Informe Final

Informe Final Consultoría
“Evaluación de Riesgos en Seguridad de la
Información y Plan de Mitigación
para empresa Salmones Taylor”
15 Noviembre 2023
1
Presentación de la Consultora y rol de sus integrantes
Consultora TopGun - Especialistas en Seguridad de la Información
Somos una empresa líder en consultoría especializada en diseño y implementación de
Sistemas de Gestión de Seguridad de la Información (ISMS). Con más de 15 años de
experiencia en el mercado nacional e internacional, hemos establecido sólidas alianzas
con compañías productivas y de manufactura, brindando soluciones efectivas para
mitigar vulnerabilidades en los procesos clave de seguridad de la información. Estamos
comprometidos en ayudar a las organizaciones a proteger sus activos de información y
cumplir con los estándares de seguridad más exigentes. Nuestra pasión por la seguridad
de la información y nuestro enfoque en la excelencia nos convierten en un socio de
confianza para abordar los desafíos de seguridad de la información en un mundo digital
en constante evolución.
Nuestros Socios Fundadores:
• Christian Andrade - Director de Tecnología y Seguridad de la Información: Con una
sólida formación en Tecnologías de la información, Arquitectura Cloud y Seguridad de
la Información, Christian lidera nuestra área de Ingeniería, enfocada en diseñar e
implementar soluciones para la protección de Activos TI en base a estándares de clase
mundial (ISO27001, NIST, COBIT, ITIL y otros).
Dada la importancia que le otorgamos a éste trabajo, Christian fue definido como
Gerente de proyecto de la consultoría para Salmones Taylor.
• Hermann Hoffmann - Director de Proyectos: Hermann es el líder PMO de nuestra
compañía, asegurando que las soluciones de seguridad de la información se
implementen de manera efectiva y eficiente en las organizaciones de nuestros
clientes, gracias al uso de las mejores prácticas en gestión de proyectos y en gestión
del cambio.
• Guillermo Villalón - Gerente General: Como Gerente General, Guillermo lidera la
visión estratégica de la empresa y la relación con nuestros clientes. Su enfoque en la
satisfacción del cliente y la excelencia en la prestación de servicios ha sido
fundamental para nuestro éxito continuo en el mercado.
2
Resumen Ejecutivo
La evaluación exhaustiva de la seguridad de la información en Salmones Taylor ha revelado
hallazgos críticos que exigen atención inmediata, subrayando la importancia de la
implementación controles específicos de mitigación. Entre los riesgos más destacados:
Sistema de Producción Fishtalk
Posibilidad de problemas de inconsistencia y calidad de la información.
Proyecto de Mitigación: Revisión y mejora de la infraestructura del sistema Fishtalk para
garantizar la consistencia y calidad de los datos.
Servidor Farming
Riesgo de interrupción del proceso de cosecha y pérdida potencial de datos críticos.
Proyecto de Mitigación: Implementación de medidas de redundancia y planificación de
contingencias para asegurar la continuidad operativa del servidor Farming.
Guía de Despacho/Facturas
Riesgo de pérdida de información crítica con posibles consecuencias legales y fiscales.
Proyecto de Mitigación: Desarrollo e implementación de un sistema robusto de gestión de
documentos para garantizar la integridad y la trazabilidad.
Proveedor SAP
Potencial incumplimiento normativo y trazabilidad no confiable de la información.
Proyecto de Mitigación:
Implementación de controles adicionales en colaboración con el proveedor SAP para
garantizar la conformidad y la integridad de los datos.
Las recomendaciones estratégicas se centran en la capacitación de empleados, asignación
clara de responsabilidades y planificación de contingencias. Además, se destaca la necesidad de
mantener el Sistema de Gestión de Seguridad de la Información (SGSI) como un proceso
dinámico y constante. Se alienta a Salmones Taylor a elevar progresivamente su madurez en
SGSI, utilizando los proyectos de mitigación como base para fortalecer la seguridad de la
información y garantizar la continuidad operativa. Considerando estas acciones, se sugiere la
migración a las versiones ISO 27001:2022 e ISO 27002:2022 en futuras revisiones para
mantenerse alineados con las mejores prácticas de seguridad. Este informe proporciona un
enfoque integral para abordar los riesgos identificados y avanzar hacia la excelencia en la
seguridad de la información.
