A segurança da informação define-se como o quadro, processos e controlos definidos dentro do PIB Group España (doravante PIB) que procuram manter a confidencialidade -apenas quem for autorizado poderá aceder à informação-, integridade -a informação e o seu processamento são exatos e completos- e disponibilidade – a informação e os seus ativos podem ser acedidos sempre que necessário – da informação.
No contexto desta política, a segurança da informação está relacionada com a proteção e salvaguarda de todos os dados do PIB ao longo do seu ciclo de vida contra divulgação maliciosa ou acidental, modificação ou destruição. Por este motivo, esta política abrange os sistemas de informação e aplicações que armazenam, processam ou transferem tais dados. Da mesma forma, os documentos impressos e as notas manuscritas ou conversas devem ser adequadamente protegidos.
Por esta razão, o Comité de Direção do PIB decidiu estabelecer um Sistema de Gestão da Segurança da Informação (SGSI) em todo o grupo, de modo a alcançar e manter os níveis adequados de segurança da informação. O SGSI está alinhado com a norma internacionalmente reconhecida ISO 27001:2022. Além disso, tem em conta as Diretrizes sobre Governação e Segurança das Tecnologias da Informação da EIOPA (doravante denominadas DGSEIOPA).
Este documento define os princípios de segurança da informação para todo o Grupo e, como tal, tem em consideração os requisitos legais e regulamentares aplicáveis.
Adicionalmente, a ‘Política de Continuidade de Negócios’ estabelece os requisitos mínimos, os objetivos, as responsabilidades, os processos e os procedimentos de informação para a Gestão da Continuidade de Negócios (GCN ou BCM em inglês) de acordo com o estabelecido nas diretrizes 19, 21, 22 e 23 de DGSEIOPA.
Assim, o SGSI e o GCN apoiam o PIB na proteção da informação, assim como na recuperação de negócios de situações de emergência e crise.
A segurança da informação – confidencialidade, integridade e disponibilidade – é um fator chave de sucesso para o PIB e torna-se cada vez mais importante devido à digitalização do nosso negócio.
Os dados que recolhemos, armazenamos e processamos no âmbito das nossas operações diárias têm um valor significativo tanto para o PIB como para outros agentes externos que poderiam fazer mau uso deles. Os sistemas de informação e os dados que processam podem expor-nos a riscos que vão desde o acesso não autorizado, divulgação não autorizada de informação, roubo, corrupção de dados ou descontinuidade do negócio devido à perda dos sistemas.
Os riscos podem materializar-se como resultado de uma ação acidental ou intencional por parte de um colaborador ou por ações maliciosas levadas a cabo por organizações criminosas. Estes riscos podem colocar o Grupo em perigo pela perda de confiança dos clientes, pelo incumprimento de uma regulamentação e/ou pela perda de uma vantagem competitiva.
Por tudo isto, é necessário implementar medidas de controlo adequadas que protejam os ativos de informação do Grupo e os processos que os suportam.
Este documento define os princípios de segurança da informação para a PIB e, como tal, tem em conta os requisitos legais e regulamentares aplicáveis, de acordo com o estabelecido na orientação 6 da DGSEIOPA. A política serve de base para a administração da segurança da informação e para regulamentos específicos, a fim de proteger a confidencialidade, integridade e disponibilidade da informação dentro da PIB contra ameaças internas ou externas, intencionais ou não, de forma a garantir o desenvolvimento, implementação, operação, manutenção e utilização dos sistemas de informação da PIB.
Esta política aplica-se a todos os funcionários, sejam eles temporários ou não, e aos prestadores de serviços que utilizem a informação ou os sistemas de informação do Grupo e/ou as suas instalações.
