A seguridade da información defínese como o marco, os procesos e os controis establecidos no seo de PIB Group Spain (en diante 'PIB') que teñen como obxectivo manter a confidencialidade -só as persoas autorizadas poden acceder á información-, integridade -a información e o seu tratamento son precisos e completos- e disponibilidade – A información e os seus activos poden accederse cando sexa necesario – con respecto á información.
No contexto desta política, a seguridade da información refírese á protección e á salvaguarda de todos os datos de PIB ao longo do seu ciclo de vida fronte á divulgación, alteración ou destrución maliciosa ou accidental. Por esta razón, esta política aplícase aos sistemas de información e ás aplicacións que almacenan, procesan ou transfiren tales datos. Do mesmo xeito, os documentos impresos, as notas manuscritas e as conversas deben estar adecuadamente protexidos.
Por esta razón, o Comité de Xestión do PIB decidiu establecer un Sistema de Xestión da Seguridade da Información (ISMS) en todo o grupo co fin de acadar e manter niveis axeitados de seguridade da información. O ISMS está aliñado co estándar internacionalmente recoñecido ISO 27001:2022. Ademais, ten en conta as directrices da EIOPA sobre gobernanza e seguridade das tecnoloxías da información (en diante DGSEIOPA).
Este documento establece os principios de seguridade da información para todo o Grupo e, polo tanto, ten en conta os requisitos legais e regulamentarios aplicables.
Ademais, a ‘Política de Continuidade do Negocio’ establece os requisitos mínimos, obxectivos, responsabilidades, procesos e procedementos de informes para a Xestión da Continuidade do Negocio (BCM) de acordo coas disposicións das Directrices DGSEIOPA 19, 21, 22 e 23.
SGSI e GCN apoian polo tanto o PIB na seguridade da información, así como na recuperación empresarial tras emerxencias e crises.
A seguridade da información – confidencialidade, integridade e dispoñibilidade – é un factor clave no éxito de PIB e está a facerse cada vez máis importante a medida que o noso negocio se volve máis dixital.
Os datos que recollamos, almacenamos e procesamos como parte das nosas operacións diarias teñen un valor significativo tanto para o PIB como para outras partes externas que poidan facer un uso indebido deles. Os nosos sistemas de información e os datos que procesan poden expoñernos a riscos que van desde o acceso non autorizado e a divulgación non autorizada de información ata o roubo, a corrupción de datos ou a interrupción empresarial debido a fallos do sistema.
Poden xurdir riscos como resultado de accións accidentais ou deliberadas por parte dun empregado, ou de actos maliciosos levados a cabo por organizacións criminais. Estes riscos poden comprometer o Grupo mediante a perda de confianza dos clientes, o incumprimento regulatorio e/ou a perda dunha vantaxe competitiva.
Por todas estas razóns, é necesario implementar medidas de control adecuadas para protexer os activos de información do Grupo e os procesos que os apoian.
Este documento establece os principios de seguridade da información para PIB e, polo tanto, ten en conta os requisitos legais e regulamentarios aplicables, de acordo coas disposicións da Guía 6 de DGSEIOPA. A política serve de base para a xestión da seguridade da información e para as regulacións específicas deseñadas para protexer a confidencialidade, integridade e dispoñibilidade da información dentro de PIB fronte a ameazas internas ou externas, intencionadas ou non, co fin de garantir o desenvolvemento, a implementación, a operación, o mantemento e o uso dos sistemas de información de PIB.
Esta política aplícase a todos os empregados, tanto temporais como permanentes, e aos provedores de servizos que utilicen a información ou os sistemas de información do Grupo e/ou as súas instalacións.
