Informazioaren segurtasuna definitu da PIB Group Spainen (aurrerantzean 'PIB') ezarritako marko, prozesu eta kontrol gisa, helburu dutenak mantentzea Konfidentzialtasuna -bakarrik baimendutako pertsonek sar dezakete informazioa-, osotasuna -informazioa eta haren prozesamendua zehatzak eta osatuak direla- eta eskuragarritasuna – Informazioari eta haren aktiboei behar denean sarbidea izan daiteke – informazioari dagokionez.
Politika honen testuinguruan, informazioaren segurtasuna datu pertsonal identifikagarri guztien babesari eta zaintzari dagozkie bizitza-ziklo osoan zehar, kaltegarri edo ustekabeko zabalkunde, aldaketa edo suntsiketaren aurka. Horregatik, politika hau aplikagarria da datu horiek gordetzen, prozesatzen edo transferitzen dituzten informazio-sistemetan eta aplikazioetan. Era berean, inprimatutako dokumentuak, eskuz idatzitako oharrak eta elkarrizketak behar bezala babestu behar dira.
Hori dela eta, PIB Kudeaketa Batzordeak talde osoan Informazio Segurtasun Kudeaketa Sistema (ISMS) bat ezartzea erabaki du, informazio segurtasunaren maila egokiak lortzeko eta mantentzeko. ISMSa nazioartean onartutako ISO 27001:2022 estandarrarekin lerrokatuta dago. Gainera, gobernantza eta informazio-teknologia segurtasunari buruzko EIOPAren jarraibideak (aurrerantzean DGSEIOPA) kontuan hartzen ditu.
Dokumentu honek Taldearen osorako informazio-segurtasun printzipioak ezartzen ditu eta, beraz, aplikagarri diren legezko eta araudi-betebeharrak kontuan hartzen ditu.
Gainera, ‘Negozio Jarraikortasun Politika'k DGSEIOPAren 19., 21., 22. eta 23. jarraibideetako xedapenen arabera, Negozio Jarraikortasun Kudeaketarako (NJK) gutxieneko eskakizunak, helburuak, ardurak, prozesuak eta txosten-prozedurak ezartzen ditu.
SGSI eta GCN, beraz, PIBri informazio-segurtasunean laguntzen diote, baita larrialdi eta krisialdi ondorengo negozioen berreskurapenean ere.
Informazioaren segurtasuna – konfidentzialtasuna, osotasuna eta eskuragarritasuna – funtsezko faktorea da PIBen arrakastarako, eta gure negozioa gero eta digitalagoa bihurtzen den heinean gero eta garrantzitsuagoa bihurtzen ari da.
Gure eguneroko jardueren barruan biltzen, gordetzen eta prozesatzen ditugun datuek balio handia dute bai BPGarentzat, bai haiek oker erabil ditzaketen beste kanpoko alderdi batzuentzat. Gure informazio-sistemak eta haiek prozesatzen dituzten datuek arrisku desberdinetara esposatu gaitzakete: baimenik gabeko sarbideetatik eta baimenik gabeko informazio-argitaratzetik hasi eta lapurreta, datuen korruptzioa edo sistemaren huts egiteagatik negozio-jardueraren etenaldia eragiten duten arriskuetara.
Arriskuek ager daitezke langile batek ustekabean edo asmoz egindako ekintzen edo erakunde kriminalek egindako ekintza gaiztoen ondorioz. Arrisku horiek Taldea arriskuan jar dezakete bezeroen konfiantza galtzeagatik, araudiaren betetze eza eta/edo lehiakortasun abantaila galtzeagatik.
Arrazoi horien guztiengatik, Taldearen informazio-aktiboak eta haiek eusten dituzten prozesuak babesteko, kontrol-neurri egokiak ezartzea beharrezkoa da.
Dokumentu honek PIB-eko informazioaren segurtasun printzipioak ezartzen ditu eta, beraz, aplikagarri diren legezko eta araudi-betebeharrak kontuan hartzen ditu, DGSEIOPA 6. Gida-jarraibidearen xedapenen arabera. Politika honek informazioaren segurtasunaren kudeaketarako oinarria osatzen du, eta, halaber, barneko edo kanpoko mehatxu asmozko nahiz ustekabekoen aurka PIBko informazioaren konfidentzialtasuna, osotasuna eta eskuragarritasuna babesteko diseinatutako arau espezifikoen oinarria da, PIBko informazio-sistemen garapena, ezarpena, funtzionamendua, mantentzea eta erabilera bermatzeko.
Politika hau langile guztiei aplikatzen zaie, aldi baterakoak nahiz iraunkorrak, baita Taldearen informazioa edo informazio-sistemak eta/edo haren instalazioak erabiltzen dituzten zerbitzu-hornitzaileei ere.
