TFM Luis Nieto V21

UNIVERSIDAD EUROPEA DE MADRID
ESCUELA DE ARQUITECTURA, INGENIERÍA Y DISEÑO ÁREA
INGENIERÍA INDUSTRIAL
MÁSTER UNIVERSITARIO EN INGENIERÍA INDUSTRIAL
TRABAJO FIN DE MÁSTER
Plan de negocio Your Security
2
Alumno: Luis Nieto Blázquez
Director :D. Juan Miguel Poyatos
SEPTIEMBRE 2021
TÍTULO: Plan de Negocio de Your Security
AUTOR: LUIS NIETO BLÁZQUEZ
DIRECTOR DEL PROYECTO: D. JUAN MIGUEL POYATOS
FECHA: 17 de SEPTIEMBRE de 2021

Índice
Agradecimientos............................................................................................................................8
Abstract...........................................................................................................................................9
Resumen......................................................................................................................................10
1. OBJETIVOS..............................................................................................................................11
2. ESTADO DEL ARTE......................................................................................................................11
2.1 ANTECENDENTES E INTRODUCCION...................................................................................11
2.2 EMPRESAS EN ESPAÑA DE CIBERSEGURIDAD.....................................................................14
2.3 VENTAJAS.............................................................................................................................17
2.4. INTRODUCCIÓN A LA CIBERSEGURIDAD.............................................................................18
3. MERCADO OBJETIVO.................................................................................................................20
3.1 SEGMEBTACIÓN DEL MERCADO..........................................................................................20
3.2 ANÁLISIS DAFO.....................................................................................................................21
3.3 PROPUESTA DE VALOR........................................................................................................25
4. CATÁLOGO DE PRODUCTOS.......................................................................................................36
4.1 Descripción de los productos..........................................................................................36
4.2 MODELO DE PRECIOS......................................................................................................38
4.3 TIPOLOGÍA DE CONTRATOS.............................................................................................38
5.HERRAMIENTAS DE DIAGNÓSTICO.............................................................................................39
6. PLAN DE ORGANIZACIÓN...........................................................................................................43
7.PLAN COMERCIAL, MARKETING Y COMUNICACIÓN...................................................................45
7.1 Plan de marketing y comercial........................................................................................45
7.2 PLAN DE COMUNICACIÓN...............................................................................................48
8. FINANZAS...................................................................................................................................49
9. ACUERDOS ESTRATÉGICOS........................................................................................................54
10. GESTIÓN DEL TALENTO............................................................................................................56
11. EVOLUCIÓN Y DESARROLLOS FUTUROS..................................................................................57
11.1 RETOS.............................................................................................................................59
12. CONCLUSIONES........................................................................................................................60
13.ANEXOS.....................................................................................................................................60
1. HISTORIA DE LA CIBERSEGURIDAD.....................................................................................61
2. NORMATIVA DE LA CIBERSEGURIDAD Y LOS ESTÁNDARES................................................63
14. ÍNDICE DE FIGURAS..................................................................................................................70
15 ÍNDICE DE TABLAS.....................................................................................................................71
16 ÍNDICE DE GRÁFICOS................................................................................................................72
17 ÍNDICE DE ESQUEMAS..............................................................................................................73
18.BIBLIOGRAFÍA...........................................................................................................................74
Agradecimientos
Debo agradecer la realización de este trabajo a todas aquellas personas

que han estado en los momentos buenos y en los malos, en especial a mi
pareja; tengo que hacer mención especial a mis padres por enseñarme la
perseverancia y el trabajo duro. También debo de agradecer a mis amigos
por estar apoyándome en todo momento en la realización de este trabajo;
dado que son muchos no pondré sus nombres, pero parte de este trabajo
es también de ellos. Quiero reconocer aquí la labor de D. Juan Miguel
Poyatos, un profesor que me ha enseñado cómo las grandes empresas
cambian y como la tecnología es capaz de marcar la diferencia en el mundo
laboral, también por su gran apoyo, su ayuda y sus clases, las cuales me han
servido de referencia para hacer este trabajo. También agradecer que me
presentará a D. Germán Martín, con quien he podido profundizar y aprender
mucho más sobre la ciberseguridad.
Abstract
This work consists of demonstrating the profitability of a cybersecurity

consultancy specialized in small and medium-sized companies with a business
plan that, through a series of diagnostic tools, demonstrates the profitability of
a consultancy with newly qualified people and focusing on the adoption of the
new technologies.
Resumen.
Este trabajo consiste en demostrar la rentabilidad de una consultora de

ciberseguridad especializada en pequeñas y medianas empresas con un plan
de negocio que mediante una serie de herramientas de diagnóstico es se
demuestra la rentabilidad de una consultora con gente recién titulada y
enfocándose a la adopción de las nuevas tecnologías.
TRABAJO FIN DE MÁSTER.
1. OBJETIVOS.
El objetivo de este plan de negocio consiste en demostrar la

rentabilidad y los diferentes servicios que una consultoría de ciberseguridad
puede ofrecer. Para ello se realizará varios análisis con diferentes métodos
que permiten demostrar si un negocio de seguridad informática puede tener
rentabilidad a medio largo plazo, todo ellos mediante una serie de
herramientas que se irán explicando a lo largo de este plan de negocio.
Dichas herramientas demostrarán si una empresa de consultoría de

seguridad informática permite ser rentable y si puede llegar a tener otras
líneas de investigación que no sean solamente el servicio de asesoramiento.
2. ESTADO DEL ARTE.

2.1 ANTECENDENTES E INTRODUCCION.
En este punto se hace una descripción de los diferentes servicios y
empresas que hay en el mercado actual de la ciberseguridad en el área industrial,
donde se reflejará qué servicios son los más usados y cómo realizan la protección
de las redes industriales y empresariales.
Desde principios del siglo XXI se observa una evolución en la manera de

entender la tecnología y cómo la red va a adentrarse en elementos de nuestra vida
cotidiana. Surgiendo términos cómo industria 4.0 y BlockChain, dichos términos
son usados hoy en día y están relacionados con la comunicación de los servicios
que ofrece cualquier empresa
Con la aparición de la pandemia de la COVID-19 la industria ha tenido que

adaptarse de forma rápida al trabajo de forma remota, esto ha supuesto que
antiguos trabajos hayan tenido que verse modificados y la aparición de otros
nuevos. Cómo se puede apreciar en el siguiente gráfico durante el año 2020 de
Bolsamania [ CITATION Bol17 \l 3082 ]), se ha aumentado el teletrabajo de forma
exponencial.
Figura 1. Inversión (Fuente: https://www.bolsamania.com/noticias/economia/epdata--la-evolucion-del-teletrabajo-en-

espana-en-graficos--7649585.html)
Por lo tanto, actualmente el riesgo que supone la infraestructura puede

llegar a ser preocupante debido a la rapidez con la que se ha adoptado las nuevas
formas laborables.
Al tratarse de un fenómeno tan reciente y no poseer una perspectiva

histórica de los acontecimientos que se están produciendo en estos momentos de
manera global, se debe recalcar sobre la importancia que supone la seguridad
informática, ya que supone para muchas empresas no solo a nivel nacional sino
mundial el gasto que supone para las empresas salvaguardar sus activos y sus
redes empresariales.
En gráficos, como se puede observar a continuación, de países como

E.E.U.U. y Perú el gasto de ciberseguridad en las empresas está en auge, por lo
tanto, es un sector al que se debe prestar atención.
Figura 2. Inversión en EEUU (Fuente https://cincodias.elpais.com/cincodias/2017/05/19/mercados/1495203988_576129.html )
Figura 3. Inversión en Perú (Fuente https://www.karlosperu.com/fortinet-presenta-estudio-sobre-inversiones-en-

ciberseguridad-en-peru/)
2.2 EMPRESAS EN ESPAÑA DE CIBERSEGURIDAD.
En España cada son más las empresas que están ofreciendo diversos
servicios de ciberseguridad, muchas de ellas especializadas en diferentes ámbitos,
otras especializadas en la monitorización, servicio a los clientes e incluso la
realización de auditorías.
Según indica en el siguiente gráfico del portal de información COMPUTING,

solamente hay un porcentaje de menos del 20% que realiza inversiones y gasto en
ciberseguridad, en este plan de negocio se quiere centrar en la PYMES las cuales
como se ha mencionado anteriormente solo se invierte un pequeño porcentaje.
Asimismo, en este gráfico se puede observar cómo ha evolucionado el gasto

de este tipo de servicio, este hecho viene condicionado por la pandemia del
COVID-19, ya que se permitió el servicio del teletrabajo.
Figura 4 Inversión en España(Fuente https://www.computing.es/seguridad/informes/1120356002501/empresas-espanolas-

dedican-casi-15-de-presupuesto-de-ciberseguridad.1.html )
En España, gracias a la organización estatal INCIBE, se puede encontrar un
gran catálogo de empresas gracias a su buscador, disponible en su página web
[ CITATION Incibe17 \l 3082 ]. Según el buscador anteriormente mencionado, hay
alrededor de 74 empresas que realizan servicios de ciberseguridad, muchas de
ellas Acenture[ CITATION Acc21 \l 3082 ], Minsait [ CITATION Min22 \l 3082 ],
MTP [CITATION MTP22 \l 3082 ], etc…. Sin embargo, muchas de ellas aunque
tengan departamentos especializados en ciberseguridad no pueden abarcar la
gran oferta que hay actualmente, es por ello que en este plan de negocio se quiere
demostrar que se puede aprovechar dicha oportunidad.
Según un artículo del diario Finanzas [CITATION htt \l 3082 ] “El mercado
de la ciberseguridad en España genera actualmente una facturación de 1.200
millones de euros anuales y crecerá a un ritmo de entre el 11 y el 13 por ciento en
los próximos cuatro años, según las previsiones de la Unión Europea.”
En el siguiente gráfico del año 2015, Como se puede observar, según el

diario expansión, que las grandes consultoras facturan un gran porcentaje en
servicios de consultoría y en auditorías, dichos servicios son los más demandados.
Figura 5 (fuente: www.finanzas.com/empresas/el-mercado-de-la-ciberseguridad-genera-en-espana-1-200-millones-al-

ano_13705878_102.html)
Por esa razón, en este plan de negocio se quiere manifestar que los
servicios de auditorías y consultoría son los más demandados. Por ello este plan
de negocio se basa en los datos mencionados anteriormente.
Dentro de este grupo de empresas, se pueden observar que son empresas

conocidas por sus servicios de consultoría y se puede ver que no solo están en
campos de seguridad sino también en asesoría fiscal y en asesoría jurídica, este
plan de negocio solo se centrará en los planes de seguridad.
En el siguiente gráfico podemos ver como las distintas empresas invierten

en seguridad informática, existiendo una gran inversión por parte de sector
financiero.
Figura 6 Inversión por industrias (Fuente: https://www.itdigitalsecurity.es/actualidad/2019/06/los-servicios-gestionados-

supondran-el-50-de-la-inversion-en-seguridad-ti-en-2019
2.3 VENTAJAS
A la hora de contratar una serie de servicios de seguridad informática, una
empresa tiene una serie de ventajas, las cuales son las redactadas e informadas
por el artículo de Master Industria 4.0 de la universidad de Alcalá de Henares
[ CITATION Alc21 \l 3082 ].
 “Se obtienen procesos más depurados, repetitivos y sin errores ni

alteraciones. Logrando una producción ininterrumpida y disponible las 24
horas del día.
 Se optimizan los niveles de calidad. La automatización de procesos permite
mayor precisión en pesos, medidas y mezclas. Evitando los tiempos
muertos e interrupciones.
 Mayores costes porque los procesos automatizados exigen menor personal,
menos errores y mayor eficacia energética, de materias primas, etc.
 Los tiempos de producción se reducen en gran medida.
 Los procesos industriales son más seguros debido al control óptimo de los
diferentes procesos de fabricación. Este punto es especialmente importante
para trabajos a temperaturas elevadas, con grandes pesos o en entornos
peligrosos.
 La producción se vuelve mucho más flexible, permitiendo un gran ritmo de
adaptación en la cadena de producción.
 La competitividad es mucho mayor que anteriormente ya que cada industria
o empresa puede dar mejor respuesta a las necesidades de los mercados,
ofreciendo productos de alta calidad y reaccionar de forma más veloz y
flexible a los cambios.
 La gestión de los activos es más sostenible, pudiendo incluso regenerar el
medio natural y ser más respetuoso con el medio ambiente.
 La eficiencia en la organización mejora los tiempos de fabricación y la
distribución de las diferentes actividades que comprenden los diferentes
estamentos en cualquier industria.”
2.4. INTRODUCCIÓN A LA CIBERSEGURIDAD.
Pero se debe hacer referencia a qué es la ciberseguridad, es decir, el

