1. pág. 1
INDECOPI Y LA INFORMÁTICA
Que, de acuerdo con lo señalado en el numeral 7.2 del artículo 7 de la
Ley de Organización y Funciones del Instituto Nacional de Defensa de
la Competencia y de la Protección de la Propiedad Intelectual
(INDECOPI), aprobada por el Decreto Legislativo No 1033 y sus
modificatorias, el Presidente del Consejo Directivo de la Institución es
la autoridad interna de mayor nivel jerárquico del INDECOPI y como
tal, el representante institucional;
Que, conforme a lo establecido en el literal h) del numeral 7.3 del
artículo 7 de la Ley de Organización y Funciones del INDECOPI, son
funciones del Presidente del Consejo Directivo de la Institución
aquellas otras que se le encomienden;
Que, asimismo, el literal h) del artículo 7 del Reglamento de
Organización y Funciones del INDECOPI, aprobado por el Decreto
Supremo No 009-2009-PCM y sus modificatorias, establece que son
funciones del Consejo Directivo de la Institución aquellas otras que le
encomiende el Consejo Directivo o que se deriven del marco normativo
institucional o de las normas sectoriales o presupuestarias;
Que, mediante el Memorándum No 867-2018/GTI del 28 de noviembre
de 2018, la Gerencia de Tecnologías de la Información solicita la
aprobación del POI 2018 de la Institución con eficacia al 27 de febrero
del 2018, indicando que cuenta con el respectivo respaldo
presupuestal, siendo necesario regularizar su aprobación con la
finalidad de dar cumplimiento al artículo 4 de la Resolución N° 19-
2011-PCM, que establecía que cada año fiscal las entidades deben
efectuar el registro del respectivo POI en la página web del Portal del
Estado Peruano (www.peru.gob.pe/poi);
2. pág. 2
INSTITUTO NACIONAL DE DEFENSA DE LA COMPETENCIA Y DE
LA PROTECCIÓN DE LA PROPIEDAD INTELECTUAL(INDECOPI)
Que, en atención a las consideraciones expuestas, corresponde
aprobar el POI de la Institución para el año 2018;
Con el visto bueno del Gerente General, de la Gerencia de Tecnologías
de la Información, la Gerencia de Administración y Finanzas y de la
Gerencia Legal
De conformidad con lo dispuesto en la Resolución Ministerial No 19-
2011-PCM, los artículos 7 y 17 del Texto Único Ordenado de la Ley No
27444, Ley del Procedimiento Administrativo General, aprobado por el
Decreto Supremo No 006-2017-JUS, y en cumplimiento de las
funciones otorgadas mediante los literales f) y n) del numeral 7.3 de la
Ley de Organización y Funciones del INDECOPI, aprobada por el
Decreto Legislativo N°1033 y sus modificatorias;
SE RESUELVE:
Artículo 1. – Aprobar, con eficacia anticipada al 27 de febrero de 2018,
el Plan Operativo Informático 2018 del INDECOPI, el mismo que en
Anexo adjunto forma parte integrante de la presente Resolución.
Artículo 2. - Publicar la presente Resolución y su Anexo, en el Portal
del Estado Peruano (www.peru.gob.pe/poi), y en el Portal Institucional
del INDECOPI (www.indecopi.gob.pe), siendo responsable de dicha
acción la Gerencia de Tecnologías de la Información de la Institución
Artículo 3. - La Gerencia de Tecnologías de la Información del
INDECOPI es responsable del seguimiento y evaluación permanente
del cumplimiento de los objetivos y metas consideradas en la
programación del POI.
3. pág. 3
Misión de la Dirección o Gerencia Informática Proveer soluciones
tecnológicas y de gran impacto que faciliten el logro de los objetivos
institucionales, con la consiguiente satisfacción de la sociedad.
Visión de la Dirección o Gerencia Informática Ser un área propulsora y
facilitadora del cambio usando la innovación tecnológica y ser un
referente tecnológico dentro del sector público, contribuyendo al
proceso de modernización del estado.
Situación Actual - Localización y dependencia estructural y/o funcional
La Gerencia de Tecnologías de la Información, reporta directamente a
la Gerencia General del Indecopi.
Sistemas Operativos
WINDOWS 7 PROFESSIONAL
WINDOWS 10 PROFESSIONAL Herramientas de Desarrollo
CA ERWIN R7 MICROSOFT VISUAL STUDIO 6.0 EMPRESARIAL
ORACLE JDEVELOPER 120 6 " PL/SQL DEVELOPER 10 ::: 7 TOAD FOR
ORACLE 10
De Oficina:
ADOBE ACROBAT PRO X
ADOBE ACROBAT STD X ALCATEL SOFTPHONE MICROSOFT OFFICE
365 MICROSOFT OFFICE STD 2013
MICROSOFT OFFICE STD 2010
MICROSOFT PROJECT ONLINE
MICROSOFT PROJECT PRO 2016
MICROSOFT VISIO PRO 2007 Antivirus | 19 MCAFEE ENDPOINT
PROTECTION 10.5
CONECTIVIDAD
Switches
1 ACCESS POINT
2 SWITCH Reuters
4. pág. 4
Posición estratégica de la GTI dentro de la organización. Compromiso
del personal con los proyectos de la GTI Mejora continua en la
implementación de la ISO/IEC 27001 de Seguridad de la Información.
Plataforma robusta y escalable con una adecuada configuración de
servidores y comunicaciones. Administración de los servicios de TI en
función a niveles de servicio, tanto en los contratos con los
proveedores como en los procedimientos internos Outsourcing de
servicios de impresión y arrendamiento de PC's para atender la
demanda requerida de los usuarios.
Debilidades
Falta de capacitación del personal en las nuevas herramientas
tecnológicas. Bajo nivel de integración de las aplicaciones existentes
Falta de un grupo electrógeno que garantice la provisión de energía
eléctrica al centro de datos Falta de un centro de datos alterno que
garantice la continuidad de servicios críticos de TI ante un desastre
natural Lentitud en la transmisión de datos entre los edificios de la
Sede Central y su conexión con el centro de datos por falta de
cableado en fibra óptica. Pérdida de disponibilidad de los servicios de
TI ante la falla del único equipo central de comunicaciones del centro
de datos. Falta de capacidad operativa de Help Desk en relación a la
demanda y volumen de los usuarios. La ausencia de procesos
institucionales documentados dificulta la automatización de
requerimientos de los sistemas de la institución Falta de capacidad
operativa para la investigación e implementación de buenas prácticas
de gestión de TI (arquitectura, gobierno, servicios, proyectos,
seguridad informática, calidad) dado que la tecnología está en
constante cambio. Falta de alineamiento a las normas legales por falta
de personal en derecho especializado en
contrataciones Amenazas
5. pág. 5
Interrupción de los servicios de TI que dan soporte a los procesos
críticos del negocio Ataques externos a los servicios que provee la
institución. Reducción de presupuesto para la implementación nuevos
proyectos TI. Cambios normativos gubernamentales que impactan en
la gestión de proyectos de la GTI Oportunidades
Implementar soluciones que usen firma digital. Actualizar la
infraestructura de servidores con nueva tecnología, Disponibilidad de
tecnologías emergentes para
el desarrollo de soluciones innovadoras y modernización del Indecopi.
