Proyecto Auditoría de SGSI

---

CUMPLIR LAS PREMISAS DE SEGURIDAD

El pentester deberá cumplir las siguientes premisas de seguridad:

• Determinar en conjunto con EL SUPERVISOR DEL CONTRATO cómo se considerará el nivel de riesgo estimado (Alto, Medio, Bajo) que se utilizará como parámetro para la calificación de las vulnerabilidades.
• No se ejecutará simultáneamente más de una herramienta por objetivo de prueba, para evitar o minimizar la explotación accidental de vulnerabilidades que generen errores, fallas en los servidores o dispositivos de conexión.
• Una misma prueba o fase se podrá ejecutar sobre los Servidores Objetivo más de una vez pero con distinta herramienta, para propósitos de Comparación y optimización de resultados.
• Registro y documentación de la evidencia y vulnerabilidades identificadas por objetivo de prueba.
• Las pruebas de vulnerabilidad se deberán realizarán con absoluto cuidado para  no tener caídas o fallas de servidores, ciclos inactivos y otros problemas causados de manera inadvertida por las actividades de escaneo. Para lo cual el pentester deberá previamente determinar que se requiere para ejecutar la prueba en un ambiente controlado.
• Por ningún motivo se autoriza al pentester a divulgar información que se conozca de la ENTIDAD en desarrollo de la ejecución del contrato.
• Garantizar el cumplimiento de la política de Gestión Integrado de la ENTIDAD, sus procedimientos, instructivos y manuales.

EQUIPO DE TRABAJO

El pentester deberá estar directa y constantemente vinculado con la ejecución del contrato, de acuerdo con el plan de cargas y trabajo, durante la realización de cada escenario de las pruebas.

El equipo de trabajo debe contar como mínimo con una persona para cada cargo o perfil del Equipo de Trabajo; una misma persona no podrá desempeñar dos cargos a la vez. Sólo se requiere un Gerente de Proyecto y un especialista para las pruebas de vulnerabilidad.

RESPONSABILIDAD DEL GERENTE DEL PROYECTO O PENTESTER SI NO LO HAY

Serán responsabilidades del Gerente de Proyecto, las siguientes, sin limitarse a ellas:

• Garantizar el correcto desarrollo de todas las actividades de inicio, ejecución y cierre del proceso de contrato en nombre de la empresa.
• Cumplimiento de principios éticos y de confidencialidad.
• Garantizar la ejecución del plan de cargas y de trabajo del proyecto y mantenerlo actualizado.
• Documentar el plan de ejecución del contrato, de cómo se planeó y como se ejecutó, al igual que las actividades adicionales o modificaciones que fueron necesarias para el logro del desarrollo del contrato.
• Velar por el cumplimiento de la prestación de los servicios contratados con las especificaciones y niveles establecidos en la documentación del contrato.
• Mantener informado al supervisor del contrato de LA ENTIDAD sobre el estado y avance del proyecto.
• Definir los mecanismos de monitoreo y seguimiento al desarrollo del proyecto.
• Velar por la administración de la calidad y de los riesgos durante la ejecución del proyecto.
• Velar por el cumplimiento de los resultados del proyecto y formular las acciones que permitan lograr el impacto esperado y la continuidad de los servicios.
• Entregar al supervisor del contrato cuando se requiera los entregables que se pacten en desarrollo del proyecto.
• Coordinar el trabajo de cada uno de los miembros del equipo de trabajo que este asignado al proyecto, las actividades que sean necesarias para el logro de los objetivos del proyecto.
• Y las demás que sean necesarias para la cabal y correcta ejecución del objeto del contrato.

