San José, Costa Rica XXXXX

Señor
CLIENTE
Presente

Estimado Sr. Borloz.

Agradecemos la oportunidad que nos brinda de poner a su disposición nuestros

servicios en seguridad de la información.

Adjunto encontrará la propuesta de SEFISA para CLIENTE por el Servicio de

Acompañamiento en la Gestión del Plan de Seguridad.

Agradecemos su confianza puesta en nuestros servicios de consultoría, esperando

poder llegar a realizarlos para el mejoramiento de la seguridad de la información de su
representada.

Atentamente,

Licda. Sonia Ivonne Recinos del Cid

Gerente
SEFISA-Costa Rica
Oficina: +506.2201-1503
www.sefisa.com

SEFISA Sistemas Eficientes, S.A. (Confidencial) 2

Introducción:

Los datos de una compañía se han convertido en uno de sus activos más importantes y
por ello deben ser adecuadamente protegidos.

Sin embargo, todavía existe un número considerable de compañías que no asignan a la

información su verdadero valor y, por ello, no les conceden la protección necesaria.

Para poder solucionar este problema se debe conseguir en primer lugar el compromiso
de la dirección, plasmada en una política corporativa de seguridad de la información,
que formaría parte de un completo plan de seguridad que materialice la política en
acciones concretas de protección.

¿Qué es un Plan de Seguridad?

Es un proyecto estratégico de planificación de acciones y proyectos que lleven a un

Sistema de Información y sus Centros de Proceso de Datos de una situación inicial
determinada a una situación mejorada, aceptable o deseada.

Para alcanzar el nivel de seguridad definido en la política, es preciso el desarrollo,

adopción e implementación de un plan de seguridad.

Para ello se deben realizar una serie de actividades en las que personal especializado
de SEFISA en coordinación con el responsable de seguridad de la compañía, se
encargará de:

 Clasificación de los servicios críticos para el negocio e identificación y

clasificación de los tipos de información que exigen protección.
 Análisis de riesgos asociados a los activos de información.
 Definición de los objetivos de control, controles y medidas de protección
adicionales para lograr el nivel de seguridad
 Estudio de la situación actual, con recomendaciones.
 Análisis gap (brechas), que establezca los proyectos a implantar para alcanzar el
nivel de seguridad deseado.
 Asesoría en el alcance de los proyectos a desarrollar.

SEFISA Sistemas Eficientes, S.A. (Confidencial) 3

¿Qué beneficios obtiene su empresa con el desarrollo de un Plan de Seguridad?

 La empresa redefine y clarifica los sistemas de gestión existentes y mejora del

conocimiento de los aspectos del negocio mediante una aproximación
sistemática.
 Identifica los activos críticos a través de una evaluación de los riesgos del
negocio.
 Mejora el nivel de concienciación y responsabilidad con respecto a la seguridad.
 Prioriza los proyectos a abordar en Seguridad de la Información para minimizar
los riesgos.
 Mejora el sistema de prevención y gestión de la seguridad.

Dentro del Plan de Seguridad de la Información se definen las siguientes Políticas de

Seguridad:

1. Organización de la seguridad de la información

2. Seguridad durante el empleo del personal
3. Gestión de accesos
4. Computación móvil y teletrabajo
5. Procedimientos de operación y responsabilidades
6. Gestión del servicio realizada por terceras partes
7. Protección contra código malicioso
8. Respaldos
9. Manejo de la seguridad de la red
10. Manejo de medios de almacenamiento de información
11. Intercambio de información
12. Servicios de comercio electrónico
13. Seguimiento
14. Procesamiento correcto en las aplicaciones
15. Controles criptográficos

SEFISA Sistemas Eficientes, S.A. (Confidencial) 4

¿Por qué contratar los servicios de SEFISA?

La Unidad de Servicios Profesionales se crea en 2005 con consultores nacionales e

internacionales certificados bajo normas internacionales universalmente aceptadas
como los marcos de referencia ISO, y los de industria, como CISSP de (ISC) 2 y CISA
de ISACA. Además SEFISA integra alianzas estratégicas con firmas internacionales en
el ámbito de la Seguridad.

Con ello, SEFISA se posiciona para brindar a sus clientes asesoría y consultoría
profesional en proyectos de Seguridad de la Información, desde un enfoque holístico y
global; es decir, que involucra no únicamente infraestructura y soluciones de productos
de Tecnología de la Información, sino también Procesos y Personas. La Unidad de
Servicios Profesionales de SEFISA brinda servicios tales como:

 • Análisis de Vulnerabilidades

 • Análisis de Amenazas

 • Pruebas de Penetración –perimetrales e internas

 • Auditoría de Sistemas

 • Análisis de Brechas –con el cumplimiento de normas internacionales de

Sistemas de Gestión y Códigos de Mejores Prácticas en Controles de Seguridad.

 • Asesoramiento en Políticas de Estrategia de Seguridad

 • Elaboración de Enunciados de Uso Aceptable de Sistemas de Información

 • Análisis de Riesgo de Activos de la Información –Para la implementación de

controles en su gestión

 • Planes de Continuidad de Negocio y Recuperación en caso de desastres

 • Certificación GFACE, SAT Guatemala

 • Programas de capacitación

 • Para el Examen CISSP de (ISC) 2 con la metodología del SANS® Institute

 • Programas de capacitación sobre seguridad informática

SEFISA Sistemas Eficientes, S.A. (Confidencial) 5

  • Para el Examen CISA de ISACA.

Todos ellos, servicios basados en metodologías de Códigos de Mejores Prácticas,

independientes de fabricantes y reconocidos internacionalmente –el caso de COBIT– y
otros estándares certificables como ISO 27001 y de industrias verticales.

