INFORME TÉCNICO

A: Dirección de Administración del Hospital Hermilio Valdizán

De: Jefe del Órgano de Control Institucional.

Asunto: Servicio internet independiente requerido por la especialización de la

función autónoma del OCI.

REF: Informe n.° 005-INFO-OEI-HHV-2018 de 2 de noviembre de 2018

(Informe del área especializada en Informática).

________________________________________________________________________

CONTRATACION DE SERVICIOS DE INTERNET INDEPENDIZADO DEL SERVIDOR DEL HOSPITAL CON

LA SEGURIDAD PERIMETRAL"

Sustentación de la necesidad de independización del internet, y así cumplir con el

principio del control Autonomía Funcional y principio de Reserva de información del
OCI

La Ley 27785, Ley del Sistema Nacional de Control indica en su artículo 9°:

Literal c).-La autonomía funcional, expresada en la potestad de los órganos de control

para organizarse y ejercer sus funciones con independencia técnica y libre de
influencias. Ninguna entidad o autoridad, funcionario o servidor público, ni terceros,
pueden oponerse, interferir o dificultar el ejercicio de sus funciones y atribuciones de
control.

Literal e).-El carácter técnico y especializado del control, como sustento esencial de su
operatividad, bajo exigencias de calidad, consistencia y razonabilidad en su ejercicio.

Literal m).-El acceso a la información, referido a la potestad de los órganos de control

de requerir, conocer y examinar toda la información y documentación sobre las
operaciones de la entidad, aunque sea secreta, necesaria para su función.

Literal n).-La reserva, por cuyo mérito se encuentra prohibido que durante la ejecución
del control se revele información que pueda causar daño a la entidad, a su personal o al
Sistema, o dificulte la tarea de este último.

La Ley 27785, Ley del Sistema Nacional de Control indica:

Artículo 22° Literal e).-Normar y velar por la adecuada implantación de los Órganos de
Auditoría Interna (OCI), requiriendo a las entidades el fortalecimiento de dichos órganos
con personal calificado e infraestructura moderna necesaria para el cumplimiento de
sus fines.
Artículo 42.- Los actos u omisiones de cualquier autoridad, funcionario, servidor público o
tercero que interfieran o impidan el desarrollo de las funciones del OCI, constituyen una
infracción sujeta a la potestad sancionadora de la CGR, conforme a lo previsto en el inciso
c) del artículo 42º de la Ley 27785.

Los citados principios son de observancia obligatoria por los órganos de control; lo
cual obliga a que el OCI observe y cumpla estos principios, ¿cómo?, organizándose para
ejercer sus funciones con independencia técnica y libre de influencias, sin
interferencias de terceros; o lo mismo que decir con autonomía funcional, tal como lo
indica el literal c), mencionado. Por el carácter especializado de la función de control, el
OCI requiere que el acceso a la información sea también especializado, con fibra óptica
independiente y dedicada de , que es el mismo operador que brinda internet al Hospital,
además nuestro acceso debe ser confidencial; es decir, que la fibra óptica, trayendo
información de páginas de internet, llegue directamente al tercer piso donde se ubica el
OCI, sin pasar por el servidor ubicado en la Oficina de Informática del Hospital; puesto
que el “servidor” muestra y almacena las direcciones IP (protocolos de Internet) que son
los números de identificación y ubicación física de cada computadora, claves para
acceder, eliminar archivos, etc.; y ello no puede ser conocido por otra persona que no sea
el Jefe del OCI.

Los trabajos de independencia de los IP de las computadoras del OCI quedarían

constatados por personal del OCI y/o personal de Informática de la Contraloría.

La Resolución de Contraloría N° 459-2008-CG del 28 de octubre de 2008, indica:

Artículo 9º: Nivel Jerárquico

Para fines exclusivos de un desempeño independiente del control gubernamental, el
OCI se ubica en el mayor nivel jerárquico de la estructura de la entidad pública.

Artículo 17º: Obligaciones del titular de la entidad pública

El titular de la entidad pública, como responsable de promover el control gubernamental a
nivel institucional, tiene las siguientes obligaciones respecto del OCI:

 Implantar e implementar una unidad orgánica denominada Órgano de Control

Institucional (OCI).
 Cautelar y garantizar la apropiada asignación de los recursos humanos,
económicos y logísticos necesarios para el cumplimiento de las funciones del
OCI.

Resolución de Contraloría Nº 353-2015-CG Contralor General (e) Modifica la Directiva de

los Órganos de Control Institucional y aprueban su versión actualizada. Publicado
05/12/2015.
7.1.1 Implantación e Implementación del OCI.
b) Implementación del OCI.
El OCI se encuentra implementado cuando la entidad asigna el presupuesto, realiza la
contratación o asignación de personal, y provee la infraestructura y capacidad logística
requerida para el ejercicio de la función de control en las entidades, de acuerdo a la
determinación de las necesidades que efectúe el Jefe de OCI y de conformidad con las
disposiciones que sobre el particular emita la CGR.
7.1.7 Funciones del OCI.
Son funciones del OCI las siguientes:
s) Mantener en reserva y confidencialidad la información y resultados obtenidos en el
ejercicio de sus funciones.
Decreto Supremo que aprueba el Plan Nacional de Integridad y Lucha contra la
Corrupción 2018-2021 - DECRETO SUPREMO N.° 044-2018-PCM indica:

EJE 3. Capacidad sancionadora del Estado Frente a los Actos de corrupción.