RESPONSABILIDADES DEL ESPECIALISTA DE PRUEBAS DE VULNERABILIDAD

Serán responsabilidades del Especialista de las Pruebas de Vulnerabilidad, las siguientes, sin limitarse a ellas:

• Velar por el cumplimiento de la prestación de los servicios contratados con las especificaciones y niveles establecidos.
• Coordinar todas las actividades y ejecución de la prestación de los servicios con el gerente del equipo de trabajo.
• Mantener informado al supervisor del contrato de LA ENTIDAD sobre el estado y avance del proyecto.
• Velar por el cumplimiento de los resultados del proyecto y formular las acciones que permitan lograr las metas esperadas.
• Velar por la continuidad de la prestación del servicio de la ENTIDAD, cumpliendo las premisas de seguridad.
• Establecer el plan de pruebas de Vulnerabilidad y de intrusión para verificación y aprobación previa por parte de la ENTIDAD, para que las mismas sean ejecutadas de manera controlada.
• Entregar toda la información, que sea requerida como parte de los entregables en la forma y contenido solicitado.
• Las actividades tendrán como objetivo la obtención de pruebas del tipo “screen prints” o captura de datos representativos.
• En caso de aparición de algún resultado destructivo o de interrupción o se considere riesgoso y atente contra las premisas de seguridad, la prueba deberá ser interrumpida en forma inmediata, informando la novedad al Gerente del equipo de trabajo y a LA ENTIDAD para la ejecución de las tareas de recuperación requeridas.
• Las actividades serán reanudadas una vez recibida la indicación formal, tomando las medidas preventivas correspondientes.
• No se realizarán pruebas intrusivas a las vulnerabilidades detectadas, sin evaluar los riesgos correspondientes y previa planeación de la actividad con LA ENTIDAD.
• Y las demás que sean necesarias para la cabal y correcta ejecución del objeto del contrato.

DESARROLLO DE LAS PRUEBAS DE VULNERABILIDAD Y ETHICAL HACKING

Durante el plazo de ejecución del contrato EL CONTRATISTA aplicará dos escenarios de pruebas de vulnerabilidades y ethical hacking, de la siguiente infraestructura tecnológica de LA ENTIDAD:

Cantidad de Dispositivos	Mínimo
Numero de dirección internas a verificar:	Total 90 Direcciones  Internas, así 31  Servidores 15  Equipos CISCO y 3COM 07  Switches LAN 07  Routers de red WAN 23  Estaciones de trabajo 07  Estaciones de Trabajo Intendencias Regionales, una de cada sede.
Numero de direcciones externas a verificar:	23 Dirección IP 23 IP Publicas Públicas

 

Cantidad de Dispositivos	Mínimo
Escaneo de Redes inalámbricas:	9 Access Point  9 Direcciones Inalámbricas
Aplicaciones	Pruebas Internas y Externas a Seis Sistemas de Información Aplicación Base de Datos Arquitectura STORM Informix Web SIGS Informix Cliente/Servidor Sistema de Gestión Documental SQL Server Informix Cliente/Servidor WEB BARANDA VIRTUAL Informix SQL Server WEB SIREM DB2 WEB STONE SQL Server Cliente/Servidor

 

De los resultados de las pruebas de vulnerabilidad se seleccionará un máximo de TREINTA (30) objetivos de intrusión, de común acuerdo entre las partes.

Cada escenario deberá desarrollarse siguiendo las siguientes fases y presentando toda la documentación a satisfacción de conformidad con la fase de entregables.

FASE I. Planeación y definición de mecanismo de seguimiento y control

EL CONTRATISTA y LA ENTIDAD ajustaran las fechas de inicio y fin de cada una de las actividades contenidas en el plan de trabajo y además establecerán el criterio de seguimiento y control de los resultados esperados.

Se establecerán los recursos de hardware y software necesario en cada una de las actividades.

Igualmente deberá identificarse las acciones necesarias para corregir los desfases presentados o los re-direccionamientos necesarios del plan y cargas de trabajo.

FASE II. Identificación y evaluación de riesgos de la ejecución de las pruebas.

EL CONTRATISTA debe realizar como primera etapa la identificación y evaluación de riesgo de la ejecución de las pruebas de vulnerabilidad, que contenga mínimo la siguiente información:

• Descripción de la Actividad
• Amenaza
• Vulnerabilidad
• Descripción del Riesgo
• Probabilidad de Ocurrencia
• Impacto
• Nivel de riesgo
• Actividades que lo mitigan

En esta fase, para la aplicación del segundo escenario de pruebas y ethical hacking, deberá tomar la información encontrada y generada del primer escenario, para realizar un comparativo del estado de identificación y evaluación de riesgo.

