25 de marzo de 2023

El Ministerio de Salud Pública a través de la Dirección de Tecnologías de la Información y Comunicaciones, convoca a proveedores a participar en el proceso de elaboración del Estudio de Mercado para la “CONSULTORÍA DE ETHICAL HACKING PARA LOS SERVIDORES Y SISTEMAS O APLICATIVOS EN EL AMBIENTE DE PRODUCCIÓN DEL MINISTERIO DE SALUD PÚBLICA PLANTA CENTRAL”

Este estudio de mercado será utilizado para la definición del presupuesto referencial previo a la publicación del proceso de contratación.

El precio referencial de los servicios deberá considerar los siguientes aspectos:

1. Las especificaciones técnicas, alcance y demás requerimientos solicitados se encuentra en el Anexo 1– o en https://almacenamiento.msp.gob.ec/index.php/s/D1lHIfzuMCbOvOR
2. La vigencia de la cotización no debe ser menor a 120 días;
3. La fuente de financiamiento será realizada con recursos del Banco Interamericano de Desarrollo, por lo que los oferentes deberán pertenecer a los países miembros del BID;
4. La oferta debe presentarse por la totalidad de la contratación;
5. Este proceso no contempla el reajuste de precios.

DESCRIPCIÓN DE LA CONSULTORÍA

El proceso de consultoría de hackeo ético será realizada en los ambientes de intranet e internet basados en metodología de cajas ( black box, gray box  y white box) mediante hackeos éticos tanto interno como externo, su alcance y metodología se definirán según cada actividad.

El principal objetivo de esta consultoría es el ejecutar procedimientos de pruebas de penetración en los servidores y sistemas o aplicaciones en ambiente de producción del MSP, con la finalidad identificar, analizar y realizar una valoración de riesgo de las vulnerabilidades informáticas, realizar pruebas de explotación de vulnerabilidades informáticas encontradas bien conocidas o vulnerabilidades no conocidas, clasificadas como (criticas, altas, medias, bajas). Elaborar un informe técnico (que incluirá fotos de pantalla y pruebas de los hallazgos) mediante el cual describan los hallazgos y resultados, las estrategias/recomendaciones con base en los principios de seguridad de la información (disponibilidad, confidencialidad e integridad), lo cual permita remediar cualquier hallazgo intrusivo hacia los servidores y sistemas o aplicaciones de la institución.

• La consultora deberá entregar un Plan de Trabajo, que contenga un cronograma con las actividades que se van a realizar como parte de la consultoría. Planificación de los recursos humanos y logísticos, que permitan cumplir con los objetivos.
• El MSP a través de la Dirección de Tecnología de la Información y Comunicaciones (DTIC), entregará los insumos necesarios para contribuir al cumplimiento del objetivo solicitado, seleccionará y definirá los servidores y sistemas o aplicaciones en ambiente de producción aplicables para ser ejecutado en la consultoría. Las pruebas de penetración se llevarán a cabo utilizando herramientas automatizadas y manuales, que serán provistas por la
• Las metodologías por utilizar durante las actividades de hackeo serán predeterminadas en conjunto con    el equipo técnico del MSP y la empresa
• Se deberá entregar un informe técnico e informe ejecutivo, sobre la identificación, análisis y realización de valoración de riesgo de las vulnerabilidades informáticas encontradas en los servidores y sistemas o aplicaciones en ambiente de producción, realización de las pruebas de explotación de vulnerabilidades informáticas encontradas bien conocidas y no conocidas clasificadas de nivel crítico, alto o mediano, estrategias/recomendaciones enfocadas en los principios de seguridad de la información (disponibilidad, confidencialidad e integridad).
• En función de los resultados obtenidos del procedimiento de hackeo ético (ethical hacking), el MSP generará en conjunto con el oferente el plan de acción para mitigar las vulnerabilidades encontradas, a fin de que el MSP pueda tomar las acciones correctivas que correspondan. Esta documentación, así con los hallazgos encontrados y toda referencia a esta consultoría se entiende de alta confidencialidad y por consiguiente no puede ser divulgado sin autorización expresa de las autoridades pertinentes del Asimismo, los consultores que participen de la misma deberán firmar consentimientos de no divulgación y de reserva de la información, mediante la suscripción de un convenio de confidencialidad.
• La consultoría debe, contar con las herramientas que cuenten con licenciamiento, suscripciones, y soporte técnico vigentes, que permitan disponer de todas las funcionalidades y servicios de análisis de vulnerabilidades
• Finalmente, la consultoría deberá analizar los resultados obtenidos a través de las tres modalidades caja negra (black-box), caja gris (gray-box) y caja blanca (white-box), presentará informes de Plan de Trabajo, Resultados Técnicos y Ejecutivo mediante el cual describan las estrategias/recomendaciones que permitan garantizar los principios de seguridad de la información (disponibilidad, confidencialidad e integridad), incluir conclusiones y recomendaciones, con la finalidad de que el personal del MSP pueda remediar las vulnerabilidades encontradas en los servidores y sistemas o aplicaciones en ambiente de producción. El tiempo de la consultoría y la entrega de todos sus productos será en un período máximo de 4 meses