3
Descripción general de la empresa en estudio
Salmones Taylor, con sede en el sur de Chile, se ha consolidado como un referente en la industria
salmonera desde su fundación en el año 2006. A pesar de ser una de las compañías más nuevas
del sector, la empresa ha experimentado un crecimiento constante y sostenible, lo que la ha
establecido como líder en la producción de salmón. Sus operaciones se extienden a lo largo de
la región que abarca desde Temuco hasta Aysén, incluyendo dos plantas de procesamiento de
última tecnología y una red de 14 centros de mar y 9 centros de agua dulce.
La misión de Salmones Taylor se centra en la producción de salmón de alta calidad, manteniendo
un compromiso sólido con la sostenibilidad. La empresa se especializa en el cultivo de dos
especies de salmón: el salmón del Atlántico y el salmón Coho. Cada etapa del proceso de
producción se rige por un enfoque en la protección del medio ambiente y la preservación de los
recursos naturales.
Aunque las operaciones de Salmones Taylor se limitan a Chile, su salmón se exporta a mercados
internacionales altamente exigentes, como Estados Unidos, Europa y Japón. En estos mercados,
los productos son conocidos y apreciados por su color y calidad premium, consolidando su
posición como líder en la industria.
Salmones Taylor es una empresa de capitales 100% chilenos, lo que refleja su compromiso con
la comunidad local y el medio ambiente.
El equipo de la empresa está compuesto por profesionales altamente capacitados y apasionados
por la acuicultura, dedicados a mantener los más altos estándares de calidad y sostenibilidad en
la industria.
Salmones Taylor mira hacia el futuro con determinación y entusiasmo, manteniendo un firme
compromiso con la calidad y la sostenibilidad.
El equipo de la compañía está compuesto por más de 1800 colaboradores altamente capacitados
y apasionados por la acuicultura, dedicados a mantener los más altos estándares de calidad y
sostenibilidad en la industria. Estos colaboradores se distribuyen a lo largo de las unidades
productivas desde Temuco hasta Aysén, desempeñando un papel fundamental en el éxito de la
empresa.
4
Declaraciones Estratégicas
a) Misión: Producir alimentos de calidad superior que contribuyan a la salud de todos los
consumidores, equilibrando su crecimiento con la sostenibilidad y responsabilidad ambiental.
b) Visión: Ser líderes nacionales en la producción del Salmón del Atlántico y el Coho. Expandirse
hacia mercados internacionales, manteniéndose como un referente de excelencia y
contribuyendo al bienestar de la comunidad donde opera.
c) Principios:
 Calidad y Sostenibilidad: Comprometidos a producir salmón de la más alta calidad mientras
se preservan y protegen los recursos naturales.
 Responsabilidad Ambiental: Minimizar el impacto ambiental de sus operaciones y promover
prácticas sostenibles en toda su cadena de valor.
 Compromiso Comunitario: Mantener un fuerte compromiso con la comunidad local,
apoyando el desarrollo social y económico en las regiones en las que opera.
 Innovación y Excelencia: Buscar constantemente la innovación y la excelencia en sus
operaciones, manteniendo los más altos estándares de calidad y sostenibilidad en la
industria.
 Profesionalismo y Pasión: Equipo altamente capacitado, con pasión por la acuicultura.
5
Objetivos y Alcance del proyecto
Salmones Taylor entiende que es crítico contar con un ISMS para proteger sus activos y en
consecuencia garantizar la seguridad y continuidad de sus operaciones, y en última instancia el
cumplimiento de sus compromisos ante sus clientes. Ello dado que todos sus servicios y todos
sus procesos están apoyados por Tecnologías de Información, y son susceptibles de amenazas
que eventualmente pueden producir incidentes que afecten sus operaciones. Por ello se han
contratado los servicios de la Consultora TopGun, especialista en seguridad de la información. El
proyecto considera realizar un levantamiento de los procesos críticos del negocio, sobre los
cuales se identificarán riesgos asociados a la seguridad de la información, y sobre los cuales se
sugerirán controles (proyectos) a implementar para llevarlos a niveles aceptables, en función de
la Tolerancia al riesgo establecida por la organización.
