Noviembre 2020

PROPUESTA TECNICA DE SERVICIO

CYBERSECURITY RISK ASSESSMENT

Señores
Carnes Ñuble
PRESENTE

Bragi Networks, presenta a continuación la propuesta técnica y cotización por

servicios de consultoría.

Esperamos poder demostrar la calidad de nuestros servicios y de esta manera

establezcamos una relación de trabajo conjunto y confiable en el tiempo.

Rodrigo Canelo Gaune

CEO Bragi Networks
 Confidencial: Carnes Ñuble

Cláusula de confidencialidad
Este documento ha sido generado en respuesta al requerimiento presentado por Carnes
Ñuble, por tanto, la información contenida en él es única, original, confidencial e
intransferible.

Bragi Netowrks presenta este documento entendiendo que el mismo será mantenido bajo
estricta confidencialidad por parte de Carnes Ñuble y que la información contenida será
utilizada solo con fines relacionados a la evaluación de los servicios propuestos.

Al aceptar y evaluar el presente documento, se asume la obligación de mantener absoluta

reserva respecto a la información contenida en la misma, así mismo se compromete a no
divulgar, copiar, difundir y/o transferir este documento en su totalidad o parcialidad.

Bragi Networks contacto@[Link]

2
 Confidencial: Carnes Ñuble

Table of Contents

1. RESUMEN EJECUTIVO ........................................................................................ 4

1.1 Introducción............................................................................................................ 4
1.2 Individualización del cliente ................................................................................ 5
1.3 Necesidades del cliente ...................................................................................... 5

2. DESCRIPCION TECNICA .................................................................................... 6

2.1 Objetivo general del servicio .............................................................................. 6
2.2 Objetivos específicos del servicio ...................................................................... 7
2.3 Enfoque del servicio .............................................................................................. 8
2.4 Cobertura del servicio .......................................................................................... 9
2.5 Fases del servicio ................................................................................................... 9
2.5.1 Fase I: Planificación del Servicio. ........................................................................ 9
2.5.2 Fase II: Entendimiento de la organización. ..................................................... 11
2.5.3 Fase III: Matriz de Riesgo de Ciberseguridad. ................................................ 12
2.5.4 Fase III: Análisis de Información. ....................................................................... 14
2.5.5 Fase IV: Informes, Planes de Acción y Plan Director de Ciberseguridad. . 15
2.6 Revisión Active Directory .................................................................................... 16
2.7 Ejemplo de resultados......................................................................................... 16

1. CARÁCTERISTICAS GENERALES DE LA OFERTA DE SERVICIO..................... 20

1.1 Experiencia de los consultores de BragiNetworks ......................................... 20
1.2 Equipo de trabajo de BragiNetworks ............................................................... 21
1.2.1 Jefe de Proyecto .................................................................................................. 21
1.2.2 Consultor Senior ................................................................................................... 21
1.3 Beneficios del servicio ........................................................................................ 22
1.4 Duración del servicio .......................................................................................... 22

2. PROPUESTA COMERCIAL ................................................................................ 23

2.1 Condiciones Comerciales.................................................................................. 23

Bragi Networks contacto@[Link]

3
 Confidencial: Carnes Ñuble

1. RESUMEN EJECUTIVO

1.1 Introducción

Ante el incremento de la complejidad en la infraestructura TI de las organizaciones y la gran

variedad y sofisticación en los ataques a los cuales se encuentran expuestas, resulta
imprescindible determinar los niveles de ciberseguridad de una organización, su nivel de
cumplimiento y efectividad del sistema de control interno de ciberseguridad y sus niveles
de exposición a riesgos, a través de una detección oportuna y gestión adecuada del ciclo
de vida de las vulnerabilidades que afectan tanto a sus procesos como a los activos
relacionados.

El servicio consultivo de Cybersecurity Assessment (Evaluación de Ciberseguridad) tiene

como misión facilitar a nuestros clientes información estratégica y asertiva que les permita
conocer el estado global de Ciberseguridad y, por ende, los niveles reales de
Ciberprotección en la organización, con una mirada particular sobre los principales riesgos
a los cuales se encuentra expuesta, entregando información precisa respecto de sus
fortalezas y oportunidades de mejora, lo que permitirá estructurar una hoja de ruta evolutiva
que contemple tanto una estrategia como planes de acción asertivos, garantizando que
las iniciativas impulsadas aportan a la disminución sistemática del riesgo detectado y
aportan al cumplimiento de tanto del ambiente de control interno de Ciberseguridad como
de los objetivos estratégicos y metas definidos por la organización (Negocio).

