Está en la página 1de 12

FORMATO

Código: FO-692
SOLICITUD DE COTIZACIÓN Versión: 01
Fecha: 13/07/2018

Bogotá D.C. 30 de septiembre de 2020

Señores:
PROVEEDORES
Ciudad

Asunto: Invitación a Cotizar

Cordial saludo,

El Instituto para la Economía Social está interesado en contratar “CONTRATAR SERVICIOS DE


CONSULTORÍA EN LA NORMA TÉCNICA ISO27001 Y MODELO MSPI ESTABLECIDO POR EL
MINISTERIO DE LAS TIC - PARA FORTALECER LA POLÍTICA DE GOBIERNO DIGITAL Y EL
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DEL IPES”, a continuación, se
describen las especificaciones requeridas y las condiciones del bien o servicio requerido:

ESPECIFICACIONES TÉCNICAS:

1) Fase 1: Plan de gestión y cronograma del proyecto


▪ Elaborar y presentar un plan de gestión del proyecto con el fin de proyectar, supervisar y
controlar el desarrollo del proyecto, el cual deberá contener como mínimo: Objetivo, Alcance del
proyecto, equipo de trabajo, comunicaciones, tiempos, actividades, seguimiento y control.
▪ Elaborar, documentar y presentar un cronograma del Proyecto que contenga el desarrollo de
las actividades propuestas.

Entregables:
▪ Plan de gestión del proyecto
▪ Cronograma de actividades

2) Fase 2: Pentesting, ethical hacking y análisis de vulnerabilidades a las plataformas


tecnológicas de IPES.

▪ Se debe aplicar una metodología internacionalmente aceptada, la cual incluya las mejores
prácticas a nivel de Ethical hacking, pentesting, análisis de vulnerabilidades, análisis de
riesgos, ISO27000 normatividad en materia seguridad y privacidad de la información.
Las pruebas de seguridad se encuentran soportadas en estándares internacionales
establecidos para el desarrollo de pruebas de vulnerabilidad y penetración, las cuales pueden
incluir dentro de otras:
• OWISAM: Open Wireless Security Assessment Methodology
• OWASP: Open Web Application Security Project
• OSSTMM: Open Source Security Testing Methodology Manual
• OASAM: Open Android Security Assessment Methodology
• PTES: Penetration Testing
• OVAL (Open Vulnerability and Assessment Language)
• CVE (Common Vulnerability Expouse), SAN Top 20 y seguridad de la
información como COBIT (AUDIT GUIDELINES - Control Objectives for
Information Technology) y Normas ISO 27001 (y sus relacionadas).

▪ Para la realización de estas pruebas, se deben usar las herramientas pertinentes y usadas
para el desarrollo de las pruebas de penetración, homologadas por el CVE (Common
Página 1 de 12

Calle 73 No 11-66
PBX (+571) 2976030
Línea Gratuita:
018000124737
www.ipes.gov.co
FORMATO
Código: FO-692
SOLICITUD DE COTIZACIÓN Versión: 01
Fecha: 13/07/2018

Vulnerabilities and Exposures), y www.mitre.org y deben estar actualizadas a la fecha de su


