pre-pliego de condiciones para el … · estudio de conveniencia seguridad informática y análisis...

FEDERACIÓN COLOMBIANA DE MUNICIPIOS

PRE-PLIEGO DE CONDICIONES PARA EL PROYECTO “CONSULTORIA EN

SEGURIDAD INFORMÁTICA A LA FEDERACIÓN COLOMBIANA DE MUNICIPIOS Y

ANÁLISIS DE LA INFRAESTRUCTURA DEL APLICATIVO SIMIT”

Bogotá, Noviembre de 2009

Antecedentes

La información es un activo que como otros activos comerciales importantes, es esencial para el negocio de una organización y en consecuencia necesita ser protegido adecuadamente. Esto es especialmente importante en el ambiente comercial cada vez más interconectado. Como resultado de esta creciente Inter conectividad, la información ahora está expuesta a un número cada vez mayor y una variedad más amplia de amenazas y vulnerabilidades. La información puede existir en muchas formas. Puede estar impresa o escrita en un papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, mostrada en películas o hablada en una conversación. Cualquiera que sea la forma que tome la información, o medio por el cual sea almacenada o compartida, siempre debiera estar apropiadamente protegida. La seguridad de la información se logra implementando un adecuado conjunto de controles; incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware. Se necesitan establecer, implementar, monitorear, revisar y mejorar estos controles cuando sea necesario para asegurar que se cumplan los objetivos de seguridad. Las organizaciones y sus sistemas y redes de información enfrentan amenazas de seguridad de un amplio rango de fuentes; incluyendo fraude por computadora, espionaje, sabotaje, vandalismo, fuego o inundación. Las causas de daño como código malicioso, pirateo computarizado o negación de ataques de servicio se hacen cada vez más comunes, más ambiciosas y cada vez más sofisticadas. La seguridad de la información es importante tanto para negocios del sector público como privado, y para proteger las infraestructuras críticas. En ambos sectores, la seguridad de la información funcionará como un facilitador; por ejemplo para lograr e-gobierno o e-negocio, para evitar o reducir los riesgos relevantes. La interconexión de redes públicas y privadas y el intercambio de fuentes de información incrementan la dificultad de lograr un control del acceso. La tendencia a la computación distribuida también ha debilitado la efectividad de un control central y especializado.

Estudio de conveniencia seguridad Informática y análisis técnico de la infraestructura del aplicativo SIMIT

Pagina 3 de 47

Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que se puede lograr a través de medios técnicos es limitada, y debiera ser apoyada por la gestión y los procedimientos adecuados. La gestión de la seguridad de la información requiere, como mínimo, la participación de los accionistas, proveedores, terceros, clientes u otros grupos externos. 1. Justificación de la necesidad

El artículo 10 de la Ley 769 de 2002 autorizó a la Federación Colombiana de Municipios para implementar y mantener actualizado a nivel nacional, el Sistema Integrado de Información sobre Multas y Sanciones por Infracciones de tránsito SIMIT, función pública que se cumple actualmente a través de la Dirección Nacional SIMIT.

En cumplimiento de la función pública que le fuera asignada a la Federación Colombiana de Municipios por expreso mandato legal, ha requerido desde sus inicios, contar con una infraestructura tecnológica suficiente que garantice un adecuado y permanente funcionamiento, y que sea susceptible de perfeccionamiento a través de la implementación de nuevas tecnologías aplicadas siempre al logro del fin perseguido, con métodos de control y calidad de la información. En el marco de dichas obligaciones se hace necesario apoyarse en un sistema de Gestión en Seguridad de Información como herramienta para proteger la información, los procesos y los sistemas que hacen uso de ella.

La Federación Colombiana de Municipios - Dirección Nacional SIMIT requiere contar con un modelo de Seguridad Informática el cual debe incluir un conjunto de políticas, normas, procedimientos y estándares, así como con un plan de divulgación del modelo de seguridad informática para todos los usuarios de la entidad.

Con la contratación de una consultoría en seguridad informática la Federación Colombiana de Municipios busca definir los requerimientos de la entidad para posteriormente complementar, ajustar e implementar las seguridades lógicas con las mejores prácticas, para administrar y reducir razonablemente los riesgos informáticos relacionados con pérdida de confidencialidad, integridad y disponibilidad.

La entidad requiere determinar las políticas de seguridad, que son enunciados de alto nivel y de tipo administrativo que presentan un conjunto de procedimientos, reglas, prácticas y requerimientos gubernamentales que regulan la forma como se debe manejar, proteger y distribuir la información sensitiva de la organización.


Pagina 4 de 47

Estos enunciados son de carácter general y, por lo tanto, deberán estar diseñados para durar a largo plazo.

Una vez establecidas las políticas de seguridad, la entidad necesita definir los procedimientos solicitados que contengan pasos detallados que se deben seguir para realizar una tarea específica, son considerados el nivel más bajo en la cadena de políticas de seguridad y proporcionan una guía detallada para la implementación de políticas, reglas, estándares y lineamientos previamente establecidos.

El estándar internacional ISO-IEC 27001 ha sido preparado para proveer un modelo que permita establecer, implementar, operar, monitorear y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). El diseño y la implementación del SGSI dependen de las necesidades y objetivos de una organización, de sus requerimientos de seguridad, flujo de información, procesos empleados y sobre todo del tamaño y estructura de la misma, aunque bien es cierto que un proceso de certificación puede llevar años, la Federación Colombiana de Municipios requiere iniciar la labor de alinear los procesos desarrollados con el Modelo de Gestión de la Seguridad de la Información (SGSI).

La Federación requiere contar con estándares de seguridad informática que indiquen los parámetros mínimos de seguridad, por lo tanto se deberá realizar previamente un análisis e inventario de activos, análisis de riesgos, vulnerabilidades y matriz de mitigación, para implementar controles en las distintas plataformas con que cuenta la Federación, con el fin de preservar los niveles de servicio que se ofrecen y la seguridad, garantizando el cumplimiento de las normas establecidas.

Deberá en este proceso darse la gestión y transferencia de conocimiento para que el servicio que se preste corresponda a prácticas generalmente aceptadas a nivel mundial y que correspondan al más avanzado estado de la técnica al momento de la ejecución de la actividad. También se deberán efectuar talleres prácticos donde los participantes apliquen los estándares de seguridad para las plataformas definidas.

Así mismo, se requiere efectuar pruebas de intrusión a la red de datos las cuales se realizarán a través de ataques lógicos a los recursos informáticos, identificando posibles vulnerabilidades existentes en los diferentes sistemas.


Pagina 5 de 47

Estas pruebas se deben realizar en escenarios en donde se define el objetivo a atacar, la ubicación y características de los atacantes y las medidas que se deben tomar si el ataque resulta exitoso. La entidad deberá contar con un informe de evaluación de riesgos a partir del estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización, que permitan mitigar las vulnerabilidades encontradas en las diferentes pruebas de penetración como resultado de la prueba anterior.

La Federación Colombiana de Municipios en cumplimiento de la función pública que le fue asignada por expreso mandato legal requiere mantener servicios constantes a través de Internet para información a los ciudadanos y para mantener las interrelaciones con los usuarios de los servicios y trámites que presta la entidad. Por estas razones, dada la necesidad de acceder a información cualificada en el marco de las funciones encomendadas por expreso mandato legal; se hace necesario efectuar una consultoría que entregue a la Federación el estado actual y el estado en que debemos estar para garantizar la seguridad de la información mediante un proceso sistemático, documentado, conocido y divulgado a toda la organización. Efectúe la revisión de los estándares de seguridad con que actualmente cuenta la Federación incluyendo su función pública, y formule observaciones y recomendaciones para mejorar dichos niveles, acorde con la normatividad vigente, utilizando para ello un proceso sistemático documentado, conocido y divulgado a toda la organización.

2. Conveniencia y oportunidad Con el propósito de contribuir al mejoramiento de los ingresos de los municipios, el Congreso de la República de Colombia autorizó a través artículo 10 de la ley 769 de 2002, a la Federación Colombiana de Municipios para implementar y mantener actualizado a nivel nacional, un sistema integrado de información sobre las multas y sanciones por infracciones de tránsito (SIMIT). El software SIMIT permite la definición de diferentes perfiles de seguridad de acuerdo a los niveles de acceso que se definan, en esta opción es posible la creación de usuarios, de grupos, asociación de permisos a grupos y controles de horarios, todo lo anterior permite garantizar unos mayores niveles de control para el acceso de la información.


Pagina 6 de 47

Consecuencia de lo anterior, la entidad maneja un gran volumen de información de entrada y salida; software de aplicaciones que permiten la carga, digitación, consulta, configuración y administración de los registros para reportes y estadísticas de la información que pueden clasificarse de conocimiento público, privado, sensible y/o confidencial; dirigidos al sector político, gubernamental, al personal interno, asociados y demás. Se cuenta con administración de seguridad donde el acceso de la información se realiza a través de perfiles de acceso lo cual no garantiza la buena la integridad, la confidencialidad y la disponibilidad de la información en el sistema de información ( SIMIT). En este momento el activo más importante con el que cuenta la Federación Colombiana de Municipios, es la información, la cual va de la mano a los procesos y sistemas que hacen uso de ella. En la actualidad la entidad no tiene implementado un Sistema de Gestión de la Seguridad de la Información que garantice a los funcionarios la calidad del dato, esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial, necesarios para lograr sus objetivos y obtener beneficios económicos para asegurar la continuidad de ella misma. Una consultoría tecnológica en seguridad informática y análisis de la infraestructura del aplicativo SIMIT tiene como propósito identificar y garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la Federación de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan, en los riesgos, el entorno y las tecnologías. La implementación de un Sistema de Gestión de la Seguridad de la Información y análisis de la infraestructura del aplicativo SIMIT en la Federación Colombiana de Municipios, significa un avance tecnológico ya que permite brindar protección en los recursos informáticos de la organización llamados hardware, software y datos, ayuda a la consecución de los objetivos organizacionales protegiendo los recursos financieros, activos informáticos y bienes inmateriales conózcanse estos como la reputación y credibilidad de la entidad hacia sus asociados. El modelo de gestión de la seguridad de la Información debe establecer las políticas, las acciones, los métodos, procedimientos y mecanismos de prevención, control, evaluación y de mejoramiento continuo, con el fin de establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información.