conjunto de costumbres para defender y proteger los sistemas informáticos,
dispositivos móviles, redes, instalaciones industriales y bases de datos frente a
amenazas externas. Un concepto poco corriente y que actualmente abarca
muchos campos tecnológicos. Para poder ver la historia de la ciberseguridad en
detalle y su evaluación se puede ver en el Anexo 1.
Figura 7 Definición de ciberseguridad(Fuente :http://www.sdec.es/ciber.html)
Desde hace unos años, la palabra ciberseguridad se ha vuelto un estándar

entre las empresas, puesto que la informática es ya una herramienta habitual
en los negocios y, para mantener los sistemas a salvo, hacen falta medidas de
seguridad que ayuden a evitar estar expuestos a grandes riesgos. Cuando nos
planteamos qué es ciberseguridad, hay que decir que se conoce como la
seguridad de la tecnología de la información, puesto que engloba un gran
número de técnicas y métodos para proteger los sistemas de
telecomunicaciones e información, así como los dispositivos tecnológicos.
Gracias a las herramientas disponibles actualmente y en materia de

ciberseguridad, nuestros activos estarán mejor protegidos de los ataques
informáticos, hackeos o cualquier robo de datos o identidad. Por todo ello, es
importante dotar a los sistemas con las mejores medidas, pero hay que tener
en cuenta cómo va evolucionando este concepto y siempre actualizar las
herramientas que se disponen para evitar nuevas amenazas y saber qué.
No obstante, en España y el resto del mundo desde 2012, las empresas e

industrias hacen una inversión cada vez mayor en materia de ciberseguridad,
como se puede ver en la imagen siguiente.
Figura 8. Inversión desde 2015 (https://www.expansion.com/economia-

digital/innovacion/2016/11/24/5835d07be5fdeab35a8b45c9.html
Hay que tener en cuenta y no olvidar que el principal objetivo es garantizar

una adaptación de las industrias a las nuevas tendencias tecnológicas, de
forma que sean lo menos inseguras posibles. A continuación, se muestra la
metodología que se debe seguir para asegurar una seguridad informática
eficaz.
Figura 4 Metodología (Fuente:

https://www.incibe.es/sites/default/files/estudios/tendencias_en_el_mercado_de_la_ciberseguridad.pdf)
3. MERCADO OBJETIVO
3.1 SEGMEBTACIÓN DEL MERCADO.

Actualmente las grandes empresas hacen grandes desembolsos de dinero
en vigilar sus redes y en hacer grandes trabajos esfuerzos por no quedarse
atrás en materia de seguridad informática. Por ellos, con este modelo de
negocio se quiere realizar una consultoría pensado para aquellas PYMES que
quieren innovar y adentrarse en la industria 4.0, adaptándose a los tiempos
actuales y modernos.
Dicha actualización debe llevar consigo un servicio de seguridad donde se

pueda controlar su flujo de datos, sus activos y todos los servicios que una
pequeña y mediana empresa pueda ofrecer. Asimismo, según un estudio
realizado por la multinacional Google: [ CITATION Goo17 \l 3082 ]
“Las Pymes: que representan el 99,8% del tejido empresarial español no se considera un objetivo
atractivo para un ciberataque. Esto se traduce en que casi 3 millones de empresas en España están
poco o nada protegidas contra hackers. La cultura de la ciberseguridad en las pymes españolas es
todavía reactiva. Tan solo un 36 % de las pymes encuestadas tienen establecidos protocolos básicos de
seguridad, como la verificación de dos pasos para el correo de empresa, y el 30 % de las webs no
disponen del protocolo https. La pyme es el eslabón más vulnerable de esta cadena, por falta de
medios, tiempo, e incluso concienciación”
Como se ha dicho en el anterior párrafo, las PYMES es el mercado objetivo

ya que solamente un 36% tienen en sus planes realizar una inversión en
materia de ciberseguridad, por lo tanto, la consultoría o la idea de este plan de
negocio consiste en realizar una inversión para monitorizar los pequeños
activos que están empresas tienen en su poder, ofreciendo protección y
asesoramiento a todas aquellas empresas que quieran embarcarse en la
seguridad informática.
3.2 ANÁLISIS DAFO

Un análisis DAFO consiste en una herramienta que demuestra la situación
de una empresa que se vaya a crear o que simplemente quiere analizar como
esta su situación en ese momento. A continuación, se muestra los puntos por lo
que está formado el plan de negocio.
DEBILIDADES.
Dado que es una empresa dedicada a las pequeñas y medianas empresas
hay ciertas debilidades que se deben tener en cuenta, las cuales son las
siguientes:
 La captación de gente especializada en la materia con la que se

quiere monitorizar, controlar redes y el tráfico de datos.
 La infraestructura de cada empresa es diferente, por lo tanto, puede

conllevar bastante tiempo controlar y saber de que está compuesto
una infraestructura de red.
 Al realizar trabajos de monitorización y auditorias, los beneficios son

a medio largo plazo, por lo tanto, los beneficios no son inmediatos,
pero se podrán visualizar a lo largo de los años.
 Al comenzar en un sector o mercado que aún no ha invertido en la
seguridad informática es difícil y complicado convencer la
readaptación de sus activos.
 Al ser una empresa con poco tiempo es necesario realizar un trabajo

extra en captación de clientes y en ganar confianza.
 Al comenzar una de las posibles debilidades es la poca efectividad o

el poco impacto de las campañas de marketing que puede producir
en los clientes potenciales debido a la desconfianza y al poco
conocimiento de este campo.
AMENAZAS.
Las amenazas que puede tener una empresa de esta naturaleza son
diversas y se enumeran a continuación:
 La era tecnológica siempre está en constante cambio y puede

cambiar la visión de monitorización.
 AL ser un servicio en auge, distintas empresas con mayor poder

económico pueden realizar inversiones que hagan que sus servicios
puedan ofrecerse a las pequeñas empresas.
 Los competidores son pocos, pero con gran peso a nivel profesional y
son conocidos por su eficiencia en el mundo de las
telecomunicaciones.
FORTALEZAS.
Dado que el mercado al que está orientado es amplio y diverso las fortalezas
que tiene este plan de negocio son las siguientes:
 Una consultora de nueva creación, es decir con gente especializada
en la materia de seguridad informática con gran capacidad de
evolución.
 Una capacidad de progreso tecnológico que permite adoptar nuevas

tendencias y adaptar cada servicio al cliente.
 Nuevo material de última generación, demostrando que con equipos

mucho menos potentes que la competencia se puede ofrecer grandes
servicios.
 Como se ha mencionado anteriormente, formado por gente con

ganas de evolucionar y aprender, por lo tanto, se cuenta con gran
capacidad para la adaptación a los problemas y con gran capacidad
de evolución en un corto periodo de tiempo.
OPORTUNIDADES.
Debido a la situación actual en la que se encuentra el avance tecnológico,

es una gran oportunidad para poder entrar en un mercado que tuvo su
momento de bonanza con la entrada del teletrabajo y ahora está
decreciendo, las oportunidades que supone para una empresa de estas
características son las siguientes:
 La creación en España de trabajo que requiere estudios superiores

en este campo cada vez es más complicada, pero al aprovechar esta
oportunidad se crea gran valor para poder desarrollarse en varios
campos de seguridad.
 Las empresas se hacen cada vez más digitales, pero no saben cómo
aprovechar sus datos o simplemente desconocen este campo, según
declara un artículo de Avansis (fuente:
https://www.avansis.es/ciberseguridad/ciberseguridad-pymes-como-
aplicarla/) “Muchas pequeñas y medianas empresas, sobre todo las
más nuevas, ya realizan evaluaciones de riesgos digitales periódicas
para ver dónde son vulnerables y para poner medidas para no sufrir
pérdida de datos, pero muchas tienen que ponerse al día aún”, por lo
tanto, es aprovechar la oportunidad en la que se está actualmente.
 Al ser una empresa nueva, se recoge gente recién formada en la

materia, intercambiando conocimientos y nuevas formas de afrontar
nuevos retos en la seguridad informática, aprovechando los pocos
recursos al principio y generando valor con muy pocos activos.
 Dado que hay posibilidad de teletrabajo, aunque se está reduciendo

esta posibilidad, debido al encarecimiento de la luz y según declaran
los directivos de las empresas en el artículo (fuente:
https://www.muycomputerpro.com/2021/03/26/futuro-teletrabajo-
empleados-directivos) “Solo un 5% de quienes toman las
decisiones en las empresas creen que sus teletrabajadores son
más productivos, mientras que la gran mayoría, un 70%, cree que
los empleados que trabajan en la oficina son más fiables”, por lo
tanto, para ganar la confianza de los directivos, es una buena
oportunidad hacer que los empleados sean monitorizados, de esa
manera, el plan de negocio presentado visualizaría el tráfico y las
acciones relacionadas con la red permitiendo ganar la confianza
para teletrabajar y hacer posible el crecimiento de los clientes.
 Reducción de coste: Las grandes tecnologías de datos y el análisis

basado en la nube, aportan importantes ventajas en términos de
costes cuando se trata de almacenar grandes cantidades de datos,
además de identificar maneras más eficientes de hacer negocios.
 Rapidez y mejores tomas de decisiones: la analítica en memoria,

combinada con la capacidad de analizar nuevas fuentes de datos, se
pueden analizar la información inmediatamente y tomar decisiones
basadas en lo que han aprendido.
 Nuevos productos y servicios más competitivos. Con la capacidad de
medir las necesidades de los clientes y la satisfacción a través de
análisis viene el poder de dar a los clientes lo que quieren. Con la
analítica de Big Data, más empresas están creando nuevos
productos para satisfacer las necesidades de los clientes.
ESQUEMA DAFO.
análisis DAFO
Debilidades Fortalezas
Captación de clientes. Nueva empresa
Infraestructura nueva Talento
Beneficios a medio plazo Material de última generación
Mercado en auge Personal cualificado
Confianza
Marketing
Amenazas Oportunidades
Tiempo actual Desempleo en el país
Servicio en auge Digitalización
Competidores especializados Captación
Posibilidad de Teletrabajo
Tabla 1. Análisis DAFO, elaboración propia.
3.3 PROPUESTA DE VALOR.

