MINISTERIO DE ECONOMIA Y FINANZAS

OFICINA GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN

“DECENIO DE LA IGUALDAD DE OPORTUNIDADES PÁRA MUJERES Y HOMBRES”

“AÑO DEL BICENTENARIO DEL PERÚ: 200 AÑOS DE INDEPENDENCIA”

INFORME N° 0028 -2021-EF/44.04 H.R: 029047-2021

Para : Señor
Eduardo Ibarra Santa Cruz
Director de General
Oficina General de Tecnologías de la Información

Asunto : Contratación del “Servicio de Evaluación de la Seguridad en sistemas

de base de datos central y correo electrónico institucional” en el
Ministerio de Economía y Finanzas

Referencia : Orden de Servicio N° 0002480-2020 para la “Contratación del

Servicio de evaluación de la seguridad en sistemas de base de datos
y correo electrónico institucional”

Fecha : Lima, 26 de febrero de 2021

Tengo el agrado de dirigirme a usted, en relación al asunto indicado, con el fin de poner en
su conocimiento el informe de sustento requerido para la contratación del servicio
especializado destinado a la evaluación de los riesgos y controles de seguridad existentes
en los referidos sistemas informáticos del Ministerio de Economía y Finanzas, para lo cual
se acompaña al presente documento los Términos de Referencia propuestos para el
efecto.

I. ANTECEDENTES

1.1. Mediante Resolución Ministerial N° 004-2016-PCM del 8 de enero de 2016, se aprueba

el uso obligatorio de la Norma Técnica Peruana NTP-ISO/IEC 27001:2014 “Tecnología de
la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la
Información. Requisitos. 2a. Edición” (en adelante, NTP-27001) en todas las entidades
integrantes del Sistema Nacional de Informática.

1.2. Mediante Resolución Ministerial Nº 119-2018-PCM del 8 de mayo de 2018 y su

modificatoria, Resolución Ministerial N° 087-2019-PCM del 19 de marzo de 2019, y se
establece que cada entidad de la Administración Pública debe constituir un Comité de
Gobierno Digital con competencias, entre otras, en materia de seguridad de la información.

1.3. Mediante Resolución Ministerial Nº 495-2019-EF/45 del 19 de diciembre de 2019, se

conforma el Comité de Gobierno Digital del Ministerio de Economía y Finanzas.

1.4. Según Orden de Servicio N° 0002480-2020 para la “Contratación del servicio de

evaluación de la seguridad en sistemas de base de datos y correo electrónico institucional”,
la cual no se concretó por solicitud del proveedor de resolver el contrato.

1
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Economía y Finanzas,
Sede Central
aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final del D.S. 026
Jr. Junín N° 319, Lima 1
-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web
Tel. (511) 311-5930
https://apps4.mineco.gob.pe:443/st/r?ctrln=42298099-68e1-44a5-860f-59f7e92ce051-649148 ingresando el siguiente código
www.mef.gob.pe
de verificación EFHFKCFJ
 MINISTERIO DE ECONOMIA Y FINANZAS
OFICINA GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN

“DECENIO DE LA IGUALDAD DE OPORTUNIDADES PÁRA MUJERES Y HOMBRES”

“AÑO DEL BICENTENARIO DEL PERÚ: 200 AÑOS DE INDEPENDENCIA”

II. ANÁLISIS

2.1. La versión vigente de la norma técnica NTP-27001 proporciona los requisitos para
establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la
Información (SGSI) en una organización, lo que implica preparar e instaurar procesos de
planeamiento, operación, monitoreo, evaluación y mejora continua de la gestión de la
seguridad de la información.

2.2. Entre las actividades de operación del SGSI que permiten asegurar su idoneidad y
efectividad, la norma técnica NTP-27001 especifica la necesidad de efectuar actividades
de evaluación de riesgos de seguridad de la información a intervalos planificados, de modo
que se determine el tratamiento respectivo por el cual se apliquen los controles adecuados
que aseguren la protección de los activos de información existentes.

2.3. La realización de un proyecto de evaluación de riesgos en seguridad de la información

dentro del alcance actual del SGSI del MEF implica esfuerzos que demandan grandes
recursos presupuestales para la contratación de servicios especializados, y la subsiguiente
planificación y ejecución de acciones de tratamiento de los riesgos que se determinen
requeriría periodos de tiempo que se extenderían más allá del presente periodo fiscal, más
aun considerando las limitaciones impuestas por la actual coyuntura de emergencia
sanitaria nacional, por lo que resulta pertinente efectuar las labores de evaluación de
riesgos mencionadas con un proyecto de alcance reducido de modo que se limite su
complejidad y sea más factible garantizar su éxito. Así, la evaluación de riesgos en
seguridad puede realizarse solo sobre los activos informáticos, esfera de actuación
técnicamente conocida como seguridad informática o ciberseguridad.

