La seguridad de la información se define como el marco, los procesos y los controles definidos dentro de PIB Group España (en adelante PIB) que buscan mantener la confidencialidad -solo quienes estén autorizados pueden acceder a la información-, integridad -la información y su procesamiento son exactos y completos- y disponibilidad – la información y sus activos pueden ser accedidos cuando sea requerido – de la información.
En el contexto de esta política, la seguridad de la información está relacionada con la protección y salvaguarda de todos los datos de PIB a lo largo de su ciclo de vida de su divulgación maliciosa o accidental, modificación o destrucción. Por este motivo, esta política afecta a los sistemas de información y aplicaciones que almacenan, procesan o transfieren dichos datos. De igual forma, los documentos impresos y las notas manuscritas o las conversaciones deben estar adecuadamente protegidos.
Por esta razón, el Comité de Dirección de PIB ha decidido establecer un Sistema de Gestión de Seguridad de la Información (SGSI o ISMS en inglés) en todo el grupo con el fin de alcanzar y mantener los niveles adecuados de seguridad de la información. El SGSI está orientado hacia la norma internacionalmente reconocida ISO 27001: 2022. Además, tiene en cuenta las directrices sobre gobernanza y seguridad de las tecnologías de la información de EIOPA (en adelante DGSEIOPA).
Este documento define los principios de seguridad de la información para todo el Grupo y por lo tanto toma en cuenta los requisitos legales y regulatorios aplicables.
Además, la ‘Política de Continuidad de Negocio’ establece los requisitos mínimos, los objetivos, las responsabilidades, los procesos y los procedimientos de información para la Gestión de la Continuidad del Negocio (GCN o BCM en inglés) de acuerdo a lo establecido en las directrices 19, 21, 22 y 23 de DGSEIOPA.
Por lo tanto, SGSI y GCN respaldan a PIB en la protección de la información, así como en la recuperación de negocios de situaciones de emergencia y crisis.
La seguridad de la información –confidencialidad, integridad y disponibilidad- es un factor clave de éxito para PIB y se está volviendo cada vez más importante debido a la digitalización de nuestro negocio.
Los datos que recopilamos, almacenamos y procesamos como parte de nuestras operaciones diarias tienen un valor significativo tanto para PIB como para otros agentes externos que podrían hacer un mal uso de ellos. Los sistemas de información y los datos que procesan pueden exponernos a riesgos que pueden ir desde un acceso no autorizado, divulgación de información no autorizada, robo, corrupción de datos o discontinuidad del negocio por pérdida de los sistemas.
Los riesgos se pueden materializar como resultado de una acción accidental o intencional por parte de un empleado o por acciones maliciosas llevadas a cabo por organizaciones criminales. Estos riesgos pueden poner en peligro al Grupo por la pérdida de confianza de los clientes, por el incumplimiento de una regulación y/o la pérdida de una ventaja competitiva.
Por todo ello, es necesario poner en marcha medidas de control adecuadas que protejan a los activos de información del Grupo y a los procesos que los soportan.
Este documento define los principios de seguridad de la información para PIB y por lo tanto toma en cuenta los requisitos legales y regulatorios aplicables, de acuerdo con lo establecido en la directriz 6 de DGSEIOPA. La política sirve como base para la administración de la seguridad de la información y para regulaciones específicas a fin de proteger la confidencialidad, integridad y disponibilidad de la información dentro de PIB contra amenazas internas o externas, ya sean intencionales o no, con el fin de asegurar el desarrollo, implementación, operación, mantenimiento y uso de los sistemas de información de PIB.
Esta política aplica a todos los empleados, sean temporales o no y a los proveedores de servicio que hagan uso de la información o los sistemas de información del Grupo y/o sus instalaciones.