Ámbito empresarial: Salmones Taylor, Industria Salmonera
Alcance geográfico: Plantas de proceso en Chile, ventas a nivel nacional e internacional.
Regulaciones presentes:
 Servicio nacional del medio ambiente(SMA): Reporte de variables abióticas de manera
automática cada 5 minutos.
 Sernapesca: Reportes de biomasa y mortalidad en toda la cadena de valor.
 FDA: Reportes de uso de antibióticos por tonelada producida.
Supuestos/Restricciones
 El proyecto de consultoría evaluará solamente los riesgos de los procesos más críticos de la
empresa (los cuales se definirán en la primera etapa del estudio).
 La compañía cuenta con un presupuesto de $500.000.000 para la implementación del ISMS.
 El marco de referencia a utilizar debe ser la ISO27001:2013 y la ISO27002:2013, dado que en
la empresa existe conocimiento interno sobre la norma, el cual se desea potenciar para llegar
eventualmente a certificarse en la norma.
6
Tipificación, priorización y selección de los procesos de negocio
Cadena de Valor Salmones Taylor
7
En la siguiente matriz se muestra el resultado de analizar la cadena de valor de la empresa
Salmones Taylor, y aplicar una metodología para identificar los procesos críticos.
Aquí se incluyeron los procesos de la cadena de valor y además algunos de soporte TI (con
tipificación bajo nomenclatura COBIT).
Para ello se trabajó junto a usuarios clave del negocio(juicio experto), y cada uno de los procesos
fue calificado en conjunto y en función de los siguientes criterios de ponderación:
 $$, volumen financiero asociado al proceso
 CORE, grado de criticidad del proceso en función del Core del Negocio
 NÚMERO USUARIOS, cantidad de usuarios que se ven afectados por el proceso
 DAÑO REPUTACIONAL, implicancia del proceso en la imagen reputacional
La escala de cumplimiento utilizada fue escalar del 1 al 3; donde:
 Alta=3; Media=2; Baja=1
La ponderación final de cada proceso corresponde a la suma simple de las calificaciones por cada
criterio(Ponderación = $$ + Core + Numero Usuarios + Daño Reputacional)
La definición del valor del umbral mínimo(10) para seleccionar los procesos más relevantes para
el estudio, se realizó en base al juicio experto de los SME´s´del negocio, utilizando método Delphi
con lo cual finalmente se seleccionaron 3 procesos (en rojo) para pasar a la siguiente fase de
análisis.
8
Procesos seleccionados dentro del alcance del estudio
Engorda: El proceso de engorda es uno de proceso más críticos en la industria del salmón, ya
que es donde se destina la mayor inversión económica, representando aproximadamente entre
el 50% y el 60% de los costos totales de producción. Otro aspecto relevante es que la regulación
vigente se enfoca intensamente en las operaciones en el mar, ya que es donde se registran las
tasas más altas de mortalidad y donde existen riesgos de escapes de peces que podrían alterar
el equilibrio del ecosistema marino. Además, la entrega de toneladas de alimento puede influir
en la salud del lecho marino. En el proceso de engorda, se hace imperativo reportar a las
autoridades una serie de datos claves, como el tipo de dietas proporcionadas, las tasas de
mortalidad, variables ambientales, la presencia de enfermedades y los tratamientos aplicados a
los peces, que pueden incluir el uso de antibióticos u otros medicamentos. Toda esta información
reportada es esencial para mantener los permisos de producción. Cabe destacar que
proporcionar datos incorrectos o inexactos a las autoridades conlleva sanciones que van desde
el cierre de centros de las operaciones hasta multas significativas que podrían impactar
seriamente en el patrimonio de la empresa. Por esta razón, es fundamental que la compañía
cumpla rigurosamente con todas las regulaciones vigentes y presente la información requerida
a la autoridad de forma puntual y precisa. Además, no debemos olvidar que, en caso de no
entregar información precisa, se corre el riesgo de no poder exportar nuestros productos a
países como Estados Unidos y Japón, lo que tendría un impacto económico sustancial para la
empresa.