Acceso a la Red Dorsal Nacional de Fibra Óptica Fortalecimiento de la
plataforma de interoperabilidad de la Infraestructura Oficial de Firmas
Electrónicas (IOFE) en mérito al D.S. No 026-2016-PCM.
VII. Alineamiento con el Plan Estratégico Institucional y Sectorial -
• Objetivos Sectoriales
Lograr el desarrollo y la prestación de mejores servicios TIC para la
sociedad, a través de la Interoperabilidad entre las entidades del
Estado, el sector privado y la sociedad civil. Acercar el Estado al
ciudadano a través de mecanismos que aseguren el acceso oportuno e
inclusivo a la información y una participación ciudadana como medio
para aportar a la gobernabilidad y transparencia de la gestión del
Estado Garantizar la integridad, confidencialidad y disponibilidad de la
información pública mediante mecanismos de seguridad de la
información gestionada
• Objetivos Estratégicos Institucionales
Reducir la incidencia de denuncias en materia de Con-
sumo presentados por los consumidores. - Incrementar el
uso de los servicios de Propiedad Intelectual, por parte de
6. pág. 6
las personas naturales y jurídicas - Mejorar las condiciones
de competencia en los Mercados para beneficio de los
Agentes Económicos - Fortalecer y garantizar la gestión institucional -
Fortalecer la gestión interna de riesgos de desastres en el Indecopi.
• Acciones estratégicas Institucionales
información sobre derechos y obligaciones en materia de protección
consumidor proporcionada de manera adecuada a los consumidores y
proveedores. Resolución de expedientes en materia de protección al
consumidor, de manera oportuna para los agentes del mercado.
Mecanismos alternativos de solución de controversias en materia de
consumo
fortalecidos, para los agentes de mercado. Supervisión del
cumplimiento de los derechos y obligaciones de los agentes
económicos en materia de protección del consumidor a nivel nacional.
Información especializada en materia de Propiedad Intelectual
difundida a personas naturales y jurídicas. Asistencia técnica en
materia de Propiedad Intelectual otorgada de manera adecuada a
personas naturales y jurídicas. Expedientes en materia de Propiedad
Intelectual resueltos dentro del plazo legal para las personas naturales
y jurídicas. Vigilancia de los derechos de Propiedad Intelectual, a nivel
nacional, en beneficio de los titulares de derecho. Procedimientos en
materia de Barreras ilegales y lo carentes de razonabilidad, resueltos
oportunamente en favor de empresas y ciudadanos. Procedimientos en
materia de eliminación de distorsiones en el Mercado, resueltos
oportunamente en favor de los Agentes Económicos. Procedimientos
7. pág. 7
en materia de Barreras paraarancelarias ilegales y/o carentes de
razonabilidad y vulneraciones al comercio internacional, resueltos
oportunamente en favor de los Agentes Económicos. Procedimientos
en materia Concursal resueltos oportunamente en favor de los Agentes
Económicos.
Capacidades de colaboradores y clima laboral fortalecidos en beneficio
de los colaboradores de la institución Optimización tecnológica de los
procesos para mejorar la gestión institucional Funcionamiento de la
gestión institucional garantizada en beneficio de los órganos
resolutivos y administrativos de la institución, Programa para la
prevención y reducción de riesgos de desastres implementado en el
Indecopi. Plan de emergencias implementado de manera oportuna y
eficaz en caso de emergencias y/o desastres en el Indecopi.
• Objetivos Específicos (TI)
Desarrollar sistemas integrados, seguros y
confiables para la atención de la demanda
de servicios institucionales por parte de la ciudadanía Mejorar la
eficiencia operativa de los servicios de tecnología de la información
acorde
con la vigencia tecnológica.
ACCIONES ESTRATEGICAS INSTITUCIONALES 2018
OE1: Lograr el desarrollo y la prestación de mejores servicios TIC
para la sociedad, a través de la Interoperabilidad entre las entidades
del Estado, el sector privado y la sociedad civil.
AE1.1: Información sobre derechos y obligaciones en materia de
protección consumidor proporcionada de manera PEI1: Reducir
adecuada a los consumidores y la incidencia
8. pág. 8
proveedores. de denuncias
AE1.2: Resolución de expedientes en materia de en materia de
protección al
Consumo consumidor, de manera oportuna presentados
en favor de los consumidores. por los consumidores. AE1.3:
Mecanismos alternativos de solución de controversias en materia de
consumo fortalecidos, para consumidores y proveedores.
OB1: Desarrollar sistemas integrados, seguros y confiables para la
atención de la demanda de servicios institucionales por
parte de la ciudadanía.
Proyecto N° 1: Servicio de Mantenimiento Preventivo y Correctivo de
la Infraestructura de Servidores, Plataforma de Virtualización
(VMWARE), Sistema de Almacenamiento (Storage XIV), productos
Oracle y componentes del soporte del data center E1: Mejorar el
proceso interno Proyecto N°2: Servicio de operacional de las
Mantenimiento Preventivo y Correctivo áreas del Indecopi, a los
Equipos de Comunicaciones de la red LAN del Indecopi para la atención
oportuna al Proyecto No 3: Servicio de Transmisión ciudadano de
Datos a Nivel Nacional e Internet
Proyecto No 4: Servicio de Suscripción a Licencia de Microsoft Office
Proyecto No 5: Ampliación y Reforzamiento del Contacto Center de
Indecopi - Prestación accesoria Vll.
Estrategias para el logro de las metas del Plan Operativo Informático.
Las Estrategias estarán orientadas a definir líneas maestras de acción
de corto plazo para cada año fiscal. Las Direcciones o Gerencias
Informáticas, dirigirán sus esfuerzos para el logro de las metas
específicas, en el marco de las directrices establecidas por el Plan
Operativo Informático.
9. pág. 9
Mejorar el proceso interno operacional de las áreas
del Indecopi, para la atención oportuna al ciudadano.
