No pensaba expresarme publicamente al respecto, pero, dados mis posts pasados y el comentario a la nota de ISSA Perú, no puedo dejar pasar esta equivocada forma de contratar un servicio de ethical hacking.
Se trata de un servicio tradicional de ethical hacking para aproximadamente 97 hosts. En forma interna (65) y externa (32). Dejare el tema monetario para el final.
A los consultores se les exige ser Ingenieros Titulados con 5 años de experiencia laboral unicamente sin especificar que tipo de experiencia. Lo primero es exigido por el dichoso Reglamento de Contrataciones y Adquisiciones como dije en un post anterior, PERO, no deberia exigirse experiencia en ethical hacking cuando menos ?
Vuelvo a hacer notar que deberian analizar el mercado local y ver cuantos ingenieros titulados estan metidos en temas de ethical hacking.
Luego, como certificaciones se exigen algunas referidas a seguridad de la informacion y no sobre ethical hacking y/o penetration testing que son respecto a SEGURIDAD INFORMATICA. No existe una sola persona en SUNARP que sepa esto ? Donde esta la ONGEI con sus expertos en seguridad y su apoyo de la empresa privada que no los asesora ? Para este proceso estuvo convocado un proveedor que tuvo la actitud honesta y valiente de decirles por email que no estaban haciendo un proceso que otorgue valor a la entidad y que hicieron ? Sencillamente, lo ignoraron (iniciales otra vez MC de PC, no fue nadie de Open-Sec porque ya habiamos visto fallas hace tiempo en este proceso).
La unica certificacion que se considera para dar puntaje adicional es la de C|EH, pero, recibe el mismo puntaje que una de CISSP o CISA. Por favor! A mis amigos que tienen certificaciones como esas y a los que ademas tienen sobre hacking : puede una certificacion de CISSP, Lead Auditor 27001, Cobit-F o CISA garantizar que el consultor hara una buena labor de hacking ?! NO! Grande, mayusculo y rotundo.
Y por ultimo, el precio basado en un estudio de mercado que parece haber sido hecho de forma mas consciente y responsable que otros que he podido apreciar (algunos no ponen ni el nombre de las empresas que participaron en dicho estudio). Pero, aceptar que se ponga un monto referencial de S/.171,850 por hacer ethical hacking a 97 hosts ?! Poco mas de S/.1,770 soles por host!! Wow!
Para una mejor comprension de las tasas : comprar un servicio de un reconocido como SAINT para la parte externa les salia mucho mas barato : menos de US$3,200 por los 32 hosts externos! WebSAINT PRO
Ni siquiera se piden comprobaciones manuales en todos los hosts, con lo cual, pasara lo que paso en un cliente : llegan llenos de appliances y software automatizado, lo corren, elaboran reportes tambien automatizados y 2 meses despues se les mete un intruso por una vulnerabilidad que el consabido "ethical hacking" no encontro!
Mas aun, durante el estudio de mercado y la bases publicadas no se presenta la cantidad de hosts a evaluar y se hace de conocimiento publico esta informacion en la etapa de consultas y observaciones. Quiere decir que cuando pidieron las cotizaciones si indicaron la cantidad de hosts y no la colocaron en las bases ? O es que los proveedores que cotizaron para ese estudio de mercado se lamieron el dedo, lo expusieron al aire y zas! se les vino el numero magico a la mente!
Lamentablemente, quienes deberian manifestarse se quedan callados en una sociedad hipocritamente condescendiente donde, los que se manifiestan en contra de estos atropellos al intelecto, son calificados de conflictivos.
Y por si acaso, como puede parecer a mas de uno que esta nota es una piconeria porque no dieron valor a la experiencia y certificaciones de hacking, recibi la invitacion a participar en el proceso por parte de un postor y me negue porque no estoy de acuerdo en participar en un proceso que cuestiono.
Saludos!
Se trata de un servicio tradicional de ethical hacking para aproximadamente 97 hosts. En forma interna (65) y externa (32). Dejare el tema monetario para el final.
A los consultores se les exige ser Ingenieros Titulados con 5 años de experiencia laboral unicamente sin especificar que tipo de experiencia. Lo primero es exigido por el dichoso Reglamento de Contrataciones y Adquisiciones como dije en un post anterior, PERO, no deberia exigirse experiencia en ethical hacking cuando menos ?
Vuelvo a hacer notar que deberian analizar el mercado local y ver cuantos ingenieros titulados estan metidos en temas de ethical hacking.
Luego, como certificaciones se exigen algunas referidas a seguridad de la informacion y no sobre ethical hacking y/o penetration testing que son respecto a SEGURIDAD INFORMATICA. No existe una sola persona en SUNARP que sepa esto ? Donde esta la ONGEI con sus expertos en seguridad y su apoyo de la empresa privada que no los asesora ? Para este proceso estuvo convocado un proveedor que tuvo la actitud honesta y valiente de decirles por email que no estaban haciendo un proceso que otorgue valor a la entidad y que hicieron ? Sencillamente, lo ignoraron (iniciales otra vez MC de PC, no fue nadie de Open-Sec porque ya habiamos visto fallas hace tiempo en este proceso).
La unica certificacion que se considera para dar puntaje adicional es la de C|EH, pero, recibe el mismo puntaje que una de CISSP o CISA. Por favor! A mis amigos que tienen certificaciones como esas y a los que ademas tienen sobre hacking : puede una certificacion de CISSP, Lead Auditor 27001, Cobit-F o CISA garantizar que el consultor hara una buena labor de hacking ?! NO! Grande, mayusculo y rotundo.
Y por ultimo, el precio basado en un estudio de mercado que parece haber sido hecho de forma mas consciente y responsable que otros que he podido apreciar (algunos no ponen ni el nombre de las empresas que participaron en dicho estudio). Pero, aceptar que se ponga un monto referencial de S/.171,850 por hacer ethical hacking a 97 hosts ?! Poco mas de S/.1,770 soles por host!! Wow!
Para una mejor comprension de las tasas : comprar un servicio de un reconocido como SAINT para la parte externa les salia mucho mas barato : menos de US$3,200 por los 32 hosts externos! WebSAINT PRO
Ni siquiera se piden comprobaciones manuales en todos los hosts, con lo cual, pasara lo que paso en un cliente : llegan llenos de appliances y software automatizado, lo corren, elaboran reportes tambien automatizados y 2 meses despues se les mete un intruso por una vulnerabilidad que el consabido "ethical hacking" no encontro!
Mas aun, durante el estudio de mercado y la bases publicadas no se presenta la cantidad de hosts a evaluar y se hace de conocimiento publico esta informacion en la etapa de consultas y observaciones. Quiere decir que cuando pidieron las cotizaciones si indicaron la cantidad de hosts y no la colocaron en las bases ? O es que los proveedores que cotizaron para ese estudio de mercado se lamieron el dedo, lo expusieron al aire y zas! se les vino el numero magico a la mente!
Lamentablemente, quienes deberian manifestarse se quedan callados en una sociedad hipocritamente condescendiente donde, los que se manifiestan en contra de estos atropellos al intelecto, son calificados de conflictivos.
Y por si acaso, como puede parecer a mas de uno que esta nota es una piconeria porque no dieron valor a la experiencia y certificaciones de hacking, recibi la invitacion a participar en el proceso por parte de un postor y me negue porque no estoy de acuerdo en participar en un proceso que cuestiono.
Saludos!
No comments:
Post a Comment