Cosecha: El proceso de cosecha se inicia inmediatamente después de la fase de engorda, cuando
los peces alcanzan un peso que varía entre 3.5 y 4.8 kilos. Durante esta etapa, los peces son
trasladados con altas medidas de seguridad, desde los centros de cultivo a bordo de barcos
diseñados con medidas de seguridad que previenen posibles mortalidades masivas. Estas
embarcaciones cuentan con sistemas de circulación de agua que garantizan el transporte de los
peces en condiciones óptimas hasta las plantas de procesamiento.
Para llevar a cabo el proceso de cosecha, es necesario notificar a las autoridades
correspondientes a fin de obtener las autorizaciones requeridas para cada centro de cultivo. La
etapa de cosecha exige una completa documentación, incluyendo guías de despacho,
certificados de movimientos de peces, track de navegación, registros de números de peces
trasladados, pesos promedio, entre otros detalles. Toda esta información debe ser reportada de
manera completa a las autoridades y forma parte integral de las auditorías realizadas por el
Servicio Nacional de Pesca.
Cumplir estrictamente con estos requisitos y regulaciones es esencial para garantizar la
continuidad de nuestras operaciones. Además, cabe resaltar que este cumplimiento es un factor
crítico para asegurar que podamos exportar nuestros productos a destinos internacionales de
alta exigencia, como Estados Unidos y Japón.
9
Procesamiento: En la etapa de procesamiento, una vez cosechados los salmones, se envían a
centros de acopio donde esperan para ingresar a la planta y ser faenados con altos estándares
de bienestar animal. Desde el proceso de engorda, se registra información de trazabilidad y
documentación de la cosecha. Las plantas de salmones están sujetas a regulaciones estrictas,
deben informar a las autoridades y cumplir con exigencias internacionales en el procesamiento
de alimentos.
La trazabilidad es esencial, registrando información en cada etapa, desde la recepción del
producto terminado hasta el faenamiento y producto final. Etiquetas con datos como fecha de
producción, origen y número de lote garantizan la trazabilidad a lo largo de la cadena de
procesamiento. Los productos terminados se almacenan en condiciones adecuadas hasta su
distribución y exportación.
Las plantas cumplen con las regulaciones de exportación, documentación necesaria, certificados
de calidad y requisitos aduaneros. Mantienen registros detallados para cumplir con las
normativas de calidad y seguridad alimentaria.
10
Relevamiento de Activos
Para cada uno de los 3 procesos seleccionados, se identificaron sus activos (de negocio y
TI); los cuales fueron ponderados de acuerdo a los elementos constituyentes de la tríada CIA
(Confidencialidad, Integridad, Disponibilidad).
La escala de importancia utilizada fue escalar del 1 al 3; donde:
 Alta=3; Media=2; Baja=1
La ponderación final de cada Activo, corresponde a la multiplicación simple de las calificaciones
por cada criterio (Ponderación = C x I x A)
La definición del valor del umbral mínimo (18) para seleccionar los activos más
relevantes(críticos) para el estudio, se realizó en base al juicio experto de los SME´s del negocio
utilizando método Delphi, con lo cual finalmente se seleccionaron 9 procesos (en rojo) para pasar
a la siguiente fase de análisis.
11
Identificación de Riesgos
Para cada uno de los 9 activos seleccionados, se identificaron posibles riesgos; los cuales
fueron ponderados de acuerdo a las dimensiones de: Amenaza, Vulnerabilidad e Impacto.
La escala de importancia utilizada fue escalar del 1 al 3; donde:
 Alta=3; Media=2; Baja=1
La ponderación final de estimación de cada Riesgo, corresponde a la multiplicación simple de las
calificaciones por cada criterio (Riesgo = Amenaza x Vulnerabilidad x Impacto)
La definición del Nivel de Riesgo Aceptable (16) para seleccionar los riesgos más relevantes para
el estudio, se realizó en base a la definición del nivel de tolerancia al riesgo de la empresa; con
lo cual finalmente se seleccionaron 5 riesgos (en rojo) para pasar a la siguiente fase de análisis.
