manera virtual y deberá ser coordinado con el
administrador de contrato. La transferencia debe considerar los siguientes temas:
Esta transferencia de conocimiento se realizará una vez que culmine la inducción de buenas prácticas de
seguridad, acordándose la fecha, hora y lugar con el Administrador de Contrato.
ENTREGABLES
Todos los productos se entregarán impresos y en CD en formato digital, así como también la
información de las pruebas y sus resultados.
Los informes, correspondientes a los entregables, se presentarán por área evaluada y tendrán el
siguiente contenido:
ETHICAL HACKING
Página 6 de 18
Fase Entregable Carácter
Acta de reunión preparatoria Obligatorio
Preparatoria conforme la metodología indicada en
este documento
Planificación de la ejecución del Obligatorio
proyecto (actividades y cronograma)
Planificación y temario del Obligatorio
acompañamiento requerido.
Informe Técnico Ethical Hacking Obligatorio
Ejecutoria Sistema Informático
Informe Técnico Ethical Hacking – Obligatorio
Aplicaciones
Informe técnico Prueba Ingeniería Obligatorio
Social
Informe Técnico Aseguramiento de Obligatorio
Analítica Hardware y Bases de Datos del
Sistema Informático del SERCOP
Informe taller prevención de ataques
de Ingeniería Social Obligatorio
Informe Técnico hardening de cierre Obligatorio
de vulnerabilidades del ethical
(Presentación de resultados y análisis
de propuesta)
Informe Técnico - Plan de remediación, Obligatorio
para mitigar los riesgos y
vulnerabilidades encontradas en
función de la criticidad de los
hallazgos, detallando las soluciones
para el cierre de las vulnerabilidades,
en el corto, mediano y largo plazo.
Página 7 de 18
TRANSFERENCIA DE CONOCIMIENTOS EN LA APLICACIÓN DE BUENAS PRÁCTICAS DE
SEGURIDAD
Página 8 de 18
c) Número de oferentes
El número de proveedores que ofrecen este servicio especializado registrado en el SOCE
asciende a 5818 oferentes.
El presupuesto referencial será expresado en dólares de los Estados Unidos de América, por lo
que no se consideran ajustes por riesgos cambiarios.
Página 9 de 18
análisis del sistema informático que la institución administra, especialmente, la subasta inversa
corporativa de medicamentos; por lo tanto no será tomando en cuenta para el análisis de
servicios y precios.
RESOLUCIÓN DE ADJUDICACIÓN
Página 10 de 18
Este proceso no es aplicable debido a que el requerimiento actual cubre dos tipos de análisis: ethical
hacking y código fuente, además desde el año 2015 hasta la fecha las aplicaciones se han actualizado y
las líneas de código han aumentado.
Página 11 de 18
RESOLUCIÓN DE ADJUDICACIÓN
Página 12 de 18
Código de Procedimiento: CDC-EECS-DT-126-2019
Fecha de Adjudicación: 18 de diciembre de 2019
Página 13 de 18
RESOLUCIÓN DE ADJUDICACIÓN
Página 14 de 18
Código de Procedimiento: CDC-BANEC-002-2018
Fecha de Adjudicación: 27 de noviembre de 2019
Página 15 de 18
Una vez que se analizó las características de los procesos mencionados anteriormente, se
determinó que los mismos no son similares de ninguna manera, debido a que el alcance
requerido de cada uno, contempla servicios e infraestructura propias de cada institución, la
cual es diferente a la que el SERCOP administra. Además, cada uno de los procesos mostrados
realizan solamente Ethical Hacking y el requerimiento institucional contempla Ethical hacking y
análisis de código fuente.
Página 16 de 18
3.4 PRODUCTOS O SERVICIOS SUSTITUTIVOS MÁS EFICIENTES.
Para el desarrollo del presente proyecto es necesario contar con software especializado que
permita realizar las diferentes etapas del ethical hacking (grey, White y black box) y análisis de
código (escaneo de código fuente), el personal especializado de la institución realiza este tipo de
tareas manualmente y con herramientas de software libre que no permiten la optimización
requerida, ya que las mismas no liberan funcionalidades necesarias para realizar el análisis
exhaustivo que la infraestructura tecnológica institucional requiere; en cambio, el software
licenciado permite definir detalladamente el escaneo realizado, ya que cuentan con funcionalidades
que permiten verificar potenciales fallas en las aplicaciones e infraestructura, así como posibles
alternativas de solución o corrección, de esta manera obtienen resultados en menor tiempo.
Una vez realizado el análisis técnico y de mercado se consideró que las características especificadas
para este servicio son las más eficientes, satisfacen las necesidades de la institución, debido a que al
realizar un servicio de ethical hacking y análisis de código fuente con las especificaciones técnicas
mencionadas anteriormente, el servicio solicitado requiere de personal especializado en seguridad
informática y software con alto detalle en el análisis requerido.
Al realizar un análisis de las cotizaciones presentadas por los proveedores, se determina que el valor
más bajo es de $ 46 000,00 (Cuarenta y seis mil dólares de Estados Unidos de América con 00/100), más
IVA.
Página 17 de 18
4. CONCLUSIÓN:
Una vez aplicado el procedimiento indicado en el ítem 2 de este estudio, no se encontraron procesos
similares al presente objeto de contratación, se procedió a realizar la comparación de cotizaciones
tomando como presupuesto referencial para la presente contratación el valor total más bajo ofertado
por estos oferentes, siendo BUSINESSINSIGHTS S.A., el proveedor que cotiza el valor de $ 46 000,00
(Cuarenta y seis mil dólares de Estados Unidos de América con 00/100), más IVA
5. RECOMENDACIÓN:
Página 18 de 18