Consolidado1-2-1 Riesgos Empresa Regional

CASO EMPRESA REGIONAL Asignatura : Seguridad Informática Docente Doce nte : Gonzalo Martin Valdivia (Este (Est e caso ha sido preparado preparado por el doc ente Martin Valdiv Valdivia ia Benites Benite s para servir como base para para la discusión disc usión y desarrollo desarro llo de lo aprendido aprendido en clase y no como una ilustraci ón de de la gestión gest ión adecuada o inadecuada de una situación determinada). determinada).

Mercury Mercur y S.A. es un conglomerado regional farmacéutico far macéutico con sede en Lima que cuenta con más de 30 años de experiencia experiencia en el mercado, que se dedica dedica a la producción y distribución de medicament medicamentos os genéricos. El laboratorio laboratorio usa equipos equipos de fabricaci fabri cación ón de alta alta tecnología para cumplir cumplir con las normas nacionales e internacionales internac ionales de laboratorio, fabric fabr icaci ación, ón, almacenamiento almacenamiento y comercialización de productos farmacéuticos basado en la norma ISO 9001:2000 y las Buenas Prácticas de Manufactura (BPM). La empresa cuenta con oficinas comerciales en todo Sudamérica El laboratorio cuenta con 4 plantas plantas de producción producc ión ubicadas en Perú, Brasil, Colombia Colombia y Paraguay. En el año 2008 la la facturaci fac turación ón de la Empresa a nivel regional ascendió asc endió a USD 2,320 millones millones de dólares. Organización del área de Tecnología Tecnología de Información En la la actualidad, la Gerenc Gerencia ia de T.I esta centralizada centrali zada y orienta sus actividades en brindar soporte de desarrollo, desarr ollo, mantenimiento mantenimiento de las aplicaciones aplicac iones y servicios servici os informáticos informátic os a las diferentes dif erentes áreas y ubicaciones de la Empresa a nivel regional. La Gerencia de T.I está ubicado organizacionalmente dentro de la Dirección Financiera. El Ing. Nick Jones esta a cargo car go de la Gerencia y asumió el cargo car go el último bimestre del 2009. El área cuenta con 15 personas, personas, divididos en 2 ár eas: 

Sub-Gerencia Sub-Gerencia de Desarrollo Desarrollo



Sub-Gerencia Sub-Gerencia de Operaciones Operaciones T.I

El área de Desarrollo Desarr ollo esta esta conformado conf ormado por 8 Analistas/Programadores Analistas/Progr amadores de Sistemas que son responsables del mantenimiento mantenimiento de los sistemas sistemas de informaci inf ormación ón existent existentes. es. A la la fecha no existen labores de desarrollo de nuevos sistemas de infor i nformación. mación. El área esta inmerso en el mantenimiento mantenimiento de los sistemas de información infor mación existentes. existentes. El personal de desarrollo desarr ollo cuenta c uenta con acceso acc eso a las Bases de Datos en el ambiente de Producción. Producc ión. Asimismo, el DBA renunció hace 6 meses y aún no se cuenta con un reemplazo para par a dicho dic ho cargo. car go. Esta administr administraci ación ón es realizada realizad a temporalmente temporalmente por un Analista/Programador. Analista/Progr amador. El área de Operaciones esta conformado por 7 personas encargadas de la administración de la red de datos, la continuidad de las operaciones y el soporte a usuarios. En cada una de las oficinas regionales se cuenta con una persona de soporte informático que tiene el perfil de soporte técnico. Sistemas Sistemas de Infor Infor mación Los princi pri ncipales pales procesos proc esos de negocio negoci o de la farmacéutica far macéutica están soportados sobre una infraestructura de TI. Los procesos de la compañía tales como la administración del laboratorio, producción, la gestión contable contable y financiera, logística, logística, almacenes, almacenes, gestión gestión comercial, venta ventas s y gestión de recursos rec ursos humanos, se encuentran automatizados automatizados por sistemas sistemas de información inf ormación de desarrollo propio. Los sistemas sistemas de información infor mación han sido sido desarr desarrollados ollados in-house in -house y tienen una antigüedad aproximada aproximad a

1

de 11 años. El lenguaje utilizado para el desarrollo de los sistemas de infor mación es el Power Builder. La única excepción a esto lo constituye el sistema de Recursos Humanos que fue adquirido a una empresa ecuatoriana. No se cuentan con los programas fuentes de dicho sistema. En las oficinas comerciales regionales se cuenta con una copia del sistema comercial. Asimismo, en cada una de las plantas se tiene instalado el Sistema de Producc ión. La infor mación de estos sistemas no se encuentra integrado con el Sistema central en Lima. La arquitectura de funcionamiento del Sistema consiste en que a cada una de las sedes se le ha instalado una copia del sistema. En cada oficina existe una base de datos local. Esto requiere de procesos de transferencia de información desde las oficinas y/o plantas hacia la sede central. Para el soporte del sistema, en cada ubicación se cuenta con una persona que realiza las funciones de soporte informático. Este personal informático tiene acceso a r egistrar información al sistema de información, teniendo además acc eso irrestricto a la Base de Datos de su ubicación. La información procesada en cada una de las ubicaciones es enviada semanalmente vía FTP por el personal informático de cada ubicación. La información recepcionada es procesada por el personal del área de desarrollo de sistemas de la sede central. Debido al alto crecimiento experimentado en los 2 últimos años, la Empresa cuenta con un número inadecuado de licencias de software de uso comercial. La Empresa cuenta con un plan para implantar software con licencia de software libre a nivel de software de ofimática. Plan de Sistemas de Infor mación El departamento cuenta con un Plan de Sistemas elaborado en el año 2004. El Plan define el alineamiento estratégico del plan con el plan estratégico de la empresa, la programación proyectos informáticos, la determinación de prioridades de implantación, las soluciones y proveedores existentes en el mercado y las fic has técnic as de las adquisici ones informáticas. Cada año se elabora un Plan Operativo en el que se basan las actividades anuales del área.