La pregunta es que puede ofrecer una pequeña consultora de
ciberseguridad a las medianas y pequeñas empresas, hay grandes
competidores que tiene gran experiencia en este campo, pero no pueden
abarcar las pequeñas y medianas empresas. YourSecurity quiere aprovechar
el gran vacío que las grandes empresas dejan de lado, porque no solo se
ofrece un servicio y una auditoría, sino también se ofrece la formación y el
asesoramiento de sus servicios a la red de una forma segura, sin olvidar la
pérdida de valor de sus servicios.
Por ejemplo, empresas pequeñas como Viarium [ CITATION Via21 \l 3082 ]
gestionan aeropuertos por toda España desde su sede central en Las Rozas de
Madrid, teniendo documentación confidencial y coordinación diferentes
actividades a nivel nacional. Sin embargo, sus servicios de red están
centralizados en unos pequeños servidores monitorizados por una empresa
externa de mantenimiento y por dos informáticos.
Si se ofreciera a esta empresa una correcta formación y asesoría, sus
servicios ganarían valor ya que los datos que manejan y sus gestionas serían
salvaguardas por un servicio externo, que además de garantizar su privacidad
ayuda a adaptarse a los servicios red y a las nuevas tecnologías.
Como se puede leer en el siguiente artículo de Accenture [ CITATION
Acc19 \l 3082 ]), el valor generado por invertir en seguridad es grande ya que
es un sector que crece a pasos exponenciales como se ha podido ver en las
figuras anteriores.
“Nuestro estudio indica que el cibercrimen está creciendo, tarda más en resolverse y resulta cada
vez más costoso para las organizaciones. Pero también hemos descubierto que la mejora de la
ciberseguridad puede reducir los costes del cibercrimen y abrir nuevas oportunidades de
ingresos. Estos son algunos de nuestros resultados más destacados:
 La creciente variedad de las amenazas y la innovación empresarial están produciendo un

aumento en el número de ciberataques. El número medio de violaciones de seguridad
creció un 11 % el pasado año, pasando de 130 a 145.
 Las organizaciones gastan más que nunca para paliar los costes y las consecuencias de
ataques cada vez más sofisticados. El coste medio del cibercrimen para una organización
aumentó de 1,4 a 13,0 millones de dólares.
 Mejorar la ciberseguridad puede hacer que descienda el coste del cibercrimen y abrir
nuevas oportunidades de ingresos. Según nuestros cálculos, el valor total en riesgo
durante los próximos cinco años podría ascender a 5,2 billones de dólares.
 Si dan prioridad a tecnologías que mejoren la ciberseguridad, las organizaciones pueden
reducir las consecuencias del cibercrimen y generar valor económico en el futuro, ya que
un nivel alto de confianza es el mejor aliciente para los clientes.”
Asimismo, después de hablar el valor que se aporta, seguidamente se

muestra las curvas de valor y las cinco fuerzas de Porter para poder apoyar el
análisis. Como se puede apreciar dentro de la curva de valor se puede
diferentes puntos que serán explicados a continuación
Curvas de valor
70
60
50
40
30
20
10
0
Precio Seguridad Movilidad Portabilidad Accesibilidad Red Monitorizacion
Competencia YourSecurity
Gráfico 1(Fuente Elaboración propia)
Precio.
Evidente el precio es uno de los factores importantes, en este plan de
negocio se quiere demostrar que el precio puede ser menor que la
competencia, ya que el plan propuesto contempla que los activos y equipos no
es necesario que tengan grandes componentes, por lo tanto, aquí uno de los
principales factores es en la confianza de los componentes comprados y su
eficiencia.
Seguridad.
Es sabido por los expertos en este campo, que no hay una empresa 100 %
segura es por ello que es importante destacar que el nivel de seguridad ofrecida
es de las mismas características que el resto de las empresas.
Movilidad.
Un factor determinante, en el plan de negocio que se describe uno de los

servicios más importantes, es la movilidad, es decir, desde cualquier dispositivo
y lugar se puede visualizar la detección y la monitorización de la red, esto
incluye desde los dispositivos móviles y no es necesario asignar un equipo a
ningún trabajador, por lo tanto, esto supone un ahorro en los equipos.
Portabilidad.
La misma portabilidad que la competencia, el gestor puede ser adaptable

para cualquier software, haciendo que sea adaptable para cualquier industria,
dicho lo cual esto es practica por las demás empresas, de ahí que en la curva
de valor, este en igualdad de condiciones.
Accesibilidad.
Este punto viene relacionado con la movilidad, es decir desde cualquier

dispositivo electrónico se sea capaz de hacer una visualización rápida del
estado de la red de cualquier empresa e incluso se puede monitorizar que
actividades se están haciendo.
Red.
Uno de los puntos débiles de este plan de negocio, dado su gran capacidad
de accesibilidad y adaptación es posible realizar visualizar la red, pero no de
forma específica, dicho propiedad hace que el valor de la competencia sea más
alto.
Monitorización
Como se puede observar el valor de monitorización es similar pero como se

menciona se debe perder parte de esta propiedad ya que se invierte en
accesibilidad y en movilidad, por lo tanto no se puede monitorizar de forma
detallada que proceso o qué programa se está usando en todo momento.
LAS CINCO FUERZAS DE PORTER.

Las cinco fuerzas de Porter basados en un análisis que señala como hacer
una estrategia competitiva y determinar la rentabilidad de un negocio a largo
plazo, evaluando distintos puntos y evaluando una estrategia competitiva.
1. Rivalidad competitiva.
La rivalidad supone un punto negativo, ya que hay muchas empresas muy

competitivas y que tienen gran cuota de mercado, provocando que con los grandes
hay que ganarse la confianza del cliente para poder llegar a ser competitivo, es
decir los negocios dedicados, auditorias y monitorización.
2. Poder de negociación con los proveedores.
En un negocio como el que se plantea, se contempla el clásico de oferta de

un producto, ya que, con los servicios ofertados en este plan de negocio, el cliente
elige que es exactamente lo que quiere y cuando lo quiere, por lo tanto, este punto
es crítico ya se debe vender una gran imagen de cómo funcionan los servicios. Es
por ello que los precios ofertados no están del todo cerrados, aunque se ofrecen
servicios anuales, es conveniente poder realizar un acuerdo.
3. Poder de negociación con los clientes.

En este punto los clientes tienen una gran ventaja que no había
anteriormente y es toda la información en la red, este permite que tengan
conocimientos previos en el momento de la negociación, es por ello, que los
precios ofertados deben ser atractivos al cliente y sobre todo hacer cumplir sus
expectativas
4. Productos sustitutivos.
Usando como puntos fuertes la accesibilidad y la portabilidad, se marca la

diferencia ya que el portal de gestión permite visualizar desde cualquier dispositivo
como se Encuentra el estado de seguridad de una red, permitiendo actuar en caso
de que sea necesario y sabiendo cuando se debe intervenir.
Es por ello, que en esto punto hoy en día no hay ofertados productos como
el que se ofrece por lo tanto, es conveniente puntualizar que el servicio ofertado
no tiene un producto sustitutivo ya que se incluye las visualizaciones desde un
dispositivo móvil.
5. Competidores potenciales.
Uno de los puntos más importantes y además relaciona con él la rivalidad,
hay empresas en el sector que ya se dedican a gestionar y ofrecer los mismos
servicios, pero es conocido por muchos que a veces no están actualizados sus
sistemas y sus servicios, evidenciando que no están del todo preparadas,
ocurrió con el virus Ransware de mayo de 2017, aunque muchas empresas
tenían muy actualizados sus servicios de seguridad, este tipo de virus fue una
gran sorpresa.
Es por ello qué este punto se debe centrar en visualizar cuales son las
grandes cadencias de las empresas existentes, uno de ellos por ejemplo es la
cercanía, los servicios que se ofrece se hace de forma a distancia, pero hacen
visitas periódicas.
Uno de los puntos fuertes del negocio que se propone es la cercanía

ofreciendo el servicio de formación y posteriormente el servicio de
monitorización, dado que sus sistemas complejos de forma semanal, las
empresas tendrán visitas con las que poder contactar con el servicio y poder
mencionar sus dudas y tratar su inquietudes adoptando la forma de crecimiento
laboral “Being your own device”, es decir ayudar que los trabajadores con sus
propios equipos pueden probar la robustez de sus servicios o incluso la
seguridad de su red corporativa.
LIENZO CANVAS DEL PLAN DE NEGOCIO
Socios Actividades Propuesta de Relació Segmentos

clave. Clave valor n con de clientes
clientes
Aliarse con Monitorizació PYME’s
empresas n Una que quieren
Cibersegurida
establecida relación adaptar sus
Formación d al alcance de
s en el cercana, servicios a
la mano
sector para Auditorías estando la red
liberar Accesibilidad en todo
trabajo del estado de moment
la red en o
cualquier lugar
Recurso clave Canales
y con cualquier
Talento dispositivo Boca a
boca
Juventud Cercanía,
gente joven Redes
con ganas de sociales

Estructura de costes emprender y Fuentes de Ingresos
35 % al mantenimiento de equipos. usar su Ingresos por servicios

talento. prestados.
40% en campañas publicitarias
Servicios de formación.
Alquiler y suministro, alrededor de
1.600.000 € Auditorias
Tabla 2 Tabla Canvas (fuente: elaboración propia)

HOJA DE RUTA.
Labor comercial Nuevos clientes
DAFO Hoja de ruta

Comunicación Redes sociales
Estrategia Obtención de ratios
Esquemas 1(Fuente. Elaboración propia9
El Esquema anterior trata de la hoja de ruta que se debe seguir

para realizar y crear una consultoría de ciberseguridad, después de las labores
que se debe hacer con la gestión de talento y la gestión económica es necesario
plantear la hoja de ruta que se debe seguir, para ello se debe mencionar cada
uno de los recuadros y hacer una breve explicación de ellos.
DAFO.
Después de mencionar la debilidades y amenazas que una empresa de

estas características puede conllevar, es necesario recabar la información y
usarla para solucionar esos defectos, de ahí que el primer paso sea recoger los
puntos del análisis DAFO, a partir de este último punto la hoja de ruta consta de
tres partes:
1. Labores comerciales.
Dado que es una empresa de nueva creación, es necesario hacer un

análisis con datos y mediciones para saber cuales son los clientes potenciales,
en este caso sería las Pymes que quieren adaptar sus servicios a la red o lo
tienen adaptado y no tiene un servicio de seguridad. No obstante, también es
importante recalcar que gracias a la toma de datos y email que pueden ayudar a
la recogida de datos, también es un factor importante ofrecer el servicio a
empresas que tengan un servicio de seguridad informática contratado y que no
estén convencidos del servicio que tienen.
Por esa razón, el siguiente punto son los nuevos clientes, todos aquellos
negocios que no tienen este servicio y desde la consultoría del plan de negocio
que se presenta introducir el servicio de seguridad como un valor añadido a sus
negocios.
2. Comunicación
En la actualidad, la comunicación es uno de los los pilares fundamentales

para la creación de un negocio, por ello la labor de comunicación debe ser
fundamental, después de realizar con diferentes herramientas de diagnóstico de
datos, se debe evaluar el cómo debe ser esa comunicación.
Por ello el uso de redes sociales es fundamental, redes empresariales como

infojobs [ CITATION Inf21 \l 3082 ]y Linkendln[ CITATION Lin21 \l 3082 ]
pueden ayudar a ofrecer los servicios de plan de negocio expuesto. Pero esta
estrategia será adoptada durante el primer año, posteriormente se usará el
efecto “Boca a boca”, está practica es realizada por las empresas Zara y
Mercadona, es decir, la consultora se debe conocer por la calidad de su servicio,
ofreciendo con pocos recursos gran iniciativa y talento en el sector de la
seguridad.
3. Estrategia.
Otro de los pilares fundamentales de la creación de una consultora es su

estrategia, para ello se debe coordinar las actividades que se vayan a realizar y los
servicios que se deben ofrecer, por ello la estrategia a seguir recogiendo ratios,
información y estudiar mediante portales de noticias que servicios o que afecciones más
comunes son los demandados por las pequeñas y medianas empresas.
4. CATÁLOGO DE PRODUCTOS.
4.1 Descripción de los productos
Dentro de este plan de negocio, se ofrecen una serie de servicios lo más
destacable del producto ofrecido es la movilidad y la accesibilidad ya que desde
un teléfono móvil, un técnico de Your Security es capaz de visualizar el portal
de gestión y saber cómo debe actuar e incluso comunicarse con los
responsables informáticos y saber cómo se debe actuar. A continuación, dentro
del portal mencionado existen los siguientes servicios
 Servicios de detección que van actualizándose a lo largo del tiempo y

que comprenden:
o Detectar y conocer quién está conectado a la red corporativa”

en todo momento.
o Continua actualización y establecimiento de reglas de

correlación para hallar la aparición y evolución de amenazas.
o Detectar las vulnerabilidades en sus activos para impedir su

explotación.
o Detectar cuándo se producen las actividades sospechosas en

su entorno.
o Detección de comportamientos sospechosos o sistemas

potencialmente comprometidos.
o Priorizar las amenazas unificando la seguridad tecnológica con

lo último en tecnología de IA.
o Un enfoque todo en uno mediante una plataforma de gestión

unificada de seguridad, desarrollando una aplicación y un
servicio de gestión donde las amenazas y el tráfico estará
monitorizado y controlado bajo un mismo criterio a través de
un teléfono móvil.
 Correlación y análisis de los datos de los eventos de seguridad,
desde dentro y fuera de su red con:
o Una detección de las amenazas en su nube, red y host.
o Un descubrimiento y evaluación de vulnerabilidades en activos

e infraestructura.
 Monitorización de las infraestructuras virtualizadas de la nube privada

en Hyper-V y Vmware mediante:
o Monitorización de los servidores físicos y máquinas en su

centro de datos.
o Un sistema se puede instalar en un periodo breve de tiempo

(entre 1 y 2 jornadas, aproximadamente, dependiendo de la
infraestructura de la empresa).
o Además de ofrecer un Ahorro “coste total de la propiedad” de

un centro de monitoreo propio.
 Exchange donde se tendrá acceso a almacenamiento a nivel mundial
de información de amenazas, provee de una visión y vigilancia en
tiempo real de las actividades maliciosas. A continuación, se puede
observar la plataforma de gestión analítica para realizar una gestión y
detección de las vulnerabilidades.
Figura 9. Portal de Gestión (fuente: Confidencial)
4.2 MODELO DE PRECIOS.

