Fase 1 Diagn

Actividad

1. Hacer un estudio de la documentación existente relacionada con la Seguridad y

Privacidad de la Información de APC-COLOMBIA, cuya finalidad es evaluar la alineación de
la documentacion.
2, Revisar y evaluar la gestión actual de la seguridad de la información de la Entidad, el
nivel de conformidad que la Entidad tiene para cumplir los requisitos establecidos en la
Norma específicamente el componente de seguridad y
privacidad de la infomación, con el fin de determinar las brechas y desviaciones

Fase 2 Estructura y Gobierno del Sistema de Gestión de Segur

Actividad

1. Definir la Política lnstitucional del Sistema de Gestión de Seguridad de la Infomación

(SGSl).
2. Gestión de Seguridad de lalnfomación Definir los Objetivos del Sistema de Gestión de
Seguridad de la lnformación (SGSI).
3. Establecer y documentar el alcance del Sistema de Gestión de Seguridad de la
lnformación (SGSI).
4. Establecer la estructura de Gobierno del SGSl, así como los roles y responsabilidades,
involucrando las diferentes dependencias en la implementación y la gestión del mismo.
5. Definir el conjunto de políticas de seguridad de la infomación, que apalanquen el
cumplimiento de la Política lnstitucional deI SGSI.

Fase 3 Revisión, identificación y clasificación Activos de informa

Actividad

Revisión y actualización de la documentación de los activos de información para los

proceso de la entidad, inluyendo los aspectos de Ley de Trasnaprencia, Ley de protección
de datos y Seguridad de la Información

FASE 4 - Gestión De Riesgos

Actividad
Identificación, análisis y valoración de los riesgos de seguridad de la información sobre los
activos de infomación de los todos los procesos de la Entidad. Se debe definir la
metodología para la identificación, valoración y tratamiento de los riesgos de seguridad de
la información, la cual como mínimo debe contener: los criterios de valoración de riesgos,
los criterios de aceptación de riesgos y los niveles de riesgo aceptable

Fase 5 Diseño de procedimeintos del SGSI

Actividad

Elaborar o actualizar, los procesos o procedimientos de seguridad de la infomación,

integrarlos al mapa de procesos institucionales y
realizar las actividades pertinentes para visibilizar el SGSl (como subsistema del Sistema
lntegrado de Gestión SIG), y deteminar la integración con los demás Sistemas de Gestión
con que cuente la Entidad. Se deben elaborar los siguientes procedimientos esenciales
para el SGSl con sus respectivos fomatos.

Fase 6. Diseño de Métricas para medir la eficacia y eficiencia de

Actividad
Definir los indicadores que pemitan medir la eficacia, eficiencia y efectividad del SGSl y los
controles de seguridad implementados, estos indicadores deben pemitir evaluar la eficacia
de los controles implementados, la eficiencia deI SGSl y el logro de los objetivos de
seguridad.

Fase 7 Pruebas de Ethical Hacking

Actividad

En esta fase se deben realizar pruebas internas y externas de hacking ético cada prueba
debe incluir un test y retest.

Fase 8 Declaración de Aplicabilidad

Actividad

Elaborar o actualizar la Declaración de Aplicabilidad que incluya los objetivos de control y

controles a aplicar o adoptar en el SGSI. Se deben documentar los controles actualmente
implementados, así como la exclusión de cualquier de ellos, esto tomando como base en el
anexo A de la norma lSO/lEC 27001 :2013.

Fase 9 Entrenamiento Sensibilización

Actividad

En esta fase se deben definir las actividades que hacen parte de los planes de
sensibilización concienciación en lo relacionado con la seguridad de la información, de las
cuales se espera como mínimo: Charla taller de sensibilización concienciación dirigida a
nivel directivo de la Entidad.

Una (1) Charla o taller de sensibilización concienciación dirigida los funcionarios y/o
contratistas. Esta actividad se debe realizar en dos (2) sesiones de mínimo cuatro (4) horas
cada una.

Fase 10 Plan de Recuperación de Desastres, DRP

Actividad
Realizar el análisis de impacto al negocio BIA, para identificar categorizar y priorizar los
servicios de TI y los servicios activos que lo soportan.

Diseñar en conjunto con la Entidad las alternativas de continuidad que se pueden

implementar en el corto, mediano y largo plazo, de acuerdo a los resultados del análisis de
impacto y los riesgos de continuidad identificados.

