|
CONSULTORIA EN SEGURIDAD
1. DESCRIPCIÓN DEL SERVICIO DE CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN MODALIDAD ANÁLISIS DE RIESGOS
1. El servicio de Consultoría en Seguridad de información en la modalidad de análisis de Riesgos, consiste en utilizar una metodología y los procesos necesarios, para realizar evaluaciones a los activos críticos del Cliente con la finalidad de advertir al Cliente de los posibles impactos al negocio causados por los riesgos detectados en este servicio de Consultoría en Seguridad de información en la modalidad de análisis de Riesgos. Para la prestación de este Servicio, se toman en consideración para la modalidad de análisis de Riesgos: el uso de las mejores prácticas, el involucramiento de las partes interesadas, atendiendo a las necesidades del giro de negocio del Cliente.
La Consultoría en Seguridad de información en la modalidad de análisis de Riesgos es un servicio que permite al Cliente contar con una evaluación de riesgos y de sus controles de seguridad, lo que le permite enfocar sus recursos en mejorar la seguridad de las áreas y Activos de información que dan mayor valor al negocio mediante la mitigación de dichos peligros. Este servicio de Consultoría en Seguridad de información en la modalidad de análisis de Riesgos se realiza en las instalaciones del CLIENTE, utilizando metodologías y herramientas probadas y autorizadas por ALESTRA con las cuales se obtendrá información del status del Cliente bajo análisis, através de cuatro etapas:
a. Desarrollo de Modelo de administración de Riesgos.
b. Identificación y Evaluación de Riesgos.
c. definición de Plan de Tratamiento de Riesgos.
d. definición de indicadores de administración de Riesgos.
2. El servicio de Consultoría en Seguridad de información en la modalidad de análisis de Riesgos contempla un periodo aproximado de tres meses para la realización de los trabajos a partir de la firma del Anexo de Precios correspondiente a este Servicio, toda vez que están dadas las condiciones y compromiso de ALESTRA y EL CLIENTE para su realización.
3. Al término de las etapas mencionadas en la sección 1.2, el alcance de este Anexo, cubre los siguientes seis entregables que ALESTRA deberá proporcionar al CLIENTE:
1. Documento con metodología y proceso de administración de Riesgos.
2. Documentación de apoyo al proceso de administración de Riesgos.
3. Material de capacitación y capacitación al personal designado por el Cliente
4. Matrices de Riesgos y Plan de Tratamiento de Riesgos para los Activos de información dentro del alcance.
5. Cartas de aceptación de Riesgos (ejecutivo)
6. Documento con definición de indicadores de administración de Riesgos.
4. FORMA DE PAGO DEL SERVICIO CONSULTORÍA EN SEGURIDAD DE información MODALIDAD ANÁLISIS DE RIESGOS La Consultoría en Seguridad de información en la modalidad de análisis de Riesgos deberá ser pagada por el CLIENTE según lo estipulado en el Anexo de Precios.
2. DESCRIPCIÓN DEL SERVICIO CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN MODALIDAD COONSULTORÍA ISA.
1. El Servicio de Consultoría en Seguridad de información en la modalidad de Consultoría ISA (Information Security Assessment) consiste en realizar una evaluación integral de la situación actual de la Seguridad de información del CLIENTE, con base en la norma ISO 270001, así como generar las recomendaciones y acciones necesarias para que mejorare la seguridad en aquellas áreas designadas por el CLIENTE para prestar este Servicio.
El Servicio de Consultoría en Seguridad de información en la modalidad de Consultoría ISA se encuentra disponible en varios paquetes de diversos alcances, a elección de CLIENTE, los cuales son:
I.-Seguridad: Gobierno, Riesgo y Cumplimiento (GRC): Apego a Buenas Prácticas (12 dominios) II análisis de apego a buenas prácticas;
a).Seguridad: Proceso de Negocio (5 dominios)
b) Seguridad: operación TI (6 dominios)
Los paquetes se consideran en base a la cantidad de dominios descritos en el Servicio La consultoría se realiza en las instalaciones indicadas por el CLIENTE, utilizando metodologías, herramientas probadas y autorizadas por ALESTRA, con las cuales se obtendrá información que posteriormente se evalúa contra buenas prácticas aplicables, no siendo sustituido por una auditoria.
