Informazioaren segurtasuna PIB Group España-n (aurrerantzean PIB) definitutako esparru, prozesu eta kontrolak bezala definitzen da, konfidentzialtasuna (baimendutako pertsonek bakarrik sar daitezke informaziora), osotasuna (informazioa eta haren prozesamendua zehatzak eta osoak dira) eta erabilgarritasuna (informaziora eta haren aktiboetara behar denean sar daitezke) mantentzea helburu dutenak.
Politika honen testuinguruan, informazioaren segurtasunak PIB datu guztiak beren bizi-ziklo osoan zehar babestea eta babestea adierazten du, gaizki edo ustekabeko dibulgazio, aldaketa edo suntsipenaren aurka. Hori dela eta, politika honek datu horiek gordetzen, prozesatzen edo transferitzen dituzten informazio-sistemei eta aplikazioei eragiten die. Era berean, inprimatutako dokumentuak eta eskuz idatzitako oharrak edo elkarrizketak behar bezala babestu behar dira.
Hori dela eta, PIB Zuzendaritza Batzordeak Talde osoko Informazioaren Segurtasunerako Kudeaketa Sistema (ISKS) bat ezartzea erabaki du, informazioaren segurtasun maila egokiak lortu eta mantentzeko. ISKS nazioartean aitortutako ISO 27001:2022 arauan oinarrituta dago. Horrez gain, kontuan hartzen ditu informazio-teknologien gobernantzari eta segurtasunari buruzko EIOPAren jarraibideak (aurrerantzean DGSEIOPA).
Dokumentu honek Talde osoarentzako informazioaren segurtasun printzipioak definitzen ditu eta, beraz, aplikagarri diren lege eta araudi eskakizunak kontuan hartzen ditu.
Horrez gain, Negozioen Jarraitutasun Politikak Negozioen Jarraitutasun Kudeaketaren (BCM) gutxieneko eskakizunak, helburuak, erantzukizunak, prozesuak eta txostenak egiteko prozedurak ezartzen ditu, DGSEIOPAren 19, 21, 22 eta 23 Jarraibideen arabera.
Beraz, SGSIk eta GCNk PIBri laguntzen diote informazioa babesten, baita larrialdi eta krisi egoeretatik negozioak berreskuratzen ere.
Informazioaren segurtasuna —konfidentzialtasuna, osotasuna eta erabilgarritasuna— PIB-en arrakastarako funtsezko faktorea da, eta gero eta garrantzitsuagoa bihurtzen ari da gure negozioaren digitalizazioaren ondorioz.
Gure eguneroko eragiketen barruan biltzen, gordetzen eta prozesatzen ditugun datuek balio handia dute bai GDPrentzat, bai gaizki erabil ditzaketen beste kanpoko alderdientzat. Informazio-sistemek eta prozesatzen dituzten datuek arriskuen aurrean jar gaitzakete, hala nola baimenik gabeko sarbidea, informazioa baimenik gabeko dibulgazioa, lapurreta, datuen hondatzea edo sistemen galeraren ondorioz negozioaren etenaldia.
Arriskuak langile baten nahitako edo ustekabeko ekintzen edo erakunde kriminalek egindako ekintza gaiztoen ondorioz sor daitezke. Arrisku hauek Taldea arriskuan jar dezakete bezeroen konfiantza galtzearen, araudi-ez betetzearen eta/edo lehiakortasun-abantaila galtzearen ondorioz.
Horregatik guztiagatik, beharrezkoa da Taldearen informazio-aktiboak eta horiek eusten dituzten prozesuak babesteko kontrol-neurri egokiak ezartzea.
Dokumentu honek PIB-erako informazio-segurtasun printzipioak definitzen ditu eta, beraz, kontuan hartzen ditu aplikagarri diren lege- eta araudi-eskakizunak, DGSEIOPAren 6. Jarraibidean xedatutakoaren arabera. Politika honek informazioaren segurtasunaren kudeaketaren eta PIBen barruko informazioaren konfidentzialtasuna, osotasuna eta eskuragarritasuna babesteko araudi espezifikoen oinarri gisa balio du, barneko edo kanpoko mehatxuen aurka, nahita edo nahi gabe izan, PIBen informazio-sistemen garapena, ezarpena, funtzionamendua, mantentzea eta erabilera bermatzeko.
Politika hau aldi baterako langile guztiei aplikatzen zaie, bai langileei bai Taldearen informazioa edo informazio-sistemak eta/edo instalazioak erabiltzen dituzten zerbitzu-emaileei.
ISOren ardura nagusia PIBen barruan informazio eta teknologiaren segurtasunarekin lotutako arriskuak aholkatzea, koordinatzea, kontrolatzea eta berrikustea da. ISOren erantzukizunen artean daude, baina ez dira mugatzen:
Ezinezkoa da informazio guztiaren segurtasun osoa ematea. Gainera, ez du informazio guztiak babes bera behar. Beraz, PIBek informazioaren segurtasuna kudeatzen du arriskuan oinarrituta (DGSEIOPAren 4. jarraibidea). Horri esker, PIB-ek baliabideak erraztu eta erabili ditzake premiazkoenak diren eremuetan. Beraz, ISOk informazioaren segurtasun arriskuen kudeaketarako eskakizun bateratuak definitzen ditu eta, horrela, arriskuetan oinarritutako erabakiak erraztu eta kontrolatzen ditu.
