La seguretat de la informació es defineix com el marc, els processos i els controls definits dins de PIB Group Espanya (en endavant PIB) que busquen mantenir la confidencialitat -només aquells que estiguin autoritzats podran accedir a la informació-, integritat -la informació i el seu processament són exactes i complets- i disponibilitat – la informació i els seus actius poden ser accedits quan sigui necessari – de la informació.
En el context d'aquesta política, la seguretat de la informació està relacionada amb la protecció i salvaguarda de totes les dades de PIB al llarg del seu cicle de vida de la seva divulgació maliciosa o accidental, modificació o destrucció. Per aquest motiu, aquesta política afecta els sistemes d'informació i aplicacions que emmagatzemen, processen o transfereixen aquestes dades. De la mateixa manera, els documents impresos i les notes manuscrites o les converses s'han de protegir adequadament.
Per aquesta raó, el Comitè de Direcció del PIB ha decidit establir un Sistema de Gestió de la Seguretat de la Informació (SGSI o ISMS en anglès) en tot el grup amb la finalitat d'assolir i mantenir els nivells adequats de seguretat de la informació. El SGSI està orientat cap a la norma internacionalment reconeguda ISO 27001: 2022. A més, té en compte les directrius sobre governança i seguretat de les tecnologies de la informació d'EIOPA (en endavant DGSEIOPA).
Aquest document defineix els principis de seguretat de la informació per a tot el Grup i, per tant, té en compte els requisits legals i normatius aplicables.
A més, la ‘Política de Continuïtat de Negoci’ estableix els requisits mínims, els objectius, les responsabilitats, els processos i els procediments d’informació per a la Gestió de la Continuïtat del Negoci (GCN o BCM en anglès) d’acord al que s’estableix a les directrius 19, 21, 22 i 23 de DGSEIOPA.
Per tant, el SGSI i el GCN donen suport al PIB en la protecció de la informació, així com en la recuperació del negoci davant situacions d'emergència i crisis.
La seguretat de la informació –confidencialitat, integritat i disponibilitat– és un factor clau d'èxit per a PIB i s'està tornant cada cop més important a causa de la digitalització del nostre negoci.
Les dades que recopilem, emmagatzemem i processem com a part de les nostres operacions diàries tenen un valor significatiu tant per al PIB com per a altres agents externs que podrien fer-ne un mal ús. Els sistemes d'informació i les dades que processen ens poden exposar a riscos que poden anar des d'un accés no autoritzat, divulgació d'informació no autoritzada, robatori, corrupció de dades o discontinuïtat del negoci per pèrdua dels sistemes.
Els riscos es poden materialitzar com a resultat d'una acció accidental o intencional per part d'un empleat o per accions malicioses dutes a terme per organitzacions criminals. Aquests riscos poden posar en perill el Grup per la pèrdua de confiança dels clients, per l'incompliment d'una regulació i/o la pèrdua d'un avantatge competitiu.
Per tot això, és necessari posar en marxa mesures de control adequades que protegeixin els actius d'informació del Grup i els processos que els suporten.
Aquest document defineix els principis de seguretat de la informació per a PIB i per tant té en compte els requisits legals i regulatoris aplicables, d'acord amb el que s'ha establert a la directriu 6 de DGSEIOPA. La política serveix com a base per a l'administració de la seguretat de la informació i per a regulacions específiques per tal de protegir la confidencialitat, integritat i disponibilitat de la informació dins de PIB contra amenaces internes o externes, ja siguin intencionals o no, amb la finalitat d'assegurar el desenvolupament, implementació, operació, manteniment i ús dels sistemes d'informació de PIB.
Aquesta política s'aplica a tots els empleats, siguin temporals o no, i als proveïdors de serveis que facin ús de la informació o els sistemes d'informació del Grup i/o les seves instal·lacions.