SEFISA se posiciona para brindar soluciones completas; llegando hasta la elaboración

de planes de consultoría, capacitación, implementación y acompañamiento en la
certificación de organizaciones que desean implementar un Sistema de Gestión de
Seguridad de la Información (SGSI) certificable bajo la norma ISO/IEC 27001:2005.

SEFISA Sistemas Eficientes, S.A. (Confidencial) 6

Nuestra propuesta para el servicio de Plan Estratégico de Seguridad:

Acompañamiento y asesoría en 3 fases, en donde cada una depende de la anterior.

Diagnóstico Pre-Auditoria Remediación y creación

(Análisis de brechas) de plan y políticas
• Implementar cambios en la Red
• Análisis de flujos de procesos • Asesoría sobre compras
informáticos relacionadas a productos y
• Revisión del diseño de la Red servicios en Seguridad de la
• Identificación del Información.
ambiente de • Colocar procesos requeridos de
procesamiento del acuerdo a la tecnología de lugar.
negocio. • Instituir procesos formales
• Análisis de la recurrentes;
segmentación de la red • Documentar nuevos procesos,
• Enfoque en aplicaciones. mejorar políticas existentes y
• Entrevistas al personal brindar recomendaciones para
encargado (data/system nuevas políticas.
stakeholders)
• Verificar la integridad de otros Entregable:
usuarios y entidades
relacionados con el negocio.  Informe de trabajo y de control de
• Revisión de políticas y cambios.
documentación de seguridad
• Pruebas de control de seguridad
• Scanning de
vulnerabilidades.
• Pruebas de penetración
Validación certificada
a la red.
• Monitoreo interno
• Clasificación y medición de • Validación interna de controles de
seguridad
riesgos. • Auditoria de procesos de seguridad.
• Verificación de seguridad lógica • Revisar la configuración y el
diagrama de los sistemas
• Revisar las políticas y procesos
Entregable: funcionando.
• Obtener evidencia de los controles
 Informe de brechas (gap análisis) establecidos en el lugar.
• Completar reportes de cumplimiento
con las normas o estándares
internacionales de Seguridad.

Entregable:

 Informe de un CISSP validando que

los procesos de remediación
mitigaron las brechas analizadas.

SEFISA Sistemas Eficientes, S.A. (Confidencial) 7

Propuesta para CLIENTE:

SEFISA utiliza las normativas mas recientes como ISO/IEC ISO/IEC 27001:2005, Cobit
4.1 para definir buenas prácticas y cumplir con objetivos de control, así como la
utilización herramientas de Escaneo de vulnerabilidades, Pruebas de penetración,
controles de seguridad física, entre otras más.

Actualmente CLIENTE, desea implementar un Plan Estratégico de Seguridad de la

Información por fases, iniciando en el 2012 y finalizando en el 2015, en donde se
contempla alineación de procesos en base a buenas prácticas internacionales, así
como también la renovación y adquisición de dispositivos informáticos dedicados a la
seguridad de la información.

Por lo que nuestra propuesta quedaría de la siguiente manera:

Fase: Desarrollado en el periodo: Horas de desarrollo:

1- Diagnóstico Pre-Auditoria Abril 2012 – Noviembre 2012 100
2- Remediación y creación de Febrero 2013 – Junio 2014 250
Plan de Seguridad y Políticas

3- Validación Certificada Agosto 2014 – Marzo 2015 115

Esta propuesta esta considerada en base a la información proporcionada por CLIENTE

Cantidad Dispositivos:
1 Firewall
60 Access points
160 Switches
73 Routers.
1800 Equipos de usuario final (desktop y laptops).
148 Servidores aprox en todo Costa Rica (40 son críticos).
1 BD Oracle (principal instalada en servidores HP-UX).
7 BD Oracle distribuidas con diferentes esquemas de la BD principal, en servidores Windows.
57 BD Oracle para servicios desatendidos (contingencia) en versión 10g, en servidores
Windows.
10 BD SQL para históricos de los sistemas viejos del Lagar y Colonos.

SEFISA Sistemas Eficientes, S.A. (Confidencial) 8

Propuesta económica:

Fase Valor
1 Pre Auditoria – Gap Análisis $8,000
2 Remediación, Asesoría para
adquisición de dispositivos de
seguridad y creación/modificación de
Plan y Políticas de Seguridad $ 20,000
3. Validación certificada $ 9, 200
Valor total del proyecto $ 37,200

Términos:

 Vigencia de esta oferta 15 días.

 Estos precios están considerados en Dólares Americanos y si fueran pagados en
moneda nacional se utilizará el Tipo de Cambio del Día según el Banco Central
de Costa Rica.
 El precio en la propuesta económica se considera únicamente el trabajo en
Oficinas Centrales de CLIENTE, de requerirse una gira de trabajo del Asesor
asignado los viáticos deberán ser pagado o reintegrado por CLIENTE.
 Aceptada esta propuesta se definirá de una manera mas detallada el Plan de
trabajo y asignación de responsables para cada Fase.

Forma de Pago:

 Cada Fase se paga de forma independiente

o 50% al iniciar cada Fase

o 50% al terminar Fase y entrega de informes finales.

SEFISA Sistemas Eficientes, S.A. (Confidencial) 9

Certificaciones y Acreditaciones:

SEFISA Sistemas Eficientes, S.A. (Confidencial) 10

SEFISA Sistemas Eficientes, S.A. (Confidencial) 11
SEFISA Sistemas Eficientes, S.A. (Confidencial) 12
SEFISA Sistemas Eficientes, S.A. (Confidencial) 13