26 DE ENERO DE 2017

ING. JORGE LOPEZ

DIRECCIÓN GENERAL DE SISTEMAS DE
LA PROCURADURIA GENERAL DE JUSTICIA
DEL ESTADO DE TAMAULIPAS
PRESENTE

En atención a su solicitud de cotización, por este conducto, nos permitimos presentar a su

consideración nuestra propuesta, la cual se rige en apego a los requerimientos solicitados.
No omito señalar, que de acuerdo a las características del mismo, nuestro servicio se apegará
a las condiciones ofertadas en el presente documento para cubrir las expectativas de la
procuraduría.

SERVICIO DE AUDITORIA A LA
SEGURIDAD FISICA.
26 de Enero 2017

Contenido
Introducción ........................................................................................................................................ 3
Objetivo ............................................................................................................................................... 3
Alcance ................................................................................................................................................ 3
Entregables del servicio. ..................................................................................................................... 4
Equipo de trabajo ................................................................................................................................ 5
Metodología para la administración del proyecto .............................................................................. 5
Metodología para la gestión del cambio............................................................................................. 6
Plan de Trabajo.................................................................................................................................... 6
Arranque ............................................................................................................................................. 6
Actividades a Realizar.......................................................................................................................... 6
Cronograma del servicio ..................................................................................................................... 8
Requerimientos y participación de Cliente para el desarrollo del proyecto ...................................... 8
Requerimientos para los servicios ...................................................................................................... 9
Soporte ................................................................................................................................................ 9
Tecnología Utilizada ............................................................................................................................ 9
Factores críticos de éxito del servicio ................................................................................................. 9
Propuesta económica........................................................................................................................ 10
Riesgos............................................................................................................................................... 11
Introducción
Para asegurar que sus procesos, tecnologías y gente operan de una manera segura; el cliente
requiere un servicio de auditoria de seguridad física y detección de amenazas efectivo, que
le permita garantizar la confidencialidad de la información que se maneja en voz, datos y
video dentro de sus instalaciones con el objeto de mitigar los riesgos asociados a las brechas
de seguridad en sus instalaciones, sistemas y aplicativos.

Objetivo
 Realizar una auditoria en seguridad física para dar respuesta al requerimiento
solicitado a través de la metodología que nuestro grupo de expertos utilizan.
 El objetivo principal es realizar el análisis detallado y hacer recomendaciones a la
seguridad física con la finalidad de identificar cuál es su grado de visibilidad o
exposición de la información digital o analógica que se maneja en sus instalaciones,
e identificar los posibles riesgos en caso de que exista un intento de intrusión o robo
de la misma.
 Elevar los niveles de seguridad dentro de las oficinas, procesos, tecnología y gente
con la que actualmente se opera.

Alcance
Los alcances aquí planteados están orientados a cumplir con el objetivo mencionado, y están
acotados básicamente por los requerimientos comunicados en 2 partidas.

 Partida 1. Auditoria a la seguridad física: este trabajo consiste en la búsqueda física,

mediante instrumental específico para la localización de dispositivos encubiertos de
captura, almacenamiento y transmisión de audio y video por medos eléctricos,
electrónicos y electromagnéticos.

Para esto se considera la inspección con gente y equipo especializado en:

 El mobiliario de 6 salas.
 La red eléctrica de 6 salas.
 Plafones y muros de 6 salas.
 Un área de 100 metros cuadrados para analizar el espectro de frecuencias.
 El exterior del edificio o de las instalaciones una inspección visual y con equipo
específico para rastrear señales que puedan estar saliendo.
  50 equipos de cómputo un análisis de tráfico y uso de sistemas y aplicaciones a
través de túneles previamente autorizados por el cliente.

 Partida 2. Análisis Forense de equipo de cómputo: estás pruebas se realizarán a partir

de la clonación del disco duro del equipo especificado para el rastreo de información que
se solicita para detectar al culpable de un ataque dirigido (esta misma puede provocar
como resultado, un análisis de mayor cobertura si es que se encuentra información
contundente para inculpar a alguien y llegar a una conclusión que pueda tomar fines
legales, los costos de esta segunda etapa de análisis no está considerada en esta
propuesta).

Para esta prueba se considera:

 Que se podrá tener acceso al equipo y se tienen una carta con la autorización de la
alta dirección de poder trabajar con el equipo y su información.
 Que se autoriza la actualización del sistema operativo si es necesario para la mejora
y detección de información necesaria.

Nota: Esta Partida 2 se ejecutará con credenciales de un usuario con permisos

“normales/básicos o de Administración” según sea necesario y solo se entregara una
conclusión para saber si se puede proceder a ampliar los alcances de inspección e
investigación para identificar el origen del ataque.

Entregables del servicio.

