A seguridade da información defínese como o marco, os procesos e os controis definidos dentro de PIB Group España (en diante PIB) que buscan manter a confidencialidade (só as partes autorizadas poden acceder á información), a integridade (a información e o seu tratamento son precisos e completos) e a dispoñibilidade (pódese acceder á información e aos seus activos cando sexa necesario).
No contexto desta política, a seguridade da información refírese á protección e salvagarda de todos os datos do PIB ao longo do seu ciclo de vida fronte á divulgación, modificación ou destrución maliciosa ou accidental. Por este motivo, esta política afecta os sistemas e aplicacións de información que almacenan, procesan ou transfiren eses datos. Do mesmo xeito, os documentos impresos e as notas ou conversas manuscritas deben estar axeitadamente protexidas.
Por este motivo, o Comité de Dirección do PIB decidiu establecer un Sistema de Xestión da Seguridade da Información (SGSI) a nivel de Grupo para acadar e manter niveis axeitados de seguridade da información. O SGSI está orientado á norma internacionalmente recoñecida ISO 27001:2022. Ademais, ten en conta as directrices da EIOPA sobre gobernanza e seguridade das tecnoloxías da información (en diante, DGSEIOPA).
Este documento define os principios de seguridade da información para todo o Grupo e, polo tanto, ten en conta os requisitos legais e regulamentarios aplicables.
Ademais, a Política de Continuidade do Negocio establece os requisitos mínimos, obxectivos, responsabilidades, procesos e procedementos de presentación de informes para a Xestión da Continuidade do Negocio (BCM) de acordo coas Directrices 19, 21, 22 e 23 da DGSEIOPA.
Polo tanto, SGSI e GCN apoian a PIB na protección da información, así como na recuperación empresarial ante situacións de emerxencia e crise.
A seguridade da información (confidencialidade, integridade e dispoñibilidade) é un factor clave para o éxito do PIB e é cada vez máis importante debido á dixitalización do noso negocio.
Os datos que recompilamos, almacenamos e procesamos como parte das nosas operacións diarias teñen un valor significativo tanto para GDP como para outras partes externas que poderían usalos indebidamente. Os sistemas de información e os datos que procesan poden expoñernos a riscos que van desde o acceso non autorizado, a divulgación non autorizada de información, o roubo, a corrupción de datos ou a interrupción do negocio debido á perda de sistemas.
Os riscos poden materializarse como resultado dunha acción accidental ou intencionada por parte dun empregado ou de accións maliciosas levadas a cabo por organizacións criminais. Estes riscos poderían poñer en perigo o Grupo debido á perda de confianza dos clientes, ao incumprimento da normativa e/ou á perda dunha vantaxe competitiva.
Por todas estas razóns, é necesario implementar medidas de control axeitadas para protexer os activos de información do Grupo e os procesos que os sustentan.
Este documento define os principios de seguridade da información para PIB e, polo tanto, ten en conta os requisitos legais e regulamentarios aplicables, de acordo co disposto na Directriz 6 da DGSEIOPA. A política serve como base para a xestión da seguridade da información e para regulacións específicas para protexer a confidencialidade, a integridade e a dispoñibilidade da información dentro do PIB contra ameazas internas ou externas, xa sexan intencionadas ou non, co fin de garantir o desenvolvemento, a implementación, o funcionamento, o mantemento e o uso dos sistemas de información do PIB.
Esta política aplícase a todos os empregados, sexan temporais ou non, e aos provedores de servizos que utilicen a información ou os sistemas de información e/ou as instalacións do Grupo.