Dentro de los servicios ofertados hay un modelo de precios según los
servicios que se desean obtener los cuales se mencionan en la siguiente tabla:
Precios Jornadas
Servicios 1 año 2 años 3 años 4 años 500 € Completa
Formación 12.000 € 22.000 € 34.000 44.000 € 100 € Formación
Servicio y
Monitorización 105.000 € 205.000 € 306.000 € 410.000 € 320 € auditoria
Auditoria 105.000 € 205.000 € 306.000 € 410.000 €
Completo 200.000 € 380.000 € 560.000 € 726 .000 €
4.3 TIPOLOGÍA DE CONTRATOS.

Dentro de los servicios ofertados hay un modelo de precios que se
mencionan en la siguiente tabla, dichos servicios son anuales, dichos servicios
pueden alterarse Tabla 3 Modelo de Precios Fuente (Elaboración propia)
dependiendo de las
necesidades del cliente:
Servicio completo.
Un servicio completo supone contratar el portal de gestión con todas las
funcionalidades que comprenden la visualización de tráfico de datos, posibles
amenazas y soluciones inmediatas con soporte técnico h24. Asimismo, se
incluyen formación de los conceptos principales y pautas que los empleados
deben seguir, todo ello además con una auditoria del sistema al finalizar el
periodo de formación.
Servicio.
El servicio solamente se incluye a la monitorización de los sistemas y el

portal de gestión mencionado anteriormente mencionando, es decir, una
monitorización que permite visualizar la intrusión y el control de las conexiones
de los activos que forman la red.
Auditoria.
La auditoría solamente se incluye la inspección de los sistemas que

conforman una empresa donde se revisará si los programas instalados cumplen
con la licencia del proveedor, si la red corporativa es robusta y una inspección
de los activos, los cuales incluyen una inspección de los ordenadores
pertenecientes a la red empresarial y sobre todo los dispositivos móviles, esta
última inspección siendo el primer negocio en contemplar dicha inspección.
Formación.
La formación incluye una serie de pautas y enseñanzas que permiten

aprender los errores más comunes que se pueden producir en las empresas a la
hora de usar sus equipos y sus dispositivos electrónicos. Dicha formación será
de un año de duración, donde los empleados serán evaluados y recibirán un
curso de 2 horas semanales donde con casos prácticos serán capaces de
visualizar la importancia de la seguridad informática.
5.HERRAMIENTAS DE DIAGNÓSTICO.
En el mundo de la ciberseguridad hay una serie de medidores que ayudan a
entender la gravedad del ataques o problemas que pueden aparecer en una red
industrial o corporativa. Es por ello que desde YourSecurity se centrará sobre
todo en portales especializados y en los estándares dictados por las normas
ISO, las cuales se pueden ver en el anexo 2 de este documento.
A continuación, se pueden mencionar algunos ataques con tecnología IOT.
Según un reciente artículo de WebSiteHostigage [ CITATION Mat21 \l

3082 ])
 “85% de las infracciones de seguridad cibernética son causadas por errores humanos.
(Verizon)
 94% de todo el malware se envía por correo electrónico
 Los ataques de ransomware ocurren cada 10 segundos.
 71% de todos los ataques cibernéticos están motivados económicamente (seguidos por
el robo de propiedad intelectual y luego el espionaje).
 Se estima que el costo global anual de la ciberdelincuencia es $ 10.5 billones para el
2025. (Empresas de ciberseguridad)”
Es por ello por lo que este gráfico de elaboración propia se puede observar
que los riesgos y ataques vienen condicionados sobre todo por factores
humanos, eso quiere decir que uno de los principales pilares de este plan de
negocio es poner de manifiesto que uno de los servicios que es necesario para
las PYMES es la formación de los empleados en una cultura de
ciberseguridad.
Riesgo Ataque
Denegación de DDos
servicio
Mala implementación
Fallos humanos.
Interceptación de
comunicaciones Man in the middle
Tabla 4 Riesgos comunes (fuente: Elaboración propia9.
Por ese motivo el mercado al que se va dirigido es a los pequeñas y

medianas empresas, ya sean pequeños negocio comerciales o medianas
empresas de distribución de material de seguridad como Visiotech [ CITATION
Vis21 \l 3082 ]) que deben recibir una cultura de seguridad informática y deben
saber que para adaptarse a las nuevas tendencias tecnológicas es necesario
saber cómo deben protegerse sus productos y/o servicios.
Portales como OWASP [ CITATION OWA21 \l 3082 ]proporcionan una

medición de los riesgos informáticos, su clasificación, cuáles son los más
comunes y cuáles son los TOP 10 como se puede mostrar las imágenes que
hay a continuación:
Figura 10. Metodología OWASP (Fuente:

Figura 11. TOP 10 OWASP (Fuente:
Sabiendo cuando son los errores más comunes la estrategia es enfocar

los servicios de seguridad informática en dicha dirección, ya que al ser las
vulnerabilidades más comunes se puede ver qué tipo de detección y
monitorización es necesario y se puede anticipar que soluciones se
pueden dar.
Asimismo, INCIBE muchas de sus estrategias se basan en lo que

establece esta organización de desarrolladores WEB, según menciona en
su página web [ CITATION Incibe17 \l 3082 ])
“El OWASP Top 10, es el estándar de facto para que los desarrolladores
de software puedan determinar y combatir las causas que hacen que el
software sea inseguro. Para la aplicación de este estándar, existen
múltiples guías y herramientas para evaluar la seguridad de las
aplicaciones web, que deben ser consideradas en todas las fases de
desarrollo de aplicaciones.”
6. PLAN DE ORGANIZACIÓN.
La gestión del talento y personal es una de las principales inquietudes de los
Gerentes, directores generales y responsables de Recursos Humanos de la
organización (en este caso, de los fundadores de la empresa, que en las fases
iniciales del proyecto ostentan dichos cargos). Esta gestión es fundamental en
un mercado competitivo y globalizado y es donde las organizaciones tienden a
diferenciarse. Además, en este tipo de negocio, el capital humano es el activo
más valioso.
La gestión del talento se desarrollará en sucesivas fases para simplificar

departamentos, ya que esta gestión es un proceso complejo. El proceso se
compone de las siguientes fases:
Figura 12. Esquema de Organización(fuente: Elaboración propia).
Del desarrollo de cada uno de los puntos mencionados anteriormente se

encargarán los fundadores de la empresa (CEOs) en las fases iniciales de la
empresa, lo que se busca es ser y rodearse de gente emprendedora y creativa,
tomar riesgos y apostar por la innovación y el cambio sin perder de vista la
misión de la empresa. Estos son los valores que inicialmente más se valorarán,
junto con el trabajo duro y el talento, que serán debidamente recompensados y
selección.
Por lo tanto, en este punto lo que se quiere enfocar que este negocio está
en constante aprendizaje y eso hace tan atractivo este plan de negocio, porque
se quiere enfatizar en la creación de talento y nuevas tecnologías haciendo
investigaciones en la red y sobre todo en saber cómo están las infraestructuras
en las medianas empresas y sobre todo ayudando a estas una adaptación a los
nuevos tiempos.
Porque uno de los puntos más importantes es la captación de talento, ya

que empresas rivales y con mayor prestigio, querrán captar el talento
anteriormente mencionado, es por ellos que se practicará la política de Bring
Your Own Developer.
Un empleado será capaz de poder realizar una serie de simulaciones, las

cuales el podrá ser un atacante y podrá simular un hackeo de una red cliente,
sabiendo cómo de robusto es su sistema y qué tipos de mejora, permitiendo así
que la empresa o negocio sepa cómo está su red.
Asimismo, para todos aquellos empleados que mantengan su fidelidad se

les recompensará con una serie de cursos que mantendrán al día sus
conocimientos en el cambiante campo de la seguridad informática.
Por esa razón es muy importante que se debe hacer un esfuerzo mayúsculo
debido a que es necesario de mantener el talento y hacer no solo al trabajador
sino también a la empresa.
Es crucial la labor de recursos humanos en este aspecto ya que se debe

observar con las ratios de redes sociales a personas interesadas en el mundo
de la seguridad informática.
7.PLAN COMERCIAL, MARKETING Y COMUNICACIÓN.
7.1 Plan de marketing y comercial.
Después de determinar y analizar los factores internos del plan de negocio las
herramientas, que captan a los clientes son las siguientes.
i. Recursos:
▪ Creación de la página web profesional.
▪ Redes Sociales:
- Facebook.
- Instagram.
- Twitter.
- YouTube.
- Blog.
▪ Rastreo y análisis de tráfico:

- Google Analytics.
- Hootsuite.
- Facebook Business Manager.
▪ Email Marketing:
Utilización de una plataforma de mailing masivo que permita la

automatización y monitoreo de las campañas, y en la cual se puedan crear
estrategias de relación con el cliente (CRM). Ejemplo inicial: ActiveCampaign
iii. Plan de acción:
Visibilidad
Para darse a conocer y ganar notoriedad se empezará por la configuración de las

herramientas básicas digitales mencionadas anteriormente. Es decir, el desarrollo
de una página web amigable, con un diseño moderno y contenido de calidad, junto
a la formación de las redes sociales que, a su vez, tengan una coherencia y
cohesión de contenido y diseño con la página web, ya que estos serán los
principales canales de información y venta para los clientes potenciales. Esta etapa
es de suma relevancia para la compañía debido a que implica el establecimiento de
un guion base, de estética e información, que será la línea argumental que
represente a YourSecurity a lo largo de sus operaciones comunicaciones.
Captación
En esta etapa se buscará la optimización del posicionamiento web (SEO y dirigir

visitas a los medios digitales de la empresa. En un principio el objetivo es dar a
conocer el gran servicio que se ofrece el cual está formado por jóvenes
emprendedores que quieren hacer llegar de que la seguridad informática es algo
prioritario que no solo podemos aplicar en la empresa sino también el día a día.
Proceso de venta
Simplemente mediante un enlace en la página web se ofrecen los servicios y el
cliente elige qué es lo que necesita, después el equipo comercial mantendrá
contacto directo y posteriormente los trabajadores de forma presencial verificarán
qué es lo que verdaderamente necesita su negocio.
Seguimiento
Si un cliente tiene contratado cualquier servicio es necesario intentar obtener un

feedback sobre su experiencia y mantener una comunicación continua. Para ello se
utilizarán diversas herramientas, por ejemplo, de email marketing, enviando
contenido personalizado según las búsquedas y reservas o brindado descuentos a
cambio de completar una encuesta. Esto permitirá saber qué están pensando los
usuarios sobre la oferta y de qué manera cumplir con sus expectativas. También se
pueden usar recursos como el test A/B y lead magnets.
Fidelización
La fidelización es un plan importante, esto hace muy importante mantener a los

clientes, por lo tanto, es necesario que después de un feedback hay que ver los
posibles defectos, no obstante, si mantienen su fidelización esto hace que sea
necesario ofrecen descuentos en los servicios contratados o incluir alguno nuevo.
jjj. Plan de ejecución:
a. Corto plazo
Los esfuerzos iniciales estarán enfocados en la creación de la página web y

la utilización de herramientas de inbound marketing para darle visibilidad a la
marca y lograr la captación de los primeros clientes. Posiblemente en un inicio
los primeros clientes de la marca serán personas cercanas a las socias y con
ello se intentará impulsar el boca a boca.
b.Mediano plazo
Se fomentarán alianzas con distribuidores de equipo electrónico que para

poder adquirir equipo recomendado no solo por su seguridad sino también por
su rendimiento, con el objetivo de llegar a las pequeñas empresas para poder
ayudarlas a su introducción a las tendencias tecnológicas.
c.Largo plazo
La intención será crear una sede física mayor donde poder gestionar todos
los servicios establecidos, realizar conferencias que permitan hacer formaciones
a empresas e incluso una escuela privada con algún partner para poder generar
y adquirir talento.
7.2 PLAN DE COMUNICACIÓN.
Al ser una empresa de nueva creación es necesario tener en cuenta que es muy difícil
darse a conocer, es por la necesidad de que primero se haga una gran inversión en
publicidad, la cual se hará durante los primeros años, haciendo conocer el servicio a los
pequeños y medianos empresarios, posteriormente se aplicará la filosofía que emplearon las
empresas ZARA y MERCADONA, dichas empresas esa sabido por la gran mayoría que no
tiene publicidad propia.
Por ello los primeros años se hará una recopilación de ratios, campañas de email que
permitan hacer conocer los servicios que se ofrece para darse a conocer entre las pequeñas
y medianas empresas.
En este plan de negocio lo que se quiere conseguir es que la empresa sea conocido por
sus servicios eficaces y por su buena resolución de problemas. Asimismo, es necesario
mencionar que, si los clientes ayudan a conseguir más clientes, recibirán ventajas y
privilegios, como por ejemplo una formación adicional, un servicio de auditoria propio,
novedades en la implantación de nuevo software.
Para ello según la imagen que va a continuación de este párrafo debemos centrarnos en
las dos estrategias mencionadas y responder las preguntas que se hacen.
La primera de ellas refiriéndose a la estrategia PUSH, el negocio va enfocado a todas la

