CASO EMPRESA REGIONAL

(Este caso ha sido preparado por el docente Martin Valdivia Benites para servir como base para la discusión
y desarrollo de lo aprendido en clase y no como una ilustración de la gestión adecuada o inadecuada de una
situación determinada).

Mercury S.A. es un conglomerado regional farmacéutico con sede en Lima que cuenta con más
de 30 años de experiencia en el mercado, que se dedica a la producción y distribución de
medicamentos genéricos. El laboratorio usa equipos de fabricación de alta tecnología para
cumplir con las normas nacionales e internacionales de laboratorio, fabricación, almacenamiento
y comercialización de productos farmacéuticos basados en la norma ISO 9001:2000 y las
Buenas Prácticas de Manufactura (BPM).
La empresa cuenta con oficinas comerciales en todo Sudamérica y Centroamérica. Cada país es
considerado una Unidad de Negocio (UN) y al menos cuenta con una Oficina comercial. El
laboratorio cuenta con 4 plantas de producción ubicadas en Perú, Brasil, Colombia y Paraguay.
Desde cada planta se distribuyen los productos terminados a las diversas UN. En el año 2014 la
facturación de la Empresa a nivel regional ascendió a USD 620 millones de dólares.
Organización del área de Tecnología de Información
En la actualidad, la Gerencia de T.I está centralizada en Perú y orienta sus actividades en brindar
soporte de desarrollo, mantenimiento de las aplicaciones y servicios informáticos a las diferentes
áreas y ubicaciones de la Empresa a nivel regional. La Gerencia de T.I está ubicada
organizacionalmente dentro de la Dirección Financiera.
El Ing. Lauro Bazzo o está a cargo de la Gerencia TI y asumió el cargo el último bimestre del
2014. El área cuenta con 35 personas, divididos en 3 áreas:
 Sub-Gerencia de Desarrollo y Mantenimiento de Aplicaciones
 Sub-Gerencia de Soporte de Aplicaciones
 Sub-Gerencia de Operaciones T.I
El área de Desarrollo está conformado por 15 Analistas/Programadores de Sistemas que son
responsables del mantenimiento de los sistemas de información existentes. A la fecha el área se
encuentra evaluando la posibilidad de modernizar sus sistemas de información.
El personal de desarrollo cuenta con acceso a las Bases de Datos en el ambiente de Producción.
Asimismo, el DBA renunció hace 6 meses y aún no se cuenta con un reemplazo para dicho
cargo. Esta administración es realizada temporalmente por un Analista/Programador.
El área de Soporte de Aplicaciones está conformada por 8 personas que se encargan de dar
soporte de usuario a las Aplicaciones en las diversas UN. Cuando hay un problema se trata de
dar solución al usuario lo más pronto posible y si el problema es muy grande o no puede ser
resuelto se escala al equipo del área de Desarrollo.
El área de Operaciones está conformado por 12 personas encargadas de la administración de la
red de datos, administración de la infraestructura tecnológica, la continuidad de las operaciones y
el soporte a los usuarios.
En cada una de las oficinas regionales se cuenta con una persona o dos personas de soporte
informático que tiene el perfil de soporte técnico y que también da soporte de Aplicaciones.
Sistemas de Información
A nivel de los sistemas de información, los principales procesos de negocio de la farmacéutica
están soportados sobre soluciones tecnológicas.
Los procesos administrativo/financieros de la compañía tales como la gestión presupuestal,