2.4. Debido a la amplitud y variedad de activos informáticos presentes en el MEF (sistemas

de servidores, bases de datos, almacenamiento, red de datos interna, comunicación de
datos con entidades externas, etc.), es muy probable que los esfuerzos de evaluación de
la seguridad informática sigan siendo exigentes. Entonces, es más adecuado enfocarse en
los sistemas informáticos de mayor relevancia para las operaciones del MEF, los que sin
duda son los de base de datos central y de correo electrónico institucional. Con este ámbito
acotado, no solo se garantiza el cumplimiento del servicio antes de que termine la actual
gestión del Ministerio, sino que se obtiene el beneficio de identificar controles técnicos y
procedimientos que ayudan a mantener la continuidad operativa del MEF (continuidad de
negocio).

2.5. Por tal motivo es aconsejable llevar a cabo los trámites necesarios para la contratación
de un servicio de evaluación de los riesgos y controles de seguridad presentes en las
plataformas tecnológicas relevantes, a cargo de una firma con experiencia en realización
de trabajos especializados relacionados con la implementación y gestión de seguridad
informática o ciberseguridad.

2
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Economía y Finanzas,
Sede Central
aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final del D.S. 026
Jr. Junín N° 319, Lima 1
-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web
Tel. (511) 311-5930
https://apps4.mineco.gob.pe:443/st/r?ctrln=42298099-68e1-44a5-860f-59f7e92ce051-649148 ingresando el siguiente código
www.mef.gob.pe
de verificación EFHFKCFJ
 MINISTERIO DE ECONOMIA Y FINANZAS
OFICINA GENERAL DE TECNOLOGÍAS DE LA INFORMACIÓN

“DECENIO DE LA IGUALDAD DE OPORTUNIDADES PÁRA MUJERES Y HOMBRES”

“AÑO DEL BICENTENARIO DEL PERÚ: 200 AÑOS DE INDEPENDENCIA”

III. CONCLUSIONES

3.1. Los sistemas informáticos de base de datos y correo electrónico del Ministerio
constituyen activos de suma importancia para el manejo automatizado de información
institucional del Ministerio, cuya relativa complejidad tecnológica demanda capacidades y
destrezas técnicas especializadas para su gestión y operación. En tal sentido, es necesario
adoptar las medidas necesarias de protección y seguridad de las plataformas tecnológicas
que brindan soporte a dichos sistemas.

3.2. Resulta conveniente efectuar la contratación de un servicio especializado en la

evaluación de la seguridad informática adoptando un alcance focalizado en dichos
sistemas, pues permite asegurar su realización en el corto plazo.

3.3. La realización del servicio indicado brindará beneficios no solo en el ámbito propio del
Sistema de Gestión de Seguridad de la Información, sino también en aspectos operativos
relacionados con la continuidad de negocio del Ministerio.

IV. RECOMENDACIONES

4.1. Llevar a cabo los trámites necesarios para la contratación del servicio de evaluación
de los riesgos y controles de seguridad presentes en las plataformas tecnológicas de base
de datos central y correo electrónico del MEF, por medio de una firma especializada con
experiencia en proyectos de implementación y gestión de seguridad informática.

4.2. Considerar la propuesta de los alcances del servicio recomendado según se describe
en los Términos de Referencia elaborados para la respectiva contratación, los que se
adjuntan al presente informe.

Es todo cuanto tengo que informar.

Atentamente,

Documento firmado digitalmente

JULIO ARTURO MOLINA GÁRATE
Director de la Oficina de Gobierno de
Tecnologías de la Información

3
Esta es una copia auténtica imprimible de un documento electrónico archivado por el Ministerio de Economía y Finanzas,
Sede Central
aplicando lo dispuesto por el Art. 25 del D.S. 070-2013-PCM y la Tercera Disposición Complementaria Final del D.S. 026
Jr. Junín N° 319, Lima 1
-2016-PCM. Su autenticidad e integridad pueden ser contrastadas a través de la siguiente dirección web
Tel. (511) 311-5930
https://apps4.mineco.gob.pe:443/st/r?ctrln=42298099-68e1-44a5-860f-59f7e92ce051-649148 ingresando el siguiente código
www.mef.gob.pe
de verificación EFHFKCFJ