PYMEs que quieren adaptar sus servicios y productos a la red, por ello como hemos
mencionado en anteriores apartados empresas como Viarium[ CITATION Via21 \l 3082 ] o
Visiotech [ CITATION Vis21 \l 3082 ]tienen sus servicios en la red y no están sacando el
máximo partido.
La segunda pregunta quién debe conocer nuestro negocio, sería una pregunta a medio
largo plazo, ya que una vez establecidos las campañas de captación de clientes y tener
clientes fieles, deberían ser los propios clientes los que aparten sus opiniones y experiencia
del servicio del negocio que se expone en estas líneas.
Ya que cómo se ha mencionado en el primer párrafo, el objetivo final de comunicación y a

la vez de marketing es que el servicio ofrecido de monitorización y detección debe ser las
características que el negocio descrito sean lo verdaderos interlocutores y las propias
campañas de marketing.
Figura 13. Plan de comunicación. (Fuente: https://www.appvizer.es/revista/comunicacion/comunicacion-interna/plan-de-comunicacion)
8. FINANZAS.
Todo plan de negocio debe estar acompañados de datos económicos que demuestren la
viabilidad del negocio planteado, en este apartado se describirán una serie de tablas, las
cuales mostrarán la rentabilidad del proyecto y la financiación.
Se debe hablar de la inversión inicial, dado que es una inversión elevada es necesario
detallar como se realizará la financiación.
 Recursos propios: la financiación a través del capital social proviene de individuos o
empresas o partners cuyo fin es participar directamente en la creación de un
negocio de estas características. Por ello un grupo de accionistas desembolsarán un
porcentaje de dinero, el cual irán recibiendo los beneficios a medida que se vaya
obteniendo el cobro por los servicios prestados.
 Recursos ajenos: esta financiación viene por parte de un grupo de personas ajenos
a la compañía, pero sin participación directa lo más común de obtener dichos
recursos es a través de deuda. En general, la deuda conlleva menor nivel de riesgo
para el proveedor de la financiación, puesto que es el accionista el que absorberá
las pérdidas totales en caso de quiebra mientras que el prestamista podrá recuperar
total o parcialmente su inversión siempre con preferencia frente al tenedor de capital
social.
A continuación, se muestran una tabla con los datos económicos de los dos primeros años.
MES AÑO INGRESOS COSTES BALANCE DEUDA SUMA AÑO

MENSUAL TOTAL
ENERO 2021 -64.577,90 € 64.577,90 €
- € 64.577,90 €
FEBRERO 2021 64.550,21 € 129.128,10 €
- € 64.550,21 €
MARZO 2021 64.520,24 € 193.648,35 €
- € 64.520,24 €
ABRIL 2021 64.489,65 € 258.137,99 €
- € 64.489,65 €
MAYO 2021 64.459,07 € 322.597,07 €
- € 64.459,07 €
JUNIO 2021 64.427,53 € 387.024,60 €
- € 64.427,53 €
JULIO 2021 64.395,68 € 451.420,28 €
- € 64.395,68 €
AGOSTO 2021 64.363,52 € 515.783,80 €
- € 64.363,52 €
SEPTIEMBR 2021 64.332,68 € 580.116,48 €
E - € 64.332,68 €
OCTUBRE 2021 64.300,21 € 644.416,69 €
- € 64.300,21 €
NOVIEMBRE 2021 64.267,74 € 708.684,44 €
- € 64.267,74 €
DICIEMBRE 2021 935.765,71 € 227.081,28 €
1.000.000,00 € 64.234,29 € 227.081,28 €
ENERO 2022 64.196,94 € 162.884,34 €
- € 64.196,94 €
FEBRERO 2022 64.163,14 € 98.721,20 €
- € 64.163,14 €
MARZO 2022 64.129,01 € 34.592,20 €
- € 64.129,01 €
ABRIL 2022 64.094,21 € 29.502,02 €
- € 64.094,21 €
MAYO 2022 10.435.940,44 € 10.406.438,43 €
10.500.000,00 64.059,56 €
€
JUNIO 2022 64.024,23 € 10.342.414,20 €
- € 64.024,23 €
JULIO 2022 41.011,44 € 10.383.425,64 €
105.000,00 € 63.988,56 €
AGOSTO 2022 63.952,69 € 10.319.472,94 €
- € 63.952,69 €
SEPTIEMBR 2022 63.916,47 € 10.255.556,48 €
E - € 63.916,47 €
OCTUBRE 2022 63.879,73 € 10.191.676,75 €
- € 63.879,73 €
NOVIEMBRE 2022 63.842,62 €
- € 63.842,62 € 10.127.834,13 €
DICIEMBRE 2022 41.194,70 €
105.000,00 € 63.805,30 € 10.169.028,83 € 9.941.947,55
€
ENERO 2023 63.767,46 € 63.767,46 €
- € 10.105.261,37 €
FEBRERO 2023 63.729,39 € 63.729,39 €
- € 10.041.531,98 €
MARZO 2023 63.690,95 € 63.690,95 €
- € 9.977.841,03 €
ABRIL 2023 63.651,97 € 63.651,97 €
- € 9.914.189,05 €
MAYO 2023 63.612,76 € 63.612,76 €
- € 9.850.576,29 €
JUNIO 2023 63.573,16 € 63.573,16 €
- € 9.787.003,13 €
JULIO 2023 63.533,17 € 63.533,17 €
- € 9.723.469,95 €
AGOSTO 2023 63.492,62 € 63.492,62 €
- € 9.659.977,33 €
SEPTIEMBR 2023 63.451,83 € 251.548,17 €
E 315.000,00 € 9.911.525,50 €
OCTUBRE 2023 63.410,63 € 63.410,63 €
- € 9.848.114,86 €
NOVIEMBRE 2023 63.369,03 € 63.369,03 €
- € 9.784.745,84 €
DICIEMBRE 2023 63.327,01 2.136.672,99 €
2.200.000,00 € € 11.921.418,83 € 1.752.390,00
€
Tabla 5 Evolución de finanzas (fuente: Elaboración propia)
All-time pending capital, amortization and interest evolution

€300,000.00 €6,000.00
€250,000.00 €5,000.00
€200,000.00 €4,000.00
€150,000.00 €3,000.00
€100,000.00 €2,000.00
€50,000.00 €1,000.00
Quota Pending Capital Interest Amortization

€0.00 €-
1
3
5
7
9
11
13
15
17
19
21
23
25
27
29
31
33
35
37
39
41
43
45
47
49
51
53
55
57
59
Gráfico 2 Evolución económica (Fuente: elaboración propia).
PyG t0 2021 2022 2023 2024
Prestación de 5.678,86 2.515.000,00

servicios 0 1000000 2.515.000,00 € € €
Coste 10.136,80 10.182,40
operaciones 10052,8 10.093,76 € € €
Sueldos y 347.367,00 347.367,00

salarios 347367 347367 347.367,00 € € €
Servicios 210.000,00 210.000,00
exteriores 210000 210000 210.000,00 € € €
Gastos 179.980,00 179.980,00
generales 179980 179980 179.980,00 € € €
Resultado de - - 741.804,94 1.767.470,60

explotación 737347 252600,2 1.767.559,24 € € €
Gastos 27521,9247 11.008,09 4.073,43

financieros 0 5 17.172,24 € € €
-
Resultado 27521,9247 - 11.008,09 - 4.073,43
financiero 0 5 - 17.172,24 € € €
Depreciación 8000 8.000,00 € 8.000,00 8.000,00

€ €
Resultado
antes de - - 760.813,04 1.755.397,17
impuestos 737347 217.078,28 € 1.742.387,00 € € €
Impuesto
sobre - 438.849,29
beneficios - € 54.269,57 € 435.596,75 € € €
Resultado - - 760.813,04 2.194.246,47

neto 737347 271.347,84 € 2.177.983,75 € € €
0 1 3 4 5
utilidad operativa despues de - 733.804,94 1.331.602,95
impuestos (ebit * (1- T)) 195.450,15 € 1.331.669,43 € € €
Tabla 6. Flujos monetarios (fuente Elaboración propia).
Como se puede apreciar durante el desembolso inicial es elevado, dado que se requiere
muchísimos materiales con lo que poder crear la consultora, es cierto, que seguidamente no
será necesario hacer un desembolso tan grande, debido a que, al establecer los equipos y
una red corporativa propia, los ingresos no serán beneficios los primeros años, debido al
personal contratado y el material realizado.
No obstante, el gasto que se hace en publicidad al principio del inicio debe ser elevado,
debido a que al ser un servicio en auge debe ser necesario darse a conocer.
Pero como se puede apreciar en los gráficos y en las tablas expuestos un negocio de estas
características es rentable y muy beneficioso.
Es evidente que la obtención de beneficio será a largo plazo, porque dado el capital
invertido por parte de los inversores, es necesario que el negocio devuelva parte del capital
confiado más interés supliendo que para ello, se empezará a reportar beneficios en un largo
periodo de tiempo.
9. ACUERDOS ESTRATÉGICOS.
Actualmente universidades, empresas y gobiernos ofrecen colaboraciones con empresas

de nueva creación, como se puede ver en el siguiente portal de la universidad politécnica.
[ CITATION Uni21 \l 3082 ]
“Con el objetivo de ayudar a que las investigaciones y conocimientos se materialicen en

proyectos empresariales viables, la Universidad Politécnica de Madrid (UPM) organiza la
Competición de Creación de Empresas actúa upm. En 2015 se abre la decimosegunda
edición, que incluye nuevas actividades y servicios de interés para todos aquellos que
quieran aceptar el desafío que plantea cualquier idea de negocio.Junto a los premios
económicos (un total de 43.000 euros), la competición, abierta a toda la comunidad
universitaria, brinda una oportunidad única para desarrollar una idea innovadora dentro de la
UPM, ofreciendo para ello:
 Formación especializada y continuada a través de conferencias y seminarios con

expertos en el ámbito de la comercialización y la creación de empresas en entornos
universitarios.
 Red de contactos con otros emprendedores con experiencia, inversores, grandes
corporaciones y empresas innovadoras.
 Feed-back continuado y asesoramiento en todas las fases de desarrollo de la idea.
 Asistencia a foros de inversión, mesas redondas, ferias tecnológicas y talleres para
aprender a vender el proyecto a posibles clientes, socios o incluso inversores.
 Contactos con otros participantes con los que establecer posibles colaboraciones de
interés.
 Exposición del proyecto a empresas y potenciales inversores con intereses en
proyectos innovadores.
 Difusión del proyecto a través de los canales propios de la UPM y los medios de
comunicación.
Asimismo, otro tipo de empresas fuente[ CITATION Cre21 \l 3082 ] ofrecen ya servicios
predeterminados los cuales, pueden adaptarse a planes de negocio que sean rentables como
se pueden en la siguiente imagen, empresas ofrecen ayudar a crear otras nuevas con un tipo
de empresa predefinido, no obstante también escucha negocios emprendedores:
Figura 14. Empresa colaboradores. (fuente: https://www.creaciondempresas.es/colaboraciones-y-acuerdos/.)
Gobiernos autonómicos ofrecen también asesoramiento y creación de nuevas empresas,