Pagina 7 de 47

3. Descripción del objeto a contratar.

La Federación Colombiana de Municipios - Dirección Nacional SIMIT -, está interesada en seleccionar en igualdad de oportunidades a la persona jurídica que ofrezca las mejores condiciones para contratar la consultoría tecnológica en el sistema de Gestión de Seguridad de la Información (SGSI) y el análisis de seguridad informática de la infraestructura tecnológica del aplicativo SIMIT”. 3.1 Alcance del Objeto El alcance del objeto comprende las siguientes actividades: � Definir la política de seguridad informática basada en los objetivos de la entidad, con

la ayuda del área directiva de la FEDERACIÓN. � Conformar el comité de seguridad (estructura organizativa) que asegure la

implementación de las medidas de seguridad. � Con ayuda del comité de seguridad que se conforme, se deberá realizar

identificación, clasificación y valoración de los activos de la entidad. � Identificar los eventos que pueden ocasionar interrupciones en los procesos de

negocio junto con la probabilidad, el impacto de dichas interrupciones, así como sus consecuencias para la seguridad de la información.

� Entregar a LA FEDERACIÓN el informe de análisis de riesgos, y los controles a estos que ayuden a mitigar el impacto.

� Capacitar al personal responsable en la gestión de incidentes y gestión de riesgos designado por LA FEDERACIÓN, y crear cultura en seguridad de la información a todo el personal de la entidad.

� Comunicar la importancia de tener implementado un Sistema de Gestión en Seguridad de la Información (SGSI) a los funcionarios de la Federación Colombiana de Municipios.

� Realizar visitas a las instalaciones del proveedor de servicios de hosting de la infraestructura tecnológica SIMIT para evaluar el riesgo del servicio prestado.

4. Consulta y publicidad de los pliegos Los interesados en participar en el presente concurso de méritos, pueden consultar los pliegos de condiciones y demás documentos relativos al proceso de selección a través del Portal Único de Contratación www.contratos.gov.co y/o en la página web de la Federación www.fcm.org.co.


Pagina 8 de 47

Igualmente se establece como dirección: Federación Colombiana de Municipios –Dirección Nacional SIMIT-, Carrera 7 No. 74-56/64 de Bogotá, Grupo Jurídico - Piso 11- oficina 1102, el buzón de correo electrónico [email protected] y el fax 313 23 20. Toda comunicación o solicitud referente al concurso de méritos deberá radicarse por escrito en la Secretaría Institucional de la Dirección Nacional SIMIT, con indicación expresa del nombre y número del concurso de méritos, dirigida al Grupo Jurídico, oficina que canalizará la comunicación con los oferentes y la Federación; y las solicitudes se responderán mediante publicación en la página www.contratos.gov.co y/o www.fcm.org.co . 5. Compromiso anticorrupción En todas las actuaciones derivadas de los términos del presente concurso de méritos y el contrato que forma parte del mismo, el proponente obrará con la transparencia y la moralidad que la Constitución Política y las leyes ordenan. En caso de que la Federación Colombiana de Municipios –Dirección Nacional SIMIT-, advierta hechos constitutivos de corrupción de parte de un proponente durante el proceso de selección, sin perjuicio de las acciones legales a que hubiere lugar, podrá rechazar la respectiva propuesta. Si los hechos constitutivos de corrupción tuvieren lugar durante la ejecución del contrato, tales circunstancias podrán dar lugar a la declaratoria de caducidad, de conformidad con las reglas previstas para el efecto en la Ley y en el respectivo contrato. 6. De la participación ciudadana. En cumplimiento de lo dispuesto en el artículo 66 de la Ley 80 de 1993, se convoca públicamente a las veedurías ciudadanas que estén interesadas en realizar control social al presente proceso de contratación, a fin que de considerarlo procedente formulen las recomendaciones escritas necesarias, encaminadas a buscar la eficiencia institucional, señalándoles que pueden intervenir en todas las audiencias que se realicen dentro del proceso de selección.


Pagina 9 de 47

7. Análisis que soporta el valor estimado del contrato. Teniendo en cuenta que la entidad requiere contratar la consultoría tecnológica en Seguridad Informática para la Federación Colombiana de Municipios y el análisis de la infraestructura tecnológica del aplicativo SIMIT, de acuerdo a las disposiciones legales vigentes y lineamientos tecnológicos, se procedió a efectuar un sondeo de mercado con varias empresas que ofrecen servicios relacionados con el objeto a contratar. En este proceso se tuvieron en cuenta aspectos técnicos relacionados con la ejecución del contrato, plan de trabajo, personal requerido, detalles del estudio realizado y parámetros funcionales, teniendo como resultado un promedio ponderado de DOSCIENTOS DIEZ MILLONES DE PESOS ($210.000.000) M.L., para la consultoría tecnológica en seguridad informática a la Federación Colombiana de Municipios –Dirección Nacional SIMIT- y el análisis de la infraestructura del aplicativo SIMIT. 8. Fundamentos jurídicos que soportan la modalidad de contratación De conformidad con lo dispuesto en el numeral 3 del artículo 2 de la Ley 1150 de 2007, el Decreto 2474 de 2008 y el Decreto 3806 de 2009, la consultoría tecnológica en seguridad informática para la Federación Colombiana de Municipios y el análisis de la infraestructura del aplicativo SIMIT, se adelantará bajo la modalidad de selección de concurso de méritos con precalificación modalidad de lista corta con propuesta técnica detallada, de que trata el artículo 54 y demás concordantes del Decreto 2474 de 2008. Igualmente el marco legal de la presente concurso de méritos y del contrato que se derive de su adjudicación será conformado por la Constitución Política, y las demás disposiciones civiles y comerciales que le sean aplicables. 9. Presupuesto oficial estimado El presupuesto oficial estimado para el presente concurso de méritos es la suma de DOSCIENTOS ONCE MILLONES CIEN MIL PESOS ($211.100.000,00) M.L., incluido IVA.


Pagina 10 de 47

10. Forma de pago LA FEDERACION pagará a quien resulte beneficiado con la adjudicación, el valor del contrato de la siguiente manera:

1. El veinte (20%) por ciento del contrato, al momento de suscripción del acta de inicio y aprobación de las pólizas exigidas.

2. El treinta (30%) por ciento del valor del contrato, una vez el contratista haya

ejecutado la totalidad de las actividades descritas en la fase número uno (1) del pliego de condiciones.

3. El diez (10%) por ciento del valor del contrato, una vez el contratista haya

ejecutado la totalidad de las actividades descritas en la fase número dos (2) del pliego de condiciones.

4. El veinte (20%) por ciento del valor del contrato, una vez el contratista haya

ejecutado la totalidad de las actividades descritas en la fase número tres (3) del pliego de condiciones.

5. El veinte (20%) por ciento del valor del contrato, una vez el contratista haya

ejecutado la totalidad de las actividades descritas en la fase de implementación cuatro (4) del pliego de condiciones.

11. Plazo de ejecución de contrato El plazo de ejecución total del contrato será de cuatro (4) meses, contados a partir de la firma del acta de inicio entre las partes, previo cumplimiento de los requisitos de ejecución establecidos en el Art. 41 de la Ley 80 de 1993, modificado por el artículo 23 de la Ley 1150 de 2007.


Pagina 11 de 47

12. Cronograma del concurso de méritos

ACTIVIDAD

FECHA

LUGAR

Publicación aviso de convocatoria y prepliegos

30 de Diciembre de 2009

www.contratos.gov.co www.fcm.org.co

Recepción de manifestaciones de interés

Desde el 30 de Diciembre de 2009 a las 8:00 a.m hasta el hasta el 8 de Enero de 2010 a las 5:00 p.m.

Federación Colombiana de Municipios –Dirección Nacional SIMIT – Carrera 7 No. 74-56 Piso 11 Oficina 1102 de Bogotá.

Presentación de observaciones al prepliego de condiciones

Desde el 4 y hasta el 8 de Enero de 2010.

[email protected]

Respuesta a las observaciones presentadas al proyecto de pliego de condiciones

Desde el 4 y hasta el 13 de Enero de 2010


Conformación y publicación de la lista corta.

18 de Enero de 2010


Publicación acto administrativo de apertura del proceso de selección y publicación de pliego de condiciones

18 de Enero de 2010


Invitación a presentar propuestas a los oferentes precalificados

19 de Enero de 2010 a las 8:00 a.m.

Federación Colombiana de Municipios –Dirección Nacional SIMIT – Carrera 7 No. 74-56 Piso 11 Oficina 1102 de Bogotá.

Audiencia de aclaración de pliegos y análisis de los riesgos

21 de Enero de 2010 a las 10:00 a.m

Federación Colombiana de Municipios –Sala de Juntas Carrera 7 No. 74-56 Piso 18 de Bogotá.

Recepción de ofertas consultores precalificados

Desde el 19 de Enero de 2010 a las

Federación Colombiana de Municipios –Dirección Nacional SIMIT – Carrera 7 No. 74-


Pagina 12 de 47

8:00 a.m hasta el 29 de Enero de 2010 a las 5:00 p.m.

56 Piso 11 Oficina 1102 de Bogotá.

Cierre del proceso de contratación

29 de Enero de 2010

Grupo de Seguimiento Jurídico FCM

Evaluación de propuestas

Desde el 1 hasta el 3 de Febrero de 2010

Comité evaluador

Publicación del informe de evaluación a los oferentes

4 de Febrero de 2010


Traslado del informe de evaluación y respuesta a las observaciones

Desde el 4 hasta el 8 de Febrero de 2010


Audiencia de adjudicación

11 de Febrero de 2010 a las 10:00 a.m

Federación Colombiana de Municipios –Sala de Juntas Carrera 7 No. 74-56 Piso 18 de Bogotá.

Perfeccionamiento y legalización del contrato

Dentro de los cinco (5) días hábiles siguientes a la adjudicación

Federación Colombiana de Municipios –Dirección Nacional SIMIT- Grupo Jurídico.

13. Apertura y cierre En el cronograma del presente proceso de selección, contenido en este documento y publicado en el portal único de contratación www.contratos.gov.co y/o en la página de la Federación www.fcm.org.co quedó establecida la duración y fecha de cierre del concurso de méritos. Las propuestas serán entregadas por los oferentes debidamente selladas, cerradas y marcadas, únicamente en los días y hora señaladas en el cronograma, siguiendo las indicaciones contenidas en los pliegos de condiciones.