Promover la implementación progresiva de "cero
papel" que permita mejorar la eficiencia en la
administración pública con las buenas prácticas
ambientales. Proponer, ejecutar y administrar en
forma proactiva la actualización y mantenimiento de
la Infraestructura de Tecnologías de la información.
Programación de Actividades y lo Proyectos Informáticos.
Orientado a los Ciudadanos
F1-01 Servicio de Mantenimiento Preventivo y Correctivo de la
Infraestructura de Servidores, Plataforma de Virtualización (VMWARE),
Sistema de Almacenamiento (Storage XIV), productos Oracle y
componentes del soporte del data center
F1-02 Servicio de Mantenimiento Preventivo y Correctivo a los Equipos
de Comunicaciones de la red LAN del Indecopi
F1-03 Servicio de Transmisión de Datos a nivel nacional e Internet
F1-04 Servicio de Suscripción a Licencia de Microsoft Office
F1-05 Ampliación y reforzamiento del Contacto Center de Indecopi -
Prestación accesoria
FICHA TÉCNICA PARA LA PROGRAMACIÓN DE ACTIVIDADES Y
PROYECTOS INFORMÁTICOS DENOMINACIÓN DE LA ACTIVIDAD O
PROYECTO:
No: 01 Servicio de Mantenimiento Preventivo y Correctivo de la
Infraestructura de Servidores, Plataforma de Virtualización (VMWARE),
Sistema de Almacenamiento (Storage XIV), productos Oracle y
componentes del soporte del data center
10. pág. 10
Descripción del Proyecto: Mantenimiento preventivo y correctivo de la
infraestructura de Servidores, Plataforma de Virtualización (VMWARE),
Sistema de Almacenamiento (Storage XIV), productos Oracle y
componentes del soporte del data center
Tipo orientación Orientado a la Gestión Interna Actividad DATOS
GENERALES 2.1 Unidad Ejecutora 2.2 Duración 2,3 Costo Total
Gerencia de Tecnologías de la Información
Inicia: 19-04-2018 y Fin: 18-04-2019
1'063,766 DEL PROYECTO 3.1 Descripción de la actividad/proyecto:
Mantenimiento preventivo y correctivo de la infraestructura de
Servidores, Plataforma de Virtualización (VMWARE), Sistema de
Almacenamiento (Storage XIV), productos Oracle y componentes del
soporte del data center
Objetivos de la actividad/proyecto:
Garantizar la disponibilidad y operatividad de los servicios que brinda
el Indecopi y ejecutar acciones preventivas y correctivas ante
incidentes de hardware y/o software de la plataforma de
virtualización (VMWARE), sistema de almacenamiento (Storage XIV),
productos Oracle IV. META ANUAL 70 %
COBERTURA DE ACCIÓN
Ámbito institucional VI. INSTITUCIONES INVOLUCRADAS
Indecopi VII. PRODUCTOS FINALES
Aplica para Proyecto de TI USUARIOS DE PRODUCTOS FINALES Todo
el personal de Indecopi Usuarios: III.
11. pág. 11
DENOMINACIÓN DE LA ACTIVIDAD O PROYECTO:
No: 02 Servicio de Mantenimiento Preventivo y Correctivo a los
Equipos de Comunicaciones de la red LAN del Indecopi
Descripción del Proyecto: Servicio de Mantenimiento Preventivo y
Correctivo a los Equipos de Comunicaciones de la red LAN del Indecopi
Prioridad Tipo orientación Orientado a la Gestión Interna
Tipo Actividad DATOS GENERALES 2.1 Unidad Ejecutora 2.2 Duración
2.3 Costo Total
Gerencia de Tecnologías de la Información
Inicia: 01-10-2018 y Fin: 27-09-2019 179,700
DEL PROYECTO
3.1 Descripción de la actividad/proyecto:
Mantenimiento Preventivo y Correctivo a los Equipos de
Comunicaciones de la red LAN del Indecopi 3.2 Objetivos de la
actividad/proyecto
Disponer del servicio de mantenimiento preventivo y correctivo de los
equipos de comunicaciones a fin de garantizar la operatividad y
.
FUENTE DE FINANCIAMIENTO
(*) 1: Propio. 2: Proveniente de otras fuentes de la Institución, 3:
Cooperación Internacional. 4: Otros. Tipo: Firewalls, Unidades de
Backup (de tipo RAD), Equipos Electrónicos, Sistemas Biométricos,
entre otros, Cantidad: Número de unidades adquiridas por cada tipo
de equipo.
4. Adquisiciones de Software:
TIPO DE SOFTWARE O NOMBRES DE SOFTWARE
Presupuesto Total Asignado
PRESUPUESTO CANTIDAD
14. pág. 14
Se señala la posibilidad de que alguno de los elementos de este
documento pueda estar sujeto a derechos de patentes. No se hará
responsable a ISO e IEC de identificar cualquiera o todos los
mencionados derechos de patentes.
ISO/IEC 27001 fue preparada por el Comité Técnico conjunto ISO/IEC
JTC 1, Tecnología de la información, Subcomité SC 27, Técnicas de
seguridad de la TI.
Esta segunda edición cancela y reemplaza la primera edición (NTP-
ISO/IEC 27001:2008), la cual se ha revisado técnicamente.
• Generalidades
Esta Norma Técnica Peruana ha sido preparado para proporcionar los
requisitos para establecer, implementar, mantener y mejorar
continuamente un sistema de gestión de seguridad de la información.
La adopción de un sistema de gestión de seguridad de la información
es una decisión estratégica para una organización. El establecimiento e
implementación de un sistema de gestión de seguridad de la
información de la organización está influenciado por las necesidades y
objetivos de la organización, los requisitos de seguridad, los procesos
organizativos utilizados y el tamaño y estructura de la organización. Se
espera que todos estos factores influyentes cambien con el tiempo.
El sistema de gestión de la seguridad de información preserva la
confidencialidad, integridad y disponibilidad de la información
aplicando un proceso de gestión de riesgos y proporciona confianza a
las partes interesadas en el sentido en que los riesgos se manejan
adecuadamente.
Es importante que el sistema de gestión de la seguridad de la
información sea parte de y esté integrado con los procesos de la
organización y la estructura de gestión general y que la seguridad de
la información se considere en el diseño de procesos, sistemas y
15. pág. 15
controles de la información. Se espera que la implementación de un
sistema de gestión de seguridad de la información crezca a escala en
concordancia con las necesidades de la organización.
Las partes internas y externas pueden utilizar esta Norma Técnica
peruana para evaluar la capacidad que tiene la organización de cumplir
los requisitos de seguridad de la información de la propia organización.
