2. 2
Orden del día
Gestión de las Herramientas de Seguridad
Revisión del estado de las herramientas de Seguridad para Fassinet
Propuesta del Proceso de Ciberseguridad
4. 4
Antecedentes – Marco Normativo
• 1 vez al Año
• Internas, Externas o ambas
Pruebas de Intrusión
• Acreditar con Documentación su Experiencia
• Personal Certificado
Empresas
• Acuerdos de Confidencialidad
• Resultados antes del 30 de Nov
Otros
5. 5
Antecedentes – Marco Normativo
En cumplimiento de lo
establecido en el
Reglamento de Gestión de
Seguridad de la
Información de la ASFI, las
entidades supervisadas
debe realizar mínimamente
una vez al año un análisis
de vulnerabilidades
técnicas (Ethical Hacking),
el informe del mismo debe
ser entregado hasta el 30
de noviembre de cada
gestión.
Art. 8 Análisis
de Vuln.
Técnicas
Título VII,
Cap. II
RGSI
Ley
N° 393
6. 6
Alcance para el Servicio
SCFG Sociedad Controladora
Banco Fassil
Santa Cruz Investments SAFI
Santa Cruz Securities Agencia de Bolsa
Santa Cruz Vida y Salud Seguros y Reaseguros
Personales
7. 7
Gestión de Contratación del Servicio
• Especificación de
Requerimiento
• Invitación a
Proveedores
Licitación
• Revisión de
Propuestas
Recibidas
• Análisis de
Cumplimiento
Evaluación • Criterios de
Evaluación
• Selección de la
mejor Propuesta
Contratación
8. 8
Principales Criterios de Evaluación
Experiencia Internacional
Experiencia Nacional
Equipo de Trabajo Certificado
Costo
Metodología
Valor Agregado
10. 10
Evaluación de Proveedores - FreddaStanza
Representante legal : Marco Antonio Balboa Salgueiro
Experiencia : 7 años
Oficina Central : Urb. Mirage II # 26
Presencia : Santa Cruz
Nombre : Marco Antonio Balboa Salgueiro
Dirección : Urb. Mirage II # 26
Teléfono : 33292859 - 67778638
Información
Contacto
Clientes - Ferroviaria Oriental S.A.
- Ministerio de Finanzas del Ecuador
- Universidad Técnica Particular de Loja
- Universidad Católica del Ecuador
- Teojama Comercial
- Corporación Financiera Nacional
- Banco Internacional (Ecuador)
- Tame Línea Aérea del Ecuador
Constitución
11. 11
Evaluación de Proveedores – Grupo RADICAL (Ecuador)
Representante legal : Maria Jose Duran Oroza
Experiencia : 19 años a Nivel Internacional y 4 años Nal.
Oficina Central : Av. San Martin, Calle las Begonias #38
Presencia : Santa Cruz (Bolivia)
Nombre : Jonathan Galarza.
Dirección : Av. San Martin, Calle las Begonias #38
Teléfono : +591 72203593
Información
Contacto
Clientes - Banco de Pichincha
- Banco Central de la Reserva del Perú
- BanEcuador
- BanRed
- Banco de Loja
- Telefonica
- Banco de Machala
- Ministerio del Interior
- Schneider Electric
Constitución
12. 12
Evaluación de Proveedores – Dreamlab Technologies
Representante legal : Nelson Boris Murillo Prieto
Experiencia : 21 años a Nivel Internacional y 5 años de presencia Nal.
Oficina Central : C/ Lisímaco Gutiérrez N°490 Edf de Luna Piso 3 Of. 3A
Presencia : La Paz (Bolivia)
Nombre : Mónica Monrroy
Dirección : C/ Lisimaco Gutierrez Edf. Luna piso 3 Of.A
Teléfono : +591 61282682
Información
Contacto
Clientes - EDV S.A.
- BBV S.A.
- Bisa Seguros y
Reaseguros S.A.
- Banco Nacional de
Bolivia S.A.
- Banco Ecofuturo S.A.
- Banco de Crédito e
Inversiones (Chile)
- Coopeuch (Chile)
- Nexus (Chile)
- Banco Fassil S.A.