Infraestruct ura t ecnológica El centro de datos central esta conformado por 8 servidores en producción: Un servidor brinda el servicio de los sistemas de infor mación cliente/servidor y almacena la Base de Datos de Producción. Cinco (5) servidores brindan los servicios de red básicos: Directorio Activo, Servidor Web, Correo Electrónico, Antivirus y WSUS. Todos los servidores instalados corren sobre la plataforma W indows 2003 Server. Tambien existe un Servidor instalado sobre Red Hat Linux, que actua como dispositivo de firewall interno de filtrado de paquetes basado en Software. El centro de datos cuenta con controles fiscos y ambientales implantados: Alarma, la cual es activada al finalizar las actividades diarias; detectores de humo y humedad; sistema de extinción automática FM-2000, extintor manual de fuego; equipo de aire acondic ionado de confort y un equipos UPS de 5KVA que brinda 30 minutos de disponibilidad. La empresa tiene un parque de 580 PC’s distribuidos en toda la región. Se cuenta con una red WAN corporativa conectado via enlaces VPNs provistos a nivel regional por la empresa Global Crossing. La empresa Telmex brinda el servicio de salida a Internet redundante como ISP a través de un enlace dedicado de 2 Mbps. No existe ninguna restricción en cuanto al acceso al Internet para los usuarios. Seguridad de Información La empresa tiene un proyecto para implementar un Sistema de gestión de Seguridad de la Información basado en la norma ISO 27001. Para ello ha decidido contratar un CISO que  jerárquicamente estará a nivel de una Sub-Gerencia.

2

Los perfiles de acceso hacia los sistemas de información son determinados por las Gerencias de cada área del usuario que requiera los accesos, luego estos requerimientos son enviados a la Gerencia de T.I. quien autorizara la creación de la cuenta según el perfil solicitado. Los procedimientos para crear, eliminar usuarios en el sistema, establecer los niveles de seguridad en los sistemas, realizar cambios a los sistemas han sido desarrollados por el personal departament o de operaciones de TI. El acceso lógico hacia la red de datos es a través de una cuenta de usuario y una contraseña de acceso, que son autenticadas contra un el Servidor de Dominio. El acceso de las pc’s clientes a la red de datos de la compañía a es través de asignaciones dinámica de direcciones IP’s. Las actualizaciones relacionadas al antivirus Panda ClientShield se realizan desde uan consola central y actualiza cada equipo de cómputo 3 veces al dia. En la administración del perímetro de seguridad de la red de datos, se cuenta con un Firewall Cisco ASA de inspección de estado que mantiene configuraciones de sesión para restringir accesos externos. No se mantiene una administración total de los dispositivos de borde de red como el router para restringir el acceso desde el exterior. La Web de la Empresa contiene el aplicativo de Ventas Virtuales y que cuenta con una pasarela de Pagos y que hace 4 meses fue afectada por un ataque de defacing. El personal de operaciones tiene acceso a traves de herramientas de acceso remoto a monitorear todos los equipos de la Empresa. Asimismo el Sub-Gerente de Operaciones cuenta con acceso remoto a los servidores desde su casa en caso de alguna emergencia. En lo relacionado a Continuidad de Negocio, se cuenta con un Plan de Contingencias Informáticas incompleto y que requiere ser actualizado. Un tema importante es la realización de pr uebas al plan para garantizar su adecuado funcionamiento para lograr una rápida restauración de los servicios informáticos. La Empresa cuenta con un mecanismo de backup, a través del cual se respalda la información de los servidores c entrales y de usuarios y se consolida en un servidor especialmente dispuesto para ello. Luego los backups son almacenados en cintas Los backups de información son enviados a un proveedor externo, lo que permite su disponibilidad ante la ocurrencia de una emergencia. Cumplimiento Regulatorio  A nivel regulatorio, la compañía ha r ecibido hace un mes, la visita de la Autoridad Nacional de Protección de Datos Personales (ANPD), la cual ha detectado que la compañía no ha implementado los controles exigidos por la Ley 29733 de Protección de Datos Personales, el reglamento y la Directiva de Seguridad de la Información. La ANPD ha impuesto una multa a la compañía de 16 UITs y le ha exigido la implementación inmediata de los controles para proteger los datos personales que la compañía maneja. Por este motivo, La empresa tiene un proyecto para implementar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 con alcance en la protección de Datos Personales. Para ello, el área de RRHH acaba de culminar un proceso de incorporac ión en el cual ha contratado un Chief información Security Offic e (CISO) que jerárquicamente está al nivel de una Sub-Gerencia y que depende del Gerente de T.I. y se encargará de la implementación del programa de Seguridad, teniendo como prioridad el cumplimiento de los controles de la Ley y de la implementación del Sistema de Gestión de Seguridad de la Información. La gerencia de T.I ha indicado que una fuerte restricción es la contratación de personal, por lo que debe considerar opciones alternativas a este punto.entifique como los principios a Confidencialidad, Integridad y

3

Disponibilidad se ve afectada por la situación actual de la Empresa Regional. De un ejemplo de 2 casos para cada principio.

4