La responsabilitat principal de l'ISO és assessorar, coordinar, supervisar i revisar els riscos relacionats amb la seguretat de la informació i la tecnologia dins de PIB. Les responsabilitats de l'ISO inclouen, però no es limiten a:
No és possible proporcionar seguretat total per a tota la informació. A més, no tota la informació requereix la mateixa protecció. PIB, per tant, gestiona la seguretat de la informació basat en el risc (directriu 4 de DGSEIOPA). Això fa possible que PIB faciliti i faci servir recursos en les àrees on més urgentment es requereixin. L’ISO, per aquesta raó, defineix els requisits unificats per a la gestió dels riscos de seguretat de la informació i, per tant, facilita i supervisa les decisions basades en el risc.
Tant els empleats interns com els externs del PIB es troben entre els factors d'èxit més importants per garantir els nivells de seguretat de la informació requerits. Nombroses mesures de seguretat només es poden implementar eficaçment si els empleats interns i externs són suficientment conscients de la seguretat de la informació i tenen suficients habilitats en el camp de la seguretat de la informació. L'ISO, per tant, desenvoluparà un pla de formació i sensibilització en matèria de seguretat de la informació que permeti a tots els empleats complir amb les seves obligacions i responsabilitats i minimitzar els riscos associats a l'ús de les tecnologies i la seguretat de la informació (directriu 13 de DGSEIOPA).
El nivell de seguretat de la informació que es requereix en tot el Grup només es pot garantir mitjançant requisits mínims unificats i vinculants i les seves característiques locals. Per aquesta raó, hi ha tres nivells de política de seguretat de la informació basats l'un en l'altre:
L'ISO crea i manté la Política de Seguretat de la Informació i els documents de nivell 2 per a tots els serveis compartits pel Grup. Els procediments o instruccions de treball són creats i mantinguts per les unitats funcionals responsables respectivament.
La cooperació amb proveïdors i socis de serveis externs no ha de reduir el nivell de seguretat de la informació de PIB. Per aquesta raó, els proveïdors i els socis de serveis externs només poden tenir accés a la informació de PIB i els recursos de TI un cop que PIB hagi avaluat i classificat els nivells de seguretat de la informació dels proveïdors i socis de serveis externs segons correspongui. A més, PIB només atorga accés a informació i recursos de TI que són necessaris per a la cooperació (principi de necessitat de conèixer). L'ISO, per tant, defineix els requisits unificats per a la cooperació orientada a la seguretat amb parts externes.
Els nivells de seguretat de la informació requerits s'han de verificar, supervisar i avaluar de manera independent per poder mantenir-los i optimitzar-los contínuament (directriu 12 de DGSEIOPA). Això també es recolza en l'àrea de Gestió de la seguretat de la informació a través del «Model de les tres línies de defensa».
La primera línia de defensa està composta per la gestió operativa i és responsable de la definició, implementació i control de les mesures de seguretat de la informació per al maneig de riscos i el compliment dels requisits de seguretat de la informació.
La segona línia de defensa està en mans de l'ISO i la unitat de seguretat de la informació de PIB, amb el suport de les funcions de gestió de riscos establertes localment. La segona línia defineix els requisits de seguretat de la informació i supervisa la definició, implementació i control de les mesures de seguretat de la informació de la 1a línia.
L'auditoria interna actua com una unitat independent com a tercera línia, avaluant l'efectivitat de les primeres dues línies de defensa. Les auditories s'han de dur a terme periòdicament i d'acord amb el seu pla d'auditoria corresponent per part d'auditors que tinguin coneixements, competències i experiència suficients en riscos TIC i de seguretat, per tal de garantir de manera independent la seva eficàcia (directriu 5 de DGSEIOPA).
Aquesta política serà revisada anualment pel responsable de Seguretat. Durant el procés de revisió es tindran en compte els conceptes següents:
En cas que es produeixin canvis en la versió vigent, es presentarà al Comitè de Seguretat per a la seva aprovació, havent de quedar documentada la decisió adoptada i la justificació.
La modificació que es dugui a terme haurà de quedar degudament documentada a l'apartat Historial de Canvis, indicant qui va realitzar el canvi i el motiu.
A continuació es detallen les polítiques de seguretat que defineixen els requisits de seguretat per a cada àmbit d'actuació. Aquestes polítiques complementen el definit en aquesta política.