utilización. Para lo anterior, se deberá adjuntar en los informes presentados certificado de
homologación de CVE, o ruta de la página de CVE donde se pueda evidenciar que la
herramienta ofrecida está homologada por dicha entidad.
▪ Para la generación de los informes solicitados se deberá tomar como referencia la lista de
nombres de vulnerabilidades CVE publicada por la corporación Mitre (www.mitre.org). El
proponente, debe demostrar la propiedad o autorización de uso explicita del fabricante, de
las herramientas utilizadas en el desarrollo de este proyecto. Para lo cual deberá allegar
certificación o documento que soporte el requisito
▪ Elaborar y presentar al IPES, plan de pruebas y actividades a realizar, así como de las
herramientas a utilizar, las cuales deben ser aprobadas por el Instituto. Este plan debe ser
presentado en el término de (10) diez días hábiles, una vez iniciado el contrato
▪ Desarrollar pruebas que permitan la identificación de vulnerabilidades, así como pruebas de
Hacking Ético (pruebas de penetración) -Externo e Interno-, sobre firewalls, servidores, bases
de datos y sistemas de información del IPES, para establecer el estado de la seguridad de la
información que se almacena y procesa a través de la plataforma tecnológica (Hardware y
Software) de la entidad, mediante el uso y aplicación de herramientas que permitan la revisión
de vulnerabilidades para identificar oportunamente posibles fuentes de incidentes de
seguridad. Dichas herramientas deben ser licenciadas o de propiedad del oferente y pueden
ser complementadas con herramientas de uso libre o gratuito.
▪ El Oferente debe simular todos los ataques que sean convenientes según el tipo de objetivo
a probar, en coordinación con el personal técnico del IPES. Entre ellos se mencionan algunos
de los más importantes (lista de referencia, no limitativa):
• Enumeración de la red
• Reconocimiento de la red
• Enumeración y Explotación de Wi-Fi
• Cross Site script
• Ataques al Browser
• Keylogger
• Cracking de contraseñas
• Sniffing.
• Ataques de denegación de servicio.
• Identificación de vulnerabilidades de perímetro.
• Identificación de las debilidades de la arquitectura, revisión de las zonas de la red y criterios
de conformación.
• Ataques man-in-the-middle
• Re direccionamiento IP
• Comprobación de la seguridad de los equipos de los proveedores de comunicaciones
• SQL Injection
• Ataque de fuerza bruta
• Buffer Overflow
• MAC Spoofing
• DNS Spoofing
• DHCP Spoofing
• VLAN Hopping

▪ El desarrollo de Pruebas de Hacking Ético a aplicar se hará sobre los componentes


seleccionados por la entidad y debe incluir como mínimo las siguientes actividades:
o Descubrimiento de contraseñas a Fuerza-Bruta directamente contra servicios y
aplicaciones;
o Cracking de contraseñas sobre cuentas privilegiadas en bases de datos obtenidas
por el oferente, directamente de los sistemas objetivo;
Página 2 de 12

Calle 73 No 11-66
PBX (+571) 2976030
Línea Gratuita:
018000124737
www.ipes.gov.co
FORMATO
Código: FO-692
SOLICITUD DE COTIZACIÓN Versión: 01
Fecha: 13/07/2018

o Secuestro de sesiones;
o Detección y análisis de errores en aplicaciones o configuraciones débiles que
permitan acciones no apropiadas
o Se deben realizar pruebas desde el exterior de la entidad, a la infraestructura de la
red que brinda servicios al público. Debe realizarse al menos una (1) prueba de
intrusión.
o Así mismo, se debe realizar una prueba desde el interior de la entidad, para lo cual,
el Oferente adjudicatario debe ser capaz de realizar pruebas de intrusión a la
infraestructura tecnológica del IPES, desde distintos escenarios, hacia su sitio de
procesamiento. Debe realizarse al menos una (1) prueba de intrusión a cada objetivo.
o Las modalidades deben ser del tipo caja gris, siguiendo una programación acordada
con el IPES.
o El oferente adjudicatario debe ser capaz de realizar pruebas de intrusión a las
aplicaciones web del IPES, aplicando metodologías reconocidas internacionalmente,
por ejemplo: OWASP.
Notas:
✓ Los grupos de actividades a realizar con ocasión del contrato, son independientes y
pueden ser desarrolladas en forma paralela, utilizando herramientas o aplicaciones para
pruebas de seguridad, que deben ser incluidas en el Plan de pruebas y actividades a
realizar.
✓ La información recolectada para el desarrollo del servicio y con ocasión del mismo, no
podrá ser almacenada, consultada, procesada ni analizada fuera del IPES, salvo
excepciones que se acuerden

Entregables:
✓ Desarrollar pruebas de pen testing, ethical hacking y análisis de vulnerabilidades a los
servicios TI de la entidad.
✓ Informe Técnico de Pruebas de Vulnerabilidad, pen testing y éthical hacking que incluya:
la valoración de todas y cada una de las vulnerabilidades encontradas. Debe contener al
menos la siguiente información: equipo en que se detectó la vulnerabilidad, direcciones
IP, sistema operativo, Nombre del equipo, vulnerabilidad(es) encontrada(s), severidad,
factor de riesgo, puerto, descripción, tipo según el CVE (Riesgos y Vulnerabilidades
Comunes), solución propuesta y acciones.
Debe contemplar capítulos como:
• Reporte del nivel de riesgo basado en las evidencias recolectadas.
• Reporte vulnerabilidades por servidor.
• Reporte de vulnerabilidades catalogado por sistema operativo, bases de datos y
aplicaciones.
• Reportes agrupados por solución o tipo de solución.
• Reporte de servidores contra parches de seguridad del fabricante.
✓ Informe gerencial que resuma el informe técnico, con clasificación de comportamiento y
tipificación de las vulnerabilidades detectadas.
✓ Matriz de remediación de vulnerabilidades
✓ Asesoría y acompañamiento en remediación de vulnerabilidades.