La responsabilidad principal del ISO es aconsejar, coordinar, monitorizar y revisar los riesgos relacionados con la seguridad de la información y la tecnología dentro de PIB. Las responsabilidades del ISO incluyen, pero no están limitadas a:
No es posible proporcionar seguridad total para toda la información. Además, no toda la información requiere la misma protección. PIB, por lo tanto, gestiona la seguridad de la información basado en el riesgo (directriz 4 de DGSEIOPA). Esto hace posible que PIB facilite y use recursos en las áreas donde más urgentemente se requieran. El ISO, por esta razón, define los requisitos unificados para la gestión de los riesgos de seguridad de la información y, por lo tanto, facilita y supervisa las decisiones basadas en el riesgo.
Tanto los empleados internos como externos de PIB se encuentran entre los factores de éxito más importantes para garantizar los niveles de seguridad de la información requeridos. Numerosas medidas de seguridad solo pueden implementarse eficazmente si los empleados internos y externos son suficientemente conscientes de la seguridad de la información y tienen suficientes habilidades en el campo de la seguridad de la información. El ISO, por lo tanto, desarrollará un plan de formación y sensibilización en materia de seguridad de la información que permita a todos los empleados cumplir con sus obligaciones y responsabilidades y minimizar los riesgos asociados al uso de las tecnologías y la seguridad de la información (directriz 13 de DGSEIOPA).
El nivel de seguridad de la información que se requiere en todo el Grupo solo puede garantizarse mediante requisitos mínimos unificados y vinculantes y sus características locales. Por esta razón, hay tres niveles de política de seguridad de la información basados el uno en el otro:
El ISO crea y mantiene la Política de Seguridad de la Información y los documentos de nivel 2 para todos los servicios compartidos por el Grupo. Los procedimientos o instrucciones de trabajo son creados y mantenidos por las unidades funcionales responsables respectivamente.
La cooperación con proveedores y socios de servicios externos no debe reducir el nivel de seguridad de la información de PIB. Por esta razón, los proveedores y los socios de servicios externos solo pueden tener acceso a la información de PIB y los recursos de TI una vez que PIB haya evaluado y clasificado los niveles de seguridad de la información de los proveedores y socios de servicios externos según corresponda. Además, PIB solo otorga acceso a información y recursos de TI que son necesarios para la cooperación (principio de necesidad de conocer). El ISO, por lo tanto, define los requisitos unificados para la cooperación orientada a la seguridad con partes externas.
Los niveles de seguridad de la información requeridos deben verificarse, monitorearse y evaluarse de manera independiente para poder mantenerlos y optimizarlos continuamente (directriz 12 de DGSEIOPA). Esto también se apoya en el área de Gestión de la seguridad de la información a través del «Modelo de tres líneas de defensa».
La 1ra línea de defensa está compuesta por la gestión operativa y es responsable de la definición, implementación y control de las medidas de seguridad de la información para el manejo de riesgos y el cumplimiento de los requisitos de seguridad de la información.
La segunda línea de defensa está en manos del ISO y la unidad de la seguridad de la información de PIB, con el apoyo de las funciones de gestión de riesgos establecidas localmente. La segunda línea define los requisitos de seguridad de la información y supervisa la definición, implementación y control de las medidas de seguridad de la información de la 1ra línea.
La auditoría interna actúa como una unidad independiente como tercera línea, evaluando la efectividad de las primeras dos líneas de defensa. Las auditorías deberán realizarse de forma periódica y en consonancia con su correspondiente plan de auditoría por unos auditores dotados de unos conocimientos, unas competencias y una experiencia suficientes en riesgos de TIC y seguridad, a fin de garantizar de manera independiente su eficacia (directriz 5 de DGSEIOPA)
Esta política se revisará de forma anual por parte del responsable de Seguridad. Durante el proceso de revisión se tendrán en cuenta los siguientes conceptos:
En caso de producirse cambios en la versión vigente, se presentará en el Comité de Seguridad para su aprobación, debiendo quedar documentada la decisión adoptada y la justificación.
La modificación que se efectúe deberá quedar debidamente documentada en el apartado Historial de Cambios, indicando quién realizó el cambio y el motivo.
A continuación, se listan las políticas de seguridad que definen los requerimientos de seguridad para cada ámbito de actuación. Estas políticas complementan lo definido en esta política.
* En Madrid y Barcelona.