ISOaren ardura nagusia da PIBen barruan informazioaren segurtasunari eta teknologiari lotutako arriskuak aholkatzea, koordinatzea, monitorizatzea eta berrikustea. ISOaren ardurak honako hauek barne hartzen dituzte, baina ez dira horietara mugatzen:
Informazio guztientzat segurtasun osoa ematea ezinezkoa da. Gainera, informazio guztiek ez dute babes-maila bera behar. Hori dela eta, PIBek informazioaren segurtasuna kudeatzeko arriskuetan oinarritutako ikuspegia erabiltzen du (DGSEIOPA Gida 4). Horrela, PIBek baliabideak esleitu eta erabili ditzake premiazkoenak diren eremuetan. Hori dela eta, ISOk informazioaren segurtasun-arriskuen kudeaketarako eskakizun bateratuak definitzen ditu eta, ondorioz, arriskuetan oinarritutako erabakiak errazten eta gainbegiratzen ditu.
Barneko eta kanpoko PIB langileak informazioaren segurtasun-maila beharrezkoak bermatzeko faktore garrantzitsuenetakoak dira. Segurtasun-neurri asko modu eraginkorrean ezarri daitezke soilik barneko eta kanpoko langileek informazioaren segurtasunari buruzko kontzientzia nahikoa badute eta arlo horretan gaitasun egokiak badituzte. Beraz, ISOak informazio-segurtasunaren prestakuntza eta kontzientziazio plana garatuko du, langile guztiek beren betebehar eta erantzukizunak bete ditzaten eta teknologien erabilerarekin eta informazio-segurtasunarekin lotutako arriskuak minimizatzeko. (DGSEIOPA Gida 13).
Talde osoan beharrezkoa den informazio-segurtasun-maila soilik bermatu daiteke estandarizatutako, lotesleak diren gutxieneko eskakizun eta haien tokiko egokitzapenen bidez. Horregatik, informazio-segurtasun politikak hiru maila ditu, bata bestearen gainean eraikia:
ISOak Talde osoan partekatzen diren zerbitzu guztientzako Informazio Segurtasun Politika eta 2. mailako dokumentuak garatu eta mantentzen ditu. Prozedurak eta lan-argibideak dagokion arduradun funtzio-unitateek garatu eta mantentzen dituzte.
Kanpoko hornitzaile eta zerbitzu-bazkideekin lankide egiteak ezin du PIBen informazio-segurtasun-maila arriskuan jarri. Horregatik, kanpoko hornitzaile eta zerbitzu-bazkideek soilik izango dute sarbidea PIBen informazio eta IT baliabideetara, PIBek kanpoko hornitzaile eta zerbitzu-bazkideen informazio-segurtasun-mailak egokiak direla ebaluatu eta sailkatu ondoren. Gainera, PIBek lankidetzarako beharrezkoak diren informazio- eta TI baliabideetarako sarbidea soilik ematen du (jakiteko beharra printzipioa). Horregatik, ISOak kanpoko alderdiekiko segurtasun-ikuspegiko lankidetzarako eskakizun bateratuak definitzen ditu.
Beharrezko informazio-segurtasun estandarrak modu independentean egiaztatu, monitorizatu eta ebaluatu behar dira, haiek mantendu eta etengabe optimizatzeko (DGSEIOPA Gida 12). Hori informazio-segurtasunaren kudeaketa arloan ere babesten da «defentsa hiru lerroen eredua» bidez.
Defentsa-lerro lehena kudeaketa operazionala da, eta arduratzen da informazio-segurtasun neurriak definitu, ezarri eta monitorizatzeko, arriskuak kudeatzeko eta informazio-segurtasun eskakizunak betetzea bermatzeko.
Bigarren defentsa-lerroa ISOaren eta PIBren informazio-segurtasun unitateen ardura da, tokian bertan ezarritako arrisku-kudeaketa funtzioen laguntzarekin. Bigarren lerroak informazio-segurtasun eskakizunak definitzen ditu eta lehen lerroaren informazio-segurtasun neurriak definitzeko, ezartzeko eta zaintzeko gainbegiratzen du.
Barne-auditoretza unitate independente gisa jarduten du, defentsa hirugarren lerro gisa balio du eta lehen bi defentsa-lerroen eraginkortasuna ebaluatzen du. Auditoriak erregularki eta dagokion auditori-planaren arabera egin behar dira, TIK arrisku eta segurtasun gaietan ezagutza, trebetasun eta esperientzia nahikoa duten auditoretzaileek, haien eraginkortasuna modu independentean bermatzeko (DGSEIOPA Gida 5).
Politika hau Segurtasun Ofizialak urtero berrikusiko du. Berenikuspena egiteko prozesuan honako puntu hauek kontuan hartuko dira:
Egungo bertsioan aldaketarik egin behar izanez gero, aldaketa horiek Segurtasun Batzordera onespenerako aurkeztu behar dira, eta hartutako erabakia eta haren arrazoiak dokumentatu behar dira.
Egin diren aldaketa guztiak Aldaketa Historian atalean behar bezala dokumentatu behar dira, zeinak aldaketa egin duen eta zergatia adieraziz.
Jarduera-eremu bakoitzerako segurtasun-eskakizunak ezartzen dituzten segurtasun-politikak behean zerrendatuta daude. Politika hauek politika honetako xedapenak osatzen dituzte.