El servicio consultivo de Cybersecurity Assessment considera un proceso metodológico de

evaluación de riesgos, lo que permite determinar de forma asertiva los niveles reales de
exposición a riesgos de Ciberseguridad que posee la organización, definiendo y priorizando
acciones de mitigación efectivas e inmediatas, pudiendo definir una hoja de ruta de corto,
mediano y largo plazo. También es objetivo de este servicio proporcionar información que
permita responder preguntas claves tales como:
• ¿Qué niveles de exposición a riesgos posee la organización?
• ¿Cuáles son las iniciativas de mejora que se deben realizar para llegar a un
estado futuro deseado?
• ¿Qué oportunidades de mejora puedo materializar sin necesidad de
inversión/gasto?
• ¿Cuánto presupuesto requiero para realizar el resto de las iniciativas?, entre
otras incógnitas.

Bragi Networks contacto@[Link]

4
 Confidencial: Carnes Ñuble

1.2 Individualización del cliente

Carnes Ñuble S.A es una empresa productora y elaboradora de productos cárnicos con
más de 40 años de trayectoria en el mercado. Durante todo este tiempo se ha
caracterizado por la búsqueda permanente de modelos de negocios que permitan un
crecimiento sostenido y la competitividad de la empresa.

Carnes Ñuble fue la primera empresa Chilena en abrir el mercado de exportación de carnes
Bovinas llegando a mercados de alto valor como la UE, Japón y USA, entre otros

En la Actualidad la empresa cuenta con sus marcas CARNES ÑUBLE, PAMPAVERDE Y

CHILENAZA; y su planta de elaboración de productos en la ciudad de Chillan donde poseen
dos salas de venta directa “Casa de Carnes”, Oficinas comerciales en Santiago y con
cobertura logística a nivel nacional donde atendemos a los principales y más reconocidos
Supermercado y Restaurantes de Chile.

1.3 Necesidades del cliente

La Gerencia de TI de Carnes Ñuble requiere conocer el nivel de exposición a riesgos de

Ciberseguridad que posee su infraestructura y operación TIC. Adicionalmente, la Gerencia
Corporativa de TI requiere que el servicio ofertado permita, como mínimo, entregar la
siguiente información:
• Conocer el estado de madurez de las prácticas operativas de ciberseguridad
desplegadas.
• Reconocer prácticas no implementadas y que deban o sea recomendable
desarrollar.
• Sugerir el nivel adecuado en los cuales posicionar cada práctica, teniendo como
referencia la planificación estratégica de la organización.
• Evaluar la existencia o no de oportunidades de mejora.
• Proponer un esquema priorizado de adopción de madurez con las oportunidades
de mejora identificadas, teniendo en cuenta los riesgos actuales y futuros que
pueden afectar a la organización.
• Conocer si la inversión en Ciberseguridad es la adecuada.
• Confeccionar un plan director tentativo que permita ser una guía para planes de
acción y hoja de ruta futura del área que le permita evolucionar en su madurez.

Bragi Networks contacto@[Link]

5
 Confidencial: Carnes Ñuble

2. DESCRIPCION TECNICA

El presente documento busca detallar la propuesta técnica que Bragi Networks presenta a
la Gerencia Corporativa de TI de Carnes Ñuble, en adelante Carnes Ñuble, en relación con
la necesidad de servicio declarada.

2.1 Objetivo general del servicio

El objetivo general del servicio es materializar un proceso de Evaluación de Ciberseguridad

(Cybersecurity Assessment) el cual se enfocará en la identificación de los niveles de
implementación / madurez de los objetivos de control y controles esenciales o higiénicos
(línea base de ciberseguridad operativa) definidos en el Framework de Ciberseguridad del
Instituto Nacional de Estándares y Tecnología (National Institute of Standards and
Technology – NIST) y en la identificación de los niveles de exposición a riesgos de
Ciberseguridad. La materialización de este servicio nos permitirá medir el estado actual de
implementación de controles de Ciberseguridad en Carnes Ñuble y, de esta forma,
determinar los niveles de exposición a riesgos que posee la organización en temas de
Ciberseguridad, identificando las principales fortalezas y oportunidades de mejora,
resultados que permitirán estructurar un conjunto de acciones correctivas inmediatas
(Quick Wins) y un Plan de Ciberseguridad evolutivo a corto, mediano y largo plazo.

