Propuesta de diseño de un departamento de ciberseguridad para una empresa del rubro de alimentos para mascotas

Abstract

Este proyecto propone diseñar y crear un Departamento de Ciberseguridad para una empresa chilena del rubro de alimentos para mascotas. Parte de un diagnóstico que evidencia, brechas críticas, ausencia de un área especializada, falta de políticas y procedimientos, capacitación insuficiente, controles de acceso débiles, redes sin segmentación y carencia de monitoreo/alertas, todo ello aumenta la exposición a phishing, malware y ransomware, con impactos operativos y reputacionales. La propuesta se estructura con marcos reconocidos (ISO/IEC 27001, NIST CSF, NIST 800-61) y el ciclo PDCA para mejora continua. Define objetivos y alcance (sede principal, presupuesto acotado, sin cambios físicos mayores), roles y responsabilidades del nuevo departamento, y un plan de acción que incluye: políticas y procedimientos formales, gestión de identidades y accesos (MFA, mínimo privilegio), endurecimiento y parches, respaldos y pruebas de restauración, monitoreo y correlación de eventos (p. ej., con herramientas open source como Wazuh/pfSense) y un programa sistemático de capacitación y sensibilización. El diseño integra KPIs y un análisis económico de carácter operativo (sin CAPEX de infraestructura), limitado a capital humano y a costos fijos y variables. La iniciativa busca materializar beneficios medibles: reducción del riesgo, mejora del cumplimiento normativo y aumento de la confianza de los clientes. El cierre enfatiza la urgencia de elevar la madurez de seguridad para asegurar continuidad operativa, cumplimiento (leyes locales vigentes) y resiliencia del negocio.

There is a growing need to strengthen cybersecurity in Chilean companies, particularly within the pet food sector. An initial diagnostic revealed critical gaps: the absence of a specialized department, lack of policies and procedures, insufficient training, weak access controls, unsegmented networks, and the absence of monitoring and alert systems. These vulnerabilities significantly increase exposure to phishing, malware, and ransomware, with severe operational and reputational consequences. The proposal outlines the design and creation of a Cybersecurity Department, grounded in internationally recognized frameworks (ISO/IEC 27001, NIST CSF, and NIST 800-61) and guided by the PDCA cycle for continuous improvement. Objectives and scope are defined around the main headquarters and a limited budget, along with the establishment of roles and responsibilities for the new department. The action plan includes the development of formal policies and procedures, identity and access management through MFA and least-privilege principles, system hardening and patch management, data backups with restoration testing, and event monitoring and correlation using open-source tools such as Wazuh and pfSense. A systematic awareness and training program complements these measures to address the human factor. Key performance indicators (KPIs) are integrated to assess effectiveness, together with an economic analysis that considers infrastructure, human capital, and fixed and variable costs, against expected benefits such as risk reduction, regulatory compliance, and increased customer trust. The project concludes by emphasizing the urgency of enhancing cybersecurity maturity to ensure operational continuity, compliance with local regulations, and long-term business resilience.