Salmones Taylor: Evaluación y Mitigación de Riesgos de Seguridad

Informe Final Consultoría “Evaluación de Riesgos en Seguridad de la Información y Plan de Mitigación para empresa Salmones Taylor” 15 Noviembre 2023 1 Presentación de la Consultora y rol de sus integrantes Consultora TopGun - Especialistas en Seguridad de la Información Somos una empresa líder en consultoría especializada en diseño y implementación de Sistemas de Gestión de Seguridad de la Información (ISMS). Con más de 15 años de experiencia en el mercado nacional e internacional, hemos establecido sólidas alianzas con compañías productivas y de manufactura, brindando soluciones efectivas para mitigar vulnerabilidades en los procesos clave de seguridad de la información. Estamos comprometidos en ayudar a las organizaciones a proteger sus activos de información y cumplir con los estándares de seguridad más exigentes. Nuestra pasión por la seguridad de la información y nuestro enfoque en la excelencia nos convierten en un socio de confianza para abordar los desafíos de seguridad de la información en un mundo digital en constante evolución. Nuestros Socios Fundadores: • Christian Andrade - Director de Tecnología y Seguridad de la Información: Con una sólida formación en Tecnologías de la información, Arquitectura Cloud y Seguridad de la Información, Christian lidera nuestra área de Ingeniería, enfocada en diseñar e implementar soluciones para la protección de Activos TI en base a estándares de clase mundial (ISO27001, NIST, COBIT, ITIL y otros). Dada la importancia que le otorgamos a éste trabajo, Christian fue definido como Gerente de proyecto de la consultoría para Salmones Taylor. • Hermann Hoffmann - Director de Proyectos: Hermann es el líder PMO de nuestra compañía, asegurando que las soluciones de seguridad de la información se implementen de manera efectiva y eficiente en las organizaciones de nuestros clientes, gracias al uso de las mejores prácticas en gestión de proyectos y en gestión del cambio. • Guillermo Villalón - Gerente General: Como Gerente General, Guillermo lidera la visión estratégica de la empresa y la relación con nuestros clientes. Su enfoque en la satisfacción del cliente y la excelencia en la prestación de servicios ha sido fundamental para nuestro éxito continuo en el mercado. 2 Resumen Ejecutivo La evaluación exhaustiva de la seguridad de la información en Salmones Taylor ha revelado hallazgos críticos que exigen atención inmediata, subrayando la importancia de la implementación controles específicos de mitigación. Entre los riesgos más destacados: Sistema de Producción Fishtalk Posibilidad de problemas de inconsistencia y calidad de la información. Proyecto de Mitigación: Revisión y mejora de la infraestructura del sistema Fishtalk para garantizar la consistencia y calidad de los datos. Servidor Farming Riesgo de interrupción del proceso de cosecha y pérdida potencial de datos críticos. Proyecto de Mitigación: Implementación de medidas de redundancia y planificación de contingencias para asegurar la continuidad operativa del servidor Farming. Guía de Despacho/Facturas Riesgo de pérdida de información crítica con posibles consecuencias legales y fiscales. Proyecto de Mitigación: Desarrollo e implementación de un sistema robusto de gestión de documentos para garantizar la integridad y la trazabilidad. Proveedor SAP Potencial incumplimiento normativo y trazabilidad no confiable de la información. Proyecto de Mitigación: Implementación de controles adicionales en colaboración con el proveedor SAP para garantizar la conformidad y la integridad de los datos. Las recomendaciones estratégicas se centran en la capacitación de empleados, asignación clara de responsabilidades y planificación de contingencias. Además, se destaca la necesidad de mantener el Sistema de Gestión de Seguridad de la Información (SGSI) como un proceso dinámico y constante. Se alienta a Salmones Taylor a elevar progresivamente su madurez en SGSI, utilizando los proyectos de mitigación como base para fortalecer la seguridad de la información y garantizar la continuidad operativa. Considerando estas acciones, se sugiere la migración a las versiones ISO 27001:2022 e ISO 27002:2022 en futuras revisiones para mantenerse alineados con las mejores prácticas de seguridad. Este informe proporciona un enfoque integral para abordar los riesgos identificados y avanzar hacia la excelencia en la seguridad de la información. 