RIESGOS:

El personal de desarrollo cuenta con acceso a las Base de Datos en el ambiente de Porducción.

No se encuentra con un especialista en el DBA el cargo lo ocupa temporalmente un

Analista/Programador.

Los sistemas de información han sido desarrollados in-house y tienen una antigüedad
aproximada de 11 años-

El lenguaje utilizado para el desarrollo de los sistemas de información es el Power Builder. La

única excepción a esto lo constituye el sistema de Recursos Humanos que fue adquirido a una
empresa ecuatoriana. No se cuentan con los programas fuentes de dicho sistema.

En las oficinas comerciales regionales se cuenta con una copia del sistema comercial.
Asimismo,en cada una de las plantas se tiene instalado el Sistema de Producción. La
información de estos sistemas no se encuentra integrado con el Sistema central en Lima

Para el soporte del sistema, en cada ubicación se cuenta con una persona que realiza las
funciones de soporte informático. Este personal informático tiene acceso a registrar
información al sistema de información, teniendo además acceso irrestricto a la Base de Datos
de su ubicación. La información procesada en cada una de las ubicaciones es enviada
semanalmente vía FTP por el personal informático de cada ubicación. La información
recepcionada es procesada por el personal del área de desarrollo de sistemas de la sede
central.

Debido al alto crecimiento experimentado en los 2 últimos años, la Empresa cuenta con un
número inadecuado de licencias de software de uso comercial. La Empresa cuenta con un plan
para implantar software con licencia de software libre a nivel de software de ofimática.

La empresa Telmex brinda el servicio de salida a Internet redundante como ISP a través de un
enlace dedicado de 2 Mbps. No existe ninguna restricción en cuanto al acceso al Internet para
los usuarios.

En la administración del perímetro de seguridad de la red de datos, se cuenta con un Firewall

Cisco ASA de inspección de estado que mantiene configuraciones de sesión para restringir
accesos externos. No se mantiene una administración total de los dispositivos de borde de red
como el router para restringir el acceso desde el exterior. La Web de la Empresa contiene el
aplicativo de Ventas Virtuales y que cuenta con una pasarela de Pagos y que hace 4 meses fue
afectada por un ataque de defacing.

En lo relacionado a Continuidad de Negocio, se cuenta con un Plan de Contingencias

Informáticas incompleto y que requiere ser actualizado. Un tema importante es la realización
de pruebas al plan para garantizar su adecuado funcionamiento para lograr una rápida
restauración de los servicios informáticos.

A nivel regulatorio, la compañía ha recibido hace un mes, la visita de la Autoridad Nacional de

Protección de Datos Personales (ANPD), la cual ha detectado que la compañía no ha
implementado los controles exigidos por la Ley 29733 de Protección de Datos Personales, el
reglamento y la Directiva de Seguridad de la Información. La ANPD ha impuesto una multa a la
compañía de 16 UITs y le ha exigido la implementación inmediata de los controles para
proteger los datos personales que la compañía maneja.