PIBeko barneko zein kanpoko langileak dira informazioaren segurtasun maila beharrezkoak bermatzeko arrakasta faktore garrantzitsuenen artean. Segurtasun neurri ugari eraginkortasunez ezar daitezke barneko eta kanpoko langileek informazioaren segurtasunaz behar bezain kontziente badira eta informazioaren segurtasunaren arloan gaitasun nahikoa badute. ISOk, beraz, informazioaren segurtasunari buruzko prestakuntza eta sentsibilizazio plan bat garatuko du, langile guztiek beren betebeharrak eta erantzukizunak bete ditzaten eta informazioaren teknologien eta segurtasunaren erabilerarekin lotutako arriskuak minimiza ditzaten (DGSEIOPAren 13. jarraibidea).
Talde osoan behar den informazio-segurtasun maila gutxieneko eskakizun bateratu eta lotesleen eta haien tokiko ezaugarrien bidez bakarrik berma daiteke. Horregatik, elkarren artean oinarritutako hiru informazio-segurtasun politika maila daude:
ISOk Taldeak partekatzen dituen zerbitzu guztietarako Informazioaren Segurtasun Politika eta 2. mailako dokumentuak sortu eta mantentzen ditu. Prozedurak edo lan-argibideak unitate funtzional arduradunek sortu eta mantentzen dituzte, hurrenez hurren.
Kanpoko zerbitzu-hornitzaileekin eta bazkideekin lankidetzan aritzeak ez luke PIBren informazio-segurtasun maila murriztu behar. Hori dela eta, hirugarrenen zerbitzu-hornitzaileek eta bazkideek PIBren informaziora eta IT baliabideetara sar daitezke PIBek hirugarrenen zerbitzu-hornitzaileen eta bazkideen informazio-segurtasun-mailak ebaluatu eta sailkatu ondoren soilik. Gainera, PIBek lankidetzarako beharrezkoak diren informaziora eta IT baliabideetara sarbidea baino ez du ematen (jakiteko beharraren printzipioa). Beraz, ISOk kanpoko alderdiekin segurtasunean oinarritutako lankidetzarako eskakizun bateratuak definitzen ditu.
Beharrezko informazio-segurtasun mailak modu independentean egiaztatu, kontrolatu eta ebaluatu behar dira, etengabe mantendu eta optimizatu ahal izateko (DGSEIOPAren 12. jarraibidea). Hau Informazioaren Segurtasun Kudeaketaren arloan ere onartzen da “Hiru Defentsa Lerroen Ereduaren” bidez.
Lehenengo defentsa-lerroa eragiketa-kudeaketek osatzen dute eta informazio-segurtasuneko neurriak definitzeaz, ezartzeaz eta kontrolatzeaz arduratzen da, arriskua kudeatzeko eta informazio-segurtasuneko eskakizunak betetzeko.
Bigarren defentsa-lerroa ISOren eta PIB Informazioaren Segurtasun Unitatearen esku dago, tokian tokiko ezarritako arriskuen kudeaketa funtzioen laguntzarekin. Bigarren lerroak informazioaren segurtasun-eskakizunak definitzen ditu eta lehenengo lerroko informazioaren segurtasun-neurrien definizioa, ezarpena eta kontrola gainbegiratzen ditu.
Barne-auditoriak hirugarren defentsa-lerro independente gisa jokatzen du, lehenengo bi defentsa-lerroen eraginkortasuna ebaluatuz. Auditoriak aldian-aldian eta dagokien auditoria-planaren arabera egin behar dituzte IKT arriskuetan eta segurtasunean ezagutza, trebetasun eta esperientzia nahikoa duten auditoreek, haien eraginkortasuna modu independentean bermatzeko (DGSEIOPAren 5. jarraibidea).
Politika hau urtero berrikusiko du Segurtasun arduradunak. Berrikuspen prozesuan honako kontzeptu hauek hartuko dira kontuan:
Uneko bertsioan aldaketak egiten badira, Segurtasun Batzordeari aurkeztuko zaizkio onar ditzan, eta erabakia eta justifikazioa dokumentatu beharko dira.
Egindako edozein aldaketa behar bezala dokumentatu behar da Aldaketa Historia atalean, aldaketak nork egin dituen eta arrazoia adieraziz.
Jarduera-eremu bakoitzerako segurtasun-eskakizunak definitzen dituzten segurtasun-politikak behean zerrendatzen dira. Politika hauek politika honetan definitutakoa osatzen dute.
Enpresarako irtenbideak
* En Madrid y Barcelona.