El siguiente gráfico muestran los riesgos que sobrepasan el Nivel de Riesgo Aceptable y sobre
los cuales se continuará el análisis a nivel de tratamiento del riesgo inherente.
Para los riesgos bajo ese nivel se sugiere no realizar acción alguna, salvo monitoreo.
Nivel de Riesgo Aceptable = 16
12
Selección de Marco de referencia
 El framework utilizado en el estudio corresponde a la norma ISO27001:2013 con los controles
asociados correspondientes a la norma ISO 27002:2013; esto debido a que en la empresa
existe conocimiento interno sobre la norma(ver sección supuestos y restricciones).
 Asimismo la consultora TopGun declara la ISO27001:2013 como su marco de mayor
expertise, la cual al ser el standard más reconocido y difundido a nivel mundial, da garantías
de estar utilizando Best Practices en el presente trabajo, y poder realizar benchmarks con
respecto a la seguridad de la información.
SOA (Statement of Applicability)
Como consecuencia del análisis SOA, se pudieron determinar los controles que aplican para los
riesgos identificados en el siguiente estudio.
En general la razón de los controles que no aplicaron, obedece a que:
 La compañía ya tiene controles que abarcan el objetivo (ej: Desarrollo de Sistemas,
Licenciamiento, Gestión de Proveedores, Controles de Acceso a sistemas, Controles de
Cambio).
 No aplican a la realidad ó la situación actual de la organización (ej: Mobile).
Controles seleccionados
13
14
15
16
Plan de Mitigación
Luego de analizar los controles seleccionados, y aplicando nuestra metodología, es posible
proponer un plan de mitigación asociado, que incluya iniciativas o proyectos para implementar
y gestionar los controles. Nuestra recomendación como consultora es que se implementen los
siguientes proyectos, para dar cobertura a la gestión de los riesgos identificados en el
levantamiento y se logren llevar los riesgos a niveles (riesgo residual) por bajo el Nivel de
aceptación definido. Presentamos una matriz con los proyectos en un orden jerárquico en
función del score de riesgo asociado que mitigan los riesgos, para efectos de seleccionar aquellos
que serán ejecutados, si bien la compañía puede decidir otra estrategia de selección (por
ejemplo la combinación más óptima que dado un presupuesto definido, permita rebajar la
mayor cantidad de riesgos). La Gantt propuesta tiene un criterio técnico de orden de ejecución,
bajo el supuesto de que se acepte ejecutar todo el portafolio de proyectos propuesto.
Matriz de iniciativas/proyectos
Gantt de alto nivel
Matriz de estimación por impacto de los proyectos de mitigación.
La siguiente matriz muestra la estimación realizada respecto de la ponderación de los riesgos
antes(riesgo inherente) y después(riesgo residual) de ejecutados los proyectos de mitigación; y
se puede observar que todos quedarían por debajo del Nivel de Riesgo Aceptable (16).
17
Conclusiones y Recomendaciones Finales
Agradeciendo nuevamente la confianza que Salmones Taylor entregó a la consultora
TopGun, presentamos un resumen de los resultados obtenidos y sugerencias respecto de
futuros planes de acción.
Conclusiones:
 Se evaluaron los procesos de la compañía, lo que permitió establecer y priorizar los
riesgos más importantes identificados para los cuales se establecieron controles de
seguridad utilizando las normas ISO 27001:2013 e ISO 27002:2013.
 La identificación de los activos críticos y la evaluación de riesgos permitieron establecer
los controles adecuados para minimizar los riesgos asociados que pueden comprometer
la tríada CIA, confidencialidad integridad y disponibilidad.
 Las directrices del modelo PDCA de Deming fueron utilizadas en cada una de las etapas
metodológicas del estudio, donde iterativamente fueron evaluados los resultados
obtenidos junto con los usuarios clave, y repetidos los ciclos metodológicos, hasta llegar
a los resultados expuestos en el presente informe.
