PREGUNTAS FRECUENTES DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA

INFORMACIÓN (SGSI) DE PERÚ COMPRAS

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

1. ¿Quién aprueba la política de seguridad de la información?

La Alta Dirección, representada por la o el Jefe de PERÚ COMPRAS, aprueba la política

de seguridad de la información.

2. ¿Cuáles son los compromisos de la política de seguridad de la información?

 Nos enfocamos en reducir los riesgos relacionados a la seguridad de la

información.
 Promovemos una cultura de seguridad de la información en la entidad.
 Preservamos la confidencialidad, integridad y disponibilidad de la información.
 Promovemos la mejora continua del SGSI.
 Cumplimos con el marco legal vigente y los estándares internacionales de la
seguridad de la información.

OFICIAL DE SEGURIDAD Y CONFIANZA DIGITAL

3. ¿Quién es el Oficial de Seguridad y Confianza Digital?

Nathalie Caro Rios

4. ¿Cuáles son las funciones del Oficial de Seguridad y Confianza Digital?

 Asegurar que el SGSI esté conforme con los requisitos de la NTP ISO/IEC
27001:2014.
 Reportar el desempeño del SGSI a la Alta Dirección.
 Mantener actualizado los documentos generados en el marco del SGSI.
 Asistir al personal de la entidad y a las personas que presten servicios
cualquiera sea su condición o modalidad contractual en materia de seguridad
de la información.
 Coordinar con la Secretaría de Gobierno Digital de la Presidencia de Consejo
de Ministros el cumplimiento de las disposiciones en materia de seguridad de la
información.
 Analizar en coordinación con las y los responsables de los órganos, el riesgo de
los accesos de terceros a la información de la entidad y verificar la aplicación
de las medidas de seguridad necesarias para la protección de la misma, en
coordinación con la Oficina de Tecnologías de la Información.
 Revisar los riesgos de seguridad de la información de la entidad y coordinar la
elaboración de los planes de tratamiento, en coordinación con las y los
responsables de los órganos y la Oficina de Planeamiento y Presupuesto en su
calidad de órgano técnico en la implementación de la gestión de riesgos.
 Identificar las actividades de difusión y sensibilización en seguridad de la
información.
 Evaluar y canalizar, de corresponder, los reportes por incumplimiento de los
requisitos del SGSI a la Oficina de Administración para que, a través de la
Secretaría Técnica de los Órganos Instructores del Procedimiento
Administrativo Disciplinario, se efectúen las investigaciones que correspondan,
conforme a lo dispuesto en la normativa vigente en la materia.
5. ¿Quién designa al Oficial de Seguridad y Confianza Digital y mediante qué
documento?

El Oficial de Seguridad y Confianza Digital es designado por el Jefe de PERÚ

COMPRAS (AltaDirección) mediante una Resolución Jefatural.

DOCUMENTOS DE GESTIÓN DEL SGSI

6. ¿Cuál son los principales documentos de gestión del SGSI?

 La Política de Seguridad de la Información.

 El Manual del Sistema de Seguridad de la Información.
 Análisis del contexto de la Central de Compras Públicas – PERÚ COMPRAS.
 Los objetivos del SGSI (contiene contexto, partes interesadas y alcance).
 Las Políticas de Control del SGSI.
 Matrices de Riesgo de Seguridad de la Información.
 Inventarios de Activos de Seguridad de la Información.

Todos estos documentos pueden ser consultados en el siguiente link: Enlace SGSI

7. ¿Cuál es el alcance del Sistema de Seguridad de la Información de PERÚ

COMPRAS?

El alcance del SGSI abarca los sistemas de información que dan soporte al proceso de:

 Gestión de Catálogos Electrónicos de Acuerdos Marco.

8. ¿Cuáles son los objetivos del Sistema de Seguridad de la Información de PERÚ

COMPRAS?

 Proteger la información y sus activos de información a través del SGSI a fin de

garantizar su confidencialidad, integridad y disponibilidad.
 Fortalecer la cultura de seguridad de la información de las y los servidores
civiles de PERÚ COMPRAS.
 Asegurar la gestión oportuna de incidentes de seguridad de la información.

9. Políticas de control de seguridad de la información:

Contamos con 23 políticas de control del SGSI.