Pagina 13 de 47

Las horas fijadas en el presente documento, para la celebración de audiencias, cierre del proceso y recepción de propuestas, se sujetarán a la hora legal de la República de Colombia, señalada por la División de Metrología de la Superintendencia de Industria y Comercio. 14. Aclaraciones al pliego de condiciones

Los proponentes deberán expresar sus inquietudes a LA FEDERACIÓN sobre el contenido del pliego de condiciones y los demás documentos que hacen parte del proceso de selección, en la audiencia de aclaraciones de conformidad con lo dispuesto en el cronograma, sin embargo, dentro del plazo establecido para la presentación de propuestas, los proponentes pueden manifestar igualmente sus inquietudes a través del correo electrónico [email protected], con una antelación no inferior a tres (3) días hábiles a la fecha de cierre del concurso de méritos. Los proponentes deberán examinar cuidadosamente los pliegos de condiciones e informarse cabalmente de todas las circunstancias que puedan afectar de alguna manera las actividades y los plazos. La exactitud, confiabilidad e integridad de la información que tenga a bien consultar el proponente, se encuentra bajo su propia responsabilidad, e igualmente la interpretación que haga de la información que obtenga durante el transcurso de cualquier audiencia. La entidad se reserva el derecho de hacer las aclaraciones o modificaciones que considere necesarias, en cuyo caso las comunicará a los proponentes. La consulta y respuesta no producirán por sí mismas efecto suspensivo sobre el plazo para la presentación de las propuestas, ni constituirán modificación de estos pliegos de condiciones, dado que la modificación de los mismos se hará exclusivamente mediante adendas, los cuales formarán parte integral de los pliegos de condiciones. Por razones de seguridad jurídica de los participantes y para la entidad, no se aceptarán las propuestas de quienes hayan adquirido pliegos a través de medios distintos al establecido en este documento. 15. Modificaciones al pliego de condiciones Las modificaciones al pliego de condiciones que se efectúen como consecuencia del estudio y del análisis de las inquietudes y observaciones presentadas por los oferentes, se harán únicamente a través de adendas publicadas en el portal único de contratación www.contratos.gov.co y/o en la página web de la Federación www.fcm.org.co para consulta de los interesados.


Pagina 14 de 47

Todas las adendas publicadas en desarrollo del proceso de selección formarán parte integral del pliego de condiciones, dando por entendido que los interesados en presentar propuestas tienen conocimiento de su existencia. La Federación Colombiana de Municipios –Dirección Nacional SIMIT-, efectuará las aclaraciones o modificaciones que considere necesarias, desde la fecha de apertura hasta el día hábil anterior a la fecha de cierre del proceso. En ningún caso existirán aclaraciones, modificaciones o comunicaciones verbales con los oferentes. 16. Confidencialidad del proceso La información relativa al análisis, aclaración, evaluación y comparación de las propuestas no podrá ser revelada a los oferentes, ni a ninguna persona que no participe en dicho proceso, y todo intento por parte de alguno de los oferentes en intervenir, o influir en la evaluación y adjudicación, dará lugar al rechazo de su propuesta. 17. Audiencia de aclaraciones al pliego de condiciones Con el objeto de precisar el contenido y el alcance de los pliegos de condiciones, y escuchar a los interesados, se celebrará una audiencia de aclaraciones el día y hora mencionados en el cronograma contenido en este documento. Dicha audiencia se celebrará en la Sala de Juntas de la Federación Colombiana de Municipios y de lo debatido en ella se levantará un acta que deberá ser suscrita por los intervinientes, dejando constancia de las solicitudes y de las aclaraciones que allí se formulen. En esta audiencia la Federación Colombiana de Municipios –Dirección Nacional SIMIT- dará respuesta a las inquietudes y observaciones planteadas que sean susceptibles de aclarar en el acto, y que no impliquen modificación del pliego de condiciones. La Federación Colombiana de Municipios –Dirección Nacional SIMIT-, evaluará y dará respuesta a las inquietudes y a las observaciones elevadas, que impliquen una modificación a los pliegos de condiciones, lo cual se hará mediante adenda que será publicada en el portal único de contratación www.contratos.gov.co y/o en la página web de la Federación www.fcm.org.co, y si fuera necesario se prorrogará el plazo del concurso de méritos.


Pagina 15 de 47

18. Convocatoria pública para la presentación de expresiones de interés Por tratarse de un concurso de méritos con precalificación, y en virtud de lo dispuesto en el artículo 1 del Decreto 3806 de 2009 y el artículo 12 de la Ley 1150 de 2007, la convocatoria para el proceso de selección por concurso de méritos, se limitará exclusivamente a Mipymes, y consorcios y/o uniones temporales conformadas por Mipymes, toda vez que la cuantía del presupuesto oficial estimado es inferior a 750 salarios mínimos legales mensuales vigentes, siempre y cuando se manifieste el interés de por lo menos tres (3) de cualquiera de ellos en participar en la convocatoria limitada, mediante la presentación de una solicitud en tal sentido con el fin de lograr la limitación de la convocatoria. Las manifestaciones de interés se presentarán dentro del término previsto en el cronograma aportando documento escrito junto con los requisitos mínimos para ser habilitados, exigidos en el presente concurso de méritos. Lo anterior de conformidad con lo señalado en los artículos 63 y 66 del Decreto 2474 de 2008. La modalidad en que el interesado presente su oferta para conformar la lista corta, deberá ser la misma en la que participe dentro del presente concurso; por tanto la lista corta de precalificación incluirá el nombre del consultor (Mipyme) separadamente o en cualquiera de las modalidades de consorcio o unión temporal conformadas por Mipymes. 19. Precalificación con lista corta Una vez el comité de LA FEDERACIÓN verifique los documentos mínimos y los criterios establecidos en la convocatoria, conformará la lista corta que participará en el proceso de selección, dentro del término establecido en el cronograma. La lista corta que elabore el comité de evaluación no incluirá más de seis (6) proponentes precalificados, de conformidad con el artículo 64 del Decreto 2474 de 2008. 20. Presentación de propuestas Conformada la lista corta, la entidad invitará dentro del término señalado en el cronograma, a los seleccionados a presentar la propuesta en el presente proceso de selección. Las ofertas podrán ser entregadas únicamente dentro del plazo y horarios fijados en el cronograma.


Pagina 16 de 47

El proponente entregará su oferta, previa inscripción en la planilla que se disponga para tal fin, donde se registrará el nombre de la propuesta, la hora y fecha de recepción. El plazo de entrega de las propuestas no será prorrogable. No se recibirán propuestas después de la fecha y hora establecidas en el cronograma para tal efecto. El número que identificará la propuesta corresponderá al número del orden de presentación de la misma. No se aceptarán propuestas complementarias o modificaciones que fueren presentadas con posterioridad a la fecha y hora de cierre del concurso de méritos, ni tampoco se aceptarán propuestas enviadas por correo electrónico o fax. La planilla de recibo de las propuestas deberá contener como mínimo lo siguiente:

a. Número del proceso de selección. b. Número de radicación, fecha y hora de recibo de la oferta. c. Nombre del oferente. d. Valor total de propuesta. e. Número de folios que la contienen. f. Número de la garantía de seriedad de la oferta y vigencia. g. Observaciones.

De conformidad con lo dispuesto en el parágrafo 1°, del artículo 5 de la Ley 1150 de 2007, la ausencia de requisitos o la falta de documentos referentes a la futura contratación o al proponente, no necesarios para la comparación de las propuestas no serán causales para el rechazo de los ofrecimientos hechos. En consecuencia dichos documentos o requisitos podrán ser solicitados por la Federación Colombiana de Municipios –Dirección Nacional SIMIT-, otorgando al oferente un término perentorio para su cumplimiento, el cual no podrá exceder del día hábil anterior a la fecha fijada para la audiencia de adjudicación. No obstante lo anterior, la Federación Colombiana de Municipios podrá rechazar la propuesta cuando el oferente no envíe los documentos dentro del término señalado en el requerimiento, o lo haga en forma tal que desatienda el aspecto sustancial de lo solicitado, persistiendo en el incumplimiento de lo previsto en los pliegos de Condiciones.

21. Justificación de los factores de selección y factores de evaluación


Pagina 17 de 47

De conformidad con lo dispuesto en el numeral 2 del artículo 12 del Decreto 2474 de 2008, el ofrecimiento más favorable para la entidad, será aquel que presente la mejor calidad, de acuerdo a los criterios de evaluación que se señalan a continuación, con total independencia del precio que no será factor de calificación o evaluación.

• La experiencia específica del proponente en proyectos relacionados con el modelo de seguridad de la información y su desempeño en la ejecución de los mismos tendrá un puntaje del treinta por ciento (30%).

• La evaluación de la propuesta metodológica y el plan con cargas de trabajo para la ejecución de la consultoría tendrá un puntaje del diez (10%).

• La evaluación de la formación y experiencia de los profesionales y expertos del equipo de trabajo del proponente tendrá un puntaje del sesenta por ciento (60%).

De conformidad con lo dispuesto en el parágrafo 2 del artículo 68 del Decreto 2474 de 2008, el puntaje mínimo para considerar una oferta elegible es del 70%, y las condiciones máximas a acreditar en desarrollo de lo previsto en los numerales 1 y 3 del citado artículo, será de 20 años de experiencia tanto para el proponente como para su equipo de trabajo, es decir que si algún proponente llegare a superar esta condición su oferta no será tenida en cuenta. 21.1 Experiencia específica y desempeño del oferente: 30% Para evaluar la experiencia específica del proponente y su desempeño en la ejecución de contratos cuyo objeto se relacione con actividades propias del modelo de sistemas de gestión de seguridad de la información, deberá presentar: 21.1.1 Desempeño: Cuatro (4) certificaciones de contratos ya ejecutados, expedidas por el funcionario competente de las empresas o entidades a quienes haya prestado sus servicios durante los últimos tres (3) años, anteriores a la fecha de cierre del concurso de méritos, cuyo objeto se encuentre relacionado con cualquiera de las siguientes actividades:

• Soluciones completas de seguridad informática en ISO 27001/27002

• Políticas, normas y procedimientos de seguridad informática.

• Seguridad de la información y manejo de riesgos.


Pagina 18 de 47

• Arquitectura y diseño de seguridad en la red, control de acceso,

• Hackeo ético, negación del servicio, troyanos, puertas traseras y Pruebas de penetración.

• Vulnerabilidades de aplicaciones Web.