A responsabilidade principal do ISO é asesorar, coordinar, supervisar e revisar os riscos relacionados coa seguridade da información e coa tecnoloxía dentro de PIB. As responsabilidades do ISO inclúen, entre outras:
Non é posible proporcionar seguridade total para toda a información. Ademais, non toda a información require o mesmo nivel de protección. Por iso, PIB xestiona a seguridade da información cun enfoque baseado en riscos (Liña Directriz 4 de DGSEIOPA). Isto permite a PIB asignar e empregar recursos nas áreas onde son máis urxentemente necesarios. Por esta razón, a ISO define requisitos unificados para a xestión dos riscos de seguridade da información e, en consecuencia, facilita e supervisa as decisións baseadas en riscos.
Tanto o persoal interno como o externo de PIB están entre os factores máis importantes para garantir os niveis requiridos de seguridade da información. Moitas medidas de seguridade só poden implementarse de xeito eficaz se o persoal interno e externo está suficientemente concienciado sobre a seguridade da información e posúe habilidades adecuadas neste eido. Por iso, a ISO desenvolverá un plan de formación e concienciación en seguridade da información que permita a todos os empregados cumprir coas súas funcións e responsabilidades e minimizar os riscos asociados ao uso das tecnoloxías e da seguridade da información (Liña directriz 13 da DGSEIOPA).
O nivel de seguridade da información requirido en todo o Grupo só pode asegurarse mediante requisitos mínimos estandarizados e vinculantes e as súas adaptacións locais. Por esta razón, existen tres niveis de política de seguridade da información, cada un baseado no anterior:
O ISO desenvolve e mantén a Política de Seguridade da Información e os documentos de Nivel 2 para todos os servizos compartidos no Grupo. Os procedementos e as instrucións de traballo son desenvolvidos e mantidos polas unidades funcionais respectivas responsables.
A cooperación con provedores externos e socios de servizos non debe comprometer o nivel de seguridade da información en PIB. Por esta razón, só se lles poderá conceder acceso á información e aos recursos de TI de PIB unha vez que PIB teña avaliado e clasificado os niveis de seguridade da información dos provedores externos e socios de servizos como axeitados. Ademais, PIB só concede acceso á información e aos recursos de TI necesarios para a cooperación (principio de necesidade de coñecemento). Por iso, a ISO define requisitos unificados para a cooperación orientada á seguridade con partes externas.
Os estándares de seguridade da información requiridos deben ser verificados, monitorizados e avaliados de xeito independente para mantelos e optimizalos de forma continua (Liña directriz 12 da DGSEIOPA). Isto tamén se reflicte na área de xestión da seguridade da información a través do «modelo das tres liñas de defensa».
A primeira liña de defensa consiste na xestión operativa e é responsable de definir, implementar e supervisar as medidas de seguridade da información para xestionar riscos e garantir o cumprimento dos requisitos de seguridade da información.
A segunda liña de defensa é responsabilidade da unidade de seguridade da información do ISO e do PIB, co apoio das funcións de xestión de riscos establecidas localmente. A segunda liña define os requisitos de seguridade da información e supervisa a definición, a implementación e o seguimento das medidas de seguridade da información da primeira liña.
A auditoría interna actúa como unha unidade independente, servindo como terceira liña de defensa, e avalía a eficacia das dúas primeiras liñas de defensa. As auditorías deben realizarse de xeito regular e de acordo co plan de auditoría correspondente por auditores con coñecementos, habilidades e experiencia suficientes en riscos e seguridade de TIC, co fin de garantir de forma independente a súa eficacia (Orientación 5 da DGSEIOPA).
Esta política será revisada anualmente polo Responsable de Seguridade. Os seguintes puntos teranse en conta durante o proceso de revisión:
Se se deben facer cambios na versión actual, estes deberán presentarse ao Comité de Seguridade para a súa aprobación, e a decisión adoptada, xunto cos motivos que a fundamentan, deberá documentarse.
Calquera cambio realizado debe documentarse correctamente na sección de Historial de cambios, indicando quen realizou o cambio e o motivo do mesmo.
As políticas de seguridade que establecen os requisitos de seguridade para cada área de actividade listanse a continuación. Estas políticas complementan as disposicións desta política.