(1) Política para el contacto con autoridades y grupos de interés.

o Para preservar la confidencialidad, integridad y disponibilidad de la

información, se mantiene contacto con autoridades (SEGDI, PNP,
CGBVP, proveedores) y grupos de interés (foros, membresías, etc.).

(2) Política para la gestión de proyectos.

o Se debe documentar la gestión de riesgos del proyecto durante su

planificación, ejecución y cierre, lo cual debe ser comunicado al Oficial
de Seguridad y Confianza Digital.
(3) Política para dispositivos móviles.

o Uso exclusivo para el desarrollo de sus funciones en la entidad.

o Prohibido el uso comercial o personal.
o No se debe conservar ni transferir información confidencial de la entidad
en los dispositivos móviles personales.

(4) Política para acceso remoto.

o Debe ser autorizado por el responsable de cada órgano y comunicado

a la OTI.
o La OTI realiza las configuraciones correspondientes.
o La OTI establece la forma segura de conexión a la red de la entidad.
o Las y los usuarios que utilicen sus equipos personales para el acceso
remoto, en lo posible, deben asegurar la protección ante un software
malicioso.

(5) Política para la gestión de activos.

o Los activos de información son registrados en un inventario

documentado.
o El manejo de los activos de información se realizará en concordancia
con el esquema de clasificación de la información adoptado por la
entidad.
o Cuando las y los servidores civiles se desvinculen de la entidad,
deberán devolver los activos de información.

(6) Política para el manejo de soportes o medios extraíbles.

o No deben utilizarse para almacenar información confidencial, salvo sean

encriptados.
o Cada servidor civil al cual se le asigne el soporte o medio extraíble es
responsable de la información que almacene.
o El retiro de discos duros externos de la entidad debe ser comunicado a
la OTI.
o En lo posible, debe evitarse el uso de soportes o medios extraíbles que
no sean propiedad de la entidad. De ser el caso, debe ser comunicado
a la OTI.

(7) Política para el acceso a redes, servicios de red, sistemas y aplicaciones.

o Cambiar sus contraseñas después del primer acceso a los sistemas y

aplicaciones administrados por la entidad.
o Evitar registrar su información de autenticación de manera física o
digital, salvo la almacenen de forma segura.
o Las contraseñas tienen como mínimo 8 caracteres, una mayúscula, un
número y un caracter especial.
o Cambiar sus contraseñas siempre que existan indicios que estas se
encuentren comprometidas.

(8) Política para aplicación de medidas criptográficas.

o La OTI gestiona la generación de claves o llaves criptográficas utilizadas

en la encriptación y desencriptación de la información que requiera el
uso de estas técnicas.
o Para la firma digital de documentos se utilizan certificados digitales.
(9) Política para áreas seguras.

o Mantener cerrados los espacios donde se maneje información

confidencial.
o Los servidores deben portar su fotocheck para ingresar a la entidad.
o La supervisión de proveedores de servicios contratados estará a cargo
del responsable de área usuaria a fin de evitar accesos no autorizados.
o Cualquier acto sospechoso de un visitante que no se encuentre
acompañado por otro servidor civil debe reportarse a seguridad.

(10) Política para la seguridad de los equipos informáticos.

o Evitar consumir alimentos en proximidad a los equipos informáticos u

otros que ponga en riesgo su operatividad
o La OTI establece un programa de mantenimiento preventivo.
o El retiro de los equipos informáticos debe se realiza de acuerdo al
procedimiento establecido por la entidad. (Directiva N° 006-2018-PERÚ
COMPRAS versión 2.0)
o Las y los servidores civiles que retiren equipos informáticos de la entidad
velarán por su cuidado e integridad.

(11) Política para equipos desatendidos, pantallas y escritorios limpios.

o Los espacios de trabajo deben estar despejados, sin información

confidencial a la vista.
o Guardar en cajones o gabinetes documentos que no se encuentren en
uso.
o Cerrar sesión cuando se termine de usar las aplicaciones informáticas.
o Bloquear el equipo cuando se ausenten temporalmente de su lugar de
trabajo.

(12) Política para la gestión de cambios.

o El área correspondiente evalúa las intervenciones que impliquen una

adición, modificación o eliminación en el hardware o software.
o Los cambios deben efectuarse en períodos de baja carga laboral.