Definir en conjunto con la entidad las políticas, planes y requerimientos para garantizar la
continuidad de los servicios de TI en caso de desastres con base en los resultados del
Análisis de Impacto del negocio y las Estrategias de Continuidad definidas.
 Fase 1 Diagnostico

Entregable Valor Total Actividad

1 ) lnforme ejecutivo con la identificaciÓn del nivel de madurez de la gestión de la

seguridad de la infomaciÓn y principales hallazgos y recomendaciones, resultado del
análisis GAP.
2) lnforme de resultados de evaluación y diagnóstico, en donde se indican los
resultados por cada dominio de la norma NTC-ISO/IEC 27001 :2013 y las mejores $ 23,000,000.00
prácticas lSO/lEC 27002:2013.
3) Establecimiento del plan de acción para la adecuación de los requisitos a lo
establecido en la noma NTC-lSO/lEC 27001 :2013

no del Sistema de Gestión de Seguridad de la Información

Entregable Valor Total Actividad

1 ) Manual del SGSI.

2) Política Institucional del Sistema de Gestión de Seguridad de la lnfomación (SGSl),
la cual debe contener como mínimo: Contexto de la organización
3) Partes interesadas deI SGSl, Necesidades y expectativas de las partes interesadas,
Alcance del SGSI, Objetivos de seguridad de la infomación (SGSl), Estructura de
gobierno de seguridad de la lnfomación, Roles y responsabilidades de seguridad de $ 12,000,000.00
la infomación; Recursos para el SGSl, competencias para el SGSl, Toma de conciencia
para el SGSl y Comunicaciones para eI SGSl.
4) Política de requerimientos legales, regulatorios y contractuales.
5) Políticas de seguridad de la 'nfomación por dominio de la noma NTC-ISO/IEC
27OO1 :2013.
6) Política de Gestión de lncidentes de Seguridad de la lnfomación.

ón y clasificación Activos de información

Entregable Valor Total Actividad

1 ) Política de Gestión y clasificación de Activos de infomación.

2) Matriz de ldentificación, clasificacjón e inventario de Activos de lnfomación según
alcance del SGSl.
3) Matriz de ldentificación y Clasificación de lnfomación.
4) Guía de clasificación de infomación, la cual como mínimo debe incluir las
recomendaciones en cuanto a: Acceso pemitido, Métodos de distribución, $ 26,000,000.00
Restricciones en la distribución electrónica, almacenamiento y/o archivado,
disposición final.
5) Guía para la gestión de los activos de infomación, la cual debe contener los
Iineamientos para la gestión de los activos y de la infomación.

- Gestión De Riesgos
Entregable
 1) Metodologias del analisis, evaluación y tratamiento de riesgos
2) Matriz de identificación, valoración y tratamiento de los riesgos de seguridad de la
jnfomación;
3) Implementación de la metodología del análisis e infome de evaluación de riesgos
(En la herramienta de gestión del SGSl).
4) Infome de identificación de controles necesarios para mitigar o transferir el riesgo.
5) lnfome completo del análisis de amenazas. $ 22,000,000.00
6) lnfome completo del análisis de vulnerabilidades.
7) Matriz de niveles de riesgo.
8) lnfome con los resultados del ejercicio de identificación, valoración y tratamiento
de riesgos de seguridad de la infomación.
9) Planes de acción para el tratamiento de los riesgos de seguridad de la infomación
detectados

de procedimeintos del SGSI

Entregable Valor Total Actividad

1 ) Elaboración o actualización del Procedimiento de Gestión de lncidentes de

Seguridad de la lnfomación,
2) Elaboración o actualización del Procedimiento de gestión de riesgos de seguridad
de la infomación (análisis, evaluación y tratamiento).
3) Elaboración o actualización delProcedimiento de gestión de políticas de seguridad
de la información.
4) Elaboración o actualización delProcedimiento de gestión de los activos de
infomación.
5) Elaboración o actualización delProcedimiento de Control de Documentos y
Registros. $ 12,000,000.00
6) Elaboración o actualización del Procedimiento de GestiÓn de Cambios lT.
7) Elaboración o actualización delProcedimiento de Monitoreo de la lnfraestructura.
8) Elaboración o actualización del Procedimiento ldentificación, Actualización y
Cumplimiento de Requisitos Legales.
9) Elaboración o actualización delProcedimiento de lntercambio Seguro de
lnformación.
10) Elaboración o actualización del Procedimientos de gestión del SGSl alineados al
Sistema de Gestión de CaIidad: Control de documentos y Registros (infomación
documentada), Auditorías lnternas, Acciones correctivas, revisión por la dirección

para medir la eficacia y eficiencia del SGSI

Entregable
 1 ) Documento con el establecimiento y con el diseño de las métricas y de los
indicadores del Sistema de Gestión de Seguridad de la lnfomación (SGSl), por cada $ 11,000,000.00
uno de los dominios y controles.

ebas de Ethical Hacking

Entregable Valor Total Actividad

1 ) Infome técnico de cada una de las pruebas externas.