FASE III. Levantamiento de Información

LA ENTIDAD le entregará únicamente las direcciones IP y se deberá recoger toda la información necesaria para las pruebas internas y externas a los activos de información.

FASE IV. Análisis de las Vulnerabilidades

Dependiendo de la información del levantamiento de información EL CONTRATISTA establecerá la o las herramientas necesarias para la aplicación de las pruebas de vulnerabilidad dentro de las cuales debe contemplar:

Por cada ciclo de análisis de vulnerabilidades realizada se debe entregar un informe  ejecutivo que contenga como mínimo los siguientes elementos:

• Descripción de las pruebas realizadas.
• Metodología utilizada.
• Listado de vulnerabilidades encontradas en los elementos de la plataforma tecnológica.
• Puertos y servicios habilitados.
• Evidencias de la información a la que se tuvo acceso dentro del dispositivo.
• Las acciones que se pudieron realizar.
• Bibliografía con Información de referencias sobre la vulnerabilidad.
• Amenazas hacia la información: Pérdida, Modificación, Fuga u otro, cual.
• Posible solución o recomendación corrección de vulnerabilidades que sea de naturaleza realista y ejecutable por parte de la Entidad, indicando las acciones a seguir.

En esta fase, para la aplicación del segundo escenario de pruebas y ethical hacking, deberá tomar la información encontrada y generada del primer escenario, para realizar un comparativo del análisis de vulnerabilidades.

a. Pruebas internas y externas

A.    Revisión de la red / pruebas de conectividad:

• Validar la visibilidad que se tiene desde la posición del equipo del evaluador.
• Revisión de la ruta entre el equipo del evaluador y el objetivo de prueba a evaluar.
• Seleccionar los módulos o plug-ins de las posteriores herramientas a utilizar.

B.    Escaneo de Puertos y Servicios de cada uno de los Objetivos:

Con esta actividad se identifican los puertos visibles en los objetivos desde la ubicación del evaluador. Esto proporciona una información inicial acerca de potenciales puntos de acceso al Objetivo:

• Revisión de puertos TCP
• Revisión de puertos UDP disponibles
• Usuarios y contraseñas de sistema operativo.
• Permisos débilmente establecidos sobre archivos de sistema e incluso llaves de registro.
• Recursos compartidos.
• Revelación de información a través de protocolos inseguros (RCP, NetBIOS Shares).

C.   Identificación de Servicios y Enumeración:

Una vez se tiene la lista de puertos disponibles, se debe asociar un servicio a cada uno. Para esto EL CONTRATISTA deberá realizar las siguientes tareas:

• Verificación del servicio existente en cada puerto
• Realizar chequeo de Banners para identificar versiones o actualizaciones instaladas del servicio.
• Enumeración: Extracción de nombres de usuarios, nombres de máquina, recursos de red compartidos en los objetivo de prueba.

D.   Aplicación de métodos Cracking por objetivo de prueba

Entendida como la forma de recuperar cuentas de usuario y clave o contraseña probando todas las combinaciones posibles hasta encontrar aquella que permita realizar un acceso al objetivo o sistema.

E.    Identificación de Vulnerabilidades

Partiendo de la información recolectada anteriormente, se procede a revisar qué vulnerabilidades están asociadas a por lo menos los puertos / servicios / sistemas operativos detectados en el servidor objetivo.