3) Fase 3: Pruebas de revisión de código a las aplicaciones in-house de IPES. Aplicación


Web HEMI
▪ Aplicación ASP.NET
▪ Lenguaje: VB.NET
▪ Líneas de código del proyecto web: 240.000 Loc.
▪ No incluye artefactos auxiliares y de componentes como css, js, xml, entre otros.
Página 3 de 12

Calle 73 No 11-66
PBX (+571) 2976030
Línea Gratuita:
018000124737
www.ipes.gov.co
FORMATO
Código: FO-692
SOLICITUD DE COTIZACIÓN Versión: 01
Fecha: 13/07/2018

El análisis estático de código consiste en el análisis de un sistema informático mediante la


inspección directa de la fuente u objeto codificada que describe el sistema con respecto a la
semántica del código (sin ejecución del/los programa/s, como en el análisis dinámico).
La revisión está basada en las recomendaciones de guías y normas públicas como modelos
software alineados con estándares de la industria, tales como OWASP, CWE, WASC, PCI,
MISRA, CERTC, ISO/IEC 25000, ó ISO/IEC 9126

La revisión del código incluye:


a. La evaluación de las vulnerabilidades de la categoría de seguridad para descubrir falsos
positivos sobre las vulnerabilidades obtenidas.
b. Creación de planes de acción que contengan las recomendaciones a abordar para la
mejora de la seguridad en los desarrollos y una guía del orden para abordar las
recomendaciones de seguridad para cada una de las aplicaciones analizadas.
c. Revisión sobre controles de programación asociados con los siguientes tipos de
verificación:
• Autenticación
• Autorización
• Gestión De Cookies
• Validación De Entradas De Datos
• Gestión De Errores/Fugas De Información
• Logs Y Pistas De Auditoría
• Cifrado De Datos
• Entorno De Código Seguro
• Gestión De Sesiones

Entregables:
✓ Informe de revisión de código de las aplicaciones y recomendaciones de seguridad para
las aplicaciones.

4) Fase 4: Diagnostico de seguridad de la información


Diagnóstico de seguridad de la información para los procesos relacionados con la gestión de
tecnologías de información, seguridad informática y seguridad de la información y todas las
interrelaciones de información que existan con las áreas de recursos humanos, legal,
administrativa y los procesos de la organización, de acuerdo con las mejores prácticas del
estándar ISO 27001:2013 y el PLAN DE SEGURIDAD DE LA INFORMACIÓN PESI D-039–
(CORTO, MEDIANO Y LARGO PLAZO), alineado a la estrategia del MSPI y Gobierno Digital.

Plan de actividades:
▪ Diagnóstico de Seguridad de la Información a los procesos de APOYO, ESTRATÉGICOS Y
MISIONALES.
▪ Identificar el estado actual de la gestión de seguridad de la información al interior de la
entidad.
▪ Identificar el nivel de madurez de los controles de seguridad de la información.
▪ Identificar el avance de la implementación del ciclo de operación al interior de la entidad.
▪ Deberá identificar el uso de buenas prácticas en ciberseguridad.
▪ Plan estratégico de Seguridad de la información. (Corto, Mediano y Largo Plazo - 2023)

Entregables:
✓ Realizar un análisis de brecha (GAP) de seguridad de la información conforme al estándar
ISO/IEC 27001:2013, MSPI y Gobierno digital.
Página 4 de 12

Calle 73 No 11-66
PBX (+571) 2976030
Línea Gratuita:
018000124737
www.ipes.gov.co
FORMATO
Código: FO-692
SOLICITUD DE COTIZACIÓN Versión: 01
Fecha: 13/07/2018

✓ Plan estratégico de seguridad de la información (PESI).


✓ Desarrollar el PESI o plan de acción para la implementación del Sistema de Gestión de
Seguridad de la Información de acuerdo con el resultado de la brecha de seguridad de la
información identificada.
✓ Análisis de Situación actual respecto seguridad de la información en IPES y definición del
plan de acción para el cierre de brechas (GAP Análisis ISO 27001:2013).