2) lnfome técnico de cada una de lass pruebas internas.
3) lnforme ejecutivo de cada una de las pruebas internas y externas. 4500000 + IVA
4) Plan de remediación de las brechas y/o vulnerabilidades identificadas.

aración de Aplicabilidad
Entregable Valor Total Actividad

Matriz y documento con la Declaración de ApIicabilidad. $ 4,500,000.00

enamiento Sensibilización
Entregable Valor Total Actividad

1) Documento con el plan de comunicación, sensibilización concienciación en

seguridad de la información.
2) Informe de Gestión y Monitoreo (indicadores) de los planes de sensibilización
concienciación ejecutados. 3) Memorias material de apoyo de las charlas para la
promoción de la cultura de la Seguridad de la información (Material didáctico
necesario para apoyar las labores de sensibilización divulgación en seguridad de la $ 45,000,000.00
información, el cual debe incluir: Presentaciones ppt, videos, salvapantallas,
elementos de concientización impresos (folletos, afiches, boletines, etc.), y
elementos haciendo alusión seguridad de la información

ecuperación de Desastres, DRP

Entregable Valor Total Actividad
Documento análisis de Impacto BIA
Documento con la Estrategia de continuidad para los servicios de TI
41,000,000+IVA
Documento con las políticas, planes y requerimientos para implementar la estrategia
de continuidad para los servicios de TI

$ 155,500,000.00
 Tiempo Cantidad de
Valor + Iva(19%) Aproximando en Horas
Meses Tipo Hombre Tipo de recursos

Facilitador Líder
(FL)
$ 27,370,000.00 1.5 Consultivo 110 Facilitador Analista
(FA)

$ 14,280,000.00
Mentoría. Proceso de
acompañamiento y
seguimiento. En los
procesos de mentoría no se
3 120 Facilitador Líder
responde por los
entregables, se validan que
sean realizados por quien
está ejecutando la tarea

Facilitador Líder
(FL)
$ 30,940,000.00 2 Consultivo 120 Facilitador Analista
(FA)
 Facilitador Líder
(FL)
$ 26,180,000.00 3 Mentorizado- Consultivo 170 Facilitador Analista
(FA)

Mentoría. Proceso de
acompañamiento y
seguimiento. En los
procesos de mentoría no se
$ 14,280,000.00 3 140 Facilitador Líder
responde por los
entregables, se validan que
sean realizados por quien
está ejecutando la tarea
 Facilitador Líder
(FL)
$ 13,090,000.00 1 Consultivo 50 Facilitador Analista
(FA)

No se contrata

Mentoría. Proceso de
acompañamiento y
seguimiento. En los
procesos de mentoría no se
$ 5,355,000.00 1 55 Facilitador Líder
responde por los
entregables, se validan que
sean realizados por quien
está ejecutando la tarea

Facilitador Líder
(FL)
$ 53,550,000.00 3 Consultivo. 200 Facilitador Analista
(FA)

Campaña de sensibilización donde se oriente de man

 3

No se contrata
$ 185,045,000.00
FL Valor FL Descripción FL FA

El facilitador líder se encarga:

Revisión del proceso del analista
Hacer seguimiento de las actividades de
10 $ 3,000,000.00 los analistas 100
Revisión de los analisis de los resultados
Ejecución de las presentaciones de
resultados

El Mentor se encarga de:

Tener reuniones de seguimiento
semanales con el menteé
Revisar a través de los espacios de trabajo
40 $ 12,000,000.00 los avances realizados 0
Hacer recomendaciones sobre los
procesos ejecutados
Acompañar al menteé en los procesos de
presentación de resultados

El facilitador líder se encarga:

Revisión del proceso del analista
Hacer seguimiento de las actividades de
20 $ 6,000,000.00 los analistas 100
Revisión de los analisis de los resultados
Ejecución de las presentaciones de
resultados
 El Mentor se encarga de:
Tener reuniones de seguimiento
semanales con el menteé
Revisar a través de los espacios de trabajo
40 $ 12,000,000.00 los avances realizados 50
Hacer recomendaciones sobre los
procesos ejecutados
Acompañar al menteé en los procesos de
presentación de resultados

El Mentor se encarga de:

Tener reuniones de seguimiento
semanales con el menteé
Revisar a través de los espacios de trabajo
40 $ 12,000,000.00 los avances realizados 0
Hacer recomendaciones sobre los
procesos ejecutados
Acompañar al menteé en los procesos de
presentación de resultados
 El facilitador líder se encarga:
Revisión del proceso del analista
Hacer seguimiento de las actividades de
10 $ 3,000,000.00 los analistas 40
Revisión de los analisis de los resultados
Ejecución de las presentaciones de
resultados

El Mentor se encarga de:

Tener reuniones de seguimiento
semanales con el menteé
Revisar a través de los espacios de trabajo
15 $ 4,500,000.00 los avances realizados 0
Hacer recomendaciones sobre los
procesos ejecutados
Acompañar al menteé en los procesos de
presentación de resultados