• Utilización de escáneres de vulnerabilidad para determinar las vulnerabilidades existentes.
• Identificación de vulnerabilidades de sistemas operativos, servicios Web o puertos aplicables al servidor objetivo.
• Vulnerabilidades sobre los servicios principales (Web, DNS, FTP, SMTP, SNMP)
• Accesos vulnerables (Telnet, Terminal Services, XWindows, VNC, NFS, cgibin, Samba, entre otros…)

b. Sistemas de Información

 

A cada uno de los sistemas de información se aplicarán las pruebas de vulnerabilidad y Ethical Hacking, tanto internas y externas, siempre y cuando aplique, mínimo las siguientes pruebas y las adicionales que se consideren necesarias de acuerdo a cada sistema, las cuales igualmente deberán quedar completamente documentadas y aceptadas previamente por EL SUPERVISOR:

 

Tipo de Prueba	Tipo Sub-prueba
Autenticación	Non-SSL Password Password Auto-Complete
Ataques por Fuerza Bruta
Cross Site scripting
Cross Site Request Forgery
Information Leaks	Application Exception Form Caching HTML & JavaScript Comments Non-SSL Form
Ataques de SQL Injection
Configuración del Web Server	Vulnerabilidades del Web Server Métodos de Check HTTP
Insecure Direct Object Reference	URL in Query Remote File Inclusion
Insecure Resource Location	File and Directory Discovery
Directory Access	Directory Browsing

 

FASE V. Determinación de los objetivos de intrusión

EL CONTRATISTA y LA ENTIDAD, basado en la información generada anteriormente, se determinarán de común acuerdo con LA ENTIDAD, aquellos objetivos específicos de intrusión que probablemente tengan mayor éxito en orden de prioridad cubriendo un máximo de TREINTA (30) (este número es parte de este ejemplo) direcciones IP internas y/o externas.

Las pruebas de Ethical Hacking deben ejecutarse conforme los lineamientos establecidos por organismos reconocidos en el marcado como el EC-COUNCIL y OSSTM, debidamente validado por el Gerente del Proyecto en las actas de seguimiento y deberán ser debidamente planeadas, donde EL CONTRATISTA  debe describir con claridad y con el detalle necesario la metodología que seguirá para la ejecución de las pruebas.

Para las pruebas de Ethical Hacking a la red inalámbrica se debe considerar en una primera fase el no conocimiento de información previa acerca de los parámetros y credenciales de autenticación a los Acess Point y en una segunda fase la ejecución de pruebas con conocimiento previo de información en la cual el objetivo es validar los niveles de intrusión que puede lograr un usuario legalmente autenticado en la red.

FASE VI. Intrusión (Ethical Hacking)

De manera controlada realizar la explotación de las vulnerabilidades en aquellos objetivos principales seleccionados previamente con el fin de determinar el impacto que esta actividad tendría para LA ENTIDAD, garantizando las premisas de seguridad establecidas en estos términos de referencia.

Por cada ciclo de prueba de Ethical Hacking realizada se debe entregar un informe  ejecutivo que contenga como mínimo los siguientes elementos:

• Descripción del trabajo realizado
• Resumen de las actividades realizadas
• Descripción del informe final entregado
• Descripción de principales hallazgos
• Conclusiones
• Recomendaciones

FASE VII. Análisis de Resultado

Dentro de esta fase el especialista de las pruebas y el gerente del proyecto realizaran un análisis de los resultados obtenidos para determinar si los resultados de las pruebas realizadas han cumplido el objetivo esperado, dependiendo de esta evaluación el CONTRATISTA podrá re-programar las pruebas que sean necesarias previo acuerdo con LA ENTIDAD y luego terminará de preparar los informes y presentación correspondiente.

Se realizará un análisis de resultados de lo encontrado en cada escenario de las pruebas y de ethical hacking.

Se hará una evaluación de la aplicación de aquellas recomendaciones de solución a las vulnerabilidades que sean realmente aplicables por la Entidad, antes de iniciar el segundo escenario de pruebas.

FASE VIII. Entregables

El CONTRATISTA deberá entregar tanto en medio digital, como impreso, junto con el mismo informe escaneado cuando traiga firmas o en los formatos que sean compatibles con las herramientas de Microsoft.

Los entregables que se relacionan a continuación deberán ser aplicados a cada escenario de pruebas que se desarrolle

a)    Plan de Trabajo y actividades actualizadas con las actividades desarrollas que incluya la información de lo planeado versus lo ejecutado.

Una vez revisado y acordados los tiempos con el Supervisor del Contrato, se procederá a firmar por las partes.