1
contable, financiera, logística y almacenes corren en un sistema SAP ECC 6.0. Cada UN accede
al Sistema SAP, el cual se encuentra centralizado en Perú.
Los procesos comerciales y de ventas, se encuentran automatizados y corren en un sistema
comercial de desarrollo propio. Este sistema de información han sido desarrollado in-house en el
lenguaje de programación Power Builder y tiene una antigüedad aproximada de 11 años. En el
desarrollo de los sistemas de información no se ha considerado ningún tipo de controles de
seguridad, como por ejemplo encriptación de datos sensibles, cambio periódico de contraseñas,
bloqueo de intentos fallidos, solicitud de código captcha, generación de logs de auditoria, entre
otros.
La arquitectura de funcionamiento del Sistema Comercial consiste en que a cada una de las UN
se le ha implementado una instancia del sistema en una base de datos local, que corre en
servidores locales. Esto requiere de procesos de transferencia de información desde las UN
hacia la sede central en Lima.
Asimismo, cada UN cuenta un Sistema de Recursos Humanos propio de cada UN. Dado que las
leyes laborales son diferentes en cada país, se tiene que el área de RRHH de cada UN cuenta
con sistema de RRHH local. La Gerencia de T.I Corporativa de Perú intentó integrar el Sistema
de Recursos Humanos en un único sistema, pero se fracasó en 2 oportunidades.
El Sistema de Producción se encuentra instalado en cada una de las 4 plantas. La información
de estos sistemas no se encuentra integrado con el Sistema central en Lima. La arquitectura de
funcionamiento del Sistema de producción es similar al del Sistema Comercial por lo que se
tienen procesos de transferencia de información desde las Plantas hacia la sede central.

Para el soporte del sistema Comercial y de producción, en cada UN se cuenta con una o dos
personas que realizan las funciones de soporte informático y de soporte de aplicaciones. Este
personal informático tiene acceso a registrar información al sistema de información, teniendo
además acceso irrestricto a la Base de Datos de su ubicación. La información procesada en
cada una de las ubicaciones es enviada semanalmente vía FTP por el personal informático de
cada UN. La información recepcionada es procesada por el personal del área de desarrollo de
sistemas de la sede central.

Planeamiento
A nivel estratégico, el área de T.I. cuenta con un Plan de Sistemas elaborado en el año 2008 que
tiene una visión a 5 años. El Plan define el alineamiento estratégico de T.I. con el plan
estratégico de la empresa, el portafolio de proyectos informáticos, la determinación de
prioridades de implantación, las soluciones y proveedores existentes en el mercado y las fichas
técnicas de las adquisiciones informáticas.

A nivel Operativo, Cada año en el mes de setiembre cada UN elabora el Plan Operativo
Informático en el que se basan las actividades anuales de la UN. Estos planes son enviados a
Lima para su consolidación. A nivel de la sede central, la gerencia de TI define el plan Operativo
Informático tomando en cuenta las necesidades de la Sede Central y de las UN, que
básicamente tratan temas de licenciamiento y renovación de equipos informáticos.
Normatividad
A nivel normativo, se cuenta con documentos generales que incluyen una metodología de ciclo
de vida de desarrollo de software, lineamientos de uso de recursos informáticos, lineamientos de
pases a producción, transferencia de producción a ambientes no productivos, entre otros. En
relación a los lineamientos de seguridad de la información se tienen documentos que fueron
formulados en el año 2010 y que no han sido actualizados desde esa fecha y que incluyen
lineamiento de gestión de Seguridad de la Información, gestión de activos de información,