5) Fase 5: Gestión de riesgos de Seguridad de la Información.


Proceso Gestión de Seguridad de la Información y Recursos Tecnológicos y sus interrelaciones
con procesos misionales, estratégicos y de apoyo para 15 procesos de la organización

Mapa de procesos actual: IPES.

▪ Desarrollo de las actividades de gestión de activos de información para la planeación de los


procesos de gestión de TI y todos los procesos de la organización.
▪ Desarrollo de las actividades de identificación, análisis y evaluación de los riesgos de
seguridad de la información de acuerdo con las normas ISO 27005, ISO 31000, DAFP.
▪ Definición, actualización e implementación de la Metodología del plan de gestión de riesgos.
▪ Definición, actualización e implementación del Desarrollo de las actividades para desarrollar
el PTR – Plan de Tratamiento de riesgos asociada a los procesos de planeación de la gestión
de TI.
▪ Integración y definición del plan de implementación del modelo de seguridad de la
información (SOA, PESI Y PTR Plan de tratamiento de riesgos) a corto, mediano y largo
plazo, Para conocer el presupuesto y las iniciativas en seguridad de la información para el
2020, 2021 y hasta el 2022.

Entregables:

Página 5 de 12

Calle 73 No 11-66
PBX (+571) 2976030
Línea Gratuita:
018000124737
www.ipes.gov.co
FORMATO
Código: FO-692
SOLICITUD DE COTIZACIÓN Versión: 01
Fecha: 13/07/2018

▪ Efectuar el levantamiento/actualización de inventario de activos y clasificación de la


información en el proceso de gestión tecnológica de IPES
▪ Identificar los riesgos de seguridad de la información, sus causas, controles, acciones de
mejora y otras características orientadas a la optimización de la seguridad de la información
a los procesos asociados a la gestión tecnológica.
▪ Definir el proceso de la gestión de riesgos de seguridad de la información.
▪ Metodología de Gestión de Activos y Riesgos de Seguridad de la Información y formato de
la matriz de activos y riesgos
▪ Identificación de activos y riesgos de seguridad de la información para 2 procesos
misionales y el proceso de Gestión de Seguridad de la Información y Recursos
tecnológicos.
▪ Normograma de Seguridad de la Información.
▪ Declaración de Aplicabilidad (SoA).
▪ Plan detallado de la implementación del modelo de seguridad y privacidad de la información
en IPES Campaña de cultura y sensibilización en seguridad de la información.
▪ Plan de Tratamiento de Riesgos

6) Fase 6: Definición del marco documental del modelo de Seguridad de la Información para
IPES.

A continuación, se describen los procedimientos y políticas de seguridad de la información,


implementadas actualmente en IPES:

Procedimientos:
• PR-033-BACKUP GENERACIÓN Y RECUPERACIÓN V3
• PR-123 GESTION DE INCIDENTES DE SEGURIDAD V3
• PR-131 MONITOREO ACCESO MEDIOS PROCESAMIENTO INFORMACIÓN
• PR-132 PROTECCION DEL INTERCAMBIO DE INFORMACION
• PR-133 ACCESO A MEDIOS PROCESAM INF
• PR-136 ATENCIÓN MESA DE AYUDA

Políticas y manuales:
• PL-21 POLÍTICA PARA EL TRATAMIENTO DE DATOS PERSONALES
• MS-013 MANUAL SEGURIDAD DE LA INFORMACIÓN
• MS-011 MANUAL DEL USUARIO HERRAMIENTA MISIONAL (HEMI)
• MS-010 MANUAL TÉCNICO HERRAMIENTA MISIONAL (HEMI)

Actividades por desarrollar:


▪ Revisión, actualización e implementación de la Política General de seguridad de la
información.
▪ Revisión, actualización e implementación del Desarrollo del marco documental de Seguridad
de la información de acuerdo a las mejores prácticas de seguridad de la información. (ISO
27001:2013 y todo el compendio de normas de la serie ISO 27000, NIST, ITIL, COBIT, entre
otras).
▪ Revisión, actualización e implementación de las Políticas y Procedimientos de seguridad de
la información (Seguridad en recursos humanos, seguridad legal, seguridad en las
operaciones, control de acceso, cifrado, controles de seguridad de la información, gestión
de incidentes, continuidad del negocio, seguridad en el desarrollo y ciclo de vida de la gestión
del software, entre otros de acuerdo con las mejores prácticas del anexo A de la norma ISO
27001:2013, NIST, ITIL, COBIT, etc).