es por ello por lo que según se pude ver en la siguiente imagen, se puede apreciar que hay
intención por parte de los gobiernos estatales de crear nuevas empresas emprendedoras.
Figura 15. Portal de la Comunidad de Madrid (Fuente: https://www.comunidad.madrid/servicios/empleo/quiero-montar-empresa.
Por lo tanto, se debe aprovechar la oportunidad que se ofrece actualmente y dado que es
un sector que está en auge constante y que además es capaz de tener una larga trayectoria,
porque la seguridad informática cada ve está más presente en las empresas y en un
momento u otro será necesario hacer un desembolso en un negocio de estas características.
10. GESTIÓN DEL TALENTO.
Como se ha mencionado anteriormente el talento del personal debe ser gestionado de

una manera que el empleado se haga sentir parte de un gran engranaje llamado
YourSecurity.
Según un artículo de MadridNYC[ CITATION Mad21 \l 3082 ]) menciona que hay tres
puntos principales en la gestión del talento, como se puede ver en este fragmento del
siguiente artículo:
“Las técnicas empresariales que se proponen gestionar el talento que integra a la
organización, deben tener en cuenta los diversos factores influyentes en el grado de
satisfacción del empleado con su puesto de trabajo.
Abarca desde los gustos e intereses del individuo, hasta sus necesidades de esparcimiento,
descanso, inventiva, reconocimiento, autorrealización, socialización y remuneración.
Para conseguir un buen ambiente laboral en el que los empleados puedan desarrollar su
trabajo y mejorar y crecer, tanto en lo personal como en lo laboral, te proponemos tres
consejos:
 Crear y sostener un clima organizacional armónico.
 Nutrir la motivación del personal con propuestas atractivas.
 Establecer procesos de evaluación y retroalimentación.”
Por ello, es necesario que una vez obtenido personas con gran talento y sobre todo con
ganas de emprender deben crecer con la empresa, esto se pude hacer mediante creación de
competiciones de softwares propios capaces de resolver incidencias difíciles.
También ofrecer a los empleados pagas extra si fuera necesario por traer nuevos
clientes o incluso reglarse visitas y/o cursos de ciberseguridad donde pueden inspirarse para
seguir desarrollando los servicios que YourSecurity ofrece.
11. EVOLUCIÓN Y DESARROLLOS FUTUROS.
Evidentemente cuando se crea una empresa y se mantiene estable para poder crecer y
no quedarse estancando es necesario mirar hacia nuevos horizontes, es por eso que es
imperativo que en el momento en el que se llegue a una estabilidad se debe hacer
desarrollos futuros. Uno de los mas importantes es el uso de IA. Pero debe dar una
explicación de que es una IA y que riesgos puede conllevar.
En su forma más simple, la IA es el intento de imitar la inteligencia humana usando un

robot, o un software, en el anexo 3 se puede apreciar la historia del nacimiento de a
inteligencia artificial. Pero es un concepto muy vago, porque existen muchas ramificaciones.
Stuart Russell y Peter Norvig[ CITATION Nor94 \l 3082 ] diferenciaron cuatro tipos:
 “Sistemas que piensan como humanos, como por ejemplo las redes neuronales
artificiales.
 Sistemas que actúan como humanos, como los robots.
 Sistemas que usan la lógica racional, como los sistemas expertos
 Sistemas que actúan racionalmente, como los agentes inteligentes.”
La IA como toda máquina puede ser usadas con distintos fines tanto buenos como
malos, en este caso, la IA puede producir una serie de ataques en los sistemas, ya que en
malas manos puede producir una serie de ataques. Los cuales se enuncian a continuación:
Inteligencia artificial.
1. Los ciberdelincuentes utilizan herramientas y técnicas que van perfeccionando a lo

largo del tiempo para lograr sus objetivos, entre ellos la inteligencia artificial está
siendo un recurso que cada vez utilizan más para infectar equipos, robar información
y comprometer en definitiva la seguridad.
2. Se ha demostrado que la inteligencia artificial y el aprendizaje automático se pueden
utilizar para llevar a cabo ataques informáticos. Pueden evadir las defensas de
seguridad y hacer que puedan atacar posibles vulnerabilidades existentes.
3. Una de las técnicas en las que entra en juego la inteligencia artificial y el aprendizaje
automático es para el envenenamiento de datos. Esto está diseñado para manipular
un conjunto de datos de entrenamiento para controlar el comportamiento de
predicción de un modelo entrenado para engañar y que funcione incorrectamente,
como etiquetar los correos electrónicos no deseados como contenido seguro.
Además, hay que añadir que existen dos tipos de envenenamiento de datos: ataques
que tienen como objetivo la disponibilidad de un algoritmo de aprendizaje automático y
ataques que tienen como objetivo su integridad.
4. Otro aspecto para tener en cuenta son las redes generativas de confrontación que
son básicamente dos sistemas de inteligencia artificial enfrentados entre sí: uno que
simula el contenido original y otro que detecta sus errores. Al competir entre sí,
crean conjuntamente contenido lo suficientemente convincente como para pasar por
el original.
Estas redes generativas de confrontación se podrían utilizar para descifrar contraseñas,

evadir la detección de malware o engañar el reconocimiento facial, asimismo la posibilidad
de manipular bots a través de la inteligencia artificial hace que los atacantes pueden abusar
de modelos para llevar a cabo ataques o engañar a algoritmos.
5. Pero por último y menos importante la ingeniería social juega un papel fundamental
ya con el machine learning se detectan patrones de conducta y con ellos se crean
estrategias futuras. Y mediante la combinación del Big Data se puede establecer una
estrategia que permite atacar una red de la forma más eficiente posible, ya que con
el aprendizaje automático que la IA posee puede establecer un aprendizaje continuo
y estimar una serie de pautas que permitan a los piratas informáticos hacer un
ataque a gran escala de forma fácil y efectiva.
En definitiva, la inteligencia artificial es algo que ayuda también a los piratas informáticos
a llevar a cabo ataques. Es fundamental protegerse adecuadamente y que se mantengan los
equipos actualizados y que especialmente mantengamos el sentido común. De esta forma
evitaremos ser víctimas de ataques muy diversos que nos comprometan.
Como se puede ver a continuación en el siguiente tráfico, donde a lo largo de los años
los ataque producidos en IA han ido en aumento y en distintos campos.
Figura 16 Campos involucrados con IA y su evolución (Fuente: https://www.campusbigdata.com/big-data-blog/item/77-bigdata-macrodatos-

5v-datascience )
11.1 RETOS.
“El acelerado ritmo de los cambios tecnológicos en el mundo laboral trae consigo
grandes desafíos a las organizaciones que deberán anticiparse y estar preparadas para
reinventar sus negocios; cada vez se usa más la IA para desarrollar herramientas
sofisticadas que puedan pensar, planificar y adaptarse en formas que imitan el cerebro
humano.
Este contexto, por supuesto, implica para las empresas grandes retos, pero también
grandes oportunidades si logran utilizar la IA a su favor, conectando al talento humano con
las nuevas herramientas tecnológicas. De acuerdo con datos de la firma de consultoría
Accenture, las compañías que utilicen inteligencia artificial y colaboren en conjunto con su
personal, podrán aumentar sus ingresos hasta un 38% y el empleo en un 10% de aquí al
2022, según lo publicado el 6 de mayo de 2020. Por tanto, las empresas no pueden ser
ajenas a este nuevo escenario y necesitan ir de la mano de las nuevas tecnologías para
evolucionar en sus negocios y en una nueva gestión de las personas”, según menciona el
artículo de news Lat fuente : [CITATION New \l 3082 ].html.
Por ello Your Security, quiere desarrollar en el futuro un sistema de IA que sea capaz de
con un solo click solucionar los ataques o los problemas que pueda tener una red. Por ese
motivo es necesario que le negocio, vaya captando mayores clientes y mayor cuota de
mercado haciendo posible el desarrollo de un sistema capaz de monitorizar y gestionar los
riegos de una red de forma automática.
12. CONCLUSIONES
En este plan de negocio se quiere reflejar la creación de una consultoría de servicios de

ciberseguridad, por ello hay que hacer un desembolso de dinero inicial de gran cantidad. No
obstante, es necesario mencionar que con ayuda de gobiernos autonómicos y empresas se
puede llegar a un negocio estable y beneficioso.
Haciendo uso de las herramientas analíticas, se puede observar que una negocio de
estas características tiene sus inconvenientes, pero también tienen puntos fuertes que hacen
que invertir en ella suponga un gran beneficio, ya que como se puede ver el capítulo de
finanzas, la rentabilidad de una empresa con estas características puede tener grande
beneficios no solo a nivel económico sino también a nivel tecnológico.
Además, con una gran perspectiva de futuro, teniendo un grupo de personas

emprendedoras y con ganas de entrar en la vida laboral puedas hacer posible la creación de
nuevos servicios.
Pero no solo se debe hacer auditorias, formación y consultoría, si no que una empresa
de estas características debe ser capaz de llegar a evolucionar en consonancia con las
tendencias tecnológicas del mundo actual.
Es por ello que como se menciona el principal camino es poder desarrollar una
inteligencia artificial capaz de poder gestionar la monitorización y la detección de forma
eficaz y que solamente los desarrolladores pueden dedicarse a la investigación de nuevos
servicios y de nuevos puntos de desarrollo.
13.ANEXOS.
1. HISTORIA DE LA CIBERSEGURIDAD
La evolución de la ciberseguridad brinda un contexto más amplio de cómo fue la
transformación al mundo digital y los riesgos que surgieron con este cambio.
Hay muchos antecedentes históricos en materia de ciberseguridad algunos de los cuales

se enumeran a continuación.
El primer hacker de la historia fue Nevil Maskelyne[ CITATION BBV16 \l 3082 ]. En 1903,
interceptó la primera transmisión de telégrafo inalámbrico o radio, mostrando las
vulnerabilidades de este sistema desarrollado por Marconi.
John Draper fue el primer ciberdelincuente, mejor conocido como “Captain Crunch”.
Draper, descubrió que el sonido emitido por un silbato que se obsequiaba en las cajas de
cereal de “Cap’n Crunch”, podía engañar a la señal de la central telefónica y así poder
realizar llamadas gratis.[ CITATION INF20 \l 3082 ].
En los años 70 apareció el primer malware de la historia: Creeper, un programa que se

replicaba a sí mismo. Este malware mostraba el mensaje: “I’m a creeper, catch me if you
can!”. A partir de ahí, nace el primer antivirus llamado Reaper, que su función era la de
eliminar las infecciones por Creeper.
Con el paso de los años y los avances tecnológicos, la información en red iba cada vez
en aumento y, con ello, su valor e importancia tanto para las organizaciones como para los
ciberdelincuentes.
El malware en los años 80 incrementó su presencia y a la par se desarrollaron antivirus

más eficientes; debido a eso, Kevin Mitnick utilizó ingeniería social para tener acceso a
información personal y confidencial, cambiando la forma de vulnerar los activos de una
empresa, sin embargo, se puede prevenir y reducir con una buena estrategia, formación a
colaboradores y protocolos de security awareness.
La regulación del Internet es un reto enorme debido a su carácter internacional y a la
variedad en su contenido. A principios de los 90 la necesidad de hacer frente a los ataques
cibernéticos se convirtió en tema de discusión internacional, la falta de conocimiento sobre el
ciberespacio, de medidas de seguridad, jurisdicción y competencia afectaba sobre todo a los
países desarrollados, donde el uso de la tecnología y el abuso de usuarios mermaba en la
economía y sociedad.
Las primeras acciones para crear mecanismos legales frente a los ciberdelitos fueron
locales. En 1986, en Estados Unidos se creó la Computer Fraud and Abuse Act, sin
embargo, su capacidad se vio sobrepasada por la transformación tecnológica.
En 1995, se formó en Europa un comité de expertos en delitos informáticos para trabajar

en estrategias y contrarrestar los ataques a través de Internet. Convencidos de la necesidad
de aplicar una política penal para proteger a la sociedad frente a la ciberdelincuencia y la
importancia de fortalecer la cooperación internacional, para 2001 se aprobó y firmó el
Convenio de Budapest, que hoy en día es integrado por 56 países.
Pero, ¿realmente se sabe qué es la ciberseguridad?. Es una definición muy amplia en

estos momentos ya que con la revolución 4.0 los hogares, tiendas, comercios y distintos
servicios, son medidos con diferentes mecanismos o programas para elaborar una serie de
datos con los que estudiar el comportamiento de la información y saber cómo se comportará
un mercado o un flujo de compra-venta.
Por ello, la ciberseguridad adquirirá más valor porque además de lo mencionado

anteriormente, debido al gran uso del trabajo remoto y a la gestión inalámbrica de los
procesos industriales, se debe hacer una protección de los activos que se poseen y de los
elementos que conforman la red corporativa de una industria.
Con respecto a los diferentes sectores que requieren de la contratación de los servicios
ofrecidos por la ciberseguridad, el gasto es relativamente equitativo entre los distintos
sectores, sin embargo, destacan por encima de los demás la inversión realizada en sectores
como el del banking y la industria como indica el gráfico a continuación. Como se puede
apreciar, en 2019 se estipulo que la inversión crecería a un ritmo del 7% y seguirá haciendo
durante tres años más.
2. NORMATIVA DE LA CIBERSEGURIDAD Y LOS ESTÁNDARES.
Este apartado,se hablará de las normativas aplicables vigentes se empezará con la ley de
protección de datos que estipula lo aprobado en España el 6 de diciembre de 2018
[CITATION Inc17 \l 3082 ], dice lo siguiente:
Artículo 1. La ley orgánica tiene por objeto:
a) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento

Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en
lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y
completar sus disposiciones.
El derecho fundamental de las personas físicas a la protección de datos personales, amparado

por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento
(UE) 2016/679 y en esta ley orgánica.
b) Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el

artículo 18.4 de la Constitución.
Artículo 2. Ámbito de aplicación.
Esta ley orgánica no será de aplicación:
a) A los tratamientos excluidos del ámbito de aplicación del Reglamento general de protección
de datos por su artículo 2.2, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artículo.
b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el

artículo 3.
c) A los tratamientos sometidos a la normativa sobre protección de materias clasificadas. Los

tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a
actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se
regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo
establecido en el citado reglamento y en la presente ley orgánica.
Se encuentran en esta situación, entre otros, los tratamientos realizados al amparo de la

legislación orgánica del régimen electoral general, los tratamientos realizados en el ámbito de
instituciones penitenciarias y los tratamientos derivados del Registro Civil, los Registros de la
Propiedad y Mercantiles.
El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales
de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la
Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley
orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder
Judicial, que le sean aplicables.
Asimismo, en España tiene un organismo gubernamental que regula la normativa del
dato, dicha agencia, llamada INCIBE realiza las leyes, las regulaciones y el trato que deben
tener los datos de las personas en las redes y en las propias empresas. Dentro de la agencia
mencionada también tiene se hace una mención específica de los procedimientos de datos
resultantes de la aplicación de la ley de protección de datos cuyos objetivos son los
siguientes:
Análisis de riesgos o auditoría del estado informático de la entidad.
Copias de seguridad a más de 1 km. de distancia del origen de los datos.
Herramientas de resistencia o fortificación del sistema, redes y equipos.
Alarma informática para detectar intrusiones o brechas de seguridad, y así poder

comunicarlas en menos de 72 horas a la Agencia Española de Protección de Datos.
Defensa perimetral y de dispositivos (Internet de las cosas) a través de firewall de nueva

generación.
Antivirus de nueva generación adecuadamente integrados en los equipos informáticos.

También otra normativa importante es la ISO 27000, que incluye las normas y los
estándares de seguridad publicados por la Organización Internacional para la
Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). Hay más normas que
están incluidas dentro de la norma mencionada:
ISO 27001: es el conjunto de requisitos para implementar un SGSI (Sistema de Gestión

de la Seguridad de la Información). Es la única norma certificable de las que se incluyen en
la lista y consta de una parte principal basada en el ciclo de mejora continua y un Anexo A,
en el que se detallan las líneas generales de los controles propuestos por el estándar.
ISO 27002: se trata de una recopilación de buenas prácticas para la Seguridad de la

Información que describe los controles y objetivos de control. Actualmente cuentan con 14
dominios, 35 objetivos de control y 114 controles.
ISO 27003: es una guía de ayuda en la implementación de un SGSI. Sirve como apoyo a
la norma 27001, indicando las directivas generales necesarias para la correcta
implementación de un SGSI. Incluye instrucciones sobre cómo lograr la implementación de
un SGSI con éxito.
ISO 27004: describe una serie de recomendaciones sobre cómo realizar mediciones
para la gestión de la Seguridad de la Información. Especifica cómo configurar métricas, qué
medir, con qué frecuencia, cómo medirlo y la forma de conseguir objetivos.
ISO 27005: es una guía de recomendaciones sobre cómo abordar la gestión de riesgos
de seguridad de la información que puedan comprometer a las organizaciones. No especifica
ninguna metodología de análisis y gestión de riesgos concreta, pero incluye ejemplos de
posibles amenazas, vulnerabilidades e impactos.
ISO 27006: es un conjunto de requisitos de acreditación para las organizaciones

certificadoras.
ISO 27007: es una guía para auditar SGSIs. Establece qué auditar, cuándo, cómo
asignar los auditores adecuados, la planificación y ejecución de la auditoría, las actividades
claves, etc.
Dicha normativa y estándares son los mínimos indispensables para cumplir con los
establecido en la legislación vigente en cuanto a temas de seguridad informática. Pero haya
que tener en cuenta que dichas normas están en constante cambio, por lo tanto, las
industrias deben tener en cuenta que las modificaciones que se realicen en la normativa las
industrias deben hacer las respectivas modificaciones para cumplirlas.
Otra normativa aplicable es el Reglamento Europeo de Protección de Datos, creado con

el objetivo de reforzar y unificar la protección de datos para todos los individuos dentro de la
UE. Es de obligado cumplimiento para todas las empresas, sociedades, autónomos,
comunidades y asociaciones que operan dentro de la Unión Europea a partir de mayo 2018.
Todas las empresas deberían identificar y analizar las áreas de riesgo y documentar los
tratamientos de datos personales que se llevan a cabo, a través de un inventario de todas las
actividades de tratamiento que realiza la compañía.
Finalmente, en el sector industrial resulta de particular aplicación La familia de
estándares IEC 62443 (antigua norma ISA99) que comenzó a comienzos del siglo XXI,
promovida por la International Society of Automation para aumentar la seguridad en los
sistemas de automatización y control industrial (IACS), creando una serie de documentos
cubriendo distintas áreas.
Todas estas normativas y estándares son los mínimos indispensables para cumplir con
los establecido en la legislación vigente en cuanto a temas de seguridad informática. Pero
haya que tener en cuenta que dichas normas están en constante cambio, por lo tanto, las
industrias deben tener en cuenta que las modificaciones que se realicen en la normativa las
industrias deben hacer las respectivas modificaciones para cumplirlas. Dichas normas son
las siguientes:
IEC 62443-1-1 “Models and Concepts”: Se corresponde con el primero publicado dentro
de la ISA99, aunque se ha revisado para que quede alineado con el resto de documentos
que forman ahora la serie IEC 62443.
IEC TR 62443-1-2 “Master Glossary of Terms and Abbreviations”: Recoge el glosario de

términos y las abreviaturas usadas en la serie.
IEC 62443-1-3 “System Security Compliance Metrics”: Define las métricas de

cumplimiento para la seguridad en los sistemas de control y automatización industrial. Se
encuentra en fase de borrador abierto para comentarios.
IEC TR 62443-1-4 “Security Life Cycle and Use Cases”: Se centra en el ciclo de vida y
en dar ejemplos de uso para aplicaciones típicas dentro de los sistemas de control. Se ha
propuesto para aprobación, pero aún no se encuentra aprobado definitivamente.
IEC 62443-2-1 “Requirements for an IACS Security Management System”: Recoge la

información ya publicada por la ISA99 en el segundo documento (ANSI/ISA 99.02.01-2009).
Actualmente se está procediendo a una revisión de los contenidos de los requerimientos
para alinearlos con la ISO 27000.
IEC TR62443-2-2 “Operating a Control Systems Security Program”: Aborda la operación
eficiente de un programa de ciberseguridad en sistemas de control industrial. Este
documento se encuentra aún en desarrollo.
IEC TR 62443-2-3 “Patch Management in the IACS Environment”: Guía práctica para
llevar a cabo un programa de gestión de actualizaciones, desde el punto de vista tanto del
propietario como del proveedor de soluciones. Aún se encuentra en fase de desarrollo.
IEC 62443-2-4 “Certification of IACS supplier security policies and practices”: Se centra
en la certificación de proveedores de productos de seguridad para los sistemas de control y
automatización industrial. Ha sido adaptado de los requerimientos propuestos por el WIB en
su documento “Process control domain - Security requirements for vendors”. Sigue en
desarrollo.
IEC TR62443-3-1 “Security Technologies for IACS”: Es una actualización del publicado
dentro de la ISA 99 “ANSI/ISA-TR99.01.02-2007” y ofrece una descripción de tecnologías
existentes para la protección de redes y sistemas industriales, exponiendo sus ventajas y
limitaciones. Se encuentra en fase de revisión.
IEC 62443-3-2 “Security Risk Assessment and System Design”: Describe los conceptos
de security zone y conduit introducidos en la ISA99. Además, indica cómo se debe llevar a
cabo la segmentación siguiendo estos principios. Únicamente plantea una segmentación
teórica, la segmentación real se trata en el documento IEC 62443-4-2.
IEC 62443-3-3 “System Security Requirements and Security Levels”: Describe los
requisitos técnicos del sistema para definir el nivel de seguridad del activo analizado. Para
ello, establece una relación con los siete requisitos fundamentales expuestos en IEC 62443-
1-1. Así mismo, remarca que el rendimiento y la disponibilidad no deben verse afectados en
el intento de dar cabida a estos requisitos.
IEC 62443-4-1 “Product Development Requirements”: Define el proceso de desarrollo

que tienen que llevar a cabo los nuevos dispositivos que se creen para los sistemas de
control, aunque también puede ser aplicado a los dispositivos ya existentes. Para ello hace
referencia a procesos de desarrollo tanto para el software como para el hardware.
IEC 62443-4-2 “Technical Security Requirements for IACS Components”: Esta parte de
la serie IEC 62443 se corresponde con el documento ANSI/ISA-99.03.03 que no llegó a
publicarse, agrupando los requisitos técnicos para mejorar la seguridad de los componentes,
de forma individual, dentro de la red industrial. Aborda la segmentación de la red para
restringir los flujos de datos dentro de la red y entre redes.
Pero hay muchos ejemplos en el pasado que ponen de manifiesto el intento de crear una
máquina que es capaz de tener pensamiento y comportamiento propio. Dichos ejemplos
pueden abarcar desde Aristóteles hasta en el siglo XVIII, la creación de un autómata llamado
el turco que permitía jugar al ajedrez, posteriormente se descubrió que dicho autómata fue
un fraude, ya que en el interior de la máquina estaba situado un individuo que hacia los
movimientos del dispositivo.
No fue hasta la segunda guerra mundial, en 1936 cuando Alan Turing, creador del
superordenador que descifro la codificación enigma de los alemanes, publicó su concepto de
máquina universal, que básicamente describía lo que era un algoritmo informático, y un
ordenador.
En 1950 formalizó el inicio de la Inteligencia Artificial con su Test de Turing, una prueba
que define si una máquina es o no inteligente. Si un humano y una IA se enfrentan a las
preguntas de un interrogador y ese interrogador no puede distinguir si las respuestas
provienen del humano o de la IA, entonces la IA es inteligente.
Pero como todo tipo de inteligencia en primer lugar, debe aprender a realizar una tarea.
Si va a usarse para identificar fotos de gatos debe procesar miles de fotos de gatos, para
aprender a distinguirlos.
A continuación, empieza el entrenamiento, poniendo en práctica esa teoría: recibes fotos