• Ingeniería social, Hijacking de sesión.

• Hackeo de servidores Web.

• Vulnerabilidades de aplicaciones Web

• Técnicas basadas en la Web de crackeo de claves

• Planeación y recuperación de desastres.

• Seguridad de las redes y telecomunicaciones.

• Análisis de requerimientos, estándares de seguridad, patrones, criterios.

• Auditoría en sistemas de información, protección de los activos de información, administración del ciclo de vida de infraestructura y sistemas.

Los puntajes asignados para cada una de las certificaciones aportadas por el oferente serán los siguientes, siendo el puntaje máximo a otorgar: 20 puntos.

Calidad del servicio en virtud de las certificaciones contractuales Excelente 5 puntos Bueno 3 puntos Regular 2 puntos Deficiente 0 puntos

21.1.2 Experiencia específica Certificaciones de contratos ya ejecutados, expedidas por el funcionario competente de las empresas o entidades a quienes haya prestado sus servicios y cuyo objeto se encuentre relacionado con cualquiera de las siguientes actividades:

• Soluciones completas de seguridad informática en ISO 27001/27002

• Políticas, normas y procedimientos de seguridad informática.

• Seguridad de la información y manejo de riesgos.

• Arquitectura y diseño de seguridad en la red, control de acceso,

• Hackeo ético, negación del servicio, troyanos, puertas traseras y Pruebas de penetración.

• Vulnerabilidades de aplicaciones Web.


Pagina 19 de 47

• Ingeniería social, Hijacking de sesión.

• Hackeo de servidores Web.

• Vulnerabilidades de aplicaciones Web

• Técnicas basadas en la Web de crackeo de claves

• Planeación y recuperación de desastres.

• Seguridad de las redes y telecomunicaciones.

• Análisis de requerimientos, estándares de seguridad, patrones, criterios.

• Auditoría en sistemas de información, protección de los activos de información, administración del ciclo de vida de infraestructura y sistemas.

Los puntajes asignados para la experiencia específica del oferente serán los siguientes, siendo el puntaje máximo a otorgar por cada certificación de 10 puntos.

Experiencia en el mercado especializado en seguridad informática Dos (2) años 3 puntos Entre tres (3) y cinco (5) años 5 puntos Más de cinco (5) años 10 puntos

Las certificaciones aportadas deberán corresponder a periodos de tiempo diferentes, en caso contrario se tendrá en cuenta aquella que corresponda al mayor periodo.

21.2 Evaluación de la propuesta metodológica y plan con cargas de trabajo: 10%

Evaluación de la propuesta metodológica y el plan de cargas Excelente 10 puntos Buena 5 puntos Regular 3 puntos Deficiente 0 puntos

21.3 Evaluación de la formación y experiencia de los profesionales y expertos del equipo de trabajo del proponente: 60%.

La evaluación de la formación y experiencia de los profesionales y expertos del equipo de trabajo del proponente tendrá un puntaje máximo del 60%, la cual deberá ser acreditada de la siguiente forma:


Pagina 20 de 47

21.3.1. Gerente de Proyectos (Máximo – 20 puntos): Para evaluar la formación del Gerente de Proyecto requerido para la ejecución del objeto del contrato, deberá presentar alguna de las siguientes certificaciones, cuya sumatoria otorgará un puntaje total de 10 puntos así:

Formación del Gerente de Proyecto ISO 27000 (Estándares Internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI).

1 punto

CISM (Certified Information Security Manager).

2 puntos

CISA (Certified Information System Auditor).

1 punto

SSCP (Profesional Certificado en Seguridad de Sistemas)

2 puntos

COBIT (Control Objectives for Information Systems and related Technology)

2 puntos

ITIL Foundation

2 puntos

Para evaluar la experiencia del Gerente de Proyecto deberá presentar certificaciones de contratos ya ejecutados, expedidas por el funcionario competente de las empresas o entidades a quienes haya prestado sus servicios, y cuyo objeto se encuentre relacionado con actividades propias del modelo de sistemas de gestión de seguridad de la información, obteniendo un puntaje máximo de diez (10) puntos así:

Experiencia Gerente de Proyecto Entre dos (2) años y cuatro (4) años 3 puntos Entre cinco (5) y siete (7) años 5 puntos Más de siete (7) años 10 puntos


Pagina 21 de 47

21.3.2 Líder Operativo Gestión de Seguridad (Máximo – 10 puntos):

Para evaluar la formación del Líder Operativo en Gestión de Seguridad, deberá presentar alguna de las siguientes certificaciones, cuya sumatoria otorgará un puntaje total de 4 puntos así:

Formación del Líder Operativo de Gestión de Seguridad CISM (Certified Information Security Manager).

1 punto

CISSP (Certified Information Systems Security Professional)

1 punto

Certificación Auditor Líder ISO 27001.

1 punto

OCP (Oracle Certified Professional

1 punto

Para evaluar la experiencia del Líder Operativo de Gestión de Seguridad deberá presentar certificaciones de contratos ya ejecutados, expedidas por el funcionario competente de las empresas o entidades a quienes haya prestado sus servicios, y cuyo objeto se encuentre relacionado con actividades propias del modelo de sistemas de gestión de seguridad de la información, obteniendo un puntaje máximo de seis (6) puntos así:

Experiencia Líder Operativo de Gestión de Seguridad Entre dos (2) años y tres (3) años 3 puntos Más de tres (3) años 6 puntos 21.3.3 Experto en Seguridad de Información (Máximo – 10 puntos):

Para evaluar la formación del experto en seguridad de información, deberá presentar alguna de las siguientes certificaciones, cuya sumatoria otorgará un puntaje total de 4 puntos así:

Formación del Experto en Seguridad de Información


Pagina 22 de 47

GIAC (Certificación Global del Aseguramiento de la Información)

1 punto

SSCP (Systems Security Certified Professional)

1 punto

OCA (Oracle Certification Administration)

1 punto

CCIE (Certification Internetwork Expert)

1 punto

Para evaluar la experiencia del Experto en Seguridad de Información deberá presentar certificaciones de contratos ya ejecutados, expedidas por el funcionario competente de las empresas o entidades a quienes haya prestado sus servicios, y cuyo objeto se encuentre relacionado con actividades propias del modelo de sistemas de gestión de seguridad de la información, obteniendo un puntaje máximo de seis (6) puntos así:

Experiencia Experto en Seguridad de Información Entre dos (2) años y cuatro (4) años 3 puntos Más de cuatro (4) años 6 puntos 21.3.4 Consultor en Pruebas de Vulnerabilidad (Máximo - 10 puntos):

Para evaluar la formación del Consultor en Pruebas de Vulnerabilidad, deberá presentar alguna de las siguientes certificaciones, cuya sumatoria otorgará un puntaje total de 4 puntos así:

Formación del Consultor en Pruebas de Vulnerabilidad CCNA (Cisco Certified Network Associate)

2 puntos

CCNP (Cisco Certified Network Professional)

1 punto


1 punto

Para evaluar la experiencia del Consultor en pruebas de vulnerabilidad deberá presentar certificaciones de contratos ya ejecutados, expedidas por el funcionario competente de las empresas o entidades a quienes haya prestado sus servicios, y cuyo objeto se


Pagina 23 de 47

encuentre relacionado con actividades propias del modelo de sistemas de gestión de seguridad de la información, obteniendo un puntaje máximo de seis (6) puntos así:

Experiencia Consultor en Pruebas de Vulnerabilidad

Entre dos (2) años y cuatro (4) años 3 puntos Más de cuatro (4) años 6 puntos 21.3.5 Experto en Auditoría de Sistemas de Información (Máximo - 10 puntos):

Para evaluar la formación del experto en auditoría de sistemas de información, deberá presentar alguna de las siguientes certificaciones, que podrán ser expedidas por la autoridad competente o por la entidad educativa en donde se haya capacitado, cuya sumatoria otorgará un puntaje total de 4 puntos así:

Formación del experto en Auditoría de Sistemas de Información

ISO 27000 (Estándares Internacionales para Sistemas de Gestión de la Seguridad de la Información (SGSI).

1 punto

CISA (Certified Information Security)

1 punto


1 punto

CCIE (Certification Internetwork Expert)

1 punto

Para evaluar la experiencia del experto en auditoría de sistemas de información deberá presentar certificaciones de contratos ya ejecutados, expedidas por el funcionario competente de las empresas o entidades a quienes haya prestado sus servicios, y cuyo objeto se encuentre relacionado con actividades propias del modelo de sistemas de gestión de seguridad de la información, obteniendo un puntaje máximo de seis (6) puntos así:


Pagina 24 de 47

Experiencia del experto en Auditoría de Sistemas de Información

Entre dos (2) años y cuatro (4) años 3 puntos Más de cuatro (4) años 6 puntos

Nota: Las credenciales de certificación deben estar vigentes, y las certificaciones de experiencia aportadas deberán corresponder a periodos de tiempo diferentes, en caso contrario se tendrá en cuenta aquella que corresponda al mayor periodo.

Nota: No se aplicará equivalencias para poder certificar la experiencia del oferente y de las personas que hacen parte del grupo de trabajo Nota: La experiencia se contará a partir de la fecha de expedición de la tarjeta profesional. 22. Evaluación de propuestas De conformidad con lo señalado en el artículo 69 del Decreto 2474 de 2008, el comité evaluador valorará el mérito de cada una de las propuestas en función de los criterios señalados en el numeral anterior, y entregará un informe motivado suscrito por cada uno de los miembros designados, el cual contendrá el análisis efectuado y el puntaje final de las propuestas. La mejor propuesta será la que obtenga el puntaje más alto Una vez vencido el término de evaluación de las propuestas, LA FEDERACIÓN publicará en el portal único de contratación www.contratos.gov.co y/o en la página de la entidad www.fcm.org.co el informe de evaluación, sin que exista necesidad de remitir comunicaciones a los proponentes informando tal circunstancia. Los proponentes podrán presentar las observaciones que estimen pertinentes con relación a este informe de evaluación dentro del término fijado en el cronograma para tal efecto, por correo electrónico [email protected]. 23. Adjudicación del concurso La adjudicación se realizará en audiencia pública, en la fecha señalada en el cronograma del presente pliego de condiciones, mediante resolución motivada, la cual se notificará al proponente favorecido en la misma audiencia o con posterioridad a ella.