Página 6 de 12

Calle 73 No 11-66
PBX (+571) 2976030
Línea Gratuita:
018000124737
www.ipes.gov.co
FORMATO
Código: FO-692
SOLICITUD DE COTIZACIÓN Versión: 01
Fecha: 13/07/2018

▪ Revisión/Definición, actualización e implementación de las siguientes políticas,


procedimientos y manuales de seguridad de la información.
o Política Cifrado de la Información
o Política Control Acceso Físico
o Política Control Acceso Lógico
o Política Cumplimiento
o Política Escritorios Limpios y Bloqueo de Pantallas
o Política de Gestión de Riesgos
o Política de Gestión de Terceros Política de Organización de SI Política Red Segura
o Política de Clasificación de la Información Política de Concientización en SI
o Política de Continuidad del Negocio Política de Copias de Seguridad Política de
Desarrollo Seguro Política Gestión Medios Removibles
o Política de Gestión de Activos de Información Política de Seguridad en Gestión
Humana Política Gestión de Contraseñas
o Política Gestión de Vulnerabilidades Técnicas

▪ Entre Otros, relacionados al MSPI alineado al modelo de ciberseguridad de IPES:


o El alcance del sistema de gestión de seguridad de la información (cláusula 4 3)
o Política de seguridad de la información y objetivos (cláusulas 5 2 y 6 2)
o Metodología de evaluación y tratamiento de riesgos (cláusula 6 1 2)
o Declaración de aplicabilidad (cláusula 6 1 3 d)
o Plan de tratamiento de riesgo (cláusula 6 1 3 e y 6 2)
o Informe sobre evaluación de riesgos (cláusula 8 2)
o Definición de roles y responsabilidades de seguridad (cláusulas A 7 1 2 y A 13 2 4)
o Uso aceptable de los activos (cláusula A 8 1 )
o Procedimientos de operación para gestión de TI (cláusula A 12 1 1)
o Política de desarrollo de sistemas seguros (cláusula A 14 2 5)
o Política de gestión de seguridad para proveedores (cláusula A 15 1 1
o Procedimiento para gestión de incidentes (cláusula A 16 1 5)
o Procedimientos de Continuidad de negocio (cláusula A 17 1 2)
o Política y listado de Requerimientos legales, regulatorios y contractuales (cláusula A
18 1 1 )
o Plan de comunicación, sensibilización y capacitación para la entidad

▪ Entregables:
✓ Desarrollar el marco de gestión documental para la definición del SGSI para IPES, el cual
se encuentre alineado a los requisitos del MSPI.
✓ Desarrollar la declaración de aplicabilidad para dar cumplimiento al estándar SGSI ISO
27001:2013. (Procedimientos, políticas, guías, manuales, etc del SGSI IPES)
✓ Desarrollar el plan de implementación de controles de seguridad – Plan de Tratamiento
de riesgos de Seguridad de la Información.
✓ Manual de Sistema de Gestión de Seguridad de la Información (Contexto, Partes
interesadas, Objetivos, Política General).
✓ Políticas Específicas de Seguridad de la Información:
✓ Política de Seguridad para dispositivos Móviles
✓ Política de Seguridad de Teletrabajo
✓ Política de Seguridad de Control de Acceso
✓ Política de Seguridad sobre el uso de Controles Criptográficos
✓ Política de Seguridad de Gestión de Llaves Criptográficas
✓ Política de Seguridad de Escritorio Limpio y Pantalla Limpia
✓ Política de Seguridad de Pantalla Limpia
Página 7 de 12

Calle 73 No 11-66
PBX (+571) 2976030
Línea Gratuita:
018000124737
www.ipes.gov.co
FORMATO
Código: FO-692
SOLICITUD DE COTIZACIÓN Versión: 01
Fecha: 13/07/2018

✓ Política de Seguridad de Copias de Respaldo


✓ Política de Seguridad de Transferencia de Información
✓ Política de Seguridad de Desarrollo Seguro
✓ Política de Seguridad para las relaciones con Proveedores