El orden en el que se presentan los requisitos en esta Norma Técnica
Peruana no refleja su importancia ni implica el orden en el que deben
implementarse. Los elementos de la lista se enumeran únicamente
para propósitos de referencia.
ISO/IEC 27000 describe una visión general y el vocabulario de los
sistemas de seguridad de la información, haciendo referencia a la
familia de normas del sistema de gestión de seguridad de la
información (incluyendo ISO/IEC 27003[2], ISO/IEC 27004[3] e
ISO/IEC 27005[4], con términos y definiciones relacionadas.
• Compatibilidad con otras normas de sistemas de gestión
Esta Norma Técnica Peruana aplica la estructura de alto nivel, títulos
de sub-clausulas idénticos, texto idéntico, términos comunes, y
definiciones básicas proporcionadas en el Anexo SL de las Directivas
ISO/IEC, Parte 1, Suplemento ISO Consolidado y, por lo tanto,
mantiene compatibilidad con otras normas de sistemas de gestión que
han adoptado el Anexo SL.
Este enfoque común definido en el Anexo SL será útil para aquellas
organizaciones que elijan operar un sistema de gestión único que
satisfaga los requisitos de dos o más normas de sistemas de gestión.
reservados
NORMA TÉCNICA NTP-ISO/IEC 27001 PERUANA
TECNOLOGÍA DE LA INFORMACIÓN. Técnicas de seguridad. Sistemas
de gestión de seguridad de la información: Requisitos
16. pág. 16
OBJETO Y CAMPO DE APLICACIÓN
Esta Norma Técnica Peruana especifica los requisitos para establecer,
implementar, mantener y mejorar continuamente un sistema de
gestión de seguridad de la información dentro del contexto de la
organización. Esta Norma Técnica Peruana también incluye requisitos
para la evaluación y tratamiento de los riesgos de seguridad de la
información orientados a las necesidades de la organización. Los
requisitos establecidos en esta Norma Técnica Peruana son genéricos y
están hechos para aplicarse a todas las organizaciones, sin importar su
tipo, tamaño o naturaleza. Excluir cualquiera de los requisitos
especificados en las Cláusulas 4 a 10 no es aceptable cuando una
organización declara conformidad con esta Norma Técnica Peruana.
REFERENCIAS NORMATIVAS
Los siguientes documentos, en parte o en su totalidad, se referencian
normativamente en este documento y son indispensables para su
aplicación. Para referencias fechadas sólo se aplica la edición citada.
Para referencias no fechadas se aplica la edición más reciente del
documento referenciado (incluida cualquier enmienda).
TÉRMINOS Y DEFINICIONES
Para propósitos de este documento, se aplican los términos y
definiciones proporcionados en ISO/IEC 27000.
CONTEXTO DE LA ORGANIZACION
4.1 Comprender la organización y su contexto
La organización debe determinar los aspectos externos e internos que
son relevantes para este propósito y que afectan su capacidad de
lograr el(los) resultado(s) deseados de este sistema de gestión de
seguridad de la información.
17. pág. 17
NOTA: Determinar si estos aspectos se refiere a establecer el contexto
externo e interno de la organización considerado en la Cláusula 5.3 de
ISO 31000:2009[5].
4.2 Comprender las necesidades y expectativas de las partes
interesadas
La organización debe determinar:
las partes interesadas relevantes al sistema de gestión de seguridad
de la información; y
los requisitos de estas partes interesadas relevantes a la seguridad de
la información.
NOTA: Los requisitos de las partes interesadas pueden incluir
requisitos legales, regulatorios y obligaciones contractuales.
4.3 Determinar el alcance del sistema de gestión de seguridad de la
información
La organización debe determinar los límites y la aplicabilidad del
sistema de gestión de seguridad de la información para establecer su
alcance.
Cuando se determina este alcance la organización debe considerar:
los aspectos externos e internos referidos en 4.1;
los requisitos referidos en 4.2; y
las interfaces y dependencias entre actividades realizadas por la
organización y las que son realizadas por otras organizaciones.
El alcance debe estar disponible como información documentada.
4.4 Sistema de gestión de seguridad de la información
La organización debe establecer, implementar, mantener y mejorar
continuamente un sistema de gestión de seguridad de la información,
en conformidad con los requisitos de esta Norma Técnica Peruana.
LIDERAZGO
5.1 Liderazgo y compromiso
18. pág. 18
La alta dirección debe demostrar liderazgo y compromiso respecto del
sistema de gestión de seguridad de la información:
asegurando que la política de seguridad de la información y los
objetivos de seguridad de la información son establecidos y
compatibles con la dirección estratégica de la organización;
asegurando la integración de los requisitos del sistema de gestión de
seguridad de la información en los procesos de la organización;
asegurando que los recursos necesarios para el sistema de gestión de
seguridad de la información estén disponibles;
comunicando la importancia de una efectiva gestión de seguridad de la
información y en conformidad con los requisitos del sistema de gestión
de seguridad de la información;
asegurando que el sistema de gestión de seguridad de la información
logre su(s) resultado(s) previsto(s);
dirigiendo y apoyando a las personas para que contribuyan con la
efectividad del sistema de gestión de seguridad de la información;
promoviendo la mejora continua; y
NORMA TÉCNICA NTP-ISO/IEC 27001 PERUANA
La alta dirección debe establecer una política de seguridad de la
información que:
es apropiada al propósito de la organización;
incluye objetivos de seguridad de la información o proporciona el
marco de referencia para fijar los objetivos de seguridad de la
información;
incluye un compromiso de satisfacer requisitos aplicables relacionados
a la seguridad de la información; e
incluye un compromiso de mejora continua del sistema de gestión de
seguridad de la información.
La política de seguridad de la información debe:
19. pág. 19
estar disponible como información documentada;
estar comunicada dentro de la organización; y
estar disponible a las partes interesadas, según sea apropiado.
5.3 Roles, responsabilidades y autoridades organizacionales
La alta dirección debe asegurar que las responsabilidades y la
autoridad para los roles relevantes a la seguridad de la información
estén asignadas y comunicadas.
La alta dirección debe asignar la responsabilidad y la autoridad para:
asegurar que el sistema de gestión de seguridad de la información
esté conforme a los requisitos de esta Norma Técnica Peruana; y
reportar sobre el desempeño del sistema de gestión de seguridad de la
información a la alta dirección.
NOTA: La alta dirección también puede asignar responsabilidades y la
autoridad para reportar desempeño del sistema de gestión de
seguridad de la información dentro de la organización.