Los Entregables de la consultoría son los siguientes:
I.- análisis de Apego a Buenas Prácticas, el CLIENTE recibirá los siguientes entregables:
a) Reporte detallado de apego a buenas prácticas (Reporte detallado de hallazgos, madurez y recomendaciones basados en buenas prácticas) de acuerdo al servicios seleccionado (dominios)
b) Reporte ejecutivo ISA (Reporte ejecutivo de análisis de apego a buenas prácticas) de acuerdo al servicios seleccionado (dominios)
En todos los, casos, al final del Servicio de Consultoría en Seguridad de información en la modalidad de Consultoría ISA, con base en el nivel de madurez detectado en los controles de seguridad, ALESTRA emitirá un Plan de Remediación sugerido, que describe las recomendaciones de los consultores para el tratamiento de las áreas de oportunidad detectadas.
El alcance del Servicio de Consultoría en Seguridad de información en la modalidad de Consultoría ISA no incluye en modo alguno la ejecución de las iniciativas de remediación documentadas, sin embargo éstos servicios podrán contratarse posteriormente por separado como complemento al Programa de Consultoría o de Seguridad del CLIENTE.
2. Los tiempos de entrega de cada análisis dependerán de los calendarios programados y acordados en las reuniones de revisión entre el ALESTRA y el CLIENTE. FORMA DE PAGO DEL SERVICIO CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN MODALIDAD CONSULTORÍA ISA El Servicio de Consultoría en Seguridad de información en la modalidad de Consultoría ISA de acuerdo al paquete contratado será pagado por el CLIENTE según lo estipulado en el Anexo de Precios.
3. DESCRIPCIÓN DEL SERVICIO DE CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN MODALIDAD PRUEBAS DE PENETRACIÓN O INTRUSIÓN
1. El servicio de Consultoría en Seguridad de información, en su modalidad de Pruebas de Penetración o Intrusión, comúnmente conocidas como "Ethical Hacking", tiene como objetivo demostrar la intrusión a los activos del negocio, mediante la explotación de las vulnerabilidades encontradas, así como el presentar los principales impactos técnicos y de negocio, debido a la intrusión de dichos activos.
Durante una Prueba de Penetración, se sigue una metodología basada en buenas prácticas, sin impactos hacia el CLIENTE, en donde se ejecutarán evaluaciones enfocadas hacia vulnerabilidades previamente identificadas. En ellas se pretende identificar y evaluar activos relevantes para el negocio y su grado de exposición e impactos.
Alestra llevará en todo momento un control de pruebas. En las pruebas serán utilizadas herramientas disponibles por atacantes y expertos en seguridad de información, en las de Scanners, Sniffers, Web Exploits, OS Exploits, DB Exploits, Password crac, etc, todas ellas certificadas.
Al finalizar las pruebas se realiza un análisis y correlación de resultados, lo cual posteriormente se documenta y revisa con el CLIENTE en conjunto con las recomendaciones de ALESTRA, para que el mismo CLIENTE lleve a cabo las correcciones correspondientes.
A solicitud del CLIENTE, la Prueba de Penetración se efectuará sobre los activos de infraestructura tecnolígica que soporta el proceso descritos en la propuesta, a fin de cumplir los requisitos que operen bajo este proceso.
Una vez concretado el análisis y correlación de resultados entre el CLIENTE y ALESTRA, los entregables de las Pruebas de penetración se componen de:
a) Documentación de pruebas realizadas sobre los activos, principales impactos técnicos y de negocio debido a la intrusión sobre las IP´s (activos) y las recomendaciones de ALESTRA para resolver las vulnerabilidades detectadas, las cuales el cliente podría (si así lo decide), posterior al proyecto, implementar o ejecutar bajo su responsabilidad.
ALESTRA se compromete a suspender actividades en las Pruebas de Penetración, si en cualquier momento se llegasen a detectar indicios de afectación al negocio del CLIENTE.
2. FORMA DE PAGO DEL SERVICIO COONSULTORÍA EN SEGURIDAD DE información MODALIDAD PRUEBAS DE PENETRACIÓN. El servicio de pruebas de penetración será pagado por el CLIENTE según lo estipulado en el Anexo de Precios.
4. DESCRIPCIÓN DEL SERVICIO DE CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN MODALIDAD ANÁLISIS TÉCNICO DE VULNERABILIDADES
1. El Servicio de Consultoría en Seguridad de información en la modalidad análisis técnico de Vulnerabilidades apoya a identificar los riesgos de seguridad asociados a los activos y/o componentes críticos para procesos de cumplimiento, dando a conocer el grado de exposición de su infraestructura tecnolígica y proveer una lista de recomendaciones técnicas. Dejando así antecedente hacia el CLIENTE para proceder con las medidas de mitigación y cierre sugeridas, las remediaciones deberán ser realizadas por el CLIENTE en el tiempo y forma que considere pertinentes bajo su responsabilidad.
