Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PREGUNTAS Y RESPUESTAS
Favor referirse a las bases: Para la realización de esta prueba, se deberán usar las
herramientas pertinentes y usadas para el desarrollo de las pruebas de penetración,
homologadas por el CVE (Common Vulnerabilities and Exposures), y www.mitre.org y
deben estar actualizadas a la fecha de su utilización. Para lo anterior, se deberá adjuntar
en los informes presentados certificado de homologación de CVE, o ruta de la página de
CVE donde se pueda evidenciar que la herramienta ofrecida está homologada por dicha
entidad.
Ej. CVE-2022-30190.
Favor referirse a las bases: Para la generación de los informes solicitados se deberá tomar
como referencia la lista de nombres de vulnerabilidades CVE publicada por la corporación
Mitre (www.mitre.org). El proponente, debe demostrar la propiedad o autorización de uso
explicita del fabricante, de las herramientas utilizadas en el desarrollo de este proyecto.
Para lo cual deberá allegar certificación o documento que soporte el requisito.
No, los certificados deben ser adjuntos en la propuesta de acuerdo con las bases de
concurso.
12. ¿Es necesario realizar pruebas de penetración a las 600 PCs como indica en el
dimensionamiento? Recomendamos que sea considerado a máximo 2 por cada grupo
de sistemas operativos o imágenes de restauración, pues van a tener el mismo
resultado si todos están bajo la misma política o el mismo tratamiento de gestión de
vulnerabilidades y capacidades.
Si de acuerdo.
13. Cuáles son las ciudades donde están localizados los ATMs, ya que indican 45 en el
dimensionamiento.
EL análisis de ATMs es sobre 4 en total, 2 por marca tenemos Diebold y GRG.
15. El dimensionamiento indica: “Equipos de comunicación 100”. Por favor indicar qué
tipo de dispositivos son por cada grupo: Módems, antenas, radios, switchs, routers,
etc.
Respuesta: Son los dispositivos con los que cuenta la Cooperativa en su red: routers,
switches, access points.
Existen casos en donde las IPs públicas pertenecen a uno o dos firewalls específicos o
también pueden ser servidor expuestos directamente al internet a través de una IP
pública.
18. ¿En las pruebas de intrusión interna, nos permitirán implementar un servidor desde
donde se realizar las pruebas, mientras que los pentesters se conectarán desde sus
propias laptops hacia este server para realizar la consultoría o solo permitirán desde
las propias laptops de cada Pentester? Esto es debido a que un server de pentesting
tiene mayor capacidad de procesamiento y memoria que una laptop para poder
utilizar más aplicaciones concurrentes para las pruebas. De todos modos, no es
mandatorio, pero esto nos permitirá conocer que recursos contamos en este proyecto.
Si.
Si.
23. ¿Para el Pentesting Externo solamente se auditarían las 14 direcciones IP públicas y
las 10 webapps? Es decir que dentro de esas IPs se incluyen los equipos de seguridad
perimetral y los servidores en nube, ¿o debemos sumarle algo adicional?
Si.
Servidores en sitio: 70
PCs: 600
ATMs: 45
Equipos de seguridad física: 614
Equipos de comunicación: 100
Equipos de seguridad perimetral: 4
¿O desean también incluir la auditoría de los Servidores en Nube (10 hosts) vistos
internamente (a través de una VPN) en el Pentesting Interno? ¿O quizás incluir una
auditoría de cumplimiento de nube (Cloud Compliance)?
La totalidad.
26. En Septiembre de 2017 fue archivado el programa de "Compatibilidad con CVE" (CVE
compatibility program), como se aprecia en
https://cve.mitre.org/compatible/index.html Por tanto, CVE no ofrece
homologaciones, por tanto, se solicita que dicho requerimiento sea retirado (Pág. 12
sección 1.2)
De acuerdo.
27. Los "Términos de uso" de CVE, actualizados en Diciembre de 2017
(https://www.cve.org/Legal/TermsOfUse), establecen que MITRE otorga una licencia
perpetua, no-exclusiva, gratuita e irrevocable, para reproducir, desplegar, preparar
trabajos derivados, exhibir públicamente, sub-licenciar y distribuir el material de CVE.
Por esta razón, no se podrá obtener una autorización de uso de los nombres de las
vulnerabilidades de CVE, se solicita que dicho requerimiento sea retirado (Pag 12
sección
De acuerdo.
31. Favor establecer la cantidad de llamadas que serán objeto de las pruebas del Bus
Transaccional, y la cantidad de sistemas o servicios con los que el bus interactúa.
5.
32. Favor confirmar si existe conectividad interna (red interna) no restringida de la casa
matriz con cada uno de los equipos enumerados en la sección 1.6 como objetos de las
pruebas.
34. Favor determinar la cantidad de equipos inalámbricos (WiFi) que serían objetos de la
prueba y sus ubicaciones (localidades).
Los equipos WiFi se encuentran ubicados en la Ciudad de Quito 10 y 2 en Portoviejo.
36. Etapa 1: Diagnóstico ISO 27001: es posible solicitar a la organización conocer datos de
procesos, estructura orgánica, estructura del área de IT, número de activos a nivel
cuantitativa para dimensionar el GAP ANÁLISIS.
38. Participación de compañías extrajeras: ¿Es posible que una empresa extranjera pueda
ofrecer los servicios sea de forma directa o a través de un aliado local? En cuyo caso,
¿cuáles serán los requisitos para poder hacerlo?
Deberá ser mediante un aliado local y los requisitos serán los aplicables a la normativa
ecuatoriana y aquellos que constan en las bases de concurso.
No, por política interna no es posible revelar ese tipo de información, los proveedores
deberán presentar su mejor oferta.
40. Condiciones del pago: ¿Es posible cambiar las condiciones de pago de lo solicitado ?,
pues para la Fase 2, es decir la fase de volver a probar todos los elementos
dependemos de que la Cooperativa 29 de octubre haya remediado las
vulnerabilidades durante los 8 meses que trascurrirán hasta que se ejecute la fase de
pruebas nuevamente sobre la misma infraestructura. Este tiempo no depende del
proveedor.
No, los proveedores que oferten deben ajustarse estrictamente a las bases de concurso.
41. Las pólizas o garantías también entrarían en una extensión de tiempo de ocho meses
¿solicitamos se pueda revisar este aspecto?
Favor ajustarse a las bases de concurso, existen vigencias para cada una de las garantías
a solicitar. Favor remitirse a la página 17 de las bases.