PLANIFICACIÓN
Acciones para tratar los riesgos y las oportunidades Generalidades
Cuando se planifica para el sistema de gestión de seguridad de la
información, la organización debe considerar los asuntos referidos en
el numeral y los requisitos referidos en el numeral 4.2 y determinar los
riesgos y oportunidades que necesitan ser tratados para:
asegurar que el sistema de gestión de seguridad de la información
pueda lograr su(s) resultado(s) esperado(s);
prevenir, o reducir, efectos indeseados;
lograr la mejora continua.
La organización debe planificar:
acciones que traten estos riesgos y oportunidades; y
como
20. pág. 20
• integrar e implementar estas acciones en sus procesos del
sistema de gestión
de seguridad de la información; y
• evaluar la efectividad de estas acciones.
Valoración del riesgo de seguridad de la información
La organización debe definir y aplicar un proceso de valoración del
riesgo de seguridad de la información que:
establezca y mantenga criterios de riesgo de seguridad de la
información que incluyan;
• los criterios de aceptación de los riesgos;
• los criterios para realizar valoraciones de riesgo de
seguridad de la información;
asegure que las valoraciones repetidas de riesgos de seguridad de la
información produzcan resultados consistentes, válidos y comparables;
identifique los riesgos de seguridad de la información
• aplicando el proceso de valoración de riesgos de seguridad
de la información para identificar riesgos asociados con la
pérdida de confidencialidad, integridad y disponibilidad para
la información dentro del alcance del sistema de gestión de
seguridad de la información; e
• identificando a los propietarios de riesgos;
analice los riesgos de seguridad de la información:
• valorando las consecuencias potenciales que resultarían si
los riesgos
• priorizando los riesgos analizados para el tratamiento de
riesgos.
La organización debe retener información documentada sobre el
proceso de valoración de riesgos de seguridad de la información.
21. pág. 21
6.1.3 Tratamiento de riesgos de seguridad de la información.
La organización debe definir y aplicar un proceso de tratamiento de
riesgos de seguridad de la información para:
seleccionar opciones de tratamiento de riesgos de seguridad de la
información apropiadas, tomando en cuenta los resultados de la
valoración de riesgos;
determinar todos los controles que son necesarios para implementar
la(s) opción(es) elegida(s) de tratamiento de riesgos de seguridad de
la información;
NOTA: Las organizaciones pueden diseñar controles según se requiera,
o identificarlos de cualquier fuente.
Comparar los controles determinados en 6.1.3 b) con aquellos del
Anexo A y verificar que no se ha omitido ningún control necesario;
NOTA 1: El Anexo A contiene una lista integral de objetivos de control
y controles. Los usuarios de esta Norma Técnica Peruana pueden
dirigirse al Anexo A para asegurar que no se deje de lado ningún
control necesario.
NOTA 2: Los objetivos de control están incluidos implícitamente en los
controles escogidos. Los objetivos de control y los controles listados en
el Anexo A no son exhaustivos y pueden ser necesarios objetivos de
control y controles adicionales.
producir una Declaración de Aplicabilidad que contenga los controles
necesarios (véase 6.1.3 b) y c)) y la justificación de las inclusiones ya
sea que se implementen o no, así como la justificación de excluir
controles del Anexo A;
formular un plan de tratamiento de riesgos de seguridad de la
información; y
22. pág. 22
obtener la aprobación, por parte de los propietarios de riesgos, del
plan de tratamiento de riesgos de la seguridad de la información y la
aceptación de los riesgos residuales de la seguridad de la información.
La organización debe retener información documentada sobre el
proceso de tratamiento de riesgos de seguridad de la información.
NOTA: El proceso de valoración y tratamiento de riesgos de seguridad
de la información en esta Norma Técnica Peruana se alinea con los
principios y lineamientos genéricos proporcionados en ISO 31000[5]
6.2 Objetivos de seguridad de la información y planificación para
conseguirlos La organización debe establecer objetivos de seguridad
de la información a niveles y funciones relevantes.
Los objetivos de seguridad de la información deben:
ser consistentes con la política de seguridad de la información;
ser medibles (si es práctico);
tomar en cuenta requisitos aplicables de seguridad de la información y
resultados de la valoración y tratamiento de riesgos;
ser comunicados;
ser actualizados según sea apropiado.
La organización debe retener información documentada sobre los
objetivos de seguridad de la información.
Cuando planifique cómo lograr sus objetivos de seguridad de la
información, la organización debe determinar:
qué se hará;
qué recursos serán requeridos;
quién será responsable;
cuándo se culminará;
cómo los resultados serán evaluados.
SOPORTE
23. pág. 23
Recursos La organización debe determinar y proporcionar los recursos
necesarios para el establecimiento, implementación, mantenimiento y
mejora continua del sistema de gestión de seguridad de la
información.
Competencia
La organización debe:
Determinar la competencia necesaria de la(s) persona(s) que trabajan
bajo su control que afecta su desempeño en seguridad de la
información;
Asegurar que estas personas son competentes sobre la base de
educación, capacitación, o experiencia adecuados;
Cuando sea aplicable, tomar acciones para adquirir la competencia
necesaria y evaluar la efectividad de las acciones tomadas; y
Retener información documentada apropiada como evidencia de
competencia.
NOTA: Las acciones aplicables pueden incluir, por ejemplo: la provisión
de capacitación a, mentoría a, o reasignación de los actuales
empleados; o la contratación de personas competentes.
Concientización
Las personas que trabajan bajo el control de la organización deben ser
conscientes de:
la política de seguridad de información;
su contribución a la efectividad del sistema de gestión de seguridad de
la información, incluyendo los beneficios de un mejor desempeño de la
seguridad de la información; y
las implicancias de no tener conformidad con los requisitos del sistema
de gestión de seguridad de la información.
24. pág. 24
Comunicación
La organización debe determinar la necesidad de comunicaciones
internas y externas relevantes al sistema de gestión de seguridad de la
información incluyendo:
qué comunicar;
cuándo comunicar;
a quién comunicar;
quién debe comunicar; y
los procesos por los cuales la comunicación debe ser efectuada.
7.5 Información documentada
7.5.1 Generalidades
El sistema de gestión de seguridad de la información de la
organización debe incluir:
información documentada requerida por esta Norma Técnica Peruana;
e
información documentada determinada por la organización como
necesaria
para la efectividad del sistema de gestión de seguridad de la
información.
NOTA: La extensión de la información documentada para un
sistema de gestión de seguridad de la información puede diferir
de una organización a otra debido a:
• el tamaño de la organización y su tipo de actividades,
procesos, productos y servicios;
• la complejidad de los procesos y sus interacciones; y
• la competencia de las personas.