Se deberá incorporar un informe sobre los equipos, aplicaciones y demás que serán utilizados para la prestación de servicio, donde conste que son de propiedad del CONTRATISTA.

b)    Documentar el plan de ejecución del contrato como se planeó y como se ejecutó, al igual que las actividades adicionales o modificaciones que fueron necesarias para el logro del desarrollo del contrato, en los periodos intermedios de seguimiento acordados y al final del proyecto.

c)    Acta de las actividades de seguimiento que realizó EL CONTRATISTA y LA ENTIDAD durante la ejecución del objeto del contrato preparada y coordinada por el gerente del  equipo de trabajo por parte del CONTRATISTA.

d)    Detalle de la definición de la clasificación del nivel de riesgos acordados para el proceso de evaluación de las vulnerabilidades, que se acordó con LA ENTIDAD.

e)    Informe detallado del análisis de vulnerabilidades y de Pruebas de Vulnerabilidad y Ethical Hacking.

f)     Informe comparativo de análisis de resultados de lo encontrado en cada escenario de las pruebas y de Ethical Hacking.

g)    Informe de evaluación de la aplicación de aquellas recomendaciones de solución a las vulnerabilidades que sean realmente aplicables por la Entidad, antes de iniciar el segundo escenario de pruebas.

h)    Informe ejecutivo que reúna la información del análisis de vulnerabilidad, pruebas de vulnerabilidad, Ethical Hacking realizado, con las conclusiones, lecciones aprendidas del proceso realizado en la Entidad, dificultades que se presentaron.

i)      Realizar una presentación de los resultados ante el Supervisor del Contrato y un informe de nuevos tipos de pruebas que pueden ser aplicados a la infraestructura de la Entidad, que se recomiendan a LA ENTIDAD, como resultado de cada escenario de pruebas.

j)      Acta de finalización suscrita entre las partes de recibo a satisfacción de todas las actividades y entregables del escenario de pruebas de vulnerabilidad y ethical hacking.

k)    Al finalizar los dos escenarios de las pruebas de vulnerabilidades y ethical hacking, acta de liquidación del contrato.

RECURSOS TÉCNICOS REQUERIDOS

El CONTRATISTA deberá proporcionar a todas las personas del equipo de trabajo la materia prima, equipo de cómputo e impresora, laboratorios, licencias de programas, materiales y herramientas necesarios para desarrollar sus funciones de manera eficiente, eficaz y efectiva para el proyecto.

En el caso de los equipos estarán bajo responsabilidad y custodia del CONTRATISTA, LA ENTIDAD no responderá en ningún evento, sin embargo, deberá garantizar que la información de LA ENTIDAD que se almacene dentro de los equipos esté protegida ante cualquier pérdida o fuga.

Si durante el desarrollo del proyecto el contratista considera que requiere utilizar recursos diferentes o adicionales a los inicialmente propuestos, o en cantidades mayores, no habrá lugar a revisión del precio pactado y será responsabilidad del contratista proveer dichos equipos, software, suministros y papel, sin que estos impliquen costos adicionales para LA ENTIDAD.

SEGURIDAD Y CONFIDENCIALIDAD

El contratista debe cumplir escrupulosamente la legislación vigente en materia de tratamiento de datos y confidencialidad de los mismos, especialmente la referida a la Protección de Datos de Carácter Personal, en todo el proceso de desarrollo de la consultoría.

Todos los soportes, informes y documentos resultantes de los trabajos realizados serán propiedad de LA ENTIDAD. EL CONTRATISTA NO podrá hacer uso de los mismos, ni parcial, ni totalmente.

No podrá transferir información alguna sobre los trabajos, su resultado, a ninguna otra entidad pública o privada.

Las personas que conforman el equipo de trabajo para el desarrollo del presente contrato deberán firmar un acuerdo de Confidencialidad de LA ENTIDAD al momento del inicio del contrato.