Bragi Networks contacto@[Link]

6
 Confidencial: Carnes Ñuble

2.2 Objetivos específicos del servicio

Los objetivos específicos que este servicio persigue corresponden a:

• Formalizar, por medio de una evaluación metodológica, el estado del arte que
posee la implementación de controles y el nivel de madurez que exhibe la
organización en ciberseguridad operativa, entregando también información
respecto de los niveles de exposición a riesgos.
• Obtener un conocimiento detallado de las principales fortalezas y oportunidades
de mejora relacionadas con la gestión de operativa de ciberseguridad.
• Identificar un conjunto de acciones e iniciativas que se deben realizar para mitigar
las brechas y riesgos identificados.
• Proponer una priorización y dimensionamiento de las acciones e iniciativas de
mitigación, atendiendo la situación actual de Carnes Ñuble, abordando los
aspectos más relevantes de mejora, así como propuestas Quick Wins.
• Fortalecer las bases de Gobernabilidad, Gestión de Riegos y Cumplimiento.
• Realizar revisión y estado actual de infraestructura de Active Directory.

Bragi Networks contacto@[Link]

7
 16 de abril de 2018 Marco de Ciberseguridad Versión 1.1

2.4  Coordinación de la implementación del Marco 
           
La Figura 2 describe un flujo común de información y decisiones en los siguientes niveles dentro de una
organización:
Ejecutivo.
Empresarial / Proceso. Confidencial: Carnes Ñuble
Implementación / Operaciones.
El nivel ejecutivo comunica las prioridades de la misión, los recursos disponibles y la tolerancia al riesgo general
2.3 Enfoque
a nivel empresarialdel servicio
/ de proceso. El nivel empresarial o de proceso utiliza la información como entradas en el
proceso de gestión de riesgos, y luego colabora con el nivel de implementación u operaciones para comunicar las
necesidades del negocio y crear un Perfil. El nivel de implementación u operaciones comunica el progreso de la
El enfoque del servicio
implementación del Perfil estará centrado
al nivel empresarial o deen la identificación
proceso. deo de
El nivel empresarial losproceso
niveles deesta
utiliza cumplimiento,
oportunidades
información parade mejora
realizar y riesgos
una evaluación de Ciberseguridad
de impacto. en empresarial
La administración de nivel base a olo propuesto por el
de proceso
informa los resultados de esa evaluación de impacto al nivel ejecutivo
Framework de Ciberseguridad definido por el NIST. El trabajo de evaluación se para informar el proceso general deenfocará en
gestión de riesgos de la organización y el nivel de implementación u operaciones para la conciencia del impacto
las definiciones
comercial. de este Marco de Trabajo teniendo la siguiente orientación:

Figura 2: Información nocional y flujos de decisión dentro de una organización

Esta publicación está disponible de forma gratuita en: [Link] 12

Bragi Networks contacto@[Link]

8
 Confidencial: Carnes Ñuble

2.4 Cobertura del servicio

En base a las necesidades planteadas por el cliente, el proceso de evaluación será

enfocado en la operación que posee Carnes Ñuble en Chile.

2.5 Fases del servicio

A continuación, se describe el objetivo, alcance, actividades y los productos de cada una

de las 6 fases que estructuran el servicio:

2.5.1 Fase I: Planificación del Servicio.

Esta fase tiene como objetivo principal fijar los objetivos particulares del servicio de modo
de establecer los lineamientos de evaluación que orientarán las actividades de campo,
junto con definir los equipos que participarán del proceso de evaluación, los criterios de
aceptación y la planificación definitiva.