Pagina 25 de 47

24. Propuesta técnica detallada De acuerdo con el artículo 55 del Decreto 2474 de 2008, para el presente concurso de méritos se exigirá una propuesta técnica detallada, la cual será presentada en dos (2) sobres sellados, uno de ellos contendrá la propuesta económica y el otro la propuesta técnica y la demás documentación exigida. La propuesta económica deberá contener como mínimo los siguientes ítemes:

� La remuneración del personal del consultor, (salarios, cargas por concepto de seguridad social, viáticos, etc.).

� Gastos generados por la adquisición de herramientas o insumos necesarios para la realización de la labor.

� Gastos de administración. � Utilidades del consultor. � Gastos contingentes.

Los precios deberán ser desglosados por actividad y de ser necesario, por gastos en moneda nacional y extranjera. Las actividades y productos descritos en la propuesta técnica pero no costeadas en la propuesta económica, se considerarán incluidas en los precios de las actividades o productos costeados.

25. Criterios de desempate

En caso de presentarse un empate en la calificación entre dos (2) o más oferentes, la Federación Colombiana de Municipios – Dirección Nacional SIMIT –, preferirá al que tenga mayor puntaje en la experiencia de los profesionales que hacen parte de su equipo, en caso de persistir el empate se preferirá al que tenga mayor puntaje en la formación de los profesionales que hacen parte de su equipo de trabajo. Si llegare a persistir el empate se acudirá a un sorteo.

26. El soporte que permita la tipificación, estimación, y asignación de los riesgos previsibles que puedan afectar el equilibrio económico del contrato.

La tipificación, estimación y distribución de los riesgos previsibles del contrato objeto del presente proceso de selección, se sujetarán a los criterios definidos en este numeral, sin


Pagina 26 de 47

perjuicio del alcance de las obligaciones a cargo de cada una de las partes, de acuerdo con las estipulaciones legales pertinentes, la naturaleza del contrato y el contenido de los pliegos de condiciones, considerando que está a cargo del contratista la ejecución total del contrato y a cargo de la entidad el pago del valor pactado. Para determinar los riesgos que puedan afectar la ejecución del contrato, la Federación Colombiana de Municipios –Dirección Nacional SIMIT-, y el proponente entienden como riesgo:

- Riesgo previsible: Son los posibles hechos o circunstancias que por la naturaleza del contrato y de la actividad a ejecutar, es factible que sucedan.

Su concreción comporta:

- Un daño patrimonial para una o ambas partes de la relación contractual. - La ocurrencia de un evento anterior, concomitante o posterior a la celebración

de contrato. En caso de ser anterior o concomitante, ninguna de las partes debe conocerlo y no puede predicarle la obligación de conocimiento a ninguna de ellas, por razones tales, como su experticia técnica o profesional, su experiencia corporativa o personal, o sus indagaciones previas particulares.

- Su concreción o conocimiento, debe presentarse durante la ejecución de la relación contractual, o luego de su terminación, siempre que para este último caso, se encuentren pendientes de cumplimiento algunas de las obligaciones que de ella emanaron.

- De concretarse no puede ser imputable a ninguna de las partes. La indemnización de las consecuencias negativas de eventos imputables al contratista, debe estar garantizada mediante los mecanismos de cobertura del riesgo de que trata el artículo 7 de la Ley 1150 de 2007.

- El daño que resulte de la concreción del riesgo, deberá ser asumido por la parte a la que le fue asignada, de tal manera que si afecta directamente su patrimonio, deberá soportarlo íntegramente, y si por el contrario, afecta el patrimonio de la otra parte, deberá restituir la condición patrimonial perdida, hasta el monto probado del daño emergente.

- Riesgo imprevisible: Son aquellos hechos o circunstancias donde no es

factible su previsión, es decir, el acontecimiento de su ocurrencia, tales como desastres naturales, actos terroristas, guerras, o eventos que alteren el orden público.


Pagina 27 de 47

- Tipificación del riesgo: Es la enunciación que se hace de aquellos hechos previsibles constitutivos de riesgo, que en criterio de la Federación Colombiana de Municipios –Dirección Nacional SIMIT- pueden presentarse durante y con ocasión de la ejecución del contrato.

- Asignación del riesgo: Es el señalamiento que hace la Federación Colombiana

de Municipios –Dirección Nacional SIMIT-, de la parte contractual que deberá soportar total o parcialmente la ocurrencia de la circunstancia tipificada, asumiendo su costo.

26.1 Riesgos previsibles

Para los efectos del presente proceso de selección, se consideran como riesgos previsibles: - Seriedad del ofrecimiento. - Calidad del servicio prestado. - Pago de salarios y prestaciones sociales al personal empleado por el contratista. - Cumplimiento del contrato. - Responsabilidad extracontractual. - Idoneidad del personal que acompañará al contratista en el cumplimiento del

objeto del contrato.

26.2 Riesgos imprevisibles Se consideran riesgos no previsibles, por la incertidumbre de su ocurrencia, los de fuerza mayor y caso fortuito, hechos de terceros, tales como desastres naturales, actos terroristas, guerras, asonadas, o eventos que alteren el orden público. 26.3 Tipificación de los riesgos

RIESGO TIPIFICACIÓN

Seriedad del ofrecimiento

Son los efectos derivados de la falta de veracidad en los ofrecimientos efectuados por el proponente.

Calidad del servicio prestado.

Son los efectos derivados del incumplimiento del conjunto de características del servicio a contratar, que derivan en la


Pagina 28 de 47

insatisfacción de las necesidades y expectativas de la entidad.

Pago de salarios y prestaciones sociales al personal empleado por el contratista.

Son los efectos derivados del incumplimiento por parte del contratista, en el pago de los salarios y prestaciones sociales, al personal empleado en la ejecución del objeto del contrato.

Cumplimiento del término para la entrega del resultado del estudio contratado.

Son los efectos derivados del incumplimiento en el término pactado de los entregables del proyecto de acuerdo a las fases definidas.

Responsabilidad extracontractual

Son los efectos derivados de los perjuicios que se pudieran causar a la entidad contratante, como consecuencia de los hechos u omisiones de sus contratistas o subcontratistas.

Idoneidad del personal que acompañará al contratista en el cumplimiento del objeto del contrato.

Son los efectos derivados del incumplimiento de los requisitos mínimos exigidos para el personal que utilizará el contratista en el cumplimiento del objeto del contrato.

Hurto y vandalismo.

Se refiere a los efectos desfavorables, o cualquier daño, perjuicio, o pérdida de los bienes a cargo del contratista, causados por terceros diferentes a la Federación.

26.4 Asignación de los riesgos Los riesgos tipificados en el presente documento, deberán ser asumidos en un 100% por el contratista.


Pagina 29 de 47

26.5 Exigencia de Garantías.

Dentro de los cinco (5) días calendario siguientes a la fecha de la firma del contrato, EL CONTRATISTA deberá constituir por su cuenta y a nombre de la FEDERACIÓN COLOMBIANA DE MUNICIPIOS, de acuerdo con el artículo 7 de la Ley 80 de 1993, Decretos 679 de 1994, 4828 de 2008, 2493 de 2009 y demás disposiciones concordantes, garantía única que avalará el cumplimiento de las obligaciones surgidas del contrato, expedida por una compañía de seguros, legalmente establecida en Colombia, que ampare los siguientes riesgos:

� Seriedad del ofrecimiento: Equivalente al 10% del presupuesto oficial estimado en el pliego de condiciones, y su vigencia se extenderá desde el momento de presentación de la oferta y hasta la aprobación de la garantía que ampara los riesgos propios de la etapa contractual.

� Calidad del servicio: Equivalente al diez (10%) del valor del contrato, por un

término igual al plazo del mismo y un (1) año más.

� Salarios y prestaciones sociales: Equivalente al cinco (5%) del valor del contrato, por un término igual al plazo del mismo y tres (3) años más.

� Cumplimiento del contrato: Equivalente al diez por ciento (10%) del valor total

del contrato, por un término igual al plazo del mismo y cuatro (4) meses más.

� Responsabilidad extracontractual: Equivalente a doscientos salarios mínimos legales mensuales vigentes (200 SMLMV), por un término igual al plazo del mismo y un (1) años más.

27. Obligaciones del contratista En virtud del contrato que se celebre dentro del presente proceso de selección EL OFERENTE adquirirá para con LA FEDERACION incluyendo la función pública asignada por expresa disposición legal las siguientes obligaciones: 1). Realizar la identificación de los activos de información pertenecientes a la FEDERACIÓN teniendo en cuenta la infraestructura tecnológica, las personas, los procesos y ambientes. 2). Entregar a LA FEDERACIÓN un documento de los riesgos identificados, con la información básica de los activos, el cual incluya las amenazas, vulnerabilidades e impactos de la pérdida de confidencialidad, integridad y disponibilidad sobre los activos