3 Descripción general de la empresa en estudio Salmones Taylor, con sede en el sur de Chile, se ha consolidado como un referente en la industria salmonera desde su fundación en el año 2006. A pesar de ser una de las compañías más nuevas del sector, la empresa ha experimentado un crecimiento constante y sostenible, lo que la ha establecido como líder en la producción de salmón. Sus operaciones se extienden a lo largo de la región que abarca desde Temuco hasta Aysén, incluyendo dos plantas de procesamiento de última tecnología y una red de 14 centros de mar y 9 centros de agua dulce. La misión de Salmones Taylor se centra en la producción de salmón de alta calidad, manteniendo un compromiso sólido con la sostenibilidad. La empresa se especializa en el cultivo de dos especies de salmón: el salmón del Atlántico y el salmón Coho. Cada etapa del proceso de producción se rige por un enfoque en la protección del medio ambiente y la preservación de los recursos naturales. Aunque las operaciones de Salmones Taylor se limitan a Chile, su salmón se exporta a mercados internacionales altamente exigentes, como Estados Unidos, Europa y Japón. En estos mercados, los productos son conocidos y apreciados por su color y calidad premium, consolidando su posición como líder en la industria. Salmones Taylor es una empresa de capitales 100% chilenos, lo que refleja su compromiso con la comunidad local y el medio ambiente. El equipo de la empresa está compuesto por profesionales altamente capacitados y apasionados por la acuicultura, dedicados a mantener los más altos estándares de calidad y sostenibilidad en la industria. Salmones Taylor mira hacia el futuro con determinación y entusiasmo, manteniendo un firme compromiso con la calidad y la sostenibilidad. El equipo de la compañía está compuesto por más de 1800 colaboradores altamente capacitados y apasionados por la acuicultura, dedicados a mantener los más altos estándares de calidad y sostenibilidad en la industria. Estos colaboradores se distribuyen a lo largo de las unidades productivas desde Temuco hasta Aysén, desempeñando un papel fundamental en el éxito de la empresa. 4 Declaraciones Estratégicas a) Misión: Producir alimentos de calidad superior que contribuyan a la salud de todos los consumidores, equilibrando su crecimiento con la sostenibilidad y responsabilidad ambiental. b) Visión: Ser líderes nacionales en la producción del Salmón del Atlántico y el Coho. Expandirse hacia mercados internacionales, manteniéndose como un referente de excelencia y contribuyendo al bienestar de la comunidad donde opera. c) Principios:  Calidad y Sostenibilidad: Comprometidos a producir salmón de la más alta calidad mientras se preservan y protegen los recursos naturales.  Responsabilidad Ambiental: Minimizar el impacto ambiental de sus operaciones y promover prácticas sostenibles en toda su cadena de valor.  Compromiso Comunitario: Mantener un fuerte compromiso con la comunidad local, apoyando el desarrollo social y económico en las regiones en las que opera.  Innovación y Excelencia: Buscar constantemente la innovación y la excelencia en sus operaciones, manteniendo los más altos estándares de calidad y sostenibilidad en la industria.  Profesionalismo y Pasión: Equipo altamente capacitado, con pasión por la acuicultura. 