Bragi Networks contacto@[Link]

9
 Confidencial: Carnes Ñuble

Principales Actividades:

a) Coordinación inicial
Se contempla una coordinación inicial (presentación KickOff) con el jefe de
proyecto y equipo de trabajo involucrados como contraparte técnica para el
servicio.
Los principales puntos para cubrir serán: definición de los mecanismos de
coordinación, temas logísticos de reuniones, asignación de roles a los cargos y
personas para las entrevistas, formalización de acuerdos, mecanismos de
activación y control de cambios. Adicionalmente se determinarán los criterios de
aceptación del trabajo y se abordarán, en general, todos los aspectos que resulten
relevantes al inicio del servicio, para permitir su correcta ejecución.

b) Definición del Ámbito de Evaluación

Toda actividad consultiva requiere una definición de ámbito, comprendido
habitualmente como la lista de procesos de negocio o áreas organizacionales o
amplitud del proceso de evaluación. Esta actividad busca establecer un
compromiso inicial de procesos o áreas organizacionales a considerar en el
proceso de evaluación.

c) Revisión de la Planificación
Se revisará, ajustará y validará el cronograma de trabajo en función del resultado
de las actividades anteriores.

Productos asociados:
Como resultado de esta etapa se generarán, los siguientes productos principales:
• Minuta de acuerdos y aspectos relevantes para el desarrollo del servicio.
• Planificación y detalle de las actividades a ejecutar.
• Asignación de roles a cargos y personas.
• Agenda preliminar de entrevistas.
• Agenda preliminar de solicitud de evidencia.
• Cronograma de trabajo (Carta Gantt) actualizado.

Bragi Networks contacto@[Link]

10
 Confidencial: Carnes Ñuble

2.5.2 Fase II: Entendimiento de la organización.

El propósito de esta fase es lograr inducir a los consultores a cargo del servicio, logrando
que se familiaricen con la organización y se formen una idea preliminar del entorno de
evaluación a realizar. Esta actividad se realizará esencialmente en base a análisis
documental y entrevistas con distintos roles designados por Carnes Ñuble.

Principales Actividades:

a) Análisis estratégico de la organización

Durante esta actividad el o los Consultores Senior de Ciberseguridad analizarán la
organización desde una óptica que permita identificar sus objetivos estratégicos,
Industria en la cual participa, Misión / Visión, Estructura y Cultura Organizacional.
Adicionalmente, se realizarán entrevistas con los roles designados por Carnes
Ñuble para complementar este análisis. Es vital realizar este análisis para poder
determinar tempranamente la existencia de particularidades dentro del ámbito
de evaluación y, de esta forma, poder ajustar los instrumentos de medición en
virtud de garantizar un trabajo y resultado asertivo.

b) Análisis documental del ámbito de evaluación

En esta actividad, el o los Consultores Senior de Ciberseguridad analizarán la base
documental del ámbito de evaluación, esta actividad permitirá, por una parte,
formar una idea preliminar de la organización y, por otra parte, ajustar los
instrumentos de medición que serán utilizados durante las entrevistas de
evaluación y las actividades de campo para el levantamiento técnico/operativo
que debe ser realizado.

Productos asociados:
Como resultado de esta fase se espera que el equipo consultivo tenga una
compresión adecuada de la organización y que los instrumentos de medición se
encuentren ajustados a la realidad, cultura y lenguaje de la organización.

Bragi Networks contacto@[Link]

11
 Confidencial: Carnes Ñuble

2.5.3 Fase III: Matriz de Riesgo de Ciberseguridad.

El propósito de esta fase es realizar el levantamiento de la situación actual respecto del

grado de cumplimiento o implementación y madurez de los controles Ciberseguridad
seleccionados para evaluación y que pertenecen al Framework de Ciberseguridad
definido por el NIST, dentro del ámbito acordado para el presente diagnóstico. Como
contrapunto, al determinar el grado de implementación y madurez de los controles de
Ciberseguridad seleccionados para la evaluación se podrá determinar el nivel de
exposición a riesgos que posee cada uno de estos controles y hacer su vinculación con un
catálogo de riegos de Ciberseguridad propuestos.