Pagina 30 de 47

de información. 3). Entregar un documento que permita evidenciar la identificación, análisis, valoración, tratamiento, monitoreo y comunicación del riesgo, impacto, probabilidad de que ocurra y la estimación de niveles de riesgos 4). Utilizar en el proceso de auditoría una herramienta que genere diversos tipos de informes integrados y con las acciones a ser realizadas de acuerdo con los niveles de riesgo. 5). Entregar un documento con inventario de activos, matriz de riesgos y plan de tratamiento de riesgos. 6). Realizar la evaluación de la seguridad de la plataforma de LA FEDERACIÓN incluida la función pública del Sistema Integrado de Información sobre Multas y Sanciones por Infracciones de Tránsito –SIMIT-, a través de pruebas de vulnerabilidad y penetración interna y externa de manera controlada, las cuales serán de carácter no intrusivo, a todos los componentes de la infraestructura tecnológica que lo requieran. 7). Realizar un análisis local a nivel de usuario sin privilegios y un análisis desde Internet a los elementos expuestos de datos y comunicaciones. 8). Entregar un documento que registre los siguientes aspectos: La identificación de las vulnerabilidades detectadas de acuerdo a la fase de evaluación desarrollada, evidencias de la información a la que se tuvo acceso dentro del dispositivo y las acciones que se pudieron realizar; una descripción técnica, el nivel de riesgo, y solución técnica y referencias adicionales donde se pueda encontrar mayor información; recomendaciones consideradas como apropiadas para el mejoramiento de la seguridad de las plataformas analizadas, que sean de naturaleza realista y ejecutable por parte de la Federación. 9). Garantizar que las actividades a realizar en virtud del objeto del contrato no afectarán la disponibilidad, confidencialidad e integridad de los servicios de LA FEDERACIÓN, cuando se requieran pruebas de tipo denegación de servicios que puedan afectar la disponibilidad del servicio, para lo cual LA FEDERACIÓN indicará las ventanas de tiempos en las cuales se ejecutarán los procesos. 10). Entregar un documento que tenga los hallazgos y resultados de las pruebas de vulnerabilidad bajo el escenario interno y externo y las recomendaciones para mejorar la plataforma analizada según el alcance del objeto. 11). Realizar un análisis de conformidad o cumplimiento de la norma ISO 27002, a partir de los resultados del análisis y valoración de riesgos y las pruebas de vulnerabilidad y penetración 12). Seleccionar los objetivos de control que ayudarán a manejar los riesgos previamente identificados, para lo cual deberá entregar un documento que indique el grado de cumplimiento al inicio del proyecto respecto de la norma ISO 27002 donde se observe la no conformidad recorriendo punto a punto las áreas de la norma y los controles elegidos como pertinentes; 13). Entregar un documento que muestre el grado de cumplimiento actual de los controles aplicados en la entidad con respecto a los requeridos por la norma ISO 27001 los cuales permitirán realizar seguimiento al avance durante el desarrollo del proyecto e inclusive en un proceso posterior cuando sea implementado el Sistema de Gestión en Seguridad de la Información (SGSI). 14). Realizar el diagnóstico de Gap´s. 15). Entregar documento que evidencie la selección de los controles de la norma ISO 27002 como anexo A de la norma ISO 27001,


Pagina 31 de 47

documento de diagnóstico de ISO 27002, documento del diagnóstico de ISO 27001 y documento de diagnostico de cumplimiento o Gap`s análisis de ISO 17799 con análisis como justificación. 16). Realizar el análisis de la infraestructura del aplicativo SIMIT, contemplando los siguientes aspectos: a). Desarrollo de scripts para la captura de estadísticas de desempeño de la BD y servidor de aplicaciones. b). Instalación de los scripts para la captura de estadísticas de desempeño de la BD y servidor de aplicaciones. c). Diagnóstico de la condición actual de la plataforma de base de datos y servidor de aplicaciones (TOMCAT) de SIMIT en un (1) ambiente (Producción ó Pruebas). d). Sustentación y alistamiento pre-producción. e). Medición de tiempos de respuesta de la solución informática Simit. f). Análisis del aplicativo SIMIT (Java/PLSQL). g). Recomendaciones para el mejoramiento del servicio prestado por el SIMIT. h). Las obligaciones de los numerales a, b, c, d, e, f y g de la presente cláusula, deberán estar soportados cada uno, con los respectivos documentos entregables. 17). El contratista deberá presentar a todos los funcionarios de la FEDERACIÓN, los conceptos involucrados en seguridad de la información, para generar cultura en el tema y mejorar así el nivel de seguridad de la información en todas las áreas de la Organización 18). Cumplir con las disposiciones legales sobre contratación de personal colombiano y extranjero y las reglamentarias de las diferentes profesiones. Se obliga igualmente al cumplimiento de todas las leyes laborales vigentes y al pago de todos los salarios y prestaciones sociales que ellas establezcan. 19). Obrar con lealtad y buena fe en las distintas etapas contractuales. 20). Mantener durante la ejecución del contrato el personal profesional y técnico propuesto en su oferta, pudiendo sustituir únicamente a un miembro del equipo, previa autorización de LA FEDERACIÓN, siempre y cuando éste cuente con calidades iguales o superiores a las presentadas en la oferta respecto del miembro del equipo a quien reemplaza. 21). Solventar a su costa las reclamaciones que resulten por daños o perjuicios a propiedades o terceras personas, derivadas de la ejecución del contrato, por acciones u omisiones imputables al contratista, sus dependientes, subordinados o subcontratistas. 22). No ceder ni subcontratar el presente contrato, sin la autorización expresa y escrita de LA FEDERACIÓN. 23). Cumplir con el objeto del presente contrato. 24). Acreditar mediante certificación expedida por el Revisor Fiscal o el Representante Legal, el pago de los aportes al Sistema de Seguridad Social Integral (Salud, Pensión y Riesgos Profesionales) y los parafiscales (Caja de Compensación Familiar, SENA e Instituto Colombiano de Bienestar Familiar), de sus empleados, de conformidad con las disposiciones legales vigentes. 25). Pagar la totalidad del impuesto de timbre, si hubiere lugar a ello. 26). Las demás que se deriven de la naturaleza del presente contrato. 27). Efectuar el pago de los derechos de publicación del contrato, y entregar el original del recibo de pago al supervisor designado en el contrato. 28. Obligaciones de la Federación


Pagina 32 de 47

1). Pagar al CONTRATISTA el valor convenido en la fecha y forma establecidas. 2). Entregar oportunamente AL CONTRATISTA la información y los elementos necesarios para el eficiente y eficaz cumplimiento del objeto contractual. 3). Ejecutar en general las obligaciones que surjan de la naturaleza de este contrato. 4). Velar a través del supervisor designado, por el cumplimiento de todas las cláusulas contractuales. 5). Adelantar las gestiones necesarias para el reconocimiento y pago de las sanciones pecuniarias y garantías a que hubiere lugar. 6). Exigir al contratista la ejecución idónea y oportuna del objeto del contrato acorde a lo señalado en el contrato y en la oferta presentada. 29. Requisitos mínimos para participar Los requisitos mínimos habilitantes están consignados en el aviso de convocatoria. 30. Supervisión La vigilancia y supervisión del contrato será realizada de manera conjunta por la Coordinación de Sistemas de Información SIMIT, y el Administrador de Red y Sistemas de la Federación Colombiana de Municipios, quienes ejercerán el control y vigilancia de la ejecución del contrato, y tendrán a su cargo, entre otras funciones velar por el cumplimiento del objeto y de las obligaciones del contrato. Igualmente serán responsables de aceptar los servicios y autorizar los pagos, y responderán por los hechos y omisiones que les fueren imputables en los términos previstos en el Artículo 53 del Estatuto de Contratación Administrativa y de las demás normas legales y reglamentarias que regulan el ejercicio de la interventoría de los contratos que se deriven de este proceso.

ANEXO TÉCNICO 16.9 DESCRIPCION DE LA NECESIDAD

17.0 DOCUMENTACIÓN TÉCNICA Y REQUERIMIENTOS. La FEDERACION COLOMBIANA DE MUNICIPIOS requiere iniciar un proceso de consultoría con el objetivo de prepararse en la seguridad de su información y avanzar así de forma estructurada en la implantación de un sistema de gestión de seguridad de la información y alcanzando a largo plazo los siguientes niveles de madurez:


Pagina 33 de 47

Con base en lo anterior, la FEDERACIÓN COLOMBIANA DE MUNICICPIOS requiere una consultoría en seguridad de la información que abarque análisis de riesgos, pruebas de vulnerabilidad, GAP análisis, capacitación y sensibilización en seguridad de la información en la organización.


Pagina 34 de 47

17.1 ETAPA 1

ANÁLISIS DE LA INFRAESTRUCTURA DEL APLICATIVO SIMIT El servicio que requiere la FEDERACIÓN COLOMBIANA DE MUNICIPIOS – Dirección Nacional SIMIT, consiste en una consultoría que contemple las siguientes fases: FASE 1: Desarrollo de Scripts para la captura de estadísticas de desempeño de la BD y Servidor de Aplicaciones Entregable que LA FEDERACIÓN COLOMBIANA DE MUNICIPIOS requiere en esta etapa:

� Documento Impreso de Scripts STATSPACK para (1) una instancia de BD SIMIT y (1) una instancia de servidor de aplicaciones

FASE 2: Instalación de los Scripts para la captura de estadísticas de desempeño de la BD y servidor de aplicaciones Entregable que LA FEDERACIÓN COLOMBIANA DE MUNICIPIOS requiere en esta etapa:

� Acta de instalación de Scripts en (1) una instancia de Base de Datos y (1) una instancia de servidor de aplicaciones

FASE 3: Diagnóstico de la condición actual de la plataforma de base de datos y servidor de aplicaciones (TOMCAT) de SIMIT en un (1) ambiente (Producción ó Pruebas). Entregable que LA FEDERACIÓN COLOMBIANA DE MUNICIPIOS requiere en esta etapa:

� Informe de recomendaciones para el mejoramiento del desempeño de la base de datos y el servidor de aplicaciones

FASE 4: Sustentación y alistamiento pre-producción Entregable que La FEDERACIÓN COLOMBIANA DE MUNICIPIOS requiere en esta etapa:


Pagina 35 de 47

� Realizar una presentación para sustentar a LA FEDERACIÓN y representantes del centro de datos en TELMEX las mejoras y recomendaciones del informe resultante de la FASE 3

FASE 5: Soporte puesta en producción. Dar soporte presencial ó remoto a representantes del centro de datos TELMEX y representantes de LA FEDERACIÓN para implantar las recomendaciones de afinamiento de base de datos y servidor de aplicaciones SIMIT. Entregable que LA FEDERACIÓN requiere en esta etapa:

� Acta de Puesta en Producción FASE 6: Medición de tiempos de respuesta Post-Afinamiento Entregable que LA FEDERACIÓN requiere en esta etapa:

� Documento de resultados de pruebas FASE 7: Análisis de aplicativo SIMIT (Java/PLSQL) Entregable que LA FEDERACIÓN requiere en esta etapa:

� Documento de Diagnóstico y sugerencias de mejoras del aplicativo SIMIT

17.2 ENTREGABLES ETAPA I

Los entregables que LA FEDERACIÓN requiere en esta etapa se detallan a continuación:

� Documento impreso de Scripts STATSPACK para (1) una instancia de BD SIMIT y (1) una instancia de servidor de aplicaciones.

� Acta de Instalación de Scripts en (1) una instancia de Base de Datos y (1) una

instancia de Servidor de Aplicaciones

� Diagnóstico de la condición actual de la plataforma de base de datos y servidor de aplicaciones (TOMCAT) de SIMIT en un (1) ambiente (Producción ó Pruebas).