El Servicio de Consultoría en Seguridad de información en la modalidad análisis técnico de Vulnerabilidades consiste en:
• Realizar una evaluación técnica de vulnerabilidades mediante herramientas confiables a los activos que la organización haya seleccionado (IP´s), generando una evaluación del riesgo sobre los mismos y considerando su impacto en la confidencialidad, integridad y disponibilidad de la información, así como la importancia del activo dentro de la empresa.
• Proveer una lista de recomendaciones técnicas para el cierre de vulnerabilidades detectadas, todo esto considerando las mejores prácticas internacionales.
El alcance del Servicio de Consultoría en Seguridad de información en la modalidad análisis técnico de Vulnerabilidades cubre los siguientes entregables:
• Reporte de análisis de vulnerabilidades técnicas clasificadas por nivel de riesgo y por activo.
• Recomendaciones técnicas para el cierre de vulnerabilidades
• Plan de mitigación y priorización de actividades de cierre de vulnerabilidades.
2. FORMA DE PAGO DEL SERVICIO CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN MODALIDAD ANÁLISIS TÉCNICO DE VULNERABILIDADES. El Servicio de Consultoría en Seguridad de información en la modalidad análisis técnico de Vulnerabilidades será pagado por el CLIENTE según lo estipulado en el Anexo de Precios.
5. DESCRIPCIÓN DEL SERVICIO DE CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN MODALIDAD ANÁLISIS DE IMPACTO AL NEGOCIO. (BIA)
1. El Servicio de Consultoría en Seguridad de información modalidad análisis De Impacto Al Negocio. (BIA). El BIA, es un servicio de consultoría el cuél analiza funciones de negocio de manera sistemática para determinar los impactos al negocio en términos cuantitativos y cualitativos originados por una interrupción súbita e inesperada del negocio.
Los impactos financieros se medirán en términos de pérdida monetaria, mientras que los impactos operacionales se medirán en términos de indisponibilidad para proporcionar un servicio o producto del CLIENTE frente a terceros.
Dentro del alcance del Servicio de Consultoría en Seguridad de información modalidad análisis De Impacto Al Negocio. (BIA) se considera el determinar los indicadores de impacto al negocio considerando la siguiente metodología:
1. Identificación de funciones o procesos críticos del negocio
2. Determinar impactos potenciales ante una interrupción y determinar el tiempo máximo tolerable de interrupción de la función de negocio (MTD)
- Operacionales
- Financieros
3. Determinar los Indicadores de recuperación para la tecnología de información
- RTO=Recovery Time Objective
- RPO=Recovery Point Objective
4. Determinación de recursos mínimos para operar en contingencia
- Sistemas de información
- Registros vitales
- Personal clave para operar en contingencia
- Proveedores críticos
2. Alcances del Servicio. El Servicio de Consultoría en Seguridad de información modalidad análisis De Impacto Al Negocio. (BIA) proveído por ALESTRA se basa en un enfoque Top Down, entrevistas con personas mandos altos e intermedios para la obtención de información y correspondiente análisis, cuestionarios para la identificación de recursos mínimos para operación en contingencia, desarrollo de sesiones de trabajo y evaluación del Nivel de Impactos en función del tiempo de interrupción de operaciones y mediante una escala común a procesos/actividades.
3. Como entregables del Servicio de Consultoría en Seguridad de información modalidad análisis De Impacto Al Negocio. (BIA) se proporcionará en formato acordado por las partes toda la documentación relacionada a las sesiones de trabajo y entrevistas, así como una presentación final ejecutiva con los resultados del análisis.
4. FORMA DE PAGO DEL SERVICIO CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN MODALIDAD ANÁLISIS DE IMPACTO AL NEGOCIO (BIA). El servicio de análisis de impacto al negocio será pagado por el CLIENTE según lo estipulado en el Anexo de Precios.
6. Servicio de Consultoría en Seguridad de Información en la modalidad Secure Cloud Assessment.
El servicio del Secure Cloud Assessment, es un servicio consultivo en el cual se realiza un monitoreo y evaluación de la postura de seguridad de la nube pública del CLIENTE. Los resultados que arroja se entregan al CLIENTE. Como parte del Servicio, también se hacen recomendaciones, en los controles de seguridad de la nube pública,
El servicio del Secure Cloud Assessment, no es intrusivo y no incluye ningún servicio, ni material ni actividad de remediación y/o de adecuación; solo emite un reporte enriquecido con el inventario de los activos (un activo es una instancia o máquina virtual (VM) en la nube), y los hallazgos encontrados de los servicios nativos de la nube pública del CLIENTE.