OBJETIVOS ESPECÍFICOS

• Identificar los objetivos de pruebas de vulnerabilidad y posterior Ethical hacking de acuerdo al alcance de este proceso.
• Detectar de manera controlada y preventiva las vulnerabilidades con que cuenta la infraestructura tecnológica de la entidad aplicando las mejores prácticas.
• Obtener de los expertos las recomendaciones para mitigar las vulnerabilidades detectadas en los diferentes componentes de la infraestructura tecnológica de la Entidad, orientando un plan de trabajo.
• Realizar seguimiento de los resultados las vulnerabilidades y ethical hacking detectadas en el primer escenario y de las recomendaciones dadas para su mitigación, previo a la aplicación del segundo escenario de pruebas y ethical hacking.
• Comparar los resultados obtenidos en el primer escenario de aplicación de las pruebas de vulnerabilidad y Ethical hacking con los obtenidos en el segundo escenario de aplicación.
• Identificar con los expertos qué otros tipos de pruebas de vulnerabilidades son factibles de aplicar para la infraestructura tecnológica que le permita mejorar este proceso.
• Garantizar el cumplimiento de las premisas de seguridad.

METAS

Mediante la aplicación de las pruebas de vulnerabilidad y el Ethical Hacking LA ENTIDAD pretende:

• Mitigar los posibles riesgos de afectación de la plataforma tecnológica identificando previamente la mayor cantidad de vulnerabilidad a que está expuesta.
• Establecer los mecanismos reales y aplicables necesarios para corregir siempre y cuando estos no afecten el buen funcionamiento y disponibilidad de la plataforma tecnológica.
• Identificar otros tipos de pruebas de vulnerabilidad que puedan ser aplicables de acuerdo con la plataforma tecnológica existente, los resultados de las pruebas y el conocimiento del CONTRATISTA.

METODOLOGÍA A UTILIZAR, PLAN Y CARGAS DE TRABAJO

METODOLOGÍA A UTILIZAR

La metodología a utilizar debe estar alineada con los conocimientos que para tal fin se consideran requeridos en un Hacker ético, debidamente certificado, donde se describen los diferentes módulos aplicables:

 

• Module 01: Introduction to Ethical Hacking
• Module 02: Hacking Laws
• Module 03: Footprinting
• Module 04: Google Hacking
• Module 05: Scanning
• Module 06: Enumeration
• Module 07: System Hacking
• Module 08: Trojans and Backdoors
• Module 09: Viruses and Worms
• Module 10: Sniffers
• Module 11: Social Engineering
• Module 12: Phishing
• Module 13: Hacking Email Accounts
• Module 14: Denial of Service
• Module 15: Session Hijacking
• Module 16: Hacking Webservers
• Module 17: Web Application Vulnerabilities
• Module 18: Web Based Password Cracking Techniques
• Module 19: SQL Injection
• Module 20: Hacking Wireless Networks
• Module 21: Physical Security
• Module 22: Linux Hacking
• Module 23: Evading IDS, Honeypots and Firewalls
• Module 24: Buffer Overflows
• Module 25: Cryptography

Puede encontrar mayor información en la siguiente dirección de internet:

https://www.eccouncil.org

PLAN Y CARGAS DE TRABAJO

Durante la vigencia del contrato se realizarán dos escenarios de pruebas de vulnerabilidad y Ethical Hacking a lo establecido.

Una vez formalizado el contrato, se realizará la programación de las fechas en que se aplicará el siguiente plan y cargas de trabajo para cada uno de los escenarios de las pruebas de vulnerabilidad y Ethical Hacking, con una duración máxima para cada escenario de 30 días hábiles:

PLAN	EQUIPO DE TRABAJO
	CARGA DE TRABAJO	ROL
3.1.FASE I. Planeación y definición de mecanismos de seguimiento y control	25%	Gerente Proyecto
	100%	Especialista Proyecto
3.2.FASE II. Identificación y evaluación de riesgos de la ejecución de las pruebas	20%	Gerente Proyecto
3.3.FASE III. Levantamiento de Información	100%	Especialista Proyecto
3.4.FASE IV. Análisis de las vulnerabilidades	100%	Especialista Proyecto
3.5.FASE V. Determinación de los objetivos de intrusión	20%	Gerente Proyecto
	100%	Especialista Proyecto
3.6.FASE VI. Intrusión (Ethical Hacking)	20%	Gerente Proyecto
	100%	Especialista Proyecto
3.7.FASE VII. Análisis de Resultados	20%	Gerente Proyecto
	100%	Especialista Proyecto
3.8.FASE VIII. Entregables.	50%	Gerente Proyecto
	100%	Especialista Proyecto