Pagina 36 de 47

� Realizar una presentación para sustentar a LA FEDERACIÓN y representantes

del centro de datos las mejoras y recomendaciones del informe resultante de la FASE 3

� Acta de puesta en producción

� Documento de resultados de pruebas

� Documento de diagnóstico y sugerencias de mejoras del aplicativo SIMIT

� Acompañamiento de la consultoría al equipo FCM

17.3 ETAPA 2

IDENTIFICACIÓN DE ACTIVOS Y ANÁLISIS DE RIESGOS LA FEDERACIÓN requiere que la empresa de consultoría utilice herramientas especializadas para el análisis de riesgo de los activos de información de la entidad cuyo producto final serán informes ejecutivos, operacionales, Security Governance y ScordCard entre otros. LA FEDERACIÓN y la empresa de consultoría definirán el alcance de este proyecto, para ello debe realizar un inventario total del mismo automatizándolo en la herramienta que se seleccione. Se requiere que este inventario incluya: � Ambiente � Procesos � Personas � Infraestructura de TI Con base a la definición del alcance se realizará el levantamiento de información necesario referente a los procesos considerados: IDENTIFICACION DE ACTIVOS DE INFORMACION


Pagina 37 de 47

La FEDERACIÓN COLOMBIANA DE MUNICIPIOS requiere la identificación de los activos de información pertenecientes a este alcance, teniendo en cuenta tanto infraestructura tecnológica, como personas, procesos y ambientes. Esta actividad requiere un levantamiento de información y por ende de revisión de las instalaciones, documentos, entrevistas a los responsables de Tecnologia. En esta actividad se debe generar un entregable que servirá como evidencia para una futura auditoría de tercera parte. Los entregables que La FEDERACION COLOMBIANA DE MUNICIPIOS requiere en esta etapa se detallan a continuación:

� Documento con la información de activos de información valorados. IDENTIFICACION Y VALORACION DE RIESGOS La FEDERACIÓN COLOMBIANA DE MUNICIPIOS necesita como entregable un documento de los riesgos identificados con la información básica de los activos, la cual incluye como mínimo las amenazas, vulnerabilidades e impactos de la pérdida de confidencialidad, integridad y disponibilidad sobre los activos de información considerados. La FEDERACIÓN COLOMBIANA DE MUNICIPIOS requiere que la empresa de consultoría ofrezca una metodología adecuada para la evaluación de riesgos utilizando los estandares mundiales para establecer la identificación, análisis y valoración, tratamiento, monitoreo y comunicación del riesgo de tal manera que pueda valorar el impacto de cada riesgo, la probabilidad de que ocurra y la estimación de niveles de riesgos bajo el modelo del ciclo de calida Planear – Hacer – Verificar - Actuar (PHVA) INFORMES Y PLAN DE ACCIÓN La FEDERACIÓN COLOMBIANA DE MUNICIPIOS requiere que la herramienta utilizada por la consultoría genere diversos tipos de informes integrados y con las acciones a ser realizadas de acuerdo con los niveles de riesgo. Estos informes servirán como orientación técnica para implementación de controles de seguridad en la entidad y atención a departamentos tales como Tecnología. DISEÑO DE ENTREGABLE DEL ANALISIS Y VALORACIÓN DE RIESGO


Pagina 38 de 47

Se deberá diseñar y documentar detalladamente el resultado de cada uno de los items anteriores para ser plasmados en un documento formal como entregable. Los resultados incluirán entre otros informes operativos y ejecutivos y un ScoreCard que le ofrecerá a la organización una visión global del estado actual en que se encuentra frente a la seguridad de la información. 17.5 ENTREGABLES ETAPA 2 Los entregables que La FEDERACION COLOMBIANA DE MUNICIPIOS requiere en esta etapa se detallan a continuación:

1. Plan de Trabajo del desarrollo de la consultoría 2. Informe de levantamiento de Información que contenga:

• Activos a proteger Identificación y valoración de Activos (inventario).

• Amenazas sobre los activos Identificación de amenazas y vulnerabilidades (Personas, cosas o eventos).

• Hacer un análisis de riesgos (qué puede pasar y cual sería su impacto en la organización), Matriz de riesgos, plan de tratamiento de riesgos.

• Decidir las medidas de seguridad a adoptar en función de los resultados del análisis de riesgos (qué se va a hacer para proteger los activos).

• Análisis de controles y políticas de seguridad de información según norma ISO 27001/27002.

• Análisis y diseño de la infraestructura de hardware y software implementada actualmente.

• Informe de mejoras y recomendaciones para el mejoramiento del desempeño de la infraestructura tecnológica.


Pagina 39 de 47

17.6 ETAPA 3 PRUEBAS DE VULNERABILIDAD Y PENETRACIÓN SOBRE LA PLATAFORMA TECNOLÓGICA

La FEDERACIÓN COLOMBIANA DE MUNICIPIOS requiere que la empresa de consultoría realice para ampliar la actividad de análisis y valoración de riesgo, el diagnóstico y la evaluación de la seguridad de la plataforma a través de pruebas de vulnerabilidad y penetración interna y externa de manera controlada, las cuales serán de carácter no intrusivo, a todos los componentes de la infraestructura tecnológica que lo requieran en un plan conjunto entre la consultoría, la FEDERACIÓN COLOMBIANA DE MUNICIPIOS y Telmex.

� Se deberá efectuar ataques que permitan determinar las vulnerabilidades que pueden ser detectadas por un intruso desde Internet y que no necesariamente son todas las que tenga un equipo, ya que pueden ser mitigadas por otros equipos de control de acceso como Firewall y Detectores de Intrusos.

� Se deberá determinar el alcance de un ataque generado internamente en la organización, aún cuando la red se encuentre protegida por un dispositivo de control.

� Se deberá llevar a cabo pruebas a todas las posibles verificaciones sobre las debilidades encontradas en el sistema sin ningún tipo de restricción sobre la confidencialidad, integridad y disponibilidad del servicio (o de la información)

Toda pruebas de vulnerabilidad de debe ejecutar de común acuerdo entre La FEDERACIÓN COLOMBIANA DE MUNICIPIOS y la empresa de consultoría, realizando un análisis local a nivel de usuario sin privilegios y un análisis desde Internet a los elementos expuestos de datos y comunicaciones, según los siguientes escenarios, sin limitarse a ellos: • Análisis desde Internet de equipos de Comunicaciones (routers, switches). • Análisis desde Internet de servidores de datos Win2K3, Linux. • Análisis desde Internet de Bases de Datos DB2, SQL Server, mysql, Oracle. • Análisis Internet de datos de Servicios Web, Mail, RAS, • Análisis interno de equipos de Comunicaciones (routers, switches) • Análisis interno de servidores de datos Solaris, Win2K, Linux • Análisis interno de Bases de Datos DB2, SQL Server, mysql, Oracle. • Análisis de datos de Servicios Web, Mail, RAS


Pagina 40 de 47

Las pruebas de vulnerabilidad se deben realizar con absoluto cuidado para no tener caídas o fallas de servidores, ciclos inactivos y otros problemas causados de manera inadvertida por las actividades de escaneo. Se deberá entregar a La FEDERACION COLOMBIANA DE MUNICIPIOS la documentación dónde se registre:

• La identificación de las vulnerabilidades detectadas de acuerdo a las fases de evaluación desarrolladas, evidencias de la información a la que se tuvo acceso dentro del dispositivo y las acciones que se pudieron realizar.

• Descripción técnica, nivel de riesgo, solución técnica detallando toda la

información necesaria para corregir el problema y referencias adicionales donde se puede encontrar mayor información.

• Recomendaciones consideradas apropiadas para el mejoramiento de la

seguridad de las plataformas analizadas, que son de naturaleza realista y ejecutable para La FEDERACIÓN COLOMBIANA DE MUNICIPIOS.

• Acompañamiento y verificación de las pruebas de vulnerabilidades.

Recolección de Datos:

• Lógica y Controles: Reducir los falsos positivos y negativos realizando los ajustes necesarios en las herramientas de análisis.

• Revisión de la Configuración de Seguridad: Reconocimiento superficial sobre la seguridad configurada en el almacenamiento, transmisión y control de datos.

• Obtención de Información Competitiva: Búsqueda de información útil a partir de la presencia que se tiene en Internet y que puede ser tratada como información sobre el negocio.

• Obtención de Documentos: Análisis de la información perteneciente a muchos de los niveles de Seguridad del Sistema u Organización.

• Revisión de Políticas de Seguridad: Determinar las Políticas de Seguridad y si están cumpliendo su propósito.

Test de Verificación:

• Sondeo de Red: Se deben recolectar datos y empezar a analizar las políticas de control.


Pagina 41 de 47

• Identificación de Servicios: Se deben enumerar los servicios de Internet activos ó accesibles así como traspasar servicios de protección como cortafuegos, con el objetivo de encontrar más máquinas activas.

• Búsqueda y Verificación de Vulnerabilidades: Identificar, comprender y verificar las debilidades, errores de configuración y vulnerabilidades en el servidor o en una red.

• Testeo de Aplicaciones de Internet: Se deben detectar “fallos de seguridad” en aplicaciones cliente/servidor que sean desarrolladas por los administradores de sistema con propósitos de la empresa y programadas con cualquier tecnología y lenguaje de programación.

• Testeo de Sistemas Confiados: Afectar desde Internet planteándose como una entidad confiada en la red.

• Testeo de Control de Accesos: Verificar las denegaciones existentes ante a accesos no autorizados.

• Testeo de Servicios Privilegiados: Analizar servicios que son de uso exclusivo de usuarios determinados por el Administrador del Sistema.

• Testeo de Medidas de Contención: Identificar los mecanismos de seguridad y las políticas de respuesta ante códigos maliciosos o situaciones de emergencia.

• Descifrado de Contraseñas: Validar la robustez de las contraseñas, dejando al descubierto la aplicación de algoritmos criptográficos débiles, implementaciones incorrectas de algoritmos criptográficos, o contraseñas débiles debido a factores humanos.

• Testeo y Denegación de Servicios. • Testear cargas de red y de servidor excesivas. • Alertas y Explotación de Vulnerabilidades. • A partir de los resultados anteriores se deben especificar las alertas de

vulnerabilidades encontradas de acuerdo a la información analizada. Todo lo anterior se deberá realizar sin afectar la disponibilidad, confidencialidad e integridad del servicio de La FEDERACION DE COLOMBIANA MUNICIPIOS, cuando se requieran pruebas tipo Denegación de Servicio que afecten la disponibilidad del servicio; se utilizarán ventanas de tiempo indicadas por la entidad. La FEDERACION COLOMBIANA DE MUNICIPIOS ofrecerá para la realización de pruebas acceso físico a las instalaciones con requerimientos necesarios como acceso a las diferentes redes con una dirección IP, usuario válido en la red, documentación del esquema de la red, aplicaciones, listado de equipos a analizar dentro del alcance objeto de este contrato.