Objetivo específico 3.3. Reforzar el Sistema Nacional de Control.- 65. Intensificar las
tecnologías de la información para optimizar el control gubernamental.

En la matriz de Objetivos Estratégicos y Acciones del Plan de Integridad y Lucha Contra la

Corrupción 2018-2021 se precisan dos tipos de acciones: las específicas y las
transversales. Las primeras están dirigidas a la Contraloría y otros. En tanto, las
segundas, son acciones que deben ser implementadas de manera transversal por
todas las entidades sin excepción (incluidas aquellas que ya tienen asignadas acciones
específicas en la lucha contra la corrupción) a efectos de garantizar una estrategia interna
de integridad y de prevención de la corrupción en cada una de ellas.

Tabla n° 11. Modelo de Integridad para las entidades del sector público (del Plan
Nacional de Integridad y Lucha contra la Corrupción)

5. Controles interno, externo y auditoría

5.2. Control Gubernamental – OCI.
- Brindar el soporte logístico adecuado al OCI a efectos de que realice su labor con
eficiencia, eficacia y celeridad.
- Cumplir oportunamente las recomendaciones que formule el OCI
- Garantizar la autonomía e independencia del personal del OCI.

CARACTERÍSTICAS TECNICAS DEL SERVICIO DE INTERNET, YA SEA INALAMBRICO Y/O POR FIBRA
OPTICA:

Local Dirección Ancho de Banda

(VELOCIDAD)
OCI del Hospital Carretera Central Km 3.5 Santa
Principal 20Mbps
Hermilio Valdizan Anita.
OCI del Hospital Carretera Central Km 3.5 Santa
Backup 20Mbps
Hermilio Valdizan Anita

a) deberá proporcionar un enlace principal por medio de fibra óptica con un ancho de banda
de 20Mbps 1:1.

b) deberá proporcionar un enlace de contingencia de 20Mbps 1:1 mediante fibra óptica; se

aceptará que el enlace de contingencia sea dado por el mismo operador y que este enlace
vaya a un nodo distinto del nodo del enlace principal.

c) deberá contar con un backbone anillado 100% en fibra óptica, no se acepta que el postor
tenga tramos inalámbricos, deberá presentar un diagrama de su red.
d) La red de , backbone y últimas millas deben ser propios de , no deben provenir de sub
arriendos estos tramos, para ello deberá presentar una declaración jurada.

e) deberá suministrar e instalar un backbone de fibra óptica principal y uno de contingencia a

través de un disco duro en el OCI, el gabinete de comunicación debe estar en el OCI,
debiendo considerar todos los componentes necesarios para su conexión con el switch
instalado.

El plazo de implementación no deberá exceder los 20 días calendarios.

f) deberá contar con 2 enlaces hacia la salida internacional, con una capacidad mínima de
10Gbps, se deberá presentar documentación para validar este requerimiento.

g) Nivel de compresión 1/1 (Overbooking 1:1) en enlace local e internacional.

h) Registro de DNS y asignación de al menos 24 direcciones IP públicas, o 8 direcciones IPv4

y 64 direcciones IPv6 y la inscripción de los dominios del OCI en el servidor de ubicado en
el OCI.

i) llevará la señal de internet hasta el puerto RJ-45 del Switch del OCI para iniciar el servicio,
debiendo proporcionar el equipamiento y accesorios necesarios, además de realizar las
instalaciones y configuraciones en el Switch instalado en la red del OCI para que el servicio
este operativo al 100%, sin que esto implique costo adicional para el Hospital, debiendo
incluso proporcionar su propio rack de comunicaciones, de ser necesario.

j) deberá asegurar una disponibilidad del servicio mayor o igual a 99.95%.

k) deberá disponer de equipos de contingencia para el reemplazo en el caso de presentarse

alguna falla en el equipamiento mediante un proceso de RMA.

El tiempo máximo para la reposición temporal por un equipo de similares características

ante la falla del equipo en producción será de cuatro (04) horas a partir del momento de
detectado que el equipo esta averiado.

El equipo de contingencia ya pre-configurado deberá estar en las instalaciones del OCI.

l) El servicio no deberá contener filtros de ninguna clase, con lo cual se asegura el

funcionamiento de cualquier tipo de aplicación que se ejecute sobre protocolo TCP/IP.

m) deberá proporcionar alguna herramienta Web que permita al OCI monitorear el estado del
servicio proporcionado, así como las estadísticas de este.

n) Todo el recorrido deberá ser de fibra óptica para el enlace principal y backup.

o) deberá garantizar la seguridad lógica de servicio prestado en todo momento.