 

PRODUCTOS ESPERADOS

Por cada escenario de la aplicación de las pruebas de vulnerabilidad y ethical hacking cumplidos y recibidos a satisfacción por el supervisor del contrato la totalidad de los entregables de la fase 8 de la ejecución del primer escenario de pruebas.

ACUERDO DE CONFIDENCIALIDAD, SECRETO Y AUTORIZACIÓN

En………………..a……de……….de 20…….

REUNIDOS

D./Dª …………………………………………………………………., mayor de edad, con domicilio en la C/………………………………………………….. Nº…….., Localidad……………………………………. Provincia…………………………………… C.P………….. con D.N.I………………….., y en representación de la compañía……………………. con CIF……………… y domicilio social en……………………………… y, D./Dª …………………………………………………………………, mayor de edad, con domicilio en la C/….………………………………………………. Nº……., Localidad………………………….. Provincia………………….. C.P………. con D.N.I………………

EXPONEN

1.            Que ambas partes se reconocen capacidad jurídica suficiente para suscribir el presente documento.

2.            Que ambas partes desean iniciar una relación negocial y de colaboración mutua a nivel empresarial.

3.            Que para proteger adecuadamente los activos de tecnología de la información de …………………………………………. se requiere de una persona que evalúe los sistemas de seguridad mediante la realización de evaluaciones de vulnerabilidad y pruebas de penetración. Estas actividades implican escanear equipos informáticos propiedad de …………………………………………………….. de una forma regular y periódica para descubrir las vulnerabilidades presentes en estos sistemas. solo con el conocimiento de estas vulnerabilidades se podrá aplicar parches de seguridad u otros controles de compensación para mejorar la seguridad de la organización.

4.            Que durante la mencionada relación las partes intercambiarán o crearán información que están interesadas en regular su confidencialidad y secreto mediante las siguientes:

AUTORIZA

A D. ……………………………………. para llevar acabo evaluaciones de vulnerabilidad, escanear equipos y pruebas de penetración contra los sistemas informáticos de ………………………………………………

CONDICIONES

1) Objeto: Con el presente contrato las partes fijan formalmente y por escrito los términos y condiciones bajo las que las partes mantendrán la confidencialidad de las información suministrada y creada entre ellas.

Que a los efectos de este acuerdo, tendrá la consideración de información confidencial, toda la información susceptible de ser revelada por escrito, de palabra o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que posibilite el estado de la técnica en el futuro, intercambiada como consecuencia de este acuerdo.

Este acuerdo no constituye ningún acuerdo de licencia, contrato de desarrollo o similar, obligándose las partes a adoptar las medidas oportunas para asegurar el tratamiento confidencial de dicha información, medidas que no serán menores que las aplicadas por ellas a la propia información confidencial de su compañía.

2) Duración

Este acuerdo tendrá una duración indefinida desde el momento de su firma.

En caso de que no se renueve el contrato, ambas partes deberán devolver a la otra toda la información remitida entre sí, comprometiéndose a la destrucción de cualquier copia de la misma, independientemente del soporte o formato en el que se encuentre almacenada.

No obstante, lo dispuesto en el párrafo anterior, cada parte se compromete a mantener el compromiso de confidencialidad respecto a la información y material intercambiado entre las partes, de forma indefinida tras la finalización del presente acuerdo.