(13) Política para la gestión de capacidades.

o La OTI administra y monitorea la capacidad de los servidores

informáticos, locales o en la nube (Cloud) y las aplicaciones informáticas
críticas para la entidad.
o los servidores civiles que evidencien la indisponibilidad de una
aplicación informática deben reportarla inmediatamente a la OTI.

(14) Política para la protección contra malware.

o Se prohíbe la instalación y uso de software no autorizado por la OTI.

o No desinstalar ni detener la ejecución de software de antivirus, antispam
y/o antimalware.
o Antes de utilizar un dispositivo de almacenamiento, permitir que el
software de antivirus instalado en sus equipos culmine con el análisis
de amenaza de virus o elementos maliciosos.
(15) Política para las copias de seguridad y redundancia.

o Para la generación de copias de respaldo de la información se aplica el

procedimiento establecido por la entidad (Manual N° 001-2019-PERU
COMPRAS versión 1.0)
o La OTI monitorea los activos de seguridad de la información críticos que
puedan ocasionar riesgos significativos que afecten la disponibilidad de
la información.

(16) Política para el registro de eventos.

o La OTI realiza el monitoreo de los registros de los eventos en las

aplicaciones informáticas de la entidad.
o Los administradores de los aplicativos informáticos no deben borrar o
desactivar los registros de eventos generados dentro de sus
actividades.

(17) Política para la gestión de vulnerabilidades técnicas.

o Se prioriza el monitoreo y análisis de las vulnerabilidades técnicas de

los aplicativos informáticos que son críticos para la entidad.
o Para ello, se puede hacer uso de herramientas tecnológicas o de
servicios, como Ethical Hacking.

(18) Política de seguridad de las redes informáticas y servicios de red.

o La OTI gestiona y controla las redes informáticas de la entidad para

proteger los equipos o aplicaciones conectadas a estas.
o La OTI realiza el monitoreo de los servicios de red.

(19) Política de seguridad en el traslado de información.

o El servidor civil o proveedor que realice el transporte de la información

es responsable de salvaguardar su traslado en nombre de la entidad.
o El empaque o embalaje debe proteger el medio donde se traslada la
información
o En caso se traslade información confidencial, se debe etiquetar el
documento.

(20) Política para el uso de correos electrónicos.

o Utilizar el correo institucional exclusivamente para el desarrollo de sus

funciones.
o No enviar correos electrónicos con contenidos que comprometan la
imagen de la entidad.
o Verificar la dirección del remitente antes de abrir el correo.
o Evitar abrir adjuntos sospechosos.
o Reportar correos sospechosos a la OTI o al Oficial de Seguridad y
Confianza Digital.

(21) Política de seguridad en sistemas o aplicaciones informáticos.

o La OTI se asegura que las aplicaciones informáticas contengan

requisitos o controles de seguridad como parte de su funcionamiento.
o La OTI realiza periódicamente pruebas de evaluación de
vulnerabilidades y/o intrusión en las aplicaciones informáticas.
 (22) Política para la relación con proveedores.

o Se incluye en los contratos con proveedores cláusulas de controles de

seguridad de la información obligatorios.
o Cuando finaliza el vínculo contractual con el proveedor, el área usuaria
verifica que los activos de la información de la entidad y los accesos que
le hayan sido brindados sean devueltos o eliminados.
o El proveedor debe participar de las actividades de sensibilización en
temas de seguridad de la información a las cuales sea convocado por
la entidad.

(23) Política para la gestión de incidentes de seguridad de la información.

o Reportar a la OTI la ocurrencia deincidentes de seguridad de la

información a través de los siguientes canales:
• Correo electrónico: soporte@[Link]
• Telefónico: 6430000 anexo 2304 o 2308
o Advertir y reportar cualquier debilidad de seguridad de la información
detectada.
o Participar de la investigación ante la ocurrencia de un incidente de
seguridad de la información.

10. ¿De qué manera se clasifica la información en la entidad?

Los documentos de la entidad comprendidos dentro del alcance del SGSI, serán
clasificados como información pública o confidencial.