Procedimientos:
✓ Contacto con las Autoridades
✓ Proceso Disciplinario
✓ Etiquetado de la Información y Manejo de Activos
✓ Gestión de Medios Removibles y Disposición de los medios
✓ Registro y cancelación del registro de usuarios, Suministro de Acceso de Usuarios,
Gestión de Información de autenticación secreta de usuarios e Ingreso Seguro
✓ Trabajo en Áreas Seguras
✓ Instalación de Software en Sistemas Operativos
✓ Transferencia de Información
✓ Control de Cambios
✓ Respuesta a Incidentes de Seguridad de la Información y Recolección de Evidencia
✓ Implementación de la Continuidad de la Seguridad de la Información
✓ Derechos de Propiedad Intelectual
✓ Organización de Seguridad de la Información: Roles y responsabilidades (Ej.: Comité de
Seguridad, Tecnología, Talento Humano, Seguridad Física, Control Interno, Jurídica,
Auditoria)
✓ Métricas de Seguridad de la Información
✓ Plan de implementación tecnológica el MSPI (SGSI Alienado a la norma ISO
27001:2013).

7) GENERALIDADES:
▪ El proponente dispondrá de las herramientas necesarias propias para poder llevar a cabo las
actividades escritas, entiéndase que la entidad no adquirirá ningún licenciamiento de software
o herramientas.
▪ El centro de datos está en sitio en la Sede Administrativa IPES
▪ Para las actividades de todas las fases del proyecto, se tiene en cuenta todos los documentos
en borrador o que hagan parte de actividades anteriores en seguridad de la información, sin
embargo, es clave actualizar todas las actividades relacionadas con (GAP ANALISIS, Gestión
de Riesgos, Gestión de Activos, gobierno del SGSI y todos los lineamientos del SGSI).
▪ Estructura Orgánica de la organización IPES:

Página 8 de 12

Calle 73 No 11-66
PBX (+571) 2976030
Línea Gratuita:
018000124737
www.ipes.gov.co
FORMATO
Código: FO-692
SOLICITUD DE COTIZACIÓN Versión: 01
Fecha: 13/07/2018

▪ Los resultados y productos correspondientes deberán ser elaborados y presentados conforme


las especificaciones de la norma ISO27001, el MSPI y la Política de Gobierno Digital y
disposiciones del MinTIC

8) Recurso Humano (Mínimo) – Equipo De Trabajo

A continuación, se relacionan los roles, requisitos de estudios y experiencia que debe cumplir cada
uno de los integrantes del equipo de trabajo conformado por EL CONTRATISTA para dar
cumplimiento al proyecto y al plan de trabajo.

Tabla 1: Roles equipo de trabajo:


CERTIFICACIONES
ESTUDIOS EXPERIENCIA
ROL ESTÁNDARES
(mínimos) (mínima)
(minimos)
• Título profesional correspondiente al
núcleo básico de conocimiento –NBC-1 • Experiencia profesional igual o
en Ingeniería Electrónica, superior a TRES (3) años
telecomunicaciones y afines, o al núcleo desempeñando funciones como
básico de conocimiento –NBC- en director o gerente de proyecto.
Ingeniería de sistemas, telemática y • PMP Vigente • Mínimo dos (2) certificaciones de
Gerente de
afines. • ISO 27001 Interno experiencia en Proyectos en
Proyecto
• Tarjeta Profesional • ITIL Foundation Implementaciones en Seguridad
• Posgrado en: de la información como gerente
▪ Gerencia/gestión de proyectos, o de proyecto en diferentes
▪ Gerencia/gestión de proyectos entidades del estado a nivel
asociados al área de conocimiento de nacional.
las TIC´s)
• Experiencia profesional igual o
• Título profesional correspondiente al
superior a TRES (3) años como
núcleo básico de conocimiento –NBC- en
consultor en seguridad de la
Ingeniería Electrónica, • Auditor Interno ISO 20000
información.
telecomunicaciones y afines, o al núcleo • Auditor Líder ISO
• Mínimo una (1) Certificación de
Consultor Líder básico de conocimiento –NBC- en 27001:2013
proyecto de actividades de
Ingeniería de sistemas, telemática y • Auditor líder 22301
proyectos relacionados con la
afines. • Risk manager ISO 31000
implementación del modelo de
• Tarjeta Profesional
arquitectura empresarial.