El servicio del Secure Cloud Assessment puede ser contratado en 2 (dos) modalidades las cuales consisten en:
a. Servicio único: Se entrega un reporte único al finalizar el monitoreo, el cual tiene una duración de 1 un mes. Dicho reporte consta de un informe ejecutivo y técnico con los hallazgos del monitoreo realizado a los servicios nativos de la nube pública del CLIENTE y se agregan recomendaciones por parte de los especialistas de AXTEL respecto a los hallazgos encontrados.
b. Servicio continuo: Se entrega de un reporte mensual durante un período continuo de 12 (doce) meses, el cual consta de un informe ejecutivo y técnico con los hallazgos del monitoreo realizado a los servicios nativos de la nube pública del CLIENTE y se agregan recomendaciones por parte de los especialistas de AXTEL respecto a los hallazgos encontrados, este informe es entregado de forma mensual durante la duración del servicio contratado.
El servicio del Secure Cloud Assessment se entrega según el paquete que se haya contratado:
· Small para 20 activos
· Medium para 40 activos
· Large para 60 activos
· Especial para más de 60 activos y/o para funcionalidades especiales del monitoreo.
Los datos y actividades que estará monitoreando y reportando el servicio del Secure Cloud Assessment como parte de la oferta estándar, son las siguientes:
· Realizar un monitoreo de los servicios nativos de la nube pública del CLIENTE para identificar e informar sobre desviaciones respecto a las mejores prácticas de seguridad.
· Identifica y reporta las alertas críticas
· Identifica y reporta el inventario de la infraestructura de la nube pública del cliente
· Identifica y reporta configuraciones incorrectas
· Identifica y reporta arquitecturas incompletas o malas prácticas
· Identifica y reporta amenazas y comportamientos anómalos o sospechosos
· Identifica y reporta el nivel de cumplimiento de regulaciones como PCI, ISO 27001, SOX, HIPAA, NIST, entre otras.
· Se agregarán, cuando así pudiera aplicar, recomendaciones en los reportes entregados al CLIENTE, basadas en los hallazgos identificados en el monitoreo, con el objetivo de ayudar a identificar y a reforzar la definición y la madurez de la estrategia de seguridad en la nube pública del CLIENTE. Si bien los reportes contienen recomendaciones por parte de AXTEL, el CLIENTE será el único responsable de llevar a cabo las acciones correctivas correspondientes.
Para realizar el monitoreo de los servicios nativos de la nube pública del CLIENTE, se deberán activar servicios específicos para este propósito en la nube pública del CLIENTE. Los servicios específicos antes mencionados los dará a conocer AXTEL al CLIENTE al momento de contratar el Servicio de Secure Cloud Assessment. Los costos que pudieran generarse en la nube pública del CLIENTE por la activación de dichos servicios específicos requeridos deberán ser pagados por el CLIENTE.
FORMA DE PAGO DEL SERVICIO DE CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN EN LA MODALIDAD SECURE CLOUD ASSESSMENT.
Este servicio Secure Cloud Assessment será pagado por el CLIENTE según las condiciones legales y comerciales establecidas en el Anexo de Precios.
7. TERMINACIÓN Y RESCISIÓN
1. El CLIENTE al corriente en el cumplimiento de sus obligaciones podrá solicitar a ALESTRA la TERMINACIÓN de cualquiera de los servicios mediante notificación por escrito a ALESTRA con 60 (sesenta) días de anticipación a la fecha en que pretenda que se lleve a cabo la TERMINACIÓN.
2. En caso de que el CLIENTE decida cancelar parcial o totalmente cualquiera de los Servicios aquí señalados, antes de cumplir con la vigencia inicialmente contratada y/o en caso de RESCISIÓN del contrato y/o de este anexo por incumplimiento del CLIENTE a cualquiera de sus obligaciones derivadas del servicio contratado, deberá de pagar a ALESTRA El 100% (cien por ciento) del valor total del proyecto.
3. En caso de TERMINACIÓN anticipada parcial o total de los Servicios, ALESTRA solo será responsable de entregar al CLIENTE aquellos reportes o entregables que resulten a la fecha efectiva de TERMINACIÓN anticipada, por lo que el CLIENTE reconoce que dichos entregables pueden carecer del alcance completo que aquí se señala.
