CASO EMPRESA REGIONAL

Asignatura : Seguridad Informtica

Docente : Gonzalo Martin Valdivia

(Este caso ha sido preparado por el docente Martin Valdivia Benites para servir como base para la discusin
y desarrollo de lo aprendido en clase y no como una ilustracin de la gestin adecuada o inadecuada de una
situacin determinada).

Mercury S.A. es un conglomerado regional farmacutico con sede en Lima que cuenta con ms
de 30 aos de experiencia en el mercado, que se dedica a la produccin y distribucin de
medicamentos genricos. El laboratorio usa equipos de fabricacin de alta tecnologa para cumplir
con las normas nacionales e internacionales de laboratorio, fabricacin, almacenamiento y
comercializacin de productos farmacuticos basado en la norma ISO 9001:2000 y las Buenas
Prcticas de Manufactura (BPM).
La empresa cuenta con oficinas comerciales en todo Sudamrica El laboratorio cuenta con 4
plantas de produccin ubicadas en Per, Brasil, Colombia y Paraguay.
En el ao 2008 la facturacin de la Empresa a nivel regional ascendi a USD 2,320 millones de
dlares.
Organizacin del rea de Tecnologa de Informacin
En la actualidad, la Gerencia de T.I esta centralizada y orienta sus actividades en brindar soporte
de desarrollo, mantenimiento de las aplicaciones y servicios informticos a las diferentes reas y
ubicaciones de la Empresa a nivel regional. La Gerencia de T.I est ubicado organizacionalmente
dentro de la Direccin Financiera.
El Ing. Nick Jones esta a cargo de la Gerencia y asumi el cargo el ltimo bimestre del 2009. El
rea cuenta con 15 personas, divididos en 2 reas:
Sub-Gerencia de Desarrollo
Sub-Gerencia de Operaciones T.I
El rea de Desarrollo esta conformado por 8 Analistas/Programadores de Sistemas que son
responsables del mantenimiento de los sistemas de informacin existentes. A la fecha no existen
labores de desarrollo de nuevos sistemas de informacin. El rea esta inmerso en el
mantenimiento de los sistemas de informacin existentes. El personal de desarrollo cuenta con
acceso a las Bases de Datos en el ambiente de Produccin. Asimismo, el DBA renunci hace 6
meses y an no se cuenta con un reemplazo para dicho cargo. Esta administracin es realizada
temporalmente por un Analista/Programador.
El rea de Operaciones esta conformado por 7 personas encargadas de la administracin de la
red de datos, la continuidad de las operaciones y el soporte a usuarios.
En cada una de las oficinas regionales se cuenta con una persona de soporte informtico que tiene
el perfil de soporte tcnico.

Sistemas de Informacin
Los principales procesos de negocio de la farmacutica estn soportados sobre una
infraestructura de TI. Los procesos de la compaa tales como la administracin del laboratorio,
produccin, la gestin contable y financiera, logstica, almacenes, gestin comercial, ventas y
gestin de recursos humanos, se encuentran automatizados por sistemas de informacin de
desarrollo propio.
Los sistemas de informacin han sido desarrollados in-house y tienen una antigedad aproximada

1
de 11 aos. El lenguaje utilizado para el desarrollo de los sistemas de informacin es el Power
Builder. La nica excepcin a esto lo constituye el sistema de Recursos Humanos que fue
adquirido a una empresa ecuatoriana. No se cuentan con los programas fuentes de dicho sistema.
En las oficinas comerciales regionales se cuenta con una copia del sistema comercial. Asimismo,
en cada una de las plantas se tiene instalado el Sistema de Produccin. La informacin de estos
sistemas no se encuentra integrado con el Sistema central en Lima. La arquitectura de
funcionamiento del Sistema consiste en que a cada una de las sedes se le ha instalado una copia
del sistema. En cada oficina existe una base de datos local. Esto requiere de procesos de
transferencia de informacin desde las oficinas y/o plantas hacia la sede central.

Para el soporte del sistema, en cada ubicacin se cuenta con una persona que realiza las
funciones de soporte informtico. Este personal informtico tiene acceso a registrar informacin al
sistema de informacin, teniendo adems acceso irrestricto a la Base de Datos de su ubicacin.
La informacin procesada en cada una de las ubicaciones es enviada semanalmente va FTP por
el personal informtico de cada ubicacin. La informacin recepcionada es procesada por el
personal del rea de desarrollo de sistemas de la sede central.

Debido al alto crecimiento experimentado en los 2 ltimos aos, la Empresa cuenta con un nmero
inadecuado de licencias de software de uso comercial. La Empresa cuenta con un plan para
implantar software con licencia de software libre a nivel de software de ofimtica.

Plan de Sistemas de Informacin

El departamento cuenta con un Plan de Sistemas elaborado en el ao 2004. El Plan define el

alineamiento estratgico del plan con el plan estratgico de la empresa, la programacin proyectos
informticos, la determinacin de prioridades de implantacin, las soluciones y proveedores
existentes en el mercado y las fichas tcnicas de las adquisiciones informticas. Cada ao se
elabora un Plan Operativo en el que se basan las actividades anuales del rea.