• Título profesional correspondiente al


núcleo básico de conocimiento –NBC- en • Auditor líder 27001:2013
Ingeniería Electrónica, • Auditor líder 22301 • Experiencia profesional igual o
Consultor
telecomunicaciones y afines, o al núcleo • Risk manager ISO 31000 superior a DOS (2) años como
Apoyo:
básico de conocimiento –NBC- en • Cibersecurity manager ISO consultor en Seguridad de la
Ingeniería de sistemas, telemática y 27032 Información o afín
afines. • Certificación CPTE
• Tarjeta Profesional

• Título profesional correspondiente al


núcleo básico de conocimiento –NBC- en
Ingeniería Electrónica,
telecomunicaciones y afines, o al núcleo
• Experiencia profesional igual o
básico de conocimiento –NBC- en • Auditor líder ISO
Analista Senior superior a DOS (2) años como
Ingeniería de sistemas, telemática y 27001:2013
de seguridad: consultor en Seguridad de la
afines. • Auditor interno 22301
Información o afín
• Tarjeta Profesional • ITIL Foundation
• Posgrado en:
▪ Seguridad Informática, ó
▪ Seguridad de la Información o afin.

1 NBC: https://snies.mineducacion.gov.co/consultasnies/programa
Página 9 de 12

Calle 73 No 11-66
PBX (+571) 2976030
Línea Gratuita:
018000124737
www.ipes.gov.co
FORMATO
Código: FO-692
SOLICITUD DE COTIZACIÓN Versión: 01
Fecha: 13/07/2018

• Título profesional correspondiente al


núcleo básico de conocimiento –NBC- en
• Cibersecurity manager ISO • Experiencia profesional igual o
Analista Junior Ingeniería Electrónica,
27032 superior a UN (1) año
telecomunicaciones y afines, o al núcleo
de seguridad: • Auditor líder ISO desempeñando funciones como
básico de conocimiento –NBC- en
27001:2013 consultor en Seguridad de la
Ingeniería de sistemas, telemática y
Información o afín.
afines.
• Tarjeta Profesional

CONDICIONES:

PLAZO: El plazo de ejecución del contrato será de SEIS (06) MESES y se contará a partir de la
fecha del acta de inicio suscrita por el contratista y el supervisor del contrato, previo cumplimiento
de los requisitos legales y presupuestales para su ejecución.

OBLIGACIONES DEL CONTRATISTA:

Obligaciones Específicas:

1. Presentar dentro de los siguientes 8 días hábiles posterior a la firma del acta de inicio, el
respectivo Plan de gestión y cronograma del proyecto y deberá presentar el equipo de trabajo
al IPES. El plan y el cronograma estarán sujetos a la aprobación del supervisor, para lo cual EL
CONTRATISTA atenderá y ajustará las observaciones que en caso de requerirse sean
comunicadas por el supervisor del CONTRATO.
2. Suministrar el equipo humano ofrecido en el proceso contractual y mantenerlo disponible
durante toda la vigencia del contrato.
3. Elaborar, ejecutar y presentar los productos, entregables y fases conforme las características,
condiciones y especificaciones técnicas.
4. Ejecutar y presentar las fases y productos, conforme las normas vigentes: ISO27001, el Modelo
de Seguridad y Privacidad, la política de Gobierno Digital y disposiciones del Ministerio de las
TIC – MinTIC.
5. Asistir a las reuniones que se programen con el objeto de efectuar seguimiento a la ejecución
del contrato, atender solicitudes, resolver inconvenientes y realizar las propuestas necesarias
para la buena ejecución del mismo. Las reuniones que se programen aplicará tanto para
aquellas establecidas en el plan de trabajo, como también aquellas eventuales requeridas por
el supervisor del contrato.
6. Generar toda la documentación requerida durante toda la ejecución del contrato y entregarla
consolidada, debidamente organizada y firmada tanto en medio físico como digital.
7. Propender a que el servicio sea suministrado sin afectar la operación de la infraestructura,
sistemas de comunicación y demás servicios tecnológicos de la operación del IPES. Las
actividades deberán ser programadas y notificadas a la entidad con la debida antelación, y
deberán contar con el aval de la Entidad previo a su ejecución.
8. Suscribir al inicio del contrato un acuerdo de confidencialidad con la entidad sobre los asuntos
e información que conozca con ocasión de la ejecución del objeto contractual, así como de todos
aquellos relacionados con el mismo.

FORMA DE PAGO:

Se realizarán pagos mensualizados contra entrega de cada fase, de conformidad con lo establecido
en la propuesta económica, y recibo a satisfacción por parte de la supervisión.