Principales Actividades:
a) Revisión de configuraciones en plataformas de seguridad tecnológica e
infraestructura TI
Durante esta actividad el Consultor Senior de Ciberseguridad realizará actividades
de revisión y evaluación de configuraciones tanto en plataformas de seguridad
tecnológica como en infraestructura TI.
En esta actividad será de vital importancia la adecuada coordinación del Jefe de
Proyecto por parte de Carnes Ñuble para asegurar la oportuna disponibilidad de
los accesos requeridos a las plataformas e infraestructura TI a evaluar, de modo
que la labor se pueda desarrollar dentro de los plazos y con los esfuerzos
establecidos.

b) Solicitud, análisis y calificación de evidencia

Durante esta actividad el Consultor Senior de Ciberseguridad recabará evidencia
asociada a los controles evaluados y a las plataformas e infraestructura TI revisada,
evidencia que permitirá establecer la operación y madurez de los puntos
evaluados como así mismo, su nivel asociado de riesgo. Se sostendrán entrevistas
telefónicas complementarias, en caso de ser necesario, con profesionales de la
organización que tengan relación directa con el ámbito de evaluación.
En esta actividad será de vital importancia la adecuada coordinación del Jefe de
Proyecto por parte de Carnes Ñuble, para asegurar la oportuna entrega de la
información solicitada y su disponibilidad en caso de ser requerida entrevistas
telefónicas, de modo que la labor se pueda desarrollar dentro de los plazos y con
los esfuerzos establecidos.

Bragi Networks contacto@[Link]

12
 Confidencial: Carnes Ñuble

Productos asociados:
Como resultado de esta fase se espera haber realizado todas las revisiones
planificadas y haber recopilado toda la información necesaria para generar el
informe final. Frente a cualquier diferencia al respecto, se generará un resumen
preliminar de porcentaje de cobertura lograda en el relevamiento de información
respecto del total de actividades planificadas y se acordarán medidas de
mitigación con el Jefe de Proyecto por parte de Carnes Ñuble para corregir la
desviación, en casa de que exista.

Bragi Networks contacto@[Link]

13
 Confidencial: Carnes Ñuble

2.5.4 Fase III: Análisis de Información.

El objetivo de esta fase consiste en analizar toda la información recopilada y estimar tanto
el nivel de cumplimiento y madurez de cada control y objetivos de controles evaluados
como el nivel de exposición a riesgos. Adicionalmente, esta fase permite aplicar controles
cruzados para garantizar la veracidad y asertividad de los resultados obtenidos, pudiendo
identificar puntos en los cuales son requeridos entrevistas o evidencias complementarias
para validar resultados particulares.

Principales Actividades:
a) Análisis de Información
Esta actividad tiene como propósito el análisis y valoración de la información
levantada, confeccionando los mapas de puntuación resultantes y, en caso de
ser requerido, direccionar acciones de validación complementarias.

b) Acciones de validación complementarias

De ser necesario materializar esta actividad, durante su ejecución el Consultor
Senior de Ciberseguridad realizará pruebas y evaluaciones técnicas específicas
que permitan obtener datos y resultados, los cuales serán contrastados contra la
evidencia presentada, permitiendo establecer el nivel real de adopción, madurez
y exposición a riesgos que posee el ámbito evaluado.

Productos asociados:
Como resultado de esta etapa, se generarán informes y mapas de valoración
resultantes preliminares.

Bragi Networks contacto@[Link]

14
 Confidencial: Carnes Ñuble

2.5.5 Fase IV: Informes, Planes de Acción y Plan Director de

Ciberseguridad.

El objetivo de esta fase consiste en preparar y entregar los informes con el nivel de
cumplimiento, madurez y exposición a riegos que registran los controles de Ciberseguridad
implantados por Carnes Ñuble y generar propuestas de planes de acción priorizados para
aquellas oportunidades de mejora identificadas. Adicionalmente, se detallarán aquellas
necesidades que requieran gasto o inversión para su materialización, lo que permitirá
estructurar un Plan Director de Ciberseguridad de corto, mediano y largo plazo.

Principales Actividades:
a) Generación Informe Resultado
Esta actividad tiene como propósito la generación de Matrices de Riesgos de
Ciberseguridad, propuesta de Plan de Mitigación o Acción y un Plan Director de
Ciberseguridad, productos que permitirán estructurar evolutivamente las diversas
acciones e iniciativas de mitigación, planteándolas como proyectos específicos,
producto de las brechas identificadas. Este informe será sometido a revisión y
discusión previa con personal de Carnes Ñuble relacionado al proyecto.

b) Presentación Ejecutiva
Durante esta actividad se considera la preparación y materialización de una
presentación ejecutiva con los resultados obtenidos durante la materialización del
servicio.