Los entregables del servicio para la partida 1 son los siguientes:
 Resumen ejecutivo:
o Documento en Word con el resultado de los riesgos o brechas detectadas y
una conclusión del nivel de seguridad.
 Presentación ejecutiva
o Sumario de los riesgos o brechas encontradas
o Recomendaciones a considerar para la mitigación
 Reporte técnico
o Detalle de los análisis realizados (Evidencias)
o Lista de Herramientas utilizadas
o EL uso de configuraciones, scripts, exploits, etc.
*Testers: Personal de Carse Innovación Tecnológica, especialista en la ejecución de análisis
de seguridad.
Los entregables del servicio para la partida 2 será la conclusión sobre la existencia de
información o evidencia para ampliar los alcances de los trabajos, incrementado el detalle
(que implica costos extras) o no de los analisis.

Equipo de trabajo

El grupo de Testers está conformado por un grupo de expertos con amplia experiencia en
análisis de seguridad física y pruebas de penetración, siendo las más destacadas:

 Escaneo de Radiofrecuencias
 Análisis espectral
 Detección de juntas no lineales
 Análisis de la línea eléctrica
 Escaneo óptico de cámaras ocultas
 Aplicativos Web
 Aplicaciones Cliente Servidor
 Redes Corporativas
 Ingeniería Social (Phishing)
 Redes inalámbricas
 Cifrado de información

Roles Integrantes

Quality Assurance: Encargado de dar seguimiento a las actividades de los consultores

expertos y generador del reporte ejecutivo y la presentación ejecutiva.
Nombre: Luis Rojas.
Testers: Encargados de llevar a cabo las actividades descritas, realizando las
inspecciones, análisis y pruebas necesarias para la recolección de información, así como de
generar el reporte técnico de las mismas.

Metodología para la administración del proyecto

El proyecto contará con un administrador de proyecto (Quality Assurance) quien será

responsable de dar seguimiento a las actividades de acuerdo al plan de trabajo presentado y
acordado con el responsable del proyecto por parte del cliente.
Durante la ejecución del proyecto se identifican 3 fases

 El arranque del proyecto que se inicia con una reunión de arranque o Kick off donde
se revisa y confirman:
o Plan de trabajo
o Integrantes
o Alcances
 La etapa de ejecución de servicios:
o Donde se tendrán juntas de seguimiento semanales para reporte de avances e
incidencias.
 Cierre de proyecto
o Se presentan resultados y se firma carta de aceptación y cierre de servicios

Metodología para la gestión del cambio

Cualquier cambio, en términos del alcance u objetivos de los servicios aquí descritos, debe
ser formalizado, debidamente documentado, justificado en las minutas de seguimiento y de
acuerdo a los procedimientos establecidos por el cliente, tomando en cuenta que de tener un
impacto directo en la duración o cantidad de recursos a utilizar por Carse Innovación
Tecnológica, esto puede generar un costo extra.

Plan de Trabajo

Un plan de trabajo detallado y con fechas específicas deberá ser presentado al inicio del
servicio considerando todas las actividades aquí descritas pero ajustándose a la
disponibilidad, tiempos y labores de gestión del cliente, no debiendo exceder en ningún caso
la duración original acordada.

Arranque
 Junta de Kick Off
o Presentación de equipo de trabajo
o Presentación de principales hitos del proyecto
o Se define línea base de plan de trabajo detallado.

Actividades a Realizar

 Partida 1. Auditoria de Seguridad Física

o Identificación de puntos claves
 o Obtención de acceso físico a las áreas
o Obtención de acceso físico a los muebles o equipos
o Enumeración de áreas a revisar
o Enumeración de la secuencia de revisión
o Escaneo de radiofrecuencias de campo cercano
o Análisis espectral hasta 8Ghz
o Detección de junturas no lineales
o Análisis de las líneas eléctricas
o Inspección ocular de los aparatos eléctricos y electrónicos
o Escaneo de señales inalámbricas de red y de video
o Escaneo óptico de lentes de cámara oculta
o Verificación de tramas telefónicas dentro de las oficinas
o Sellado de objetos sospechosos
o Análisis de red de voz y datos
o Generación de informe técnico

 Entregable: Documento técnico de la Información recolectada y sus métodos.

 Partida 2. Análisis Forense

o Obtener el acceso físico al equipo de cómputo involucrado

o Obtención de una copia (CLON) del disco duro involucrado
o Obtención de registros a nivel disco
o Análisis de búsqueda especifica de información
o Generación de evidencias
o Generación de resultados o conclusiones
o Generación de siguientes pasos para una mayor búsqueda incriminatoria (si
es el caso)

 Entregable: Documento de la información recolectada y conclusión respecto a la

ampliación de los alcances de búsqueda para identificar al posible agresor.

 Revisión de la documentación
 Modificaciones por Vo.Bo.
 CIERRE
o Junta de cierre del proyecto.
Cronograma del servicio

La ejecución de los servicios tanto para la auditoria de seguridad física como para el análisis
forense, se esquematizan en el siguiente cronograma el cuál una vez contratado el servicio
puede ser modificado en cuanto al orden más no así duración.

