Caso empresa Pio Pio

INTRODUCCION

La empresa Pio Pio es una empresa avícola que inicio sus actividades en 1995, está dedicada a la producción y comercialización de carne de pollo, actualmente tiene a sus disposiciones una granja reproductora, plantas de incubación, engorde, alimentos, sacrificios. La distribución y comercialización, dispone de almacenes anexos para la entrega del producto en cada provincia del país. Como parte del proceso de expansión de la compañía, Pio Pio nota en el mercado extranjero una oportunidad para alcanzar su objetivo. Estos nuevos clientes exigen que sus proveedores implementen procesos certificables para resguardar la información, por lo cual Pio Pio tiene como necesidad implementar un SGSI, que permita la gestión eficiente de la seguridad de la información, para así brindar a sus clientes confiabilidad en el tratamiento de sus datos sobre el cual es responsable la compañía y hacer de esto un diferenciador competitivo en el mercado extranjero.

OBJETIVO

Implementar un sistema de gestión de seguridad de la información certificado, que permita brindar a los clientes nacionales y extranjeros confianza por el tratamiento de los datos que la empresa gestiona, cumpliendo con la legislación nacional e internacional vigente para la transferencia de datos y garantizando la implementación de controles eficientes que protejan la información. Buscando alcanzar de esta manera el objetivo misional de la empresa la cual es hacer presencia en el mercado internacional con productos de alta calidad.

ANALSIS FODA

• Oportunidades:

• El gran mercado en términos de necesidades que se están y seguirán generando en el rubro internacional y del e-commerce.
• La cantidad de herramientas y soluciones tecnológicas que hoy se tienen a disposición.

• Amenazas:

• La dura competencia que existe en el mercado internacional y del e-commerce.
• La gran exposición mediática a la que está expuesta la marca.

• Fortalezas:

• La cultura organizacional interna, la cual hace sentir parte de la empresa en todo momento.
• La compañía Pio Pio es una de las marcas más reconocidas y que genera confianza en la gente.
• Los recursos están disponibles para los proyectos de mejora continua, innovación, entre otros.

• Debilidades:

• Muchos elementos independientes, con proyectos que entrecruzan sus intereses y metas.
• Dependencia fuerte de servicios de legado, que bajan la calidad de los procesos internos.

POLITICA DE SEGURIDAD

Respecto a la transferencia de los datos de los usuarios a través de internet, estos se mantendrán bajo estricta confidencialidad. Se aplicarán herramientas y protocolos necesarios para sobreguardar la información de la compañía y de los clientes, lo que significa que toda la información no podrá ser leída ni capturada por terceros.

La información requerida del usuario en diversas partes de la aplicación, como su nombre, dirección electrónica, dirección física y número telefónico es usada para responder las consultas acerca de los productos y servicios, para despachar pedidos o para pagar cuentas. También se utiliza para mantener contacto con sus distintos clientes. Bajo ninguna circunstancia, esta información es compartida con empresas no relacionadas con la compañía Pio Pio o con terceros.

Respecto a los datos personales, el usuario dispondrá en todo momento de los derechos de información, corrección y cancelación de los datos personales conforme a la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.

Este compromiso con la seguridad y privacidad de los datos demuestra el compromiso con una práctica de negocios de alto nivel ético y dotada de los controles internos apropiados.

CONTROLES

Se describe a continuación la solución de cada punto:

Roles y responsabilidades en seguridad de la información

• Oficial de Seguridad de la información: Pio Pio mantendrá dentro de su planta de empleados un Oficial de Seguridad de la información, cuyas funciones estarán caracterizadas y definidas en el documento SGSI.

• Comité de seguridad de la información: El Oficial de Seguridad, podrá convocar a diferentes empleados para formar grupos interdisciplinarios, que apoyen la definición e implementación de los diferentes temas de seguridad de la información.

• Dueños de la Información: Toda la información utilizada por Pio Pio, debe poseer el líder de cada área. Los líderes son responsables de los activos de la información con la cual trabajan diariamente y deben:

• Definir la clasificación de la información (bajo, medio, alto).
• Determinar los niveles de acceso a la información.
• Autorizar la asignación de permisos de acceso.
• Apoyar al Área IT en la generación de los controles necesarios para el almacenamiento, procesamiento, distribución y uso de la información

• Las altas gerencias: La gerencia de Pio Pio, es responsable que los empleados a su cargo, conozcan y apliquen las políticas de seguridad de la información.

• Empleados: Son responsables por el cumplimiento de las políticas de seguridad de la información. Adicionalmente cada empleado está obligado a reportar al Oficial de Seguridad cualquier incidente de seguridad de la información del que tenga conocimiento.

• Contratistas, proveedores y terceros: Los contratistas, proveedores y terceros que tengan acceso a los activos de información, están obligados a cumplir las políticas de Seguridad de la Información de Pio Pio.

• Administradores de los sistemas: Los administradores de los diferentes sistemas deben en forma activa implementar las normas, estándares, formatos y procedimientos, para brindar un nivel apropiado de seguridad de la información.

Concienciación, educación y capacitación en seguridad de la información

El responsable de capacitar las políticas de seguridad es el área de RRHH y el Oficial de Seguridad. Todo el personal que conforma la compañía debe recibir una adecuada capacitación y actualización sobre las políticas, normas relacionadas a la seguridad de la compañía y de la información.

Las políticas deben ser compartidas cada seis meses o cada vez que sea necesaria a fin de que la información ahí reflejada sea precisa.

• Proceso disciplinario: En cuanto al proceso disciplinario, la política es que todos los incumplimientos u omisiones según la gravedad del acto, deben ser sancionados según políticas administrativas internas vigentes de la compañía. Para el cumplimiento de esta política, cualquier proceso disciplinario debe iniciarse cuando se haya verificado que se ha producido una violación a la seguridad de la información, este proceso debe garantizar el trato justo y correcto para la universidad y los empleados.

• Cese o cambio de puesto de trabajo: La desvinculación del personal, debe presentar su renuncia de cese de funciones con suficiente tiempo de antelación, por lo menos 15 días de anticipación. El líder del área donde el empleado realizó sus funciones, es el responsable de supervisar la entrega formal de los activos al nuevo funcionario a ocupar la vacante, esto incluye claves de acceso, documentación, llaves, credenciales, herramientas de trabajo, equipos de cómputo y demás activos a su cargo. El área de seguridad de la información es la encargada de inhabilitar las claves de acceso a los diversos sistemas de información, acceso a central de datos, acceso a bases de datos y correo electrónico del empleado que deja de pertenecer a la compañía. De ser necesario cambiar las claves de acceso a todos los sistemas de información que sean vulnerables.

Clasificación de la información

...