Infraestructura tecnolgica
El centro de datos central esta conformado por 8 servidores en produccin: Un servidor brinda el
servicio de los sistemas de informacin cliente/servidor y almacena la Base de Datos de
Produccin. Cinco (5) servidores brindan los servicios de red bsicos: Directorio Activo, Servidor
Web, Correo Electrnico, Antivirus y WSUS. Todos los servidores instalados corren sobre la
plataforma Windows 2003 Server. Tambien existe un Servidor instalado sobre Red Hat Linux, que
actua como dispositivo de firewall interno de filtrado de paquetes basado en Software.
El centro de datos cuenta con controles fiscos y ambientales implantados: Alarma, la cual es
activada al finalizar las actividades diarias; detectores de humo y humedad; sistema de extincin
automtica FM-2000, extintor manual de fuego; equipo de aire acondicionado de confort y un
equipos UPS de 5KVA que brinda 30 minutos de disponibilidad.
La empresa tiene un parque de 580 PCs distribuidos en toda la regin. Se cuenta con una red
WAN corporativa conectado via enlaces VPNs provistos a nivel regional por la empresa Global
Crossing.
La empresa Telmex brinda el servicio de salida a Internet redundante como ISP a travs de un
enlace dedicado de 2 Mbps. No existe ninguna restriccin en cuanto al acceso al Internet para los
usuarios.
Seguridad de Informacin

La empresa tiene un proyecto para implementar un Sistema de gestin de Seguridad de la

Informacin basado en la norma ISO 27001. Para ello ha decidido contratar un CISO que
jerrquicamente estar a nivel de una Sub-Gerencia.

2
Los perfiles de acceso hacia los sistemas de informacin son determinados por las Gerencias de
cada rea del usuario que requiera los accesos, luego estos requerimientos son enviados a la
Gerencia de T.I. quien autorizara la creacin de la cuenta segn el perfil solicitado. Los
procedimientos para crear, eliminar usuarios en el sistema, establecer los niveles de seguridad en
los sistemas, realizar cambios a los sistemas han sido desarrollados por el personal departamento
de operaciones de TI.

El acceso lgico hacia la red de datos es a travs de una cuenta de usuario y una contrasea de
acceso, que son autenticadas contra un el Servidor de Dominio. El acceso de las pcs clientes a la
red de datos de la compaa a es travs de asignaciones dinmica de direcciones IPs.

Las actualizaciones relacionadas al antivirus Panda ClientShield se realizan desde uan consola
central y actualiza cada equipo de cmputo 3 veces al dia.

En la administracin del permetro de seguridad de la red de datos, se cuenta con un Firewall

Cisco ASA de inspeccin de estado que mantiene configuraciones de sesin para restringir
accesos externos. No se mantiene una administracin total de los dispositivos de borde de red
como el router para restringir el acceso desde el exterior. La Web de la Empresa contiene el
aplicativo de Ventas Virtuales y que cuenta con una pasarela de Pagos y que hace 4 meses fue
afectada por un ataque de defacing.

El personal de operaciones tiene acceso a traves de herramientas de acceso remoto a monitorear

todos los equipos de la Empresa. Asimismo el Sub-Gerente de Operaciones cuenta con acceso
remoto a los servidores desde su casa en caso de alguna emergencia.

En lo relacionado a Continuidad de Negocio, se cuenta con un Plan de Contingencias Informticas

incompleto y que requiere ser actualizado. Un tema importante es la realizacin de pruebas al plan
para garantizar su adecuado funcionamiento para lograr una rpida restauracin de los servicios
informticos.

La Empresa cuenta con un mecanismo de backup, a travs del cual se respalda la informacin de
los servidores centrales y de usuarios y se consolida en un servidor especialmente dispuesto para
ello. Luego los backups son almacenados en cintas Los backups de informacin son enviados a
un proveedor externo, lo que permite su disponibilidad ante la ocurrencia de una emergencia.

Cumplimiento Regulatorio
A nivel regulatorio, la compaa ha recibido hace un mes, la visita de la Autoridad Nacional de
Proteccin de Datos Personales (ANPD), la cual ha detectado que la compaa no ha
implementado los controles exigidos por la Ley 29733 de Proteccin de Datos Personales, el
reglamento y la Directiva de Seguridad de la Informacin. La ANPD ha impuesto una multa a la
compaa de 16 UITs y le ha exigido la implementacin inmediata de los controles para proteger
los datos personales que la compaa maneja.

Por este motivo, La empresa tiene un proyecto para implementar un Sistema de Gestin de
Seguridad de la Informacin basado en la norma ISO 27001 con alcance en la proteccin de Datos
Personales. Para ello, el rea de RRHH acaba de culminar un proceso de incorporac in en el cual
ha contratado un Chief informacin Security Office (CISO) que jerrquicamente est al nivel de
una Sub-Gerencia y que depende del Gerente de T.I. y se encargar de la implementacin del
programa de Seguridad, teniendo como prioridad el cumplimiento de los controles de la Ley y de
la implementacin del Sistema de Gestin de Seguridad de la Informacin. La gerencia de T.I ha
indicado que una fuerte restriccin es la contratacin de personal, por lo que debe considerar
opciones alternativas a este punto.entifique como los principios a Confidencialidad, Integridad y

3
Disponibilidad se ve afectada por la situacin actual de la Empresa Regional. De un ejemplo de 2
casos para cada principio.