A responsabilidade principal do ISO é aconselhar, coordenar, monitorizar e rever os riscos relacionados com a segurança da informação e da tecnologia dentro do PIB. As responsabilidades do ISO incluem, mas não se limitam a:
Não é possível fornecer segurança total para toda a informação. Além disso, nem toda a informação requer a mesma proteção. A PIB, portanto, gere a segurança da informação com base no risco (diretriz 4 da DGSEIOPA). Isto possibilita que a PIB faculte e use recursos nas áreas onde estes são mais urgentemente necessários. A ISO, por esta razão, define os requisitos unificados para a gestão dos riscos de segurança da informação e, por conseguinte, facilita e supervisiona as decisões baseadas no risco.
Tanto os funcionários internos como externos do PIB encontram-se entre os fatores de sucesso mais importantes para garantir os níveis de segurança da informação exigidos. Numerosas medidas de segurança só podem ser implementadas eficazmente se os funcionários internos e externos forem suficientemente conscientes da segurança da informação e possuírem competências suficientes no domínio da segurança da informação. O ISO, pelo que, desenvolverá um plano de formação e sensibilização em matéria de segurança da informação que permita a todos os empregados cumprir as suas obrigações e responsabilidades e minimizar os riscos associados ao uso das tecnologias e à segurança da informação (diretriz 13 do DGSEIOPA).
O nível de segurança da informação exigido em todo o Grupo só pode ser garantido através de requisitos mínimos unificados e vinculativos e das suas características locais. Por esta razão, existem três níveis de política de segurança da informação mutuamente dependentes:
A ISO cria e mantém a Política de Segurança da Informação e os documentos de nível 2 para todos os serviços partilhados pelo Grupo. Os procedimentos ou instruções de trabalho são criados e mantidos pelas unidades funcionais responsáveis respetivamente.
A cooperação com fornecedores e parceiros de serviços externos não deve reduzir o nível de segurança da informação do PIB. Por este motivo, fornecedores e parceiros de serviços externos só podem ter acesso à informação do PIB e aos recursos de TI após o PIB ter avaliado e classificado os níveis de segurança da informação desses fornecedores e parceiros de serviços externos conforme apropriado. Adicionalmente, o PIB concede acesso apenas à informação e aos recursos de TI que são necessários para a cooperação (princípio de necessidade de conhecer). O ISO, portanto, define os requisitos unificados para a cooperação orientada para a segurança com partes externas.
Os níveis de segurança da informação exigidos devem ser verificados, monitorizados e avaliados de forma independente para que possam ser continuamente mantidos e otimizados. (Diretriz 12 da DGSEIOPA). Isto é também apoiado na área de Gestão da segurança da informação através do «Modelo das Três Linhas de Defesa».
A primeira linha de defesa é composta pela gestão operacional e é responsável pela definição, implementação e controlo das medidas de segurança da informação para a gestão de riscos e a conformidade com os requisitos de segurança da informação.
A segunda linha de defesa está a cargo do ISO e da unidade de segurança da informação do PIB, com o apoio das funções de gestão de riscos estabelecidas localmente. A segunda linha define os requisitos de segurança da informação e supervisiona a definição, implementação e controlo das medidas de segurança da informação da primeira linha.
A auditoria interna atua como uma unidade independente, como terceira linha, avaliando a eficácia das duas primeiras linhas de defesa. As auditorias deverão ser realizadas de forma periódica e de acordo com o seu plano de auditoria pelas partes interessadas, com conhecimentos, competências e experiência suficientes em riscos e segurança das TIC, de modo a garantir independentemente a sua eficácia (diretriz 5 da DGSEIOPA).
Esta política será revista anualmente pelo responsável de Segurança. Durante o processo de revisão, serão tidos em conta os seguintes conceitos:
No caso de se verificarem alterações na versão em vigor, esta será apresentada ao Comité de Segurança para aprovação, devendo a decisão tomada e a respetiva justificação ficar documentada.
A modificação efetuada deverá ficar devidamente documentada na secção Histórico de Alterações, indicando quem efetuou a alteração e o motivo.
De seguida, listam-se as políticas de segurança que definem os requisitos de segurança para cada área de atuação. Estas políticas complementam o definido nesta política.