La información clasificada como confidencial, es aquella regulada por el artículo 17 del

TUO de la Ley de Transparencia y Acceso a la Información Pública, tales como las
ofertas de Acuerdos Marco vigentes, proformas de requerimientos en proceso de
adjudicación, entre otras.

La información clasificada como pública, es cualquier tipo de información que PERÚ

COMPRAS haya creado u obtenido o que se encuentre en su posesión o bajo su control,
y no se encuentra regulada en el artículo 15, 16 y 17 del TUO de la Ley de Transparencia
y Acceso a la Información Pública

11. ¿Qué es un incidente de seguridad de la información y qué harías si ocurriera

uno?

Se considera como incidentes de seguridad de la información aquellos eventos no

deseados o inesperados que tienen una alta probabilidad de amenazar su seguridad o
comprometer las operaciones de la entidad, por ejemplo:

 Daños físicos a activos de información;

 Incumplimiento o violación de requisitos y regulaciones legales asociados a
seguridad de la información;
 Fallos en las configuraciones;
 Filtración de datos o data breach;
 Borrado o pérdida de información confidencial;
 Infección por código malicioso.

Si ocurre un incidente, este debe ser reportado inmediatamente a la OTI.

MANTENIMIENTO DEL SGSI

12. ¿Cuáles son las responsabilidades de los servidores civiles de PERÚ COMPRAS,
en el marco del SGSI?

 Cumplir con los documentos y controles generados en el marco del SGSI.

 No hacer mal uso de los sistemas de información.
 Ejecutar correctamente los procedimientos de seguridad de la información, de
su órgano correspondiente, cumpliendo con las disposiciones señaladas en los
documentos y controles generados en el marco del SGSI.
 Utilizar la información de PERÚ COMPRAS únicamente para los propósitos
autorizados.

13. ¿Qué es una No Conformidad y cómo se puede identificar?

Una No Conformidad es el incumplimiento de un requisito del SGSI. Se puede identificar

a partir de:

 La evaluación del desempeño de los requisitos y controles del SGSI.

 Las auditorías internas y/o externas.
 La investigación de incidentes.
 Las actividades diarias.
 Otros, a criterio de la o del Oficial de Seguridad y Confianza Digital.

Todos los/las servidores/as civiles de PERÚ COMPRAS podrán reportar al Oficial de

Seguridad y Confianza Digital y/o a los/las responsables de los órganos y/o procesos,
posiblesno conformidades.

14. ¿Cuáles podrían ser las implicancias de que se incumplan los requisitos del SGSI
de la entidad? (Por ejemplo: la NTP ISO/IEC 27001, políticas, procedimientos,
manuales, entre otros)

El Oficial de Seguridad y Confianza Digital evaluará y canalizará el caso a la OA, para

que a través del o de la Secretaría Técnica de los Órganos Instructores del
Procedimiento Administrativo Disciplinario, se efectúen las investigaciones que
correspondan.

15. ¿Quién registra las No Conformidades en la Matriz de Desviaciones del SGSI?

El Oficial de Seguridad y Confianza Digital, en coordinación con los/las responsables

de los órganos y/o procesos, registra las No Conformidades en la Matriz de
desviaciones del SGSI, según formato aprobado en el Manual del Sistema de Gestión
de Seguridad de la Información.

16. ¿Cuándo se debe aplicar una acción correctiva?

Cuando se identifique una No Conformidad a fin de evitar que vuelva a ocurrir.

GESTIÓN DE RIESGOS

17. ¿Qué es un riesgo de seguridad de la información?

Probabilidad de que se produzca un incidente de seguridad, materializándose una

amenaza y causando pérdidas o daños.

18. ¿Qué es un activo de información?

Componente o funcionalidad de un sistema de información susceptible de ser

atacado, deliberada o accidentalmente, con consecuencias para la organización.

Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware),

comunicaciones, recursos administrativos, recursos físicos y recursos humanos.

19. ¿Cuáles son los principales activos de información de tu área o de tus

actividades?

Cada área debe responder de acuerdo a los activos de información identificados en

su inventario de activos, accediendo a través del Enlace SGSI.

20. ¿Cuáles son los principales riesgos de seguridad de la información de tu área y

cómo se controlan?

Cada área debe responder de acuerdo a los riesgos identificados en su matriz de

riesgo, accediendo a través del Enlace SGSI.