FEBRERO
ACTIVIDAD 10 11-12 13-17 17 20
INICIO DE ACTIVIDADES X
INSPECCIÓN FISICA X
ANALISIS FORENSE X X
REPORTES X
1ER DRAF PARA
X
REVISION
ENTREGA FINAL X

Requerimientos y participación de Cliente para el desarrollo del proyecto

 Designar personal del cliente como responsable del equipo de seguridad con el que
el grupo de testers pueda contactar cuando sea identificado un riesgo, brecha y/o
vulnerabilidad catalogada como alta, grave o crítica.
 Designar uno o más facilitadores que pueda apoyar con:
o El acceso al equipo de cómputo para el análisis forense con credenciales de
administrador.
o La entrega de requerimientos y validación para la inspección física de las
oficinas:
 Definición de los 100 metros cuadrados a inspeccionar con las 6 salas
de trabajo involucradas.
 Acceso completo a las áreas a inspeccionar.
 Definir el acceso a mobiliario controlado o equipo distinto ubicado
dentro del área de inspección.
 Proporcionar datos sobre los materiales existentes en la construcción
del inmueble.
 Proporcionar planos eléctricos y de aire acondicionado existentes en
el inmueble.
  Asegurar que se tendrá acceso a alturas mayores a 2 metros en las
instalaciones, ya que no está considerado escaleras o andamios que
permitan estos accesos a áreas mayores a la altura de 2 metros.
 Confirmar el tipo o clasificación de la información crítica o sensible
que se quiere proteger.

Requerimientos para los servicios

Se requiere la firma de un NDA donde garantizamos la confidencialidad de la información

vista, encontrada o generada en el proyecto.
Se requerirse autorización explícita para realizar:
 Análisis forense sobre el o los equipos especificados o solicitados.
 Revisión física de las instalaciones, inmuebles y equipos ubicados en el área a realizar
los trabajos.

Soporte

Los servicios solicitados en esta propuesta no requieren soporte adicional al que prestarán
los consultores a las actividades descritas en el servicio.
Tecnología Utilizada
Las herramientas a utilizar se especificarán en los entregables de acuerdo a cada una de las
evidencias encontradas y acciones tomadas

Factores críticos de éxito del servicio

Responsabilidades.

Durante la ejecución del Servicio, el cliente y Carse Innovación Tecnológica compartirán

responsabilidades que serán críticas para el logro de los objetivos planteados.

Cliente

 Participar activamente con los consultores en las actividades que se determinen.

 Proporcionar la información solicitada por Carse Innovación Tecnológica de acuerdo
a lo solicitado en los requerimientos previos.
 Resolver cualquier conflicto que pudiera presentarse.
 Carse Innovación Tecnológica
 Establecer el orden y estructura con la que el proyecto deberá de ejecutarse
 Designar personal con la suficiente experiencia y capacidad
 Coordinar las actividades
 Facilitar el intercambio de opiniones
 Elevar y coordinar la resolución de posibles conflictos
 Desarrollar los entregables de acuerdo a las necesidades específicas del cliente
 Guardar plena confidencialidad de los trabajos realizados y la información obtenida

Propuesta económica. 26 de enero de 2016

Partida Objetivo Monto US
1. Auditoria a Búsqueda física, mediante instrumental específico para la localización de
la seguridad dispositivos encubiertos de captura, almacenamiento y transmisión de audio $90,000.00
física: y video por medos eléctricos, electrónicos y electromagnéticos.
2. Análisis Pruebas a partir de la clonación del disco duro de equipo especificado para
Forense de el rastreo de información que se solicita para detectar al culpable de un
equipo de ataque dirigido. $80,000.00
cómputo: Análisis forense de equipo de cómputo definido para las redes sociales
(Facebook)
Sub total $170,000.00
IVA $27,200.00
Total $197,200.00

 Ciento Noventa y siete mil doscientos dólares americanos 00/100 MN IVA

incluido
 Cotización presentada en Dólares Americanos
 El pago podrá realizarse en moneda nacional al tipo de cambio vigente a la fecha
de pago.
 El pago de los servicios deberá ser liquidado en su totalidad antes del inicio de
los servicios.
 Precios Fijos durante la vigencia de la propuesta
 Precios se presentan desglosando el IVA

C. José Alberto Martínez Gasca

Representante
ANEXO 1
Riesgos
Dentro de las pruebas que se estarán realizando es posible que se presenten estos casos:
 Posibilidad de que algunos de los servicios se degraden
 Posibilidad de que se pueda acceder a información que pueda ser considerada como
sensible
 Posibilidad de que alguno de los dispositivos de telecomunicaciones (routers,
switches y firewalls) puedan verse afectados ante alguno de los escaneos y pruebas
que se realizaran.
 Los servicios solicitados en esta propuesta requieren el soporte adicional de la gente
responsable del inmueble donde se prestarán los servicios y donde realizaran los
consultores las actividades descritas en el servicio.

C. José Alberto Martínez Gasca

Representante