8. RESPONSABILIDADES DEL CLIENTE
1. Para los servicios de CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN, es imprescindible la participación activa del CLIENTE durante todo el proceso, por lo cual se hace mención a las responsabilidades que se otorgan:
a. Proporcionar un lugar de trabajo adecuado al personal que ALESTRA designe para el desarrollo del análisis en sus instalaciones, el cual deberá de contar con un puerto de red LAN, acceso a Internet, energía eléctrica, escritorio y silla. Este lugar deberá estar disponible durante todo el tiempo que dure la realización del análisis.
b. Tener agenda con disponibilidad de las personas a entrevistar para el proceso de recopilar información para la Consultoría en Seguridad de información. Dichas reuniones serán acordadas con el apoyo y mediante el punto único de contacto designado por el cliente.
c. Designar a una persona como punto único de contacto, el cual apoyará los requerimientos que le solicite el personal designado por ALESTRA que realice el análisis.
d. Dar todas las facilidades y apoyo al personal designado por ALESTRA que realice el análisis para el acceso físico, acceso a la información y recursos para llevar a cabo la realización del análisis dentro de las condiciones acordadas en el Anexo de Precios.
e. No impedir o interrumpir de alguna manera las actividades del personal designado por ALESTRA para la realización del análisis.
f. Contar con respaldos de su información antes que ALESTRA realizase el análisis de información.
g. Acceso a Internet disponible para el personal designado por ALESTRA para la realización del análisis de información.
h. Liquidar en su totalidad el precio acordado en el Anexo de Precios para el servicio de CONSULTORIA EN SEGURIDAD DE información.
i. ALESTRA sin responsabilidad podrá suspender las actividades del análisis o la presentación de los entregables al CLIENTE, en caso de que este último no cumpla con el pago del servicio conforme a lo señalado en el Anexo de Precios.
En caso que el CLIENTE incumpla con cualquiera de las responsabilidades aquí enumeradas, puede ocasionar el retraso en la entrega del Servicio, así mismo, pueda incurrir en gastos extras que ALESTRA cotizará en la factura correspondiente. Por lo anterior, el CLIENTE acepta y reconoce el pago de cualquier gasto extra que ALESTRA pueda incurrir derivado del incumplimiento del CLIENTE a esta sección.
9. LIMITE DE RESPONSABILIDADES
1. Para el servicio de CONSULTORÍA EN SEGURIDAD DE INFORMACIÓN las actividades a realizar por parte de ALESTRA, se limitan a lo señalado en la cláusulas correspondientes en la DESCRIPCIÓN DEL SERVICIO del presente Anexo, por lo cual ALESTRA no llevará a cabo acciones o actividades encaminadas a la remediación de las posibles vulnerabilidades que sean detectadas en la organización del CLIENTE, durante el proceso de Consultoría.
10. Protección de información
1. ALESTRA mantendrá en todo momento protegida la información del CLIENTE durante la vigencia del Servicio, y una vez concluido el servicio ALESTRA la mantendrá igualmente protegida, hasta que se proceda a la destrucción de la misma.
11. AUDITORÍAS
1. El CLIENTE acepta y reconoce que los servicios que se describen en este Anexo de Servicio, no constituye, ni podrán ser considerados, como parte de una Auditoría de sistemas, procesos o cualquier anélogas. Los Servicios aquí descritos son informativos, de recomendación y mejora para la seguridad del CLIENTE. Es responsabilidad del CLIENTE seguir las recomendaciones emitidas por los Servicios de ALESTRA, y así mismo el CLIENTE deberá realizar sus Auditorías através de otro servicios prestados por ALESTRA, 10.2. El CLIENTE acepta y reconoce que los Servicios aquí descritos y prestados por ALESTRA podrán ser susceptibles de Auditoría por parte del CLIENTE, siempre y cuando el CLIENTE lo solicite con anticipación, detallando los alcances y por escrito, por lo cual el CLIENTE acepta y reconocer que deberá pagar la cotización que ALESTRA le haga llegar para llevar acabo la Auditoría que el CLIENTE solicite.
12. PROPIEDAD INTELECTUAL
1. Todos los Servicios prestados y descritos en este Anexo están protegidos por las leyes de Propiedad Intelectual aplicables en México y el extranjero. Por lo anterior, ALESTRA otorga una licencia de derecho y uso exclusivo al CLIENTE, sin que pueda ser copiado parcial o totalmente, quedando prohibida su distribución, publicación, y/o comercialización total o parcial, sin el consentimiento por escrito de ALESTRA.
|