A principal responsabilidade da ISO é asesorar, coordinar, supervisar e revisar os riscos relacionados coa seguridade da información e a tecnoloxía dentro do PIB. As responsabilidades da ISO inclúen, entre outras:
Non é posible proporcionar unha seguridade completa para toda a información. Ademais, non toda a información require a mesma protección. Polo tanto, o PIB xestiona a seguridade da información en función do risco (directriz 4 da DGSEIOPA). Isto permítelle ao PIB facilitar e empregar recursos nas áreas onde se necesitan con máis urxencia. Polo tanto, a ISO define requisitos unificados para a xestión de riscos de seguridade da información e, polo tanto, facilita e supervisa as decisións baseadas no risco.
Tanto os empregados internos como os externos do PIB están entre os factores de éxito máis importantes para garantir os niveis de seguridade da información requiridos. Numerosas medidas de seguridade só se poden implementar eficazmente se os empregados internos e externos son suficientemente conscientes da seguridade da información e teñen as habilidades suficientes no campo da seguridade da información. Polo tanto, a ISO desenvolverá un plan de formación e concienciación sobre seguridade da información que permita a todos os empregados cumprir as súas obrigas e responsabilidades e minimizar os riscos asociados ao uso das tecnoloxías da información e a seguridade (Directriz 13 da DGSEIOPA).
O nivel de seguridade da información requirido en todo o Grupo só se pode garantir mediante uns requisitos mínimos unificados e vinculantes e as súas características locais. Por este motivo, existen tres niveis de política de seguridade da información baseados uns nos outros:
A ISO crea e mantén a Política de Seguridade da Información e os documentos de Nivel 2 para todos os servizos compartidos polo Grupo. Os procedementos ou as instrucións de traballo son creados e mantidos polas unidades funcionais responsables respectivamente.
A cooperación con provedores de servizos e socios externos non debería reducir o nivel de seguridade da información do PIB. Por este motivo, os provedores de servizos e socios terceiros só poden acceder á información e aos recursos de TI do PIB despois de que o PIB avaliase e clasificase os niveis de seguridade da información dos provedores de servizos e socios terceiros segundo corresponda. Ademais, o PIB só concede acceso á información e aos recursos informáticos necesarios para a cooperación (principio de necesidade de saber). Polo tanto, a ISO define unificados requisitos para a cooperación orientada á seguridade con partes externas.
Os niveis de seguridade da información requiridos deben ser verificados, monitorizados e avaliados de forma independente para que poidan manterse e optimizarse continuamente (Directriz 12 da DGSEIOPA). Isto tamén se apoia na área da Xestión da Seguridade da Información a través do “Modelo de Tres Liñas de Defensa”.
A primeira liña de defensa está composta pola xestión operativa e é a responsable de definir, implementar e controlar as medidas de seguridade da información para xestionar o risco e cumprir os requisitos de seguridade da información.
A segunda liña de defensa está en mans da ISO e da Unidade de Seguridade da Información do PIB, co apoio das funcións de xestión de riscos establecidas localmente. A segunda liña define os requisitos de seguridade da información e supervisa a definición, a implementación e o control das medidas de seguridade da información da primeira liña.
A auditoría interna actúa como unha terceira liña de defensa independente, avaliando a eficacia das dúas primeiras liñas de defensa. As auditorías deben ser realizadas periodicamente e de acordo co seu correspondente plan de auditoría por auditores con coñecementos, habilidades e experiencia suficientes en riscos e seguridade das TIC, co fin de garantir de forma independente a súa eficacia (directriz 5 da DGSEIOPA).
Esta política será revisada anualmente polo responsable de seguridade. Durante o proceso de revisión teranse en conta os seguintes conceptos:
Se se introducen cambios na versión actual, estes serán sometidos á aprobación do Comité de Seguridade, e a decisión e a xustificación deberán documentarse.
Calquera cambio realizado debe estar debidamente documentado na sección Historial de cambios, indicando quen realizou os cambios e o motivo.
As políticas de seguridade que definen os requisitos de seguridade para cada área de actuación enuméranse a continuación. Estas políticas complementan o que se define nesta política.
Solucións para empresas
Seguros individuos
* En Madrid e Barcelona.