5 Objetivos y Alcance del proyecto Salmones Taylor entiende que es crítico contar con un ISMS para proteger sus activos y en consecuencia garantizar la seguridad y continuidad de sus operaciones, y en última instancia el cumplimiento de sus compromisos ante sus clientes. Ello dado que todos sus servicios y todos sus procesos están apoyados por Tecnologías de Información, y son susceptibles de amenazas que eventualmente pueden producir incidentes que afecten sus operaciones. Por ello se han contratado los servicios de la Consultora TopGun, especialista en seguridad de la información. El proyecto considera realizar un levantamiento de los procesos críticos del negocio, sobre los cuales se identificarán riesgos asociados a la seguridad de la información, y sobre los cuales se sugerirán controles (proyectos) a implementar para llevarlos a niveles aceptables, en función de la Tolerancia al riesgo establecida por la organización. Ámbito empresarial: Salmones Taylor, Industria Salmonera Alcance geográfico: Plantas de proceso en Chile, ventas a nivel nacional e internacional. Regulaciones presentes:  Servicio nacional del medio ambiente(SMA): Reporte de variables abióticas de manera automática cada 5 minutos.  Sernapesca: Reportes de biomasa y mortalidad en toda la cadena de valor.  FDA: Reportes de uso de antibióticos por tonelada producida. Supuestos/Restricciones  El proyecto de consultoría evaluará solamente los riesgos de los procesos más críticos de la empresa (los cuales se definirán en la primera etapa del estudio).  La compañía cuenta con un presupuesto de $500.000.000 para la implementación del ISMS.  El marco de referencia a utilizar debe ser la ISO27001:2013 y la ISO27002:2013, dado que en la empresa existe conocimiento interno sobre la norma, el cual se desea potenciar para llegar eventualmente a certificarse en la norma. 6 Tipificación, priorización y selección de los procesos de negocio Cadena de Valor Salmones Taylor 7 En la siguiente matriz se muestra el resultado de analizar la cadena de valor de la empresa Salmones Taylor, y aplicar una metodología para identificar los procesos críticos. Aquí se incluyeron los procesos de la cadena de valor y además algunos de soporte TI (con tipificación bajo nomenclatura COBIT). Para ello se trabajó junto a usuarios clave del negocio(juicio experto), y cada uno de los procesos fue calificado en conjunto y en función de los siguientes criterios de ponderación:  $$, volumen financiero asociado al proceso  CORE, grado de criticidad del proceso en función del Core del Negocio  NÚMERO USUARIOS, cantidad de usuarios que se ven afectados por el proceso  DAÑO REPUTACIONAL, implicancia del proceso en la imagen reputacional La escala de cumplimiento utilizada fue escalar del 1 al 3; donde:  Alta=3; Media=2; Baja=1 La ponderación final de cada proceso corresponde a la suma simple de las calificaciones por cada criterio(Ponderación = $$ + Core + Numero Usuarios + Daño Reputacional) La definición del valor del umbral mínimo(10) para seleccionar los procesos más relevantes para el estudio, se realizó en base al juicio experto de los SME´s´del negocio, utilizando método Delphi con lo cual finalmente se seleccionaron 3 procesos (en rojo) para pasar a la siguiente fase de análisis. 8 Procesos seleccionados dentro del alcance del estudio Engorda: El proceso de engorda es uno de proceso más críticos en la industria del salmón, ya que es donde se destina la mayor inversión económica, representando aproximadamente entre el 50% y el 60% de los costos totales de producción. Otro aspecto relevante es que la regulación vigente se enfoca intensamente en las operaciones en el mar, ya que es donde se registran las tasas más altas de mortalidad y donde existen riesgos de escapes de peces que podrían alterar el equilibrio del ecosistema marino. Además, la entrega de toneladas de alimento puede influir en la salud del lecho marino. En el proceso de engorda, se hace imperativo reportar a las autoridades una serie de datos claves, como el tipo de dietas proporcionadas, las tasas de mortalidad, variables ambientales, la presencia de enfermedades y los tratamientos aplicados a los peces, que pueden incluir el uso de antibióticos u otros medicamentos. Toda esta información reportada es esencial para mantener los permisos de producción. Cabe destacar que proporcionar datos incorrectos o inexactos a las autoridades conlleva sanciones que van desde el cierre de centros de las operaciones hasta multas significativas que podrían impactar seriamente en el patrimonio de la empresa. Por esta razón, es fundamental que la compañía cumpla rigurosamente con todas las regulaciones vigentes y presente la información requerida a la autoridad de forma puntual y precisa. Además, no debemos olvidar