El facilitador líder se encarga:

Revisión del proceso del analista
Hacer seguimiento de las actividades de
50 $ 15,000,000.00 los analistas 150
Revisión de los analisis de los resultados
Ejecución de las presentaciones de
resultados

zación donde se oriente de manera dinamica los temas de seguridad que se rataran para las consultorias Nota las Letras en rojo no incluir
 Valor FA Descripción FA FA(Empresa)

El analista se encarga de:

Las operaciones de campo, recolección de
los datos, reuniones con las partes
$ 20,000,000.00 0
diligenciado los instrumentos de
recolección
Ejecución de las actividades

$ - N/A 80

El analista se encarga de:

Las operaciones de campo, recolección de
los datos, reuniones con las partes
$ 20,000,000.00 0
diligenciado los instrumentos de
recolección
Ejecución de las actividades
 El analista se encarga de:
Las operaciones de campo, recolección de
los datos, reuniones con las partes
$ 10,000,000.00 80
diligenciado los instrumentos de
recolección
Ejecución de las actividades

$ - N/A 100
 El analista se encarga de:
Las operaciones de campo, recolección de
los datos, reuniones con las partes
$ 8,000,000.00 0
diligenciado los instrumentos de
recolección
Ejecución de las actividades

$ - N/A 40

El analista se encarga de:

Las operaciones de campo, recolección de
los datos, reuniones con las partes
$ 30,000,000.00 0
diligenciado los instrumentos de
recolección
Ejecución de las actividades

consultorias Nota las Letras en rojo no incluir en la cotización.

 Descripción FA(Empresa) FL $ 300,000.00

N/A FA $ 200,000.00

El analista provisto por la empresa para

realizar la labor de menteé se encarga de:
Las operaciones de campo, recolección
de los datos, reuniones con las partes
diligenciado los instrumentos de
recolección
Ejecución de las actividades

N/A FA
 El analista provisto por la empresa se
encarga de:
Las operaciones de campo, recolección
de los datos, reuniones con las partes FA
diligenciado los instrumentos de
recolección
Ejecución de las actividades

El analista provisto por la empresa para

realizar las labores de menteé se encarga
de:
Las operaciones de campo, recolección
de los datos, reuniones con las partes
diligenciado los instrumentos de
recolección
Ejecución de las actividades
 N/A

El analista provisto por la empresa para

realizar las labores de menteé se encarga
de:
Las operaciones de campo, recolección
de los datos, reuniones con las partes
diligenciado los instrumentos de
recolección
Ejecución de las actividades

N/A
Descubrir
Divisar
 Desarrollar

La fase de desarrollo esta divida en dos tiempos:

Diseño de planes de acción. Esta fase esta centrada en basado en el análisis de los documentos y la determinación de su suficie
respectivos planes de acción, así como las prioridades de los mismos, y la determinación de recursos, y entregables por cada pl
Esta segunda parte centrada en la ejecución de los respectivos planes de acción. Esta centrado en ser las manos en sitio para eje
construidos.
 determinación de su suficiencia, se definen los
s, y entregables por cada plan creado.
r las manos en sitio para ejecutar los planes
Desaprender
 Diseño Plan de Acción Implementación Plan de Acción
FDT-GR FDT-GR
Avance definición e implementación de la Estrategia 

Diseño Plan de Acción

FDT-P3R2 Implementación Plan de Acción
FDT-P3R2

Diseño Plan de Acción Implementación Plan de Acción

FDT-GCOS FDT-GCOS

Diseño Plan de Acción Implementación Plan de Acción

FDT-GIT FDT-GIT

Diseño Plan de Acción

FDT-M3

De 26 a 72 semanas
e Acción

Implementación Plan de Acción

FDT-GIT

iseño Plan de Acción Implementación Plan de

FDT-M3 Acción FDT-M3
 TIPO

Total de todas las fases

Ethical Hacking
 TIPO

Las Fase de Descubrir, Divisar, Desarrollar planes de

acción (no contempla la implementación de los
planes) y Desaprender

Ethical Hacking
 TIEMPO DEDICACIÓN
Medio tiempo de las fases (Descubrir, Divisar, Desarrollar
Planes de trabajo, Desaprender) total estimado 24
semanas de trabajo

Tiempo completo de las fases son (Descubrir, Divisar,

Desarrollar Planes de trabajo, Desaprender) total estimado
12 semanas de trabajo

Tiempo completo total estimado 8 semanas de trabajo

 VALOR
100.000.000 COP sin tener impuestos
contemplados. Tiempo estimado de trabajo 22
semanas

200.000.000 COP sin tener impuestos

contemplados. Tiempo estimado de trabajo 11
semanas

45.000.000 COP sin tener impuestos

contemplados. Tiempo estimado de trabajo 8
semanas