Pagina 42 de 47

17.7 ENTREGABLES ETAPA 3 Los entregables que La FEDERACION COLOMBIANA DE MUNICIPIOS requiere en esta etapa se detallan a continuación:

� Documento con análisis actual de la infraestructura tecnológica, seguridad física y controles de acceso informático.

� Análisis y recomendaciones de la configuración actual de los dispositivos de seguridad perimetral, de antivirus y servidores de red, firewall.

� Documento con hallazgos y resultados de las pruebas de vulnerabilidad bajo el escenario interno.

� Documento con hallazgos y resultados de las pruebas de vulnerabilidad bajo el escenario externo.

� Documento con las recomendaciones para mejorar la plataforma analizada según el alcance.

� Plan Maestro de ataques � Análisis de fortalezas y debilidades � Análisis de riesgos de activos coyunturales � Matriz de resultados de las vulnerabilidades y fortalezas encontradas

17.8 ALCANCE DE LAS PRUEBAS Y EL ANALISIS DE RIESGOS

Procesos 25 Número de responsables de IT 4 Dispositivos de red 8 Servidores 20 Personas de muestreo 25% Sistemas de información 10 Contratos 35% PCs de muestreo 30% Datacenters 1


Pagina 43 de 47

17.9 ETAPA 4: SELECCIÓN DE LOS CONTROLES DE LA ISO27002 (ISO17799) La FEDERACIÓN COLOMBIANA DE MUNICIPIOS necesita que la empresa de consultoría realice un análisis de conformidad o cumplimiento de la norma ISO 17799:2005, hoy ISO 27002 con los resultados del análisis y valoración de riesgos y las pruebas de vulnerabilidad y penetración. En compañía de FEDERACIÓN, se seleccionarán los objetivos de control y controles que ayudarán a manejar los riesgos previamente identificados. Los entregables que La FEDERACION COLOMBIANA DE MUNICIPIOS requiere en esta etapa se detallan a continuación:

� Documento que indique el grado de cumplimiento al inicio del proyecto respecto de la norma ISO 27002 donde se observe la NO conformidad recorriendo punto a punto las áreas de la norma y los controles elegidos como pertinentes.

� Además en el diagnóstico se entregarán un documento que muestre el grado de

cumplimiento actual de los controles aplicados en la entidad con respecto a los requeridos por la norma ISO 27001, que permitirá realizar seguimiento al avance durante el desarrollo del proyecto e inclusive después de implementado el SGSI.

De acuerdo a lo anterior se deberá realizar un diagnóstico ó Gap análisis que mostrará el grado de cumplimiento al inicio del proyecto respecto de la norma ISO 27002, con este diagnóstico y los resultados del análisis y valoración de riesgos y las pruebas de vulnerabilidad y penetración en compañía de la FEDERACION COLOMBIANA DE MUNICIPIOS se establecerán los objetivos de control y los controles que ayudarán a manejar los riesgos previamente identificados. ENTREGABLES ETAPA III Los entregables que La FEDERACION COLOMBIANA DE MUNICIPIOS requiere en esta etapa se detallan a continuación:

� Documento que evidencia la selección de los controles de la norma ISO 27002 como Anexo A de la norma ISO 27001.

� Documento de Diagnóstico de ISO 27002 � Documento del Diagnóstico de ISO 27001. � Diagnostico de cumplimiento o Gap Análisis de ISO 17799 con análisis como

justificación


Pagina 44 de 47

ETAPA 5: CAPACITACIÓN La empresa consultora debe realizar una capacitación de cuarenta (40) horas para ocho (8) personas responsables de IT como transferencia de conocimiento en la gestión de incidentes y gestión de Riesgos. Adicionalmente se deberán entregar dos (2) Vouchers para certificación Lead Auditor ISO 27001. A continuación se presentan las características generales del alcance que deberá tener la consultoría para la implementación del Plan de capacitación y sensibilización en SI: - Público objetivo: 60 personas - Lugar: Bogotá. - Objetivos:

� Presentar a todos los colaboradores los conceptos involucrados en seguridad de la información, para generar cultura en el tema y mejorar así el nivel de seguridad de la información en todas las áreas de la Organización.

� Concienciar a los colaboradores sobre la necesidad de adopción de medidas que garanticen la seguridad de la información.

FASES DE DESARROLLO La implementación del Plan de Sensibilización y capacitación en Seguridad de la Información, consta de las siguientes fases de desarrollo: - Preparación - Lanzamiento (Campaña de expectativas) - Ejecución PREPARACION Durante esta etapa se deberá tener en cuenta las siguientes actividades: - Definición de los objetivos de capacitación y sensibilización en SI. - Identificación de los contenidos de capacitación y sensibilización en SI. - Selección de los procedimientos de capacitación y sensibilización con base en la

cultura organizacional.


Pagina 45 de 47

- Diseño y elaboración de los elementos 1 acordados con la Organización para la campaña de promoción y divulgación.

- Definición y producción del material promocional y de apoyo de las capacitaciones. Incluye hasta 18 elementos de Categoría 1 (Paragüas, USB) y hasta 42 elementos de categoría 2 (Relojes, mugs, portavasos, termos).

- Diseño, elaboración y producción de plegables. Tendrán información sobre seguridad de la información y lineamientos básicos para el cumplimiento de la misma. El contenido ilustrará en forma gráfica y contextual los temas tratados en las diferentes sesiones de capacitación.

- Definición del Plan de mercadeo: se definirán los objetivos de mercado con el fin de crear expectativas positivas en los colaboradores de la Organización, para lograr su participación en las actividades propuestas para la capacitación y sensibilización en seguridad de la información. Se utilizarán diferentes mecanismos como correo electrónico, circulares y recursos necesarios para realizar la conferencia de sensibilización que se dará como pre-lanzamiento al Plan de Capacitación y sensibilización.

- Definición de la metodología de promoción: en conjunto con la Organización, se determinarán los mecanismos de lanzamiento del plan de sensibilización como: correo electrónico, circulares escritas o conferencia de sensibilización previo al lanzamiento del plan.

- Selección de los recursos humanos involucrados por parte de la Organización, para conformar el comité de sensibilización que apoye el desarrollo de la Consultoría (Máximo 3 recursos, con dedicación de tiempo de hasta cinco (5) horas semanales)

- Definición de índices de medición de logro de objetivos con el Plan propuesto. - Elaboración de las presentaciones de los talleres de capacitación sobre temas

específicos en SI. - Definición de las actividades lúdicas a ser realizadas en los talleres de capacitación. LANZAMIENTO Se realizará una campaña de expectativa mediante el diseño y envío de correos regulares a los colaboradores de la Organización. Se ejecutará el Plan de Mercadeo definido en la fase de Preparación. Así mismo, se realizará una Conferencia/Presentación del plan de sensibilización para ejecutivos, mandos medios y usuarios, con el objetivo de presentar el plan de sensibilización a todo el personal y transmitir la importancia y el valor de la seguridad de la información de la Organización


Pagina 46 de 47

Dentro de los temas a tratar se encuentran: ¿Por qué y para qué Seguridad de la información?, Principales conceptos, Mejores prácticas, ¿Por qué y para qué un plan de sensibilización?, Presentación del Resumen de las acciones sugeridas a manera de cronograma. EJECUCIÓN Una vez culminadas las fases de Preparación y Lanzamiento, se procederá con la Ejecución del Plan de Capacitación y sensibilización en SI para la Organización. De acuerdo con esta programación, el personal de la Organización será informado con suficiente tiempo de antelación para que la asistencia y participación sea significativa. Es importante anotar, que adicional a la programación dada por la consultoría, debe existir puntualidad por parte del personal para la ejecución de las actividades. La metodología de ejecución se basa en talleres lúdicos. Cada taller tendrá una duración de tres (3) a cuatro (4) horas y estará dirigido a grupos de máximo 30 personas, para garantizar el aprendizaje claro del tema. El 30 % de duración de cada taller corresponde al desarrollo teórico del tema y el 70% restante a la participación en actividades lúdicas que apoyen el tema teórico tratado. Las actividades a ser desarrolladas dentro de los talleres deberán incluir los siguientes: - Presentación en Power Point del tema específico de capacitación (máximo 5 temas

por taller). - Realización de las Actividades lúdicas de apoyo, definidas en conjunto con la

FEDERACIÓN COLOMBIANA DE MUNICIPIOS en la fase de Preparación: rompecabezas, juegos de memoria, elaboración de carteleras grupales, elaboración de códigos de comportamiento, juegos de mímica.

- Actividades complementarias de comunicación de información. Se utilizarán carteleras, avisos en la intranet, correos electrónicos, actividades grupales, proyecciones videos, entrega de elementos promociónales y de cartillas de información.

- Evaluación de eficiencia: Se evaluará la eficiencia de las capacitaciones, con el fin de revisar el estado de la cultura organizacional con respecto a la seguridad de la información.

- Se capacitarán agentes multiplicadores, para que estas personas resuelvan dudas e inquietudes básicas a las personas en el día a día.


Pagina 47 de 47

TEMAS DE CAPACITACIÓN EN SEGURIDAD DE LA INFORMACION A continuación se presentan el temario general para que la Organización elija los temas que mas se ajustan a su necesidad, los cuales serán desarrollados durante la implantación del plan de sensibilización: - Generalidades y Fundamentos en Seguridad de la Información - Confidencialidad, integridad y disponibilidad de la Información - Transporte físico - Incidentes de seguridad - Infraestructura de la seguridad - Código malicioso - Puesto de trabajo seguro - Gestión de cuentas y contraseñas - Integridad de sistemas y datos - Calidad de datos - Utilización adecuada de recursos - Identificación y autenticación - Comunicación de datos/voz - Control de acceso - Recursos humanos y prestación de servicios - Derechos de propiedad intelectual - Criptografía - Integridad de sistemas y datos - Derechos de privacidad. - Liderazgo y gobernabilidad de la SI - Cuidado de los activos de información - Clasificación de la información

pre-pliego de condiciones para el … · estudio de conveniencia seguridad informática y análisis...

Documents