PLAZO DE EJECUCIÓN, CRONOGRAMA Y ENTREGABLES

El estimado para la ejecución del contrato es de 120 días (4 meses) desglosados de la siguiente manera:

A continuación, se detallan los entregables mencionados y su cronograma de entrega a partir del día siguiente de la firma de contrato (días calendario), como se muestra en el siguiente cuadro:

MODALIDAD DE PAGO:

La modalidad de pago de esta consultoría será CONTRAENTREGA posterior a la firma del Acta final de Entrega/Recepción.

Las cotizaciones deben ser remitidas en formato digital (firmadas), a los correos institucionales consultorias@mspsalud.gob.ec y proyecto.bid@mspsalud.gob.ec hasta el día viernes 31 de marzo 2023, con los siguientes datos:

Datos del oferente:

Razón Social:

RUC:

Dirección:

Teléfono:

Forma de Pago: (Pago contra entrega de la consultoría – Acta /Entrega recepción)

Tiempo de entrega de la consultoría: (120 días)

Fecha de emisión de la oferta:

Vigencia de la Oferta: (no debe ser menor a 120 días)

Firma de responsabilidad de preferencia firmada electrónicamente en formato QR para lo cual se sugiere utilizar la aplicación FIRMA EC https://www.firmadigital.gob.ec/descargar-firmaec/.

Datos del contratante:

A nombre de: Ministerio de Salud Pública

RUC: 1760001120001

Dirección: Quito, Av. Quitumbe Ñan y Av. Amaru Ñan, Plataforma Gubernamental

de Desarrollo Social.

Teléfono: 593-2 381-4400 ext. 4008

Formato Presentación Cotización: 

Propuesta Económica:

 Listado de países elegibles

• Lista de países miembros cuando el financiamiento provenga del Banco Interamericano de Desarrollo:  Alemania, Argentina, Austria, Bahamas, Barbados, Bélgica, Belice, Bolivia, Brasil, Canadá, Chile, Colombia, Costa Rica, Croacia, Dinamarca, Ecuador, El Salvador, Eslovenia, España, Estados Unidos, Finlandia, Francia, Guatemala, Guyana, Haití, Honduras, Israel, Italia, Jamaica, Japón, México, Nicaragua, Noruega, Países Bajos, Panamá, Paraguay, Perú, Portugal, Reino Unido, República de Corea, República Dominicana, República Popular de China, Suecia, Suiza, Surinam, Trinidad y Tobago, Uruguay, y Venezuela.

Territorios elegibles

• Guadalupe, Guyana Francesa, Martinica, Reunión – por ser Departamentos de Francia.
• Islas Vírgenes Estadounidenses, Puerto Rico, Guam – por ser Territorios de los Estados Unidos de América.
• Aruba – por ser País Constituyente del Reino de los Países Bajos; y Bonaire, Curazao, Sint Maarten, Sint Eustatius – por ser Departamentos de Reino de los Países Bajos.
• Hong Kong – por ser Región Especial Administrativa de la República Popular de China.