Creación y actualización
Cuando se crea y actualiza información documentada, la organización
debe asegurar:
25. pág. 25
identificación y descripción apropiados (por ejemplo, un título, fecha,
autor,
• número de referencia);
formato (por ejemplo el lenguaje, versión de software, gráficos) y
medios
(por ejemplo papel, electrónico) apropiados; y
revisión y aprobación apropiadas para su conveniencia y adecuación.
7.5.3 Información documentada
La información documentada requerida por el sistema de gestión de
seguridad de la información y por esta Norma Técnica Peruana se debe
controlar para asegurar:
que esté disponible y sea conveniente para su uso donde y cuando sea
necesaria; y
que esté protegida adecuadamente (por ejemplo de pérdida de
confidencialidad, uso impropio, o pérdida de integridad).
Para el control de la información documentada, la organización debe
realizar las siguientes actividades, según sea aplicable:
distribución, acceso, recuperación y uso;
almacenamiento y preservación, incluyendo la preservación de
legibilidad;
control de cambios (por ejemplo control de versiones); y
retención y disposición.
La información documentada de origen externo, determinada por la
organización como necesaria para la planificación y operación del
sistema de gestión de seguridad de la información, debe ser
identificada según sea apropiado y controlarse.
26. pág. 26
NOTA: El acceso implica una decisión respecto de la autorización de
solamente ver la información documentada, o el permiso y la
autoridad de ver y cambiar la información documentada, etc.
8. OPERACIÓN
8.1 Planificación y control operacional
La organización debe planificar, implementar y controlar los procesos
necesarios para cumplir con los requisitos de seguridad de la
información e implementar las acciones determinadas en 6.1. La
organización debe también implementar planes para lograr los
objetivos de seguridad de la información determinados en 6.2.
La organización debe mantener información documentada en la
medida necesaria para estar segura de que los procesos se han llevado
a cabo tal como fueron planificados.
La organización debe controlar los cambios planeados y revisar las
consecuencias de cambios no intencionados, actuando para mitigar
cualquier efecto adverso, según sea necesario.
La organización debe asegurar que los procesos tercerizados son
determinados y controlados.
8.2 Evaluación de riesgos de seguridad de la información
La organización debe realizar evaluaciones de riesgos de seguridad de
la información en intervalos planificados o cuando cambios
significativos se propongan u ocurran, tomando en cuenta los criterios
establecidos en 6.1.2 a).
La organización debe retener información documentada de los
resultados de las evaluaciones de riesgos de seguridad de la
información.
8.3 Tratamiento de riesgos de seguridad de la información
La organización debe implementar el plan de tratamiento de riesgos de
seguridad de la información.
27. pág. 27
La organización debe retener información documentada de los
resultados del tratamiento de riesgos de seguridad de la información.
9. EVALUACIÓN DEL DESEMPEÑO
9.1 Monitoreo, medición, análisis y evaluación
La organización debe evaluar el desempeño de la seguridad de la
información y la efectividad del sistema de gestión de seguridad de la
información.
La organización debe determinar:
qué necesita ser monitoreado y medido, incluyendo procesos y
controles de
seguridad de la información;
los métodos para monitoreo, medición, análisis y evaluación, según
sea
aplicable, para asegurar resultados válidos;
NOTA: Los métodos seleccionados deberían producir resultados
comparables y reproducibles para ser considerados válidos.
cuándo el monitoreo y medición debe ser realizado;
quién debe monitorear y medir;
cuándo los resultados del monitoreo y medición deben ser analizados
quién debe analizar y evaluar estos resultados.
La organización debe retener información documentada apropiada
como evidencia del monitoreo y los resultados de la medición.
9.2 Auditoría interna
La organización debe conducir auditorías internas en intervalos
planificados para proporcionar información sobre si el sistema de
gestión de seguridad de la información:
está en conformidad con
• los requisitos de la propia organización para su sistema de
gestión de seguridad de la información; y
28. pág. 28
• los requisitos de esta Norma Técnica Peruana;
está efectivamente implementado y mantenido.
La organización debe:
planificar, establecer, implementar y mantener uno o varios programas
de auditoría, incluyendo la frecuencia, métodos, responsabilidades,
requisitos e informes de planificación. Los programas de auditoría
deben tomar en consideración la importancia de los procesos
concernientes y los resultados de auditorías previas;
definir los criterios y el alcance de cada auditoría;
seleccionar a los auditores y conducir auditorías que aseguren
objetividad e
imparcialidad del proceso de auditoría;
asegurar que los resultados de las auditorías se reporten a los
gerentes
relevantes; y
retener información documentada como evidencia del (de los)
programa(s)
de auditoría y los resultados de la auditoría.
9.3 Revisión por la gerencia
La alta dirección debe revisar el sistema de gestión de seguridad de la
información de la organización a intervalos planificados para asegurar
su conveniencia, adecuación y efectividad continua.
La revisión por la gerencia debe incluir consideraciones de:
el estado de las acciones con relación a las revisiones anteriores por
parte de la gerencia;
cambios en asuntos externos e internos que son relevantes al sistema
de gestión de seguridad de la información;
retroalimentación sobre el desempeño de seguridad de la información,
incluyendo tendencias en:
29. pág. 29
• no conformidades y acciones correctivas;
• resultados del monitoreo y medición;
• resultados de auditoría; y
• cumplimiento de los objetivos de seguridad de la
información;
retroalimentación de partes interesadas;
resultados de la evaluación de riesgo y estado del plan de tratamiento
de riesgos; y
oportunidades para la mejora continua.
Los productos de la revisión por la gerencia deben incluir decisiones
relacionadas a oportunidades de mejora continua y cualquier
necesidad de cambios al sistema de gestión de seguridad de la
información.
La organización debe retener información documentada como
evidencia de los resultados de revisiones por parte de la gerencia.
10. MEJORAS
10.1 No conformidades y acción correctiva
Cuando ocurre una no conformidad, la organización debe:
reaccionar a la no conformidad y, según sea aplicable:
• tomar acción para controlarla y corregirla; y
• ocuparse de las consecuencias;
evaluar la necesidad de la acción para eliminar las causas de la no
conformidad con el fin de que no recurra u ocurra en otro lugar de las
siguientes maneras:
• revisando la no conformidad;
• determinando las causas de la no conformidad; y
• determinando si existen no conformidades similares o si
podrían ocurrir potencialmente;
30. pág. 30
implementar cualquier acción necesaria;
revisar la efectividad de cualquier acción correctiva tomada; y
hacer cambios al sistema de gestión de seguridad de la información, si
fuera
necesario.