Se aclara que la seguridad lógica se refiere a garantizar la operatividad del servicio a

contratar. Considerando la disponibilidad del 99.95%.
 p) deberá, proporcionar información en relación a la tecnología utilizada, el equipamiento,
infraestructura e instalaciones con las que cuenta y diagrama respectivo del servicio a
brindar, con los que garantiza el adecuado servicio que proporcionará.

CARACTERÍSTICAS TÉCNICAS DEL SERVICIO DE SEGURIDAD PERIMETRAL

deberá incluir en el servicio un sistema de seguridad informática perimetral que sea del tipo
Administración Unificada de Amenazas (UTM por sus siglas en inglés), donde se deberán
ofrecer ya incluida y lista para ser utilizadas, las funcionalidades que se detallan a continuación:

 El sistema de seguridad informática perimetral deberá estar compuesto por uno o más
equipos y dispositivos de propósito específico. Dichos equipos deberán ser nuevos y sin
uso y acorde a los últimos modelos y/o versiones que se encuentran actualmente en el
mercado.
 El equipo deberá poder ser configurado en modo gateway o en modo transparente en la
red, en modo transparente el equipo no requerirá de hacer modificaciones en la red en
cuanto a ruteo o direccionamiento IP.
 deberá proveer las licencias del software de seguridad informática perimetral requerido.
El soporte de fabricante será de tipo 7x24x365.
 Interfaces Giga Ethernet, 04 como mínimo.
 Capacidad de Firewall Throughput debe ser de 8Gbps cuya performance medida con
paquetes UDP de 64bytes
 Las sesiones concurrentes del equipo deben ser como mínimo 6 millones
 Debe soportar como mínimo 200 mil nuevas sesiones por segundo
 Debe soportar un Throughput NGFW 1.7 Gbps.
 El equipo será capaz de soportar reglas de firewall en IPv6 configurables tanto por CLI
(Command Line Interface, Interface de línea de comando) como por GUI (Graphical User
Interface, Interface Gráfica de Usuario).
 El equipo permitirá la creación de políticas de tipo Firewall con capacidad de seleccionar
campos como dirección, identificador de usuarios o identificador de dispositivos para el
caso de dispositivos móviles como smartphones y tabletas.
 Capacidad de hacer escaneo a profundidad de tráfico tipo SSH dentro de todos o cierto
rango de puertos configurados para este análisis a detalle.
 A nivel de enrutamiento debe soportar los protocolos RIP V1, V2, OSPF, BGP y IS-IS,
soporte a ruteo dinámico RIPng, OSPFv3, deben soportar la gestión vía web o CLI.
 La solución de seguridad debe estar respaldada por NSS Labs.
 Los mensajes entregados al usuario por parte del URL Filter (por ejemplo, en caso de que
un usuario intente navegar a un sitio correspondiente a una categoría no permitida)
deberán ser personalizables en HTML/CSS, y adjuntar imágenes. Estos mensajes de
remplazo deberán poder aplicarse para conexiones http y https, tanto en modo proxy
como en modo flujo.
 El postor deberá presentar al menos dos ingenieros certificados en el equipo de seguridad
propuesto; se acepta también que los 02 profesionales puedan ser técnicos o bachiller en
la carrera de sistemas, computación, electrónica o telecomunicaciones con certificación en
la marca propuesta.
 Deberá poder integrarse con un directorio activo.
 EL equipo deberá estar en la capacidad de limitar el ancho de banda por aplicaciones o,
usuario.
  Capacidad de filtrado de scripts en páginas web (JAVA/Active X).
 El filtro de Contenido debe soportar el forzamiento de “Safe Search” o “Búsqueda Segura”
independientemente de la configuración en el browser del usuario. Esta funcionalidad no
permitirá que los buscadores retornen resultados considerados como controversiales.
Esta funcionalidad se soportará al menos para Google, Yahoo! y Bing.

El uso o aplicación que se le dará al bien o servicio requerido (para uso

ESPECIALIZADO de control gubernamental).

EL CONTRATO REQUERIDO SE REQUIERE CON VIGENCIA DE UNO A TRES (3) AÑOS.

CONCLUSIÓN:

El presente informe sustenta la necesidad del servicio de internet en forma

independiente para las funciones especializadas del OCI, así como su seguridad
perimetral conforme al Informe n.° 005-INFO-OEI-HHV-2018 de 2 de noviembre
de 2018 del área especializada Informática.

Para evitar nuevas pérdidas de información del OCI, como la sucedida respecto de
un archivo digital (carpeta) del año 2016, según Acta adjunta, así como el que se
identifique responsabilidad a Informática, se requiere la independización, la cual ya
se sustentó en la Ley 27785, sus principios del control gubernamental, y el
DECRETO SUPREMO N.° 044-2018-PCM.

Santa Anita, 18 de diciembre de 2018

Atentamente,