que, en caso de no entregar información precisa, se corre el riesgo de no poder exportar nuestros productos a países como Estados Unidos y Japón, lo que tendría un impacto económico sustancial para la empresa. Cosecha: El proceso de cosecha se inicia inmediatamente después de la fase de engorda, cuando los peces alcanzan un peso que varía entre 3.5 y 4.8 kilos. Durante esta etapa, los peces son trasladados con altas medidas de seguridad, desde los centros de cultivo a bordo de barcos diseñados con medidas de seguridad que previenen posibles mortalidades masivas. Estas embarcaciones cuentan con sistemas de circulación de agua que garantizan el transporte de los peces en condiciones óptimas hasta las plantas de procesamiento. Para llevar a cabo el proceso de cosecha, es necesario notificar a las autoridades correspondientes a fin de obtener las autorizaciones requeridas para cada centro de cultivo. La etapa de cosecha exige una completa documentación, incluyendo guías de despacho, certificados de movimientos de peces, track de navegación, registros de números de peces trasladados, pesos promedio, entre otros detalles. Toda esta información debe ser reportada de manera completa a las autoridades y forma parte integral de las auditorías realizadas por el Servicio Nacional de Pesca. Cumplir estrictamente con estos requisitos y regulaciones es esencial para garantizar la continuidad de nuestras operaciones. Además, cabe resaltar que este cumplimiento es un factor crítico para asegurar que podamos exportar nuestros productos a destinos internacionales de alta exigencia, como Estados Unidos y Japón. 9 Procesamiento: En la etapa de procesamiento, una vez cosechados los salmones, se envían a centros de acopio donde esperan para ingresar a la planta y ser faenados con altos estándares de bienestar animal. Desde el proceso de engorda, se registra información de trazabilidad y documentación de la cosecha. Las plantas de salmones están sujetas a regulaciones estrictas, deben informar a las autoridades y cumplir con exigencias internacionales en el procesamiento de alimentos. La trazabilidad es esencial, registrando información en cada etapa, desde la recepción del producto terminado hasta el faenamiento y producto final. Etiquetas con datos como fecha de producción, origen y número de lote garantizan la trazabilidad a lo largo de la cadena de procesamiento. Los productos terminados se almacenan en condiciones adecuadas hasta su distribución y exportación. Las plantas cumplen con las regulaciones de exportación, documentación necesaria, certificados de calidad y requisitos aduaneros. Mantienen registros detallados para cumplir con las normativas de calidad y seguridad alimentaria. 10 Relevamiento de Activos Para cada uno de los 3 procesos seleccionados, se identificaron sus activos (de negocio y TI); los cuales fueron ponderados de acuerdo a los elementos constituyentes de la tríada CIA (Confidencialidad, Integridad, Disponibilidad). La escala de importancia utilizada fue escalar del 1 al 3; donde:  Alta=3; Media=2; Baja=1 La ponderación final de cada Activo, corresponde a la multiplicación simple de las calificaciones por cada criterio (Ponderación = C x I x A) La definición del valor del umbral mínimo (18) para seleccionar los activos más relevantes(críticos) para el estudio, se realizó en base al juicio experto de los SME´s del negocio utilizando método Delphi, con lo cual finalmente se seleccionaron 9 procesos (en rojo) para pasar a la siguiente fase de análisis. 11 Identificación de Riesgos Para cada uno de los 9 activos seleccionados, se identificaron posibles riesgos; los cuales fueron ponderados de acuerdo a las dimensiones de: Amenaza, Vulnerabilidad e Impacto. La escala de importancia utilizada fue escalar del 1 al 3; donde:  Alta=3; Media=2; Baja=1 La ponderación final de estimación de cada Riesgo, corresponde a la multiplicación simple de las calificaciones por cada criterio (Riesgo = Amenaza x Vulnerabilidad x Impacto) La definición del Nivel de Riesgo Aceptable (16) para seleccionar los riesgos más relevantes para el estudio, se realizó en base a la definición del nivel de tolerancia al riesgo de la