- Banco Itaú
- Banco Ganadero
- Banco Mercantil SCZ
Constitución
13. 13
Evaluación de Proveedores – Datec Ltda.
- Banco Fassil S.A.
- CRE
Representante legal : Sergio Arteaga
Experiencia : 20 años como Empresa y 1 en Proyectos de Seguridad
Oficina Central : Calle Velasco #213
Presencia : Santa Cruz (Bolivia)
Nombre : Mariela Viera
Dirección : Calle Velasco #213
Teléfono : 315-1100 / +591 78463835
Información
Contacto
Clientes
Constitución
19. 19
Ponderación de Criterios de Proveedores Ethical Hacking
No. Empresa
1) Documentos
Legales y Carta de
Presentación
Puntuación: 10%
2) Propuesta
Económica
Puntuación:
30%
3) Equipo de
Trabajo
Certificado
Puntuación: 20%
4) Experiencia
Internacional
Puntuación: 15%
5) Experiencia
Nacional
Puntuación: 5%
6)
Metodología
Puntuación:
10%
7) Valor
Agregado
Puntuación:
10%
Total
Puntuación
1 Datec Ltda. 10% 12.00% 20.00% 0.00% 5.00% 10.00% 0.00% 57.00%
2 DreamLabs 10% 19.00% 17.00% 15.00% 5.00% 10.00% 5.00% 81.00%
3 FreddaStanza 10% 30.00% 15.00% 10.00% 5.00% 10.00% 0.00% 80.00%
4 Grupo Radical 10% 21.00% 20.00% 15.00% 0.00% 10.00% 10.00% 86.00%
●El proveedor DreamLabs Thecnologies. obtuvo la 2da mejor propuesta en la revisión de los criterios
establecidos para la provisión del servicio, se menciona que esta empresa fue la que nos realizó el
servicio de Ethical Hacking la gestión 2018 con resultados satisfactorios, ofrece también para ésta
gestión como valor agregado entradas de cortesía para uno de los eventos de seguridad mas relevante
a nivel Latinoamérica. Además se debe tomar en cuenta que como un opcional cotizaron un servicio de
seguimiento de EH para Banca Móvil que tiene un costo a parte y tiene un alcance de dos escaneos
adicionales a esta plataforma en específico.
●El proveedor Grupo Radical, obtuvo la mejor calificación en cuanto a la evaluación de criterios
establecidos para la contratación del servicio, si bien no cuenta con experiencia nacional dando este
tipo de servicio tiene el respaldo de haber realizado el mismo en Bancos del Ecuador, entidades del
Perú y otros, además de que dentro de su propuesta incluye sin costo alguno la realización de dos
análisis de vulnerabilidades adicionales a la Banca por Internet Web.
20. 20
Recomendación de Proveedor Ethical Hacking Gestión 2019
Evaluación de
Criterios
86%
Validación de
Experiencia
(Banco de
Pichincha)
Se recomienda la
Contratación del
Proveedor Grupo
Radical
1. ¿Qué tipo de servicio le prestó el Grupo
Radical?
RADICAL HA SIDO NUESTRO PROVEEDOR DE
SERVICIOS GESTIONADOS DE S.O.C. (SECURITY
OPERATIONS CENTER), EL MISMO QUE INCLUÍA
LA INTELIGENCIA DE AMENAZAS Y LA
RESPUESTA ANTE INCIDENTES DE SEGURIDAD.
2. ¿Cómo calificaría el Servicio recibido por parte
de la empresa?
EL SOPORTE DE LA EMPRESA ES EXCELENTE,
TODOS SUS TÉCNICOS SON MUY
COMPROMETIDOS Y ALTAMENTE CALIFICADOS.
LA EMPRESA ES MUY FLEXIBLE EN CUANTO A
ATENDER LOS REQUERIMIENTOS DEL CLIENTE.
3. ¿Cumplieron con el Servicio ofertado y los
tiempos acordados?
R.- SI
4. ¿Cómo evalúa los informes presentados por la
empresa?
R.- MUY PROFESIONALES Y COMPLETOS.
5. ¿Recomendaría usted a esta empresa, Sí, No,
porqué?
R.- SI, POR TODO LO DICHO EN LAS PREGUNTAS
ANTERIORES.