de diferentes animales, y debe separar los gatos. Al principio fallará mucho, y habrá que
decirle las fotos que acierta, y las que falla. Así la IA irá descubriendo por qué falla, e irá
mejorando sus aciertos. Como más entrene, mejor lo hará.
Finalmente, la IA será capaz de trabajar ella sola, sin recibir órdenes. Simplemente
entregándole los datos de entrada (fotos) generará un resultado (fotos de gatos) sin que
exista una lista de órdenes (programa) que le diga los pasos que tiene que realizar.
Este tipo de estructura (aprendizaje, entrenamiento, y resultados) es común para las IAs
que tienen que realizar tareas mecánicas y repetitivas, o que trabajan con el lenguaje
humano, como un asistente virtual.
14. ÍNDICE DE FIGURAS.
Figura 1. Inversión (Fuente: https://www.bolsamania.com/noticias/economia/epdata--la-evolucion-del-

teletrabajo-en-espana-en-graficos--7649585.html).............................................................................................11
Figura 2. Inversión en EEUU (Fuente
https://cincodias.elpais.com/cincodias/2017/05/19/mercados/1495203988_576129.html)............................12
Figura 3. Inversión en Perú (Fuente https://www.karlosperu.com/fortinet-presenta-estudio-sobre-
inversiones-en-ciberseguridad-en-peru/).............................................................................................................12
Figura 4 Inversión en España(Fuente
https://www.computing.es/seguridad/informes/1120356002501/empresas-espanolas-dedican-casi-15-de-
presupuesto-de-ciberseguridad.1.html )..............................................................................................................13
Figura 5 (fuente: www.finanzas.com/empresas/el-mercado-de-la-ciberseguridad-genera-en-espana-1-200-
millones-al-ano_13705878_102.html)..................................................................................................................14
Figura 6 Inversión por industrias (Fuente: https://www.itdigitalsecurity.es/actualidad/2019/06/los-servicios-
gestionados-supondran-el-50-de-la-inversion-en-seguridad-ti-en-2019.............................................................15
Figura 7 Definición de ciberseguridad(Fuente :http://www.sdec.es/ciber.html)................................................17
Figura 8. Inversión desde 2015 (https://www.expansion.com/economia-
digital/innovacion/2016/11/24/5835d07be5fdeab35a8b45c9.html...................................................................18
Figura 9. Portal de Gestión (fuente: Confidencial)................................................................................................34
Figura 10. Metodología OWASP (Fuente:
https://www.incibe.es/sites/default/files/estudios/tendencias_en_el_mercado_de_la_ciberseguridad.pdf)..38
Figura 11. TOP 10 OWASP (Fuente:
https://www.incibe.es/sites/default/files/estudios/tendencias_en_el_mercado_de_la_ciberseguridad.pdf)..39
Figura 12. Esquema de Organización(fuente: Elaboración propia)......................................................................40
Figura 13. Plan de comunicación. (Fuente: https://www.appvizer.es/revista/comunicacion/comunicacion-
interna/plan-de-comunicacion)............................................................................................................................49
Figura 14. Empresa colaboradores. (fuente: https://www.creaciondempresas.es/colaboraciones-y-acuerdos/.)
...............................................................................................................................................................................56
Figura 15. Portal de la Comunidad de Madrid (Fuente:
https://www.comunidad.madrid/servicios/empleo/quiero-montar-empresa. ).................................................56
Figura 16 Campos involucrados con IA y su evolución (Fuente: https://www.campusbigdata.com/big-data-
blog/item/77-bigdata-macrodatos-5v-datascience )............................................................................................61
15 ÍNDICE DE TABLAS.
Tabla 1. Análisis DAFO, elaboración propia..........................................................................................................25

Tabla 2 Tabla Canvas (fuente: elaboración propia)..............................................................................................31
Tabla 3 Modelo de Precios Fuente (Elaboración propia)......................................................................................36
Tabla 4 Riesgos comunes (fuente: Elaboración propia9.......................................................................................38
Tabla 5 Evolución de finanzas (fuente: Elaboración propia).................................................................................53
Tabla 6. Flujos monetarios (fuente Elaboración propia).......................................................................................54
16 ÍNDICE DE GRÁFICOS.
Gráfico 1(Fuente Elaboración propia)...................................................................................................................27
Gráfico 2 Evolución económica (Fuente: elaboración propia)..............................................................................53
17 ÍNDICE DE ESQUEMAS.
Esquemas 1(Fuente. Elaboración propia9............................................................................................................32

18.BIBLIOGRAFÍA
Accenture. (25 de 11 de 2019). Obtenido de https://www.accenture.com/es-es/insights/security/cost-
cybercrime-study
Accenture. (2021). Obtenido de https://www.accenture.com/es-es
Ahigren, M. (18 de 08 de 2021). Websitehostingrating. Obtenido de
https://www.websitehostingrating.com/es/research/cybersecurity-statistics-facts/
Alcalá de Henares. (2021). Obtenido de https://www.masterindustria40.com/ventajas-desventajas-industria-
4-0/
ATLAS VPN. (23 de Junio de 2020). El MundoUs. Obtenido de
https://www.elmundous.com/2020/06/23/gobierno-de-los-estados-unidos-gastara-mas-de-18-
billones-en-ciberseguridad/
BBVA. (01 de Junio de 2016). OpenMind BBVA. Obtenido de
https://www.bbvaopenmind.com/tecnologia/visionarios/nevil-maskelyne-vs-marconi-un-hacker-en-
1903/
Bolsamania. (2017). https://www.bolsamania.com.
Creaciondeempresas. (2021). Obtenido de https://www.creaciondempresas.es/colaboraciones-y-acuerdos/
Finanzas. (10 de 07 de 2017). Obtenido de https://www.finanzas.com/empresas/el-mercado-de-la-
ciberseguridad-genera-en-espana-1-200-millones-al-ano_13705878_102.html
Google. (2017). Panorama actual de la ciberseguridad en España. Salamanca: Cocktail analysis.
Incibe. (2017). Obtenido de https://www.incibe.es/protege-tu-empresa/catalogo-de-
ciberseguridad/buscador-empresas?
combine=&field_emp_tipo_tid=All&term_node_tid_depth_join=All&tid=All&submit=Buscar
Incibe. (2021). Incibe-Sert. Obtenido de Bitácora de ciberseguridad: https://www.incibe-cert.es/alerta-
temprana/bitacora-ciberseguridad
InfoJobs. (2021). Obtenido de https://www.infojobs.net/
INFOSECURITY. (6 de Octubre de 2020). Obtenido de
https://www.infosecuritymexico.com/es/ciberseguridad.html
Linkedin. (2021). Obtenido de https://es.linkedin.com/
MadridNYC. (2021). Obtenido de https://madridnyc.es/gestion-del-talento/
Minsait. (2022). Obtenido de https://www.minsait.com/es
MTP. (2021). Obtenido de https://www.mtp.es/
NewsLat. (2021). Obtenido de https://itnews.lat/cinco-retos-que-trae-la-inteligencia-artificial-al-mundo-de-
los-negocios
Norvig, S. R. (1994). Inteligencia Artificial: Un Enfoque Moderno. En S. R. Norvig, Inteligencia Artificial: Un
Enfoque Moderno.
ORTIZ, J. F. (7 de Noviembre de 2018). Obtenido de https://es.linkedin.com/pulse/5-retos-que-trae-la-
inteligencia-artificial-las-%C3%A1reas-torres-ortiz
OWASP. (2021). Owasp. Obtenido de https://owasp.org/
Universidad Politécnica. (2021). Obtenido de https://www.upm.es/e-politecnica/?p=5846
Viairum. (2021). Obtenido de http://www.viariumgroup.com/
Visiotech. (2021). Obtenido de https://www.visiotechsecurity.com/es

TFM Luis Nieto V21

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TFM Luis Nieto V21

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD EUROPEA DE MADRID

ESCUELA DE ARQUITECTURA, INGENIERÍA Y DISEÑO ÁREA

MÁSTER UNIVERSITARIO EN INGENIERÍA INDUSTRIAL

TRABAJO FIN DE MÁSTER

Plan de negocio Your Security

Director :D. Juan Miguel Poyatos

AUTOR: LUIS NIETO BLÁZQUEZ

DIRECTOR DEL PROYECTO: D. JUAN MIGUEL POYATOS

FECHA: 17 de SEPTIEMBRE de 2021

Debo agradecer la realización de este trabajo a todas aquellas personas

This work consists of demonstrating the profitability of a cybersecurity

Este trabajo consiste en demostrar la rentabilidad de una consultora de

El objetivo de este plan de negocio consiste en demostrar la

Dichas herramientas demostrarán si una empresa de consultoría de

2. ESTADO DEL ARTE.

Desde principios del siglo XXI se observa una evolución en la manera de

Con la aparición de la pandemia de la COVID-19 la industria ha tenido que

Figura 1. Inversión (Fuente: https://www.bolsamania.com/noticias/economia/epdata--la-evolucion-del-teletrabajo-en-

Por lo tanto, actualmente el riesgo que supone la infraestructura puede

Al tratarse de un fenómeno tan reciente y no poseer una perspectiva

En gráficos, como se puede observar a continuación, de países como

Figura 3. Inversión en Perú (Fuente https://www.karlosperu.com/fortinet-presenta-estudio-sobre-inversiones-en-

Según indica en el siguiente gráfico del portal de información COMPUTING,

Asimismo, en este gráfico se puede observar cómo ha evolucionado el gasto

Figura 4 Inversión en España(Fuente https://www.computing.es/seguridad/informes/1120356002501/empresas-espanolas-

En el siguiente gráfico del año 2015, Como se puede observar, según el

Figura 5 (fuente: www.finanzas.com/empresas/el-mercado-de-la-ciberseguridad-genera-en-espana-1-200-millones-al-

Dentro de este grupo de empresas, se pueden observar que son empresas

En el siguiente gráfico podemos ver como las distintas empresas invierten

Figura 6 Inversión por industrias (Fuente: https://www.itdigitalsecurity.es/actualidad/2019/06/los-servicios-gestionados-

 “Se obtienen procesos más depurados, repetitivos y sin errores ni

Pero se debe hacer referencia a qué es la ciberseguridad, es decir, el

Figura 7 Definición de ciberseguridad(Fuente :http://www.sdec.es/ciber.html)

Desde hace unos años, la palabra ciberseguridad se ha vuelto un estándar

Gracias a las herramientas disponibles actualmente y en materia de

No obstante, en España y el resto del mundo desde 2012, las empresas e

Figura 8. Inversión desde 2015 (https://www.expansion.com/economia-

Hay que tener en cuenta y no olvidar que el principal objetivo es garantizar

Figura 4 Metodología (Fuente:

3.1 SEGMEBTACIÓN DEL MERCADO.

Dicha actualización debe llevar consigo un servicio de seguridad donde se

Como se ha dicho en el anterior párrafo, las PYMES es el mercado objetivo

3.2 ANÁLISIS DAFO

 La captación de gente especializada en la materia con la que se

 La infraestructura de cada empresa es diferente, por lo tanto, puede

 Al realizar trabajos de monitorización y auditorias, los beneficios son

 Al ser una empresa con poco tiempo es necesario realizar un trabajo

 Al comenzar una de las posibles debilidades es la poca efectividad o

 La era tecnológica siempre está en constante cambio y puede

 AL ser un servicio en auge, distintas empresas con mayor poder

 Una capacidad de progreso tecnológico que permite adoptar nuevas

 Nuevo material de última generación, demostrando que con equipos

 Como se ha mencionado anteriormente, formado por gente con

Debido a la situación actual en la que se encuentra el avance tecnológico,

 La creación en España de trabajo que requiere estudios superiores

 Al ser una empresa nueva, se recoge gente recién formada en la

 Dado que hay posibilidad de teletrabajo, aunque se está reduciendo

 Reducción de coste: Las grandes tecnologías de datos y el análisis

 Rapidez y mejores tomas de decisiones: la analítica en memoria,

Tabla 1. Análisis DAFO, elaboración propia.

3.3 PROPUESTA DE VALOR.

 La creciente variedad de las amenazas y la innovación empresarial están produciendo un

Asimismo, después de hablar el valor que se aporta, seguidamente se

Un factor determinante, en el plan de negocio que se describe uno de los