Las acciones correctivas deben ser apropiadas a los efectos de las no
conformidades encontradas.
La organización debe retener información documentada como
evidencia de:
la naturaleza de las no conformidades y cualquier acción subsiguiente
tomada; y
los resultados de cualquier acción correctiva.
10.2 Mejora continua
La organización debe mejorar continuamente la conveniencia,
adecuación y efectividad del sistema de gestión de seguridad de la
información.
• CASOS
ANEXO A (NORMATIVO)OBJETIVOS DE CONTROL Y CONTROLES
DE REFERENCIA
Los objetivos de control y controles listados en la Tabla A.1 son
directamente derivados desde y alineados con los listados en ISO/IEC
27002:2013[1], Cláusulas 5 a 18 y se utilizan en el contexto con el
Apartado 6.1.3.
TABLA A.1 – Objetivos de control y controles
A.5 Políticas de seguridad de la información A.5.1 Dirección de la
gerencia para la seguridad de la información Objetivo: Proporcionar
dirección y apoyo de la gerencia para la seguridad de la información en
37. pág. 37
Control Los propietarios de los activos deben revisar los derechos de
acceso de usuario a intervalos regulares. A.9.2.6 Remoción o ajuste de
derechos de acceso
Control Los derechos de acceso a información e instalaciones de
procesamientos de información de todos los empleados y de los
usuarios de partes externas deben removerse al término de su
empleo, contrato o acuerdo, o ajustarse según el cambio. A.9.3
Responsabilidades de los usuarios Objetivo: Hacer que los usuarios
respondan por la salvaguarda de su información de autentificación.
A.9.3.1 Uso de información de
autentificación secreta
Control Los usuarios deben ser exigidos a que sigan las prácticas de la
organización en el uso de información de autentificación secreta. A.9.4
Control de acceso a sistema y aplicación Objetivo: Prevenir el acceso
no autorizado a los sistemas y aplicaciones.
A.9.4.1 Restricción de acceso a la
información
Control El acceso a la información y a las funciones del sistema de
aplicación debe ser restringido en concordancia con la política de
control de acceso. A.9.4.2 Procedimientos de ingreso
seguro
Control Donde la política de control de acceso lo requiera, el acceso a
los sistemas y a las aplicaciones debe ser controlado por un
procedimiento de ingreso seguro. A.9.4.3 Sistema de gestión de
contraseñas
Control Los sistemas de gestión de contraseñas deben ser interactivos
y deben asegurar contraseñas de calidad. A.9.4.4 Uso de programas
utilitarios
privilegiados
41. pág. 41
Control Una política de escritorio limpio de papeles y de medios de
almacenamiento removibles, así como una política de pantalla limpia
para las instalaciones de procesamientos de la información debe ser
adoptada.
A.12 Seguridad de las operaciones A.12.1 Procedimientos y
responsabilidades operativas Objetivo: Asegurar que las operaciones
de instalaciones de procesamiento de la información sean correctas y
seguras. A.12.1.1 Procedimientos operativos documentados
Control Los procedimientos operativos deben ser documentados y
puestos a disposición de todos los usuarios que los necesitan. A.12.1.2
Gestión del cambio Control
Los cambios en la organización, procesos de negocio, instalaciones de
procesamiento de la información y sistemas que afecten la seguridad
de la información deben ser controlados. A.12.1.3 Gestión de la
capacidad Control
El uso de recursos debe ser monitoreado, afinado y se debe hacer
proyecciones de los futuros requisitos de capacidad para asegurar el
desempeño requerido del sistema. A.12.1.4 Separación de los
entornos de desarrollo, pruebas y operaciones
Control Los entornos de desarrollo, pruebas y operaciones deben ser
separados para reducir los riesgos de acceso no autorizado o cambios
al entorno operativo.
Tabla A.12 (continuación)
A.12.2 Protección contra códigos maliciosos Objetivo: Asegurar que la
información y las instalaciones de procesamiento de la información
estén protegidas contra códigos maliciosos. A.12.2.1 Controles contra
códigos
maliciosos
45. pág. 45
del uso de todo tipo de instalaciones de comunicación. A.13.2.2
Acuerdo sobre transferencia de información
Control Los acuerdos deben dirigir la transferencia segura de
información del negocio entre la organización y partes externas.
A.13.2.3 Mensajes electrónicos Control
La información involucrada en mensajería electrónica debe ser
protegida apropiadamente. A.13.2.4 Acuerdos de confidencialidad o no
divulgación
Control Requisitos para los acuerdos de confidencialidad o no
divulgación que reflejan las necesidades de la organización para la
protección de la información deben ser identificados, revisados
regularmente y documentados. A.14 Adquisición, desarrollo y
mantenimiento de sistemas A.14.1 Requisitos de seguridad de los
sistemas de información Objetivo: Garantizar que la seguridad de la
información es una parte integral de los sistemas de información a
través del ciclo de vida completo. Esto también incluye los requisitos
para sistemas de información que proporcionen servicios sobre redes
públicas. A.14.1.1 Análisis y especificación de requisitos de seguridad
de la información
Control Requisitos relacionados a la seguridad de la información deben
ser incluidos dentro de los requisitos para nuevos sistemas de
información o mejoras a los sistemas de información existentes.
A.14.1.2 Aseguramiento de servicios de aplicaciones sobre redes
públicas
Control La información involucrada en servicios de aplicaciones que
pasa sobre redes públicas debe ser protegida de actividad fraudulenta,
disputa de contratos o divulgación no autorizada y modificación.
A.14.1.3 Protección de transacciones
en servicios de aplicación
48. pág. 48
Asegurar la protección de datos utilizados para las pruebas A.14.3.1
Protección de datos de
prueba
Control Los datos de prueba deben ser seleccionados cuidadosamente,
protegidos y controlados. A.15 Relaciones con los proveedores A.15.1
Seguridad de la información en las relaciones con los proveedores
Objetivo: Asegurar protección a los activos de la organización que son
accesibles por los proveedores A.15.1.1 Política de seguridad de la
información para las relaciones con los proveedores
Control Requisitos de seguridad de la información para mitigar los
riesgos asociados con el acceso por parte del proveedor a los activos
de la organización deben ser acordados con el proveedor y
documentados. A.15.1.2 Abordar la seguridad dentro de los acuerdos
con proveedores
Control Todos los requisitos relevantes de seguridad de la información
deben ser establecidos y acordados con cada proveedor que pueda
acceder, procesar, almacenar, comunicar, o proveer componentes de
infraestructura de TI para la información de la organización. A.15.1.3
Cadena de suministro de tecnología de información y comunicación
Control Los acuerdos con proveedores deben incluir requisitos para
abordar los riesgos de seguridad de la información asociados con los
servicios de tecnología de la información y comunicaciones y la cadena
de suministro de productos. A.15.2 Gestión de entrega de servicios del
proveedor Objetivo: Mantener un nivel de seguridad de la información
y entrega de servicios acordado en línea con los acuerdos con
proveedores. A.15.2.1 Monitoreo y revisión de servicios de los
proveedores
Control Las organizaciones deben monitorear, revisar y auditar
regularmente la entrega de servicios por parte de los proveedores.