Página 10 de 12

Calle 73 No 11-66
PBX (+571) 2976030
Línea Gratuita:
018000124737
www.ipes.gov.co
FORMATO
Código: FO-692
SOLICITUD DE COTIZACIÓN Versión: 01
Fecha: 13/07/2018

NOTA 1: Todos los pagos estarán sujetos a disponibilidad del Plan Anual de Caja –PAC-, y la
presentación de los siguientes documentos:

• Presentación del informe de ejecución.


• Formato de certificación de cumplimiento expedida por el supervisor
• La presentación de la factura por parte del contratista, con el lleno de los requisitos legales
• Información que permita verificar el cumplimiento de sus obligaciones con los sistemas de salud,
riesgos laborales, pensiones y con los aportes a las Cajas de Compensación Familiar, Instituto
Colombiano de Bienestar Familiar y Servicio Nacional de Aprendizaje, cuando a ello haya lugar,
mediante certificación expedida por el Revisor Fiscal, cuando exista de acuerdo con los
requerimientos de ley, o por el Representante Legal, de conformidad con lo establecido en el artículo
50 de la Ley 789 de 2002.

NOTA 2: Los pagos se harán en pesos colombianos, previos los descuentos de ley, a través del
canal electrónico, previa presentación la certificación bancaria expedida por la entidad financiera
correspondiente con indicación del número, tipo de cuenta y el nombre de la Entidad Financiera, la
cual en todo caso debe estar afiliada al sistema automático de pagos.

El IPES sólo adquiere obligaciones con el contratista y bajo ningún motivo o circunstancia aceptará
pagos a terceros.

Aspectos a tener en cuenta por parte del cotizante:

Se solicita que el cotizante presente su cotización dentro de TRES (3) DÍAS HÁBILES a la recepción
de la presente solicitud, a través de correo electrónico a los buzones fvquinteron@ipes.gov.co,
cariosa@ipes.gov.co, yomartinezb@ipes.gov.co, jjgarzond@ipes.gov.co.

Si el cotizante considera necesario, se podrá estipular la posibilidad de adelantar visitas a las


instalaciones de los posibles proveedores o conocer el lugar de ejecución del objeto del contrato.

La cotización debe presentarse con una vigencia igual o superior a treinta (30) días calendario.

VALOR COTIZADO DE LOS BIENES Y SERVICIOS: El cotizante debe tener en cuenta todos los
gastos en los que puede llegar a incurrir por la suscripción, legalización y ejecución del contrato,
como impuestos, constitución garantía única, transporte, operarios, etc.

VALOR UNITARIO VALOR TOTAL


CANTIDAD DESCRIPCIÓN (Indicar el valor unitario (Indicar el valor total
incluido IVA) incluido IVA)
Fase 1: Plan De Gestión Y Cronograma Del
1 Proyecto
Fase 2: Pentesting, ethical hacking y análisis
1 de vulnerabilidades a las plataformas
tecnológicas de IPES.
Fase 3: Pruebas de revisión de código a las
1 aplicaciones in-house de IPES. Aplicación
Web HEMI
Fase 4: Diagnostico de seguridad de la
1 información
Fase 5: Gestión de riesgos de Seguridad de
1 la Información.
Página 11 de 12

Calle 73 No 11-66
PBX (+571) 2976030
Línea Gratuita:
018000124737
www.ipes.gov.co
FORMATO
Código: FO-692
SOLICITUD DE COTIZACIÓN Versión: 01
Fecha: 13/07/2018

VALOR UNITARIO VALOR TOTAL


CANTIDAD DESCRIPCIÓN (Indicar el valor unitario (Indicar el valor total
incluido IVA) incluido IVA)
Fase 1: Plan De Gestión Y Cronograma Del
1 Proyecto
Fase 6: Definición del marco documental del
1 modelo de Seguridad de la Información para
IPES.

Cordialmente,

Original firmado

FÁTIMA VERÓNICA QUINTERO NUÑEZ


Subdirectora de Diseño y Análisis Estratégico – SDAE-
fvquinteron@ipes.gov.co

Proyectó:
Cristhian Andres Rios Alayon – Profesional Esp. 222-19 SDAE
John Jair Garzón – Profesional Uni. 219-15 SDAE
Yamel Orlando Martínez Balaguera – Contratista SDAE

Página 12 de 12

Calle 73 No 11-66
PBX (+571) 2976030
Línea Gratuita:
018000124737
www.ipes.gov.co

También podría gustarte