La seguretat de la informació es defineix com el marc, els processos i els controls definits dins de PIB Group Espanya (d’ara endavant PIB) que busquen mantenir la confidencialitat –només els que estiguin autoritzats poden accedir a la informació–, integritat –la informació i el seu processament són exactes i complets– i disponibilitat – la informació i els seus actius poden ser accedits quan sigui requerit – de la informació.
En el context d’aquesta política, la seguretat de la informació està relacionada amb la protecció i la salvaguarda de totes les dades de PIB al llarg del seu cicle de vida de la seva divulgació maliciosa o accidental, modificació o destrucció. Per aquest motiu, aquesta política afecta els sistemes d’informació i aplicacions que emmagatzemen, processen o transfereixen aquestes dades. De la mateixa manera, els documents impresos i les notes manuscrites o les converses han d’estar protegits adequadament.
Per aquesta raó, el Comitè de Direcció de PIB ha decidit establir un Sistema de Gestió de Seguretat de la Informació (SGSI o ISMS en anglès) a tot el grup per assolir i mantenir els nivells adequats de seguretat de la informació. El SGSI està orientat cap a la norma internacionalment reconeguda ISO 27001: 2022. A més, té en compte les directrius sobre governança i seguretat de les tecnologies de la informació d “EIOPA (d” ara endavant DGSEIOPA).
Aquest document defineix els principis de seguretat de la informació per a tot el Grup i, per tant, té en compte els requisits legals i reguladors aplicables.
A més, la “Política de Continuïtat de Negoci” estableix els requisits mínims, els objectius, les responsabilitats, els processos i els procediments d “informació per a la Gestió de la Continuïtat del Negoci (GCN o BCM en anglès) d’acord amb allò establert a les directrius 19, 21, 22 i 23 de DGSEIOPA.
Per tant, SGSI i GCN donen suport a PIB en la protecció de la informació, així com en la recuperació de negocis de situacions d’emergència i crisi.
La seguretat de la informació -confidencialitat, integritat i disponibilitat- és un factor clau d’èxit per a PIB i s’està tornant cada cop més important a causa de la digitalització del nostre negoci.
Les dades que recopilem, emmagatzemem i processem com a part de les nostres operacions diàries tenen un valor significatiu tant per a PIB com per a altres agents externs que en podrien fer un mal ús. Els sistemes dinformació i les dades que processen poden exposar-nos a riscos que poden anar des dun accés no autoritzat, divulgació dinformació no autoritzada, robatori, corrupció de dades o discontinuïtat del negoci per pèrdua dels sistemes.
Els riscos es poden materialitzar com a resultat d’una acció accidental o intencional per part d’un empleat o per accions malicioses dutes a terme per organitzacions criminals. Aquests riscos poden posar en perill el Grup per la pèrdua de confiança dels clients, per l’incompliment d’una regulació i/o la pèrdua d’un avantatge competitiu.
Per tot això, cal posar en marxa mesures de control adequades que protegeixin els actius d’informació del Grup i els processos que els suporten.
Aquest document defineix els principis de seguretat de la informació per a PIB i per tant pren en compte els requisits legals i reguladors aplicables, d’acord amb allò establert a la directriu 6 de DGSEIOPA. La política serveix com a base per a l’administració de la seguretat de la informació i per a regulacions específiques per protegir la confidencialitat, integritat i disponibilitat de la informació dins de PIB contra amenaces internes o externes, ja siguin intencionals o no, per tal d’assegurar el desenvolupament, la implementació, l’operació, el manteniment i l’ús dels sistemes d” informació de PIB.
Aquesta política aplica a tots els empleats, siguin temporals o no i als proveïdors de servei que facin ús de la informació o els sistemes d’informació del Grup i/o les seves instal·lacions.