empresa; con lo cual finalmente se seleccionaron 5 riesgos (en rojo) para pasar a la siguiente fase de análisis. El siguiente gráfico muestran los riesgos que sobrepasan el Nivel de Riesgo Aceptable y sobre los cuales se continuará el análisis a nivel de tratamiento del riesgo inherente. Para los riesgos bajo ese nivel se sugiere no realizar acción alguna, salvo monitoreo. Nivel de Riesgo Aceptable = 16 12 Selección de Marco de referencia  El framework utilizado en el estudio corresponde a la norma ISO27001:2013 con los controles asociados correspondientes a la norma ISO 27002:2013; esto debido a que en la empresa existe conocimiento interno sobre la norma(ver sección supuestos y restricciones).  Asimismo la consultora TopGun declara la ISO27001:2013 como su marco de mayor expertise, la cual al ser el standard más reconocido y difundido a nivel mundial, da garantías de estar utilizando Best Practices en el presente trabajo, y poder realizar benchmarks con respecto a la seguridad de la información. SOA (Statement of Applicability) Como consecuencia del análisis SOA, se pudieron determinar los controles que aplican para los riesgos identificados en el siguiente estudio. En general la razón de los controles que no aplicaron, obedece a que:  La compañía ya tiene controles que abarcan el objetivo (ej: Desarrollo de Sistemas, Licenciamiento, Gestión de Proveedores, Controles de Acceso a sistemas, Controles de Cambio).  No aplican a la realidad ó la situación actual de la organización (ej: Mobile). Controles seleccionados 13 14 15 16 Plan de Mitigación Luego de analizar los controles seleccionados, y aplicando nuestra metodología, es posible proponer un plan de mitigación asociado, que incluya iniciativas o proyectos para implementar y gestionar los controles. Nuestra recomendación como consultora es que se implementen los siguientes proyectos, para dar cobertura a la gestión de los riesgos identificados en el levantamiento y se logren llevar los riesgos a niveles (riesgo residual) por bajo el Nivel de aceptación definido. Presentamos una matriz con los proyectos en un orden jerárquico en función del score de riesgo asociado que mitigan los riesgos, para efectos de seleccionar aquellos que serán ejecutados, si bien la compañía puede decidir otra estrategia de selección (por ejemplo la combinación más óptima que dado un presupuesto definido, permita rebajar la mayor cantidad de riesgos). La Gantt propuesta tiene un criterio técnico de orden de ejecución, bajo el supuesto de que se acepte ejecutar todo el portafolio de proyectos propuesto. Matriz de iniciativas/proyectos Gantt de alto nivel Matriz de estimación por impacto de los proyectos de mitigación. La siguiente matriz muestra la estimación realizada respecto de la ponderación de los riesgos antes(riesgo inherente) y después(riesgo residual) de ejecutados los proyectos de mitigación; y se puede observar que todos quedarían por debajo del Nivel de Riesgo Aceptable (16). 17 Conclusiones y Recomendaciones Finales Agradeciendo nuevamente la confianza que Salmones Taylor entregó a la consultora TopGun, presentamos un resumen de los resultados obtenidos y sugerencias respecto de futuros planes de acción. Conclusiones:  Se evaluaron los procesos de la compañía, lo que permitió establecer y priorizar los riesgos más importantes identificados para los cuales se establecieron controles de seguridad utilizando las normas ISO 27001:2013 e ISO 27002:2013.  La identificación de los activos críticos y la evaluación de riesgos permitieron establecer los controles adecuados para minimizar los riesgos asociados que pueden comprometer la tríada CIA, confidencialidad integridad y disponibilidad.  Las directrices del modelo PDCA de Deming fueron utilizadas en cada una de las etapas metodológicas del estudio, donde iterativamente fueron evaluados los resultados obtenidos junto con los usuarios clave, y repetidos los ciclos metodológicos, hasta llegar a los resultados expuestos en el presente informe.  Se propone y adjunta en el presente informe, un plan de mitigación que a través de la implementación de iniciativas/proyectos, permita llevar los riesgos detectados a niveles aceptables para la compañía.  