50. pág. 50
Control Los eventos de seguridad de la información deben ser
reportados a través de canales de gestión apropiados tan rápido como
sea posible. A.16.1.3 Reporte de debilidades de
seguridad de la información
Control Empleados y contratistas que usan los sistemas y servicios de
información de la organización deben ser exigidos a advertir y reportar
cualquier debilidad observada o de la que se sospecha en cuanto a
seguridad de la información en los sistemas o servicios. A.16.1.4
Evaluación y decisión sobre eventos de seguridad de la información
Control Los eventos de seguridad de la información deben ser
evaluados y debe decidirse si son clasificados como incidentes de
seguridad de la información. A.16.1.5 Respuesta a incidentes de
seguridad de la información
Control Los incidentes de seguridad de la información deben ser
respondidos de acuerdo con los procedimientos documentados.
A.16.1.6 Aprendizaje de los incidentes de seguridad de la información
Control El conocimiento adquirido a partir de analizar y resolver los
incidentes de seguridad de la información debe ser utilizado para
reducir la probabilidad o el impacto de incidentes futuros.
NORMA TÉCNICA NTP-ISO/IEC 27001 PERUANA
Recolección de evidencia Control
La organización debe definir y aplicar procedimientos para la
identificación, recolección, adquisición y preservación de información
que pueda servir como evidencia. A.17 Aspectos de seguridad de la
información en la gestión de continuidad del negocio A.17.1
Continuidad de seguridad de la información Objetivo: La continuidad
54. pág. 54
que ofrecen el servicio educativo, en los niveles de inicial, primaria y
secundaria cumplan con las normas que protegen los derechos de los
padres de familia y escolares. Para ello lanza la campaña “Al colegio
con el Indecopi 2016”, que como años anteriores busca difundir los
principales derechos de los consumidores de este servicio, así como la
fiscalización a nivel nacional.
La campaña está orientada tanto a padres, para que sepan sus
principales derechos, así como a propietarios y promotores de colegios
particulares, ya que los colegios nacionales son fiscalizados
directamente por el Ministerio de Educación.
En cuanto a los derechos de los padres, el Indecopi informó que al
momento de matricular a sus hijos, deben recibir información
completa y por escrito sobre el costo de la matrícula y de las
pensiones, así como las fechas de pago. El valor de la matrícula no
debe exceder el costo de una pensión. Asimismo, las cuotas de ingreso
solo están permitidas a los alumnos nuevos. La norma prohíbe,
además, pagar pensiones por adelantado, así como cuotas
“voluntarias”.
Los colegios particulares están prohibidos de realizar cobros
extraordinarios como: bingos, actividades recreativas, rifas, etc., a no
ser que estén expresamente autorizados por el Ministerio de Educación
y previamente aprobados por los padres de familia.
Autofiscalización da resultados
El Indecopi informó que en el presente año ha proyectado supervisar
630 colegios particulares a nivel nacional, cantidad que se
complementará con la fiscalización a través de la herramienta
“Examínate”. Este aplicativo, que se encuentra en portal
www.indecopi.gob.pe/examinate, permite una autofiscalización de los
colegios privados.
55. pág. 55
Cabe precisar que gracias a la herramienta “Examínate”, puesta en
funcionamiento el año pasado en Lima a manera de plan piloto, se
busca disminuir las infracciones de los proveedores del servicio
educativo. Gracias a ello se ha registrado una disminución de los
incumplimientos en el último año de alrededor del 15% en Lima.
Asimismo, las denuncias anónimas de los padres de familia, a través
de correo electrónico y llamadas, han permitido identificar infracciones
en el proceso de matrículas y a lo largo del año escolar. En los últimos
12 meses se han recibido 891 denuncias informativas por parte de los
padres. El mayor porcentaje se recibió en el primer trimestre de 2015.
Esta estrategia se mantendrá en el presente año a través del correo
colegios2016@indecopi.gob.pe. Este correo, como en años anteriores,
ha permitido a los padres denunciar cualquier incumplimiento de
manera anónima.
Resultados campaña 2015
El Indecopi informó que durante el año escolar 2015 se fiscalizaron 1
008 colegios particulares a nivel nacional, iniciándose procedimientos
sancionadores a 501 colegios. Los principales incumplimientos
detectados en Lima fueron: cobro de cuotas extraordinarias (24%),
condicionamiento del servicio educativo (14%), cobro de interés de
moras mayor al máximo establecido por el BCR (14%), falta de
información de las condiciones económicas del servicio (13%), cobro
de pensiones adelantadas (12%), selección de textos escolares (12%),
direccionamiento de la compra de uniformes hacia determinados
establecimientos (4%), direccionamiento del seguro escolar (2%),
otros (5%).
Asimismo, el Indecopi con el fin de empoderar al consumidor cuenta
con el servicio “Mira a quién le compras”
(www.indecopi.gob.pe/miraaquienlecompras), donde se encuentran
56. pág. 56
todos los colegios sancionados, a nivel nacional, así como los motivos
de las sanciones impuestas. Ello con la finalidad de que los padres
verifiquen con qué colegio les conviene contratar para la educación de
sus hijos.
De acuerdo a este registro, entre el 2011 y 2015, el Indecopi impuso 2
914 sanciones a colegios privados de nivel inicial y primario, con un
total de 2 490 unidades impositivas tributarias (UIT). En cuanto a
colegios secundarios, impuso 883 sanciones con 1 030 UIT.
Acciones conjuntas
Finalmente, cabe precisar que el Indecopi coordina de manera
permanente con el Ministerio de Educación, en su calidad de autoridad
rectora del servicio educativo, para garantizar que no se vulneren los
derechos de los padres de familia y escolares. En ese sentido difunde
diferentes herramientas como:
• Identicole: Permite conocer a los colegios autorizados.
• Observatorio de precios de textos escolares.
• Indecopi remitirá las denuncias que reciba sobre las
instituciones educativas públicas al Minedu y viceversa.
• Talleres conjuntos con gremios de centros educativos para
difundir la normativa.