2
seguridad física y ambiental, adquisición, desarrollo y mantenimiento de sistemas, gestión de
proveedores, gestión de incidentes y de cumplimiento.
Infraestructura tecnológica
A nivel de la Infraestructura tecnológica, se cuenta con un centro de datos central ubicado en un
proveedor en la ciudad de Lima el cual está conformado por diversos servidores que atienden los
servicios ofrecidos por el área de T.I.
Entre los principales servidores se tiene los servidores que soportan los sistemas de información
SAP, Comercial, Recursos Humanos y Producción y servidores de Base de Datos. Para cada
Sistema de Información se cuenta con los ambientes de Producción, Soporte y Desarrollo. A
nivel de Base de Datos se cuentan con servidores con ambientes de Producción, Soporte y
Desarrollo. Todas las noches se realice un traspaso de la información de todas las Bases de
Datos de Producción a las Bases de Datos de Soporte y Desarrollo. Este traspaso se realiza en
todas las UN.
Por el lado de los servicios de red se tienen servidores que brindan los servicios de Directorio
Activo, Servidor Web, Correo Electrónico, Antivirus y WSUS. Todos los servidores instalados
corren sobre la plataforma Windows 2003 Server.
Se tiene planificado para el próximo mes implementar el protocolo NTP en todos los servidores.
La compañía tiene un solo Dominio de Directorio Activo y en cada UN se cuenta con un servidor
de Directorio Activo el cual es utilizado para una rápida autenticación de los usuarios de manera
local y sincronizado con el Directorio Activo Principal que se encuentra en Perú.
El centro de datos cuenta con controles fiscos y ambientales implantados: Alarma, la cual es
activada al finalizar las actividades diarias; detectores de humo y humedad; sistema de extinción
automática FM-200, extintor manual de fuego; equipo de aire acondicionado de confort y un
equipos UPS de 5KVA que brinda 30 minutos de disponibilidad.
La empresa tiene un parque de 580 PC’s distribuidos en toda la región. Se cuenta con una red
WAN corporativa MPLS conectada vía enlaces VPNs Site to Site provistos a nivel regional por la
empresa Level3 (ex Global Crossing).
El área de Operaciones cuenta con un mantenimiento preventivo, el cual se terceriza a una
empresa especializada, la cual ejecuta las tareas de mantenimiento 2 veces al año. Estas tareas
son contratadas a un proveedor diferente en cada UN.
Desde cualquier UN se tiene acceso a cualquier dispositivo de la red, por lo que se considera
que cuentan con una red lateral abierta.
Level3 también proporciona el servicio de Internet de 50MB en la Sede central. Para proteger la
navegación de los usuarios en la Sede Central se cuenta con un equipo de filtrado Web basado
en la tecnología WebSense que bloquea algunas categorías de URL.
En la sede central, la empresa Claro brinda el servicio de salida a Internet redundante a través
de un enlace dedicado de 20 Mbps.
Cada UN cuenta con una salida a Internet que varía entre 5MB y 10MB, la cual es protegida por
Firewalls Check Point. En las UN más grandes adicionalmente se cuenta con un equipo de
protección UTM basado en la tecnología Fortinet. En las UN pequeñas no se cuenta con
protección UTM.
Debido al alto crecimiento experimentado en los 2 últimos años, la Empresa cuenta con un
número inadecuado de licencias de software de uso comercial. La Empresa cuenta con un plan
para implantar software con licencia de software libre a nivel de software de ofimática.

3
Control de Accesos
A nivel del control de accesos a los sistemas de información, los perfiles de acceso hacia los
sistemas de información son determinados y autorizados por las Gerencias de cada área del
usuario que requiera los accesos, luego estos requerimientos son enviados por correo
electrónico a la Gerencia de T.I. quien gestiona la creación de la cuenta según el perfil solicitado.
Los procedimientos para crear, eliminar usuarios en el sistema, establecer los niveles de
seguridad en los sistemas, realizar cambios a los sistemas han sido desarrollados por el
personal departamento de operaciones de TI.

El acceso lógico hacia la red de datos es a través de una cuenta de usuario y una contraseña de
acceso, que son autenticadas contra un el Servidor de Dominio. El acceso de las PC’s clientes a
la red de datos de la compañía a es través de asignaciones dinámica de direcciones IP’s. El
personal del área de operaciones ha detectado que los usuarios comparten sus contraseñas sin
ningún problema.
A los usuarios se les permite hacer tele-trabajo desde sus casas. Para ello cuentan con una VPN
Site To Client para cada usuario. Los usuarios acceden a la VPN ingresando su usuario y
contraseña de red.

Los usuarios han reportado en reiteradas ocasiones que al iniciar sus labores por la mañana,
encuentran que sus equipos han sido accedidos en la noche. En algunos casos aparece el
loguin de un usuario que no conocen. No se ha logrado detectar la causa de estos incidentes.

