CASO PRÁCTICO
Pucallpina S.A. es un conglomerado regional farmacéutico con sede en Pucallpa que cuenta
con más de 30 años de experiencia en el mercado, que se dedica a la producción y distribución
de medicamentos genéricos. El laboratorio usa equipos de fabricación de alta tecnología para
cumplir con las normas nacionales e internacionales de laboratorio, fabricación,
almacenamiento y comercialización de productos farmacéuticos basados en la norma ISO
9001:2000 y las Buenas Prácticas de Manufactura (BPM).
La empresa cuenta con oficinas comerciales en todo Sudamérica y Centroamérica. Cada país es
considerado una Unidad de Negocio (UN) y al menos cuenta con una oficina comercial en cada
país donde opera. El laboratorio cuenta con 4 plantas de producción ubicadas en Perú, Brasil,
Colombia y Paraguay. Desde cada planta se distribuyen los productos terminados a las
diversas UN. En el año 2017 la facturación de la Empresa a nivel regional ascendió a USD 120
millones de dólares.
Organización del área de Tecnología de Información
En la actualidad, la Gerencia de T.I está centralizada en Perú y orienta sus actividades en
brindar soporte de desarrollo, mantenimiento de las aplicaciones y servicios informáticos a las
diferentes áreas y ubicaciones de la Empresa a nivel regional. La Gerencia de T.I está ubicada
organizacionalmente dentro de la Dirección Financiera.
El Ing. Pedro Chavarry está a cargo de la Gerencia TI y asumió el cargo el último bimestre del
2017. El área cuenta con 21 personas, divididos en 3 áreas:
• Sub-Gerencia de Desarrollo y Mantenimiento de Aplicaciones
• Sub-Gerencia de Soporte de Aplicaciones
• Sub-Gerencia de Operaciones e Infraestructura tecnológica
El área de Desarrollo está conformada por 8 Analistas/Programadores de Sistemas que son
responsables del mantenimiento de los sistemas de información existentes. El personal de
desarrollo cuenta con acceso a las Bases de Datos en el ambiente de Producción. Asimismo, el
Administrador de Base de Datos(DBA) renunció hace 6 meses y aún no se cuenta con un
reemplazo para dicho cargo, por lo que la administración de la BBDD es realizada
temporalmente por un Analista/Programador. A la fecha el área se encuentra evaluando la
posibilidad de modernizar sus sistemas de información
El área de Soporte de Aplicaciones está conformada por 8 personas que se encargan de dar
soporte de usuario a las Aplicaciones en las diversas UN. Cuando hay un problema se trata de
dar solución al usuario lo más pronto posible y si el problema es muy grande o no puede ser
resuelto se escala al equipo del área de Desarrollo.
El área de Operaciones e Infraestructura está conformada por 5 personas encargadas de la
administración de la red de datos, administración de la infraestructura tecnológica, la
continuidad de las operaciones y el soporte a los usuarios.
En cada una de las oficinas de los países donde se opera, se cuenta con una persona o dos
personas de soporte informático que tiene el perfil de soporte técnico y que también da
soporte de Aplicaciones.
�Sistemas de Información
Los principales procesos de negocio de la farmacéutica están soportados sobre diversos
sistemas de información.
Los procesos administrativos/financieros de la compañía tales como la gestión presupuestal,
contable, financiera, logística y almacenes corren en un sistema SAP ECC 6.0. Cada UN accede
al Sistema SAP, el cual se encuentra centralizado en Perú.
Los procesos comerciales y de ventas, se encuentran automatizados y corren en un sistema
comercial de desarrollo propio. Este sistema de información ha sido desarrollado in-house en
el lenguaje de programación Power Builder y tiene una antigüedad aproximada de 11 años. En
el desarrollo de los sistemas de información no se ha considerado ningún tipo de controles de
seguridad, como por ejemplo encriptación de datos sensibles, cambio periódico de
contraseñas, bloqueo de intentos fallidos, solicitud de código captcha, generación de logs de
auditoria, entre otros.
La arquitectura de funcionamiento del Sistema Comercial consiste en que a cada una de las UN
se le ha implementado una instancia del sistema en una base de datos local, que corre en
servidores locales. Esto requiere de procesos de transferencia de información desde las UN
hacia la sede central en Pucallpa.
Asimismo, cada Unidad de Negocio cuenta un Sistema de Recursos Humanos propio de cada
UN. Dado que las leyes laborales son diferentes en cada país, se tiene que el área de RRHH de
cada UN cuenta con sistema de RRHH local. La Gerencia de T.I Corporativa de Perú intentó
integrar el Sistema de Recursos Humanos en un único sistema, pero se fracasó en 2
oportunidades debido a inconsistencias de información.
El Sistema de Producción se encuentra instalado en cada una de las 4 plantas. La información
de estos sistemas no se encuentra integrado con el Sistema central en Pucallpa. La
arquitectura de funcionamiento del Sistema de producción es similar al del Sistema Comercial
por lo que se tienen procesos de transferencia de información desde las Plantas hacia la sede
central.
Para el soporte del sistema comercial y de producción, en cada UN se cuenta con una o dos
personas que realizan las funciones de soporte informático y de soporte de aplicaciones. Este
personal informático tiene acceso a registrar información al sistema de información, teniendo
además acceso irrestricto a la Base de Datos de su ubicación. La información procesada en
cada una de las ubicaciones es enviada semanalmente vía FTP por el personal informático de
cada UN. La información recepcionada es procesada por el personal del área de desarrollo de
sistemas de la sede central.
Normatividad
A nivel normativo, se cuenta con documentos generales que incluyen una metodología de ciclo
de vida de desarrollo de software, lineamientos de uso de recursos informáticos, lineamientos
de pases a producción, transferencia de producción a ambientes no productivos, entre otros.
En relación a los lineamientos de seguridad de la información se tienen documentos que
fueron formulados en el año 2010 y que no han sido actualizados desde esa fecha y que
incluyen lineamiento de gestión de Seguridad de la Información, gestión de activos de
información, seguridad física y ambiental, adquisición, desarrollo y mantenimiento de
sistemas, gestión de proveedores, gestión de incidentes y de cumplimiento.
�1. Redacta los hallazgos de auditoria en función a las 4 principales situaciones que
representan riesgo, según el caso. Cada hallazgo debe considerar los siguientes puntos:
2. Descripción
3. Riesgo
4. Recomendación