 Se propone y adjunta en el presente informe, un plan de mitigación que a través de la
implementación de iniciativas/proyectos, permita llevar los riesgos detectados a niveles
aceptables para la compañía.
 Los principales hallazgos identificados, se refieren a riesgos asociados a:
Proveedor SAP, que podrían ocasionar incumplimiento normativo(multas) y
trazabilidad no confiable de la información.
Guía despacho]/facturas, que podría ocasionar pérdida de información crítica,
posibles problemas legales y fiscales.
Sistema Producción Fishtalk, que podrían ocasionar problemas de inconsistencia y de
calidad de la información (Integridad) lo que como consecuencia podría llevar a
pérdida de datos y daño a la reputación.
Servidor Farming, que podría ocasionar interrupción del proceso de cosecha y posible
pérdida de datos críticos.
18
Recomendaciones:
 La capacitación y entrenamiento de los empleados son fundamentales para garantizar la
efectividad del plan de mitigación, por lo que es importante que todos participen y sea
abordado a nivel estratégico. Los empleados deben estar conscientes de los riesgos de
seguridad y la importancia de la gestión de activos, así como de los mecanismos de
control implementados para protegerlos.
 La asignación de responsabilidades y la planificación de contingencias son aspectos clave
para garantizar la efectividad del plan de mitigación. Es importante que se definan
claramente las responsabilidades de cada persona involucrada en el SGSI y que se
establezca un plan de contingencia para enfrentar posibles eventualidades que puedan
comprometer la seguridad de los activos críticos.
 Es importante que se establezca a nivel estratégico en la compañía, que el SGSI sea un
proceso constante y dinámico, ya que los riesgos y amenazas pueden cambiar con el
tiempo, así como los objetivos estratégicos de la empresa. Por lo tanto, se recomienda
realizar actualizaciones periódicas (a lo menos una vez al año) de cada una de las etapas
del SGSI, para garantizar la efectividad del modelo.
 Finalmente nos parece que luego de éste primer assessment, es la oportunidad de que
Salmones Taylor con nuestro apoyo, suba progresivamente su nivel de madurez en el
SGSI buscando la excelencia en materias de seguridad de la información, de manera
proactiva y promoviendo la mejora continua del modelo.
 También es recomendable que en el siguiente ejercicio de revisión, se considere migrar
a la versiones ISO27001:2022 e ISO27002:2022.
19
Cifrado del Informe
La protección contra posibles accesos no autorizados a este informe se puede lograr mediante
la encriptación de documentos mediante la encriptación PGP y el empleo del algoritmo de hash
SHA-1.
PGP (Pretty Good Privacy) emplea una combinación de algoritmos de cifrado simétricos y
asimétricos para salvaguardar la confidencialidad y la integridad de los datos. Esto implica que
sólo aquellos con la clave de descifrado correspondiente pueden leer los datos, y cualquier
alteración en los mismos se detectará.
El algoritmo SHA-1, un método criptográfico de hash, se utiliza para generar un valor resumen
de los datos, conocido como hash. Este hash se emplea para verificar la integridad de los datos;
si hay intentos de modificar los datos, el hash resultante será distinto al original, indicando
alteraciones.
La combinación de la encriptación PGP y el algoritmo de hash SHA-1 brinda una mayor seguridad
en la protección de documentos. PGP garantiza la confidencialidad y la integridad de los datos,
mientras que SHA-1 permite verificar que los datos no han sufrido alteraciones.
SHA-1 se usa comúnmente para verificar que un archivo no ha sido alterado, preservando así la
integridad de la información. Esto se logra generando una suma de comprobación antes de la
transmisión del archivo y nuevamente una vez que llega a su destino. La autenticidad del archivo
transmitido se confirma sólo si ambas sumas de comprobación son idénticas. En resumen, en la
actualidad, la información es extremadamente valiosa, y salvaguardar la privacidad de nuestras
conversaciones y datos debe ser una prioridad constante.
20