Productos asociados:
Como resultado de esta etapa, se generarán los siguientes documentos:
• Informe y Matrices de Riesgo de Ciberseguridad.
• Presentación ejecutiva de resultados.
• Plan de Acción.
• Plan Director de Ciberseguridad.

Bragi Networks contacto@[Link]

15
 Confidencial: Carnes Ñuble

2.6 Revisión Active Directory

Se considera una revisión especial a la plataforma de Active Directory que actualmente

posee Carnes Ñuble con el objetivo de su generar las líneas base para su mejor
implementación dentro de la organización.

Dicho ítem considera:

• Revisión de accesos administrativos.
• Revisión de perfiles de usuarios
• Revisión de agrupaciones lógicas
• Revisión de políticas definidas.

2.7 Ejemplo de resultados

Ejemplo de resultados:

No
CIS-CSC 20 Avance Requisitos
cumple
1 Inventario y control de activos de hardware 0% 100% 6
2 Inventario y control de activos de software 8% 92% 4
3 Gestión continua de vulnerabilidades 4% 96% 8
4 Control de usuarios privilegiados 19% 81% 9
Configuraciones seguras para hardware y software en
5 dispositivos móviles, laptops, estaciones de trabajo y 0% 100% 7
servidores
Mantención, monitoreo y análisis de registros de
6 0% 100% 6
auditoría
7 Protección para correo electrónico y navegación web 0% 100% 8
8 Defensa contra malware 28% 72% 6
Limitación y control sobre puertos, protocolos y
9 22% 78% 6
servicios de red
10 Capacidad de recuperación de datos 42% 58% 4
11 Configuraciones seguras para dispositivos de red 5% 95% 7
12 Defensas perimetrales 7% 93% 10
13 Protección de datos 0% 100% 9

Bragi Networks contacto@[Link]

16
 Confidencial: Carnes Ñuble

14 Control de acceso basado en la necesidad de saber 0% 100% 7

15 Control de acceso a redes inalámbricas 33% 67% 9
16 Monitoreo y control de cuentas 19% 81% 14
Implementación de un programa de sensibilización y
17 13% 87% 5
entrenamiento en seguridad
18 Seguridad en aplicaciones 15% 85% 9
19 Gestión de respuestas a incidentes 29% 71% 7
20 Pruebas de penetración y ejercicios de “Red Team” 0% 100% 8

0% 20% 40% 60% 80% 100%

1. Inventario y control de activos de hardware 0% 100%

2. Inventario y control de activos de software 8% 100%
3. Gestión continua de vulnerabilidades 4% 100%
4. Control de usuarios privilegiados 19% 100%
5. Configuraciones seguras para hardware y software en dispositivos móviles, laptops, 0% 100%
6. Mantención, monitoreo y análisis de registros de auditoría 0% 100%
7. Protección para correo electrónico y navegación web 0% 100%
8. Defensa contra malware 28% 100%
9. Limitación y control sobre puertos, protocolos y servicios de red 22% 100%
10. Capacidad de recuperación de datos 42% 100%
11. Configuraciones seguras para dispositivos de red 5% 100%
12. Defensas perimetrales 7% 100%
13. Protección de datos 0% 100%
14. Control de acceso basado en la necesidad de saber 0% 100%
15. Control de acceso a redes inalámbricas 33% 100%
16. Monitoreo y control de cuentas 19% 100%
17. Implementación de un programa de sensibilización y entrenamiento en seguridad 13% 100%
18. Seguridad en aplicaciones 15% 100%
19. Gestión de respuestas a incidentes 29% 100%
20. Pruebas de penetración y ejercicios de "Red Team" 0% 100%

Cumplimiento Máximo

Bragi Networks contacto@[Link]

17
 Confidencial: Carnes Ñuble

Mapa de exposición
5

4 Responder
Detectar

3 Proteger
Frecuencia

2 Identificar

1 Recuperar

0
0 1 2 3 4 5
Impacto

Bragi Networks contacto@[Link]

18
 Confidencial: Carnes Ñuble

Bragi Networks contacto@[Link]