La responsabilitat principal de l’ISO és aconsellar, coordinar, monitoritzar i revisar els riscos relacionats amb la seguretat de la informació i la tecnologia dins del PIB. Les responsabilitats de l’ISO inclouen, però no estan limitades a:
No es pot proporcionar total seguretat per a tota la informació. A més, no tota la informació requereix la mateixa protecció. PIB, per tant, gestiona la seguretat de la informació basada en el risc (directriu 4 de DGSEIOPA). Això fa possible que PIB faciliti i faci servir recursos a les àrees on més urgentment es requereixin. L’ISO, per això, defineix els requisits unificats per a la gestió dels riscos de seguretat de la informació i, per tant, facilita i supervisa les decisions basades en el risc.
Tant els empleats interns com els externs de PIB es troben entre els factors d’èxit més importants per garantir els nivells de seguretat de la informació requerits. Nombroses mesures de seguretat només es poden implementar eficaçment si els empleats interns i externs són prou conscients de la seguretat de la informació i tenen prou habilitats en el camp de la seguretat de la informació. L’ISO, per tant, desenvoluparà un pla de formació i sensibilització en matèria de seguretat de la informació que permeti a tots els empleats complir les obligacions i responsabilitats i minimitzar els riscos associats a l’ús de les tecnologies i la seguretat de la informació (directriu 13 de DGSEIOPA).
El nivell de seguretat de la informació que es requereix a tot el Grup només es pot garantir mitjançant requisits mínims unificats i vinculants i les seves característiques locals. Per aquesta raó, hi ha tres nivells de política de seguretat de la informació basats l’un a l’altre:
L’ISO crea i manté la Política de Seguretat de la Informació i els documents de nivell 2 per a tots els serveis compartits pel Grup. Els procediments o les instruccions de treball són creats i mantinguts per les unitats funcionals responsables respectivament.
La cooperació amb proveïdors i socis de serveis externs no ha de reduir el nivell de seguretat de la informació del PIB. Per això, els proveïdors i els socis de serveis externs només poden tenir accés a la informació de PIB i els recursos de TI una vegada que PIB hagi avaluat i classificat els nivells de seguretat de la informació dels proveïdors i socis de serveis externs segons correspongui. A més, PIB només atorga accés a informació i recursos de TI que són necessaris per a la cooperació (principi de necessitat de conèixer). L’ISO defineix, per tant, els requisits unificats per a la cooperació orientada a la seguretat amb parts externes.
Els nivells de seguretat de la informació requerits s “han de verificar, monitoritzar i avaluar de manera independent per poder mantenir-los i optimitzar-los contínuament (directriu 12 de DGSEIOPA). Això també es recolza a l” àrea de Gestió de la seguretat de la informació a través del “Model de tres línies de defensa”.
La 1ra línia de defensa està composta per la gestió operativa i és responsable de la definició, implementació i control de les mesures de seguretat de la informació per al maneig de riscos i el compliment dels requisits de seguretat de la informació.
La segona línia de defensa és a les mans de l’ISO i la unitat de la seguretat de la informació de PIB, amb el suport de les funcions de gestió de riscos establertes localment. La segona línia defineix els requisits de seguretat de la informació i supervisa la definició, implementació i control de les mesures de seguretat de la informació de la 1ra línia.
L’auditoria interna actua com a unitat independent com a tercera línia, avaluant l’efectivitat de les dues primeres línies de defensa. Les auditories s’han de fer de forma periòdica i d’acord amb el corresponent pla d’auditoria per uns auditors dotats d’uns coneixements, unes competències i una experiència suficients en riscos de TIC i seguretat, per tal de garantir-ne de manera independent l’eficàcia (directriu 5 de DGSEIOPA)
Aquesta política es revisarà anualment per part del responsable de Seguretat. Durant el procés de revisió es tindran en compte els conceptes següents:
En cas de produir-se canvis en la versió vigent, es presentarà al Comitè de Seguretat per a la seva aprovació, havent de quedar documentada la decisió adoptada i la justificació.
La modificació que s’efectuï haurà de quedar degudament documentada a l’apartat Historial de Canvis, indicant qui va fer el canvi i el motiu.
A continuació, es llisten les polítiques de seguretat que defineixen els requeriments de seguretat per a cada àmbit d’actuació. Aquestes polítiques complementen el que defineix aquesta política.
Solucions per a empreses
* A Madrid i Barcelona.