Seguridad Informática
En la administración del perímetro de seguridad de la red de datos, se cuenta con un Firewall
Cisco ASA 5510 de inspección de estado que mantiene configuraciones de sesión para restringir
accesos externos. Los dispositivos de borde de red como los router son administrador por Level3
y el personal de Operaciones no tiene acceso a los router.

La Web de la compañía que contiene un link para el sitio de Ventas Virtuales que es parte del
Sistema Comercial y que cuenta con una pasarela de Pagos para soporte de pago con tarjetas
de crédito. El sitio de Ventas Virtuales soporta a todas las UN y el tráfico es realizado vía http, ya
que no cuenta con Certificado Digital. Esta Web hace 4 meses fue afectada por un ataque de
defacing. El sitio Web tuvo que ser sacado fuera de línea por 7 horas para subsanar el incidente,
lo que afectó las ventas. La solución a este incidente se dio con la restauración de una copia de
respaldo de la Web de un día anterior.

El personal de operaciones tiene acceso a traves de herramientas de acceso remoto a

monitorear todos los equipos de la Empresa. Asimismo el personal de la Sub-Gerencia de
Operaciones cuenta con acceso remoto a los servidores desde sus casas en caso de alguna
emergencia.

La Empresa cuenta con un mecanismo de respaldo, a través del cual se respalda la información
de los servidores centrales y de usuarios y se consolida en un servidor especialmente dispuesto
para ello. Luego los backups son almacenados en cintas Los backups de información son
enviados a un proveedor externo, lo que permite su disponibilidad ante la ocurrencia de una
emergencia.
En las UN los respaldos se almacenan en disco en un Servidor preparado para ello en cada UN.
No se realiza el copiado del respaldo en disco a cintas.

A nivel de toda la compañía se cuenta con el antivirus Sophos, el cual se actualiza desde una
consola central situada en Lima y actualiza las firmas de malware a cada equipo de cómputo 3
veces al día.

4
Se ha tenido incidentes de malware producto de que el Antivirus no estaba actualizado, lo que
originó tareas de limpieza y en algunos casos formateo de equipos.

Continuidad de Negocio
En lo relacionado a Continuidad de Negocio, se cuenta con un Plan de Contingencias
Informáticas que contiene procedimientos generales de recuperación de algunos sistemas y cuya
última actualización fue el año 2012. Para verificar el funcionamiento del plan, se realizan
esporádicamente pruebas a los procedimientos para garantizar su adecuado funcionamiento
para lograr una rápida restauración de los servicios informáticos, en caso de un desastre. No se
cuenta con controles de seguridad en el referido Plan de Contingencias.

Cumplimiento Regulatorio
A nivel regulatorio, la compañía ha recibido hace un mes, la visita de la Autoridad Nacional de
Protección de Datos Personales (ANPD), la cual ha detectado que la compañía no ha
implementado los controles exigidos por la Ley 29733 de Protección de Datos Personales, el
reglamento y la Directiva de Seguridad de la Información. La ANPD ha impuesto una multa a la
compañía de 16 UITs y le ha exigido la implementación inmediata de los controles para proteger
los datos personales que la compañía maneja.

Por este motivo, La empresa tiene un proyecto para implementar un Sistema de Gestión de
Seguridad de la Información basado en la norma ISO 27001 con alcance en la protección de
Datos Personales. Para ello, el área de RRHH acaba de culminar un proceso de incorporación
en el cual ha contratado un Chief información Security Office (CISO) que jerárquicamente está al
nivel de una Sub-Gerencia y que depende del Gerente de T.I. y se encargará de la
implementación del programa de Seguridad, teniendo como prioridad el cumplimiento de los
controles de la Ley y de la implementación del Sistema de Gestión de Seguridad de la
Información. La gerencia de T.I ha indicado que una fuerte restricción es la contratación de
personal, por lo que debe considerar opciones alternativas a este punto.

Del caso presentado:

Formule 5 hallazgos de auditoria en función a las 5 principales situaciones que para Ud.
representan riesgo.

Cada hallazgo debe seguir el siguiente formato:

Título del hallazgo

Descripción
Riesgo
Recomendación

***