19
 Confidencial: Carnes Ñuble

1. CARÁCTERISTICAS GENERALES DE LA OFERTA DE

SERVICIO

1.1 Experiencia de los consultores de BragiNetworks

El equipo de consultores tiene una amplia experiencia en servicios similares en los cuales ha
realizado trabajos consultivos, de evaluación, análisis y auditorias de sistemas de
Tecnologías de Información, algunos de los cuales se detallan a continuación:
• Banco de Chile.
• COPESA.
• ESVAL.
• Aguas del Valle.
• SUBPESCA.
• Comisión para el Mercado Financiero (CMF Chile).
• SAAM.
• Iquique Terminal Internacional.
• Grupo AEROSAN (Chile, Colombia, Ecuador).
• SAAM SMIT TOWAGE México, Ecuador, Brasil, Costa Rica, Guatemala,
Uruguay, Panamá y Canadá.
• Terminal Portuario Mazatlán, México.
• San Vicente Terminal Internacional.
• Terminal Portuario de Guayaquil, Ecuador.
• Florida International Terminal, Estados Unidos.
• Antofagasta Terminal Internacional.
• San Antonio Terminal Internacional.
• Sociedad Portuaria Puerto Caldera, Costa Rica.
• Portuaria Corral - Reloncaví.

Bragi Networks contacto@[Link]

20
 Confidencial: Carnes Ñuble

1.2 Equipo de trabajo de BragiNetworks

La materialización del servicio de evaluación de seguridad ofertado será efectuada por un

equipo de trabajo conformado por los siguientes roles:
• Jefe de Proyecto
• Consultor Senior

La descripción de los roles, conocimientos y experiencia considerados para la ejecución

del presente servicio de evaluación de seguridad, corresponden a:

1.2.1 Jefe de Proyecto

Encargado de gestionar la materialización del presente servicio, mediante su interlocución,

en español, de forma directa y presencial con el solicitante del Servicio por parte de Carnes
Ñuble. Es responsable de ejercer el seguimiento de eventos, asegurar la calidad de los
entregables, velar por el cumplimiento de las fechas comprometidas, manejar excepciones
y en general, del tratamiento de todos los asuntos de índole administrativo concernientes
al servicio. Profesional con más 5 años de experiencia en Gestión de Proyectos.

1.2.2 Consultor Senior

Es el encargado de desarrollar actividades de campo en conjunto y directa participación

con personal designado por Carnes Ñuble. El profesional asignado al presente servicio
realizará actividades de levantamiento, evaluación, validación cruzada de revisiones,
ajuste de documentación y preparación de set documental base que complementará los
planes de acción que podrían ser determinados en función de los resultados obtenidos
durante la ejecución del servicio. Adicionalmente, desarrollaran los informes
comprometidos para el presente servicio. La experiencia, certificaciones y formación del
consultor corresponde a la siguiente:

• Consultor Senior, con 20 años de experiencia en temas relacionados.

• Certificaciones: CISSP, LA ISO 27001, LA BS 25999, CSIRT, ISMS Implementing.
• Formación: Diplomado en Gestión Integral de Riesgos, Curso de Gobiernos
Corporativos, Diplomado en Auditoría TI, Diplomado en Gestión Financiera,
Magister en Psicología Organizacional, entre otros.

Bragi Networks contacto@[Link]

21
 Confidencial: Carnes Ñuble

1.3 Beneficios del servicio

Los principales beneficios asociados a este servicio son:

• Presencia de profesionales del Área de Tecnologías de Información,
Seguridad de la Información y Ciberseguridad con vasta experiencia.
• Respaldo y soporte metodológico de parte de BragiNetworks, con el más
amplio staff de profesionales, expertos en las materias tratadas.
• Acatamiento de las normativas y buenas prácticas internaciones, como
COBIT, COSO 2013, ISO 27001, ISO 27002, ISO 22301, SOX, entre otras.
• Posibilidad de reemplazo de profesionales en caso de fuerza mayor.
• Posibilidad de asistencia de otro consultor equivalente para temas
específicos.
• Transferencia permanente de conocimientos a personal de Carnes Ñuble
respecto de las actividades ejecutadas

1.4 Duración del servicio

El presente servicio tendrá una duración estimada de 2 a 4 semanas aproximadamente,

dependiendo de la disponibilidad del cliente, con hitos y entregas intermedias en
cumplimiento con la planificación general del servicio que será acordada con el cliente al
momento de realizar el Kick-Off del mismo.

Bragi Networks contacto@[Link]

22