Los principales hallazgos identificados, se refieren a riesgos asociados a: Proveedor SAP, que podrían ocasionar incumplimiento normativo(multas) y trazabilidad no confiable de la información. Guía despacho]/facturas, que podría ocasionar pérdida de información crítica, posibles problemas legales y fiscales. Sistema Producción Fishtalk, que podrían ocasionar problemas de inconsistencia y de calidad de la información (Integridad) lo que como consecuencia podría llevar a pérdida de datos y daño a la reputación. Servidor Farming, que podría ocasionar interrupción del proceso de cosecha y posible pérdida de datos críticos. 18 Recomendaciones:  La capacitación y entrenamiento de los empleados son fundamentales para garantizar la efectividad del plan de mitigación, por lo que es importante que todos participen y sea abordado a nivel estratégico. Los empleados deben estar conscientes de los riesgos de seguridad y la importancia de la gestión de activos, así como de los mecanismos de control implementados para protegerlos.  La asignación de responsabilidades y la planificación de contingencias son aspectos clave para garantizar la efectividad del plan de mitigación. Es importante que se definan claramente las responsabilidades de cada persona involucrada en el SGSI y que se establezca un plan de contingencia para enfrentar posibles eventualidades que puedan comprometer la seguridad de los activos críticos.  Es importante que se establezca a nivel estratégico en la compañía, que el SGSI sea un proceso constante y dinámico, ya que los riesgos y amenazas pueden cambiar con el tiempo, así como los objetivos estratégicos de la empresa. Por lo tanto, se recomienda realizar actualizaciones periódicas (a lo menos una vez al año) de cada una de las etapas del SGSI, para garantizar la efectividad del modelo.  Finalmente nos parece que luego de éste primer assessment, es la oportunidad de que Salmones Taylor con nuestro apoyo, suba progresivamente su nivel de madurez en el SGSI buscando la excelencia en materias de seguridad de la información, de manera proactiva y promoviendo la mejora continua del modelo.  También es recomendable que en el siguiente ejercicio de revisión, se considere migrar a la versiones ISO27001:2022 e ISO27002:2022. 19 Cifrado del Informe La protección contra posibles accesos no autorizados a este informe se puede lograr mediante la encriptación de documentos mediante la encriptación PGP y el empleo del algoritmo de hash SHA-1. PGP (Pretty Good Privacy) emplea una combinación de algoritmos de cifrado simétricos y asimétricos para salvaguardar la confidencialidad y la integridad de los datos. Esto implica que sólo aquellos con la clave de descifrado correspondiente pueden leer los datos, y cualquier alteración en los mismos se detectará. El algoritmo SHA-1, un método criptográfico de hash, se utiliza para generar un valor resumen de los datos, conocido como hash. Este hash se emplea para verificar la integridad de los datos; si hay intentos de modificar los datos, el hash resultante será distinto al original, indicando alteraciones. La combinación de la encriptación PGP y el algoritmo de hash SHA-1 brinda una mayor seguridad en la protección de documentos. PGP garantiza la confidencialidad y la integridad de los datos, mientras que SHA-1 permite verificar que los datos no han sufrido alteraciones. SHA-1 se usa comúnmente para verificar que un archivo no ha sido alterado, preservando así la integridad de la información. Esto se logra generando una suma de comprobación antes de la transmisión del archivo y nuevamente una vez que llega a su destino. La autenticidad del archivo transmitido se confirma sólo si ambas sumas de comprobación son idénticas. En resumen, en la actualidad, la información es extremadamente valiosa, y salvaguardar la privacidad de nuestras conversaciones y datos debe ser una prioridad constante. 20

Salmones Taylor: Evaluación y Mitigación de Riesgos de Seguridad

Productos

Apoyo

Salmones Taylor: Evaluación y Mitigación de Riesgos de Seguridad

Añadir este documento a la recogida (s)

Añadir a este documento guardado

Sugiéranos cómo mejorar StudyLib