3) Confidencialidad

Las partes se obligan a entregarse todo el material que sea necesario, y en el caso de ser este confidencial se comprometen a:

a.    Utilizar dicha información de forma reservada.

b.    No divulgar ni comunicar la información técnica facilitada por la otra parte.

c.    Impedir la copia o revelación de esa información a terceros, salvo que gocen de aprobación escrita de la otra parte, y únicamente en términos de tal aprobación.

d.    Restringir el acceso a la información a sus empleados y subcontratados, en la medida en que razonablemente puedan necesitarla para el cumplimiento de sus tareas acordadas.

e.    No utilizar la información o fragmentos de ésta para fines distintos de la ejecución de este contrato.

Las partes serán responsables entre sí, ante el incumplimiento de esta obligación, ya sea por sus empleados o por subcontratados.

Las partes mantendrán ésta confidencialidad y evitarán revelar la información a toda persona que no sea empleado o subcontratado, salvo que:

1. La parte receptora tenga evidencia de que conoce previamente la información recibida.
2. La información recibida sea de dominio público.
3. La información recibida proceda de un tercero que no exige secreto.

4) Derechos previos de la Información

Toda información puesta en común entre las partes es de propiedad exclusiva de la parte de donde proceda, y no es precisa la concesión de licencia para dicho intercambio. Ninguna de las partes utilizará información previa de la otra parte para su propio uso, salvo que se autorice lo contrario.

La información que se proporciona no da derecho o licencia a la empresa que la recibe sobre las marcas, derechos de autor o patentes que pertenezcan a quien la proporciona. La divulgación de información no implica transferencia o cesión de derechos, a menos que se redacte expresamente alguna disposición al respecto.

5) Cláusula Penal

Las partes se comprometen a cumplir con todos los términos fijados en el presente contrato, y muy especialmente aquellos relativos a las cláusulas sobre propiedad intelectual e industrial, confidencialidad y obligación de secreto.

Independientemente de las responsabilidades que pudieran derivarse del incumplimiento del presente acuerdo, así como de las eventuales indemnizaciones por daños y perjuicios de cualquier naturaleza que pudieran establecerse, el incumplimiento de estas obligaciones determinará a elección de la parte que no incumplió el contenido de los términos fijados en el presente contrato:

a.    La resolución del contrato.

b.    El abono de…………. € en concepto de penalización.

6) Derecho de Propiedad

Toda información intercambiada es de propiedad exclusiva de la parte de la cual proceda. Ninguna de las partes utilizará información de la otra para su beneficio independiente.

7) Protección de Datos

Para la correcta aplicación del presente acuerdo, ambas partes podrían tener acceso a datos de carácter personal protegidos por la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, por lo que se comprometen a efectuar un uso y tratamiento de los datos afectados que será acorde a las actuaciones que resulten necesarias para la correcta prestación de servicios regulada en este acuerdo, según las instrucciones facilitadas en cada momento.

Asimismo, las partes asumen la obligación de guardar secreto profesional sobre cuanta información pudieran recibir, gestionar y articular con relación a los datos personales y a no comunicarlos a terceros, salvo las excepciones mencionadas, así como a destruirlos, cancelarlos o devolverlos en el momento de la finalización de la relación contractual entre ambas partes, así como a aplicar las medidas de seguridad necesarias.

Los derechos de acceso, rectificación, cancelación y oposición podrán ejercitarse mediante escrito dirigido a las direcciones de los firmantes del presente documento que constan en el encabezamiento.

8) Confidencialidad del Acuerdo

Las partes acuerdan que este acuerdo reviste el carácter de confidencial y por tanto se prohíbe su divulgación a terceros.

9) Modificación o Cancelación

Este acuerdo sólo podrá ser modificado con el consentimiento expreso de ambas partes, en documento escrito y mencionando la voluntad de las partes de modificar el presente acuerdo.

10) Jurisdicción

Las partes se comprometen a resolver de manera amistosa cualquier desacuerdo que pueda surgir en el desarrollo del presente contrato.

En caso de conflicto ambas partes acuerdan el sometimiento a los Tribunales de……….., con renuncia de su propio fuero.

Y en prueba de conformidad de cuanto antecede, firman el presente acuerdo por duplicado y a un solo efecto en el lugar y fecha citados.

Firmado en _____________ a…….de…………….de 200_.

 

Fuente: Profesor Roger Sanz González