POLÍTICA DE SEGURETAT DE LA INFORMACIÓ

      I.        INTRODUCCIÓ

Aquest document recull la Política General de Seguretat de la Informació de les societats que integren el Grup GVC GAESCO (GVC Gaesco Holding, GVC Gaesco Valores, GVC Gaesco Gestión, GVC Gaesco Pensiones, GVC Gaesco Alternative Investments i GVC Gaesco Correduría), d’ara endavant GVC GAESCO, entesa com els principis bàsics d’actuació i ordenació de l’organització en matèria de Seguretat de la Informació. S’entendrà la Seguretat, com un procés integral constituït per tots els elements tècnics, humans, materials i organitzatius relacionats amb els sistemes d’informació, excloent-hi qualsevol tipus d’actuació puntual o de tractament conjuntural.

La resta dels documents relacionats amb la Seguretat de la Informació del Grup GVC GAESCO estaran alineats amb les directrius contingudes en aquesta Política General de Seguretat de la Informació.

La progressiva transformació digital de la nostra societat, l’impacte en sectors estratègics, com ara el sector financer, el nou escenari de la ciberseguretat i l’avenç de les tecnologies d’aplicació produeixen notables canvis a nivell internacional. Així mateix, s’ha evidenciat que els sistemes d’informació estan exposats de forma cada vegada més intensa a la materialització d’amenaces del ciberespai, advertint-se un notable increment dels ciberatacs, tant en volum i freqüència com en sofisticació, amb agents i actors amb majors capacitats tècniques i operatives; amenaces que es produeixen en un context d’alta dependència de les tecnologies de la informació i de les comunicacions en la nostra societat i de gran interconnexió dels sistemes d’informació.

     II.        OBJECTIU

L’objectiu d’aquesta Política General de Seguretat de la Informació és establir un marc normatiu comú al Grup GVC GAESCO que permeti identificar, desenvolupar i implantar les mesures tècniques i organitzatives necessàries per garantir la seguretat i protecció de la informació, inclosa la privacitat de les persones, així com dels sistemes d’informació que donen suport a l’activitat del Grup GVC GAESCO.

   III.        DIFUSIÓ

Aquest document serà publicat a la intranet del Grup GVC GAESCO i comunicat a tots els subjectes interessats, en especial al personal intern que manegi els actius d’informació del Grup GVC GAESCO.

Així mateix, es realitzarà una publicació d’aquest document al lloc web del Grup GVC GAESCO per poder compartir-lo amb les parts interessades externes de l’organització.

   IV.        COMPROMÍS DE LA DIRECCIÓ

La informació, en especial les dades personals dels empleats, clients i proveïdors, així com els sistemes que la suporten, constitueixen actius estratègics per a GVC GAESCO, que desitja protegir-les enfront d’amenaces com ara errors, sabotatges, terrorisme, extorsions, espionatge industrial, violacions d’intimitat, interrupcions de servei i desastres naturals, per tal de garantir la consecució de forma eficient i eficaç dels objectius de negoci definits.

La Direcció es compromet a liderar i fomentar a tots els nivells la seguretat, d’acord amb la Política de Seguretat i els objectius que s’hi defineixen.

 V.        POLÍTICA

a)    Àmbit

El Grup GVC GAESCO protegeix els recursos involucrats en la gestió de la informació relacionada amb el normal desenvolupament de les seves funcions, donant compliment a la legislació vigent, preservant la confidencialitat i privacitat de la informació i assegurant la disponibilitat, autenticitat, integritat, i conservació. Aquests objectius es traslladen també als sistemes d’informació utilitzats per al desenvolupament de la seva activitat.

És voluntat del Grup GVC GAESCO establir condicions de confiança en l’ús dels mitjans electrònics i la prestació contínua dels seus serveis, adoptant les mesures necessàries destinades a protegir els sistemes d’informació de l’organització d’aquelles amenaces als quals s’estiguin exposats, amb la finalitat de garantir la seguretat dels sistemes d’informació,  minimitzar els riscos i consolidar així les bases per prevenir, detectar, reaccionar i recuperar-se dels possibles incidents que puguin esdevenir.

Aquesta Política General de Seguretat de la Informació s’aplica en tot l’àmbit d’actuació del Grup GVC GAESCO, és a dir:

• Tots els recursos, serveis i processos de negoci que componen el Grup GVC GAESCO. D’aquesta manera s’aplicarà a tots els sistemes d’informació que intervenen en la prestació dels serveis i a tots aquells sistemes de suport a les diferents funcions i responsabilitats del Grup GVC GAESCO.
• A tots els usuaris, ja siguin interns o externs vinculats, directament o indirectament, al Grup GVC GAESCO que fan ús dels sistemes descrits en el punt anterior.

b)    Objectius de la Seguretat de la Informació

Els objectius que cal assolir són:

• Garantir, assegurar i implementar les mesures de seguretat adequades i necessàries sobre tots els recursos, processos, funcions i serveis relacionats directament i indirectament amb usuaris interns i externs, i amb clients, proveïdors, partners o altres tercers, amb la finalitat d’assegurar la disponibilitat, confidencialitat i integritat de la informació, i la conformitat amb la legislació aplicable.
• Garantir la continuïtat, seguretat i qualitat dels serveis oferts.
• Implementar i mantenir els processos de millora contínua per afavorir l’eficiència i eficàcia de les mesures de seguretat de la informació.
• Reduir al màxim les possibilitats que es produeixin incidents de seguretat i minimitzar-ne l’impacte en cas que s’esdevinguin.
• Disposar dels mitjans pels quals els diferents usuaris dels serveis i processos del Grup GVC GAESCO facin bon ús de la informació, sistemes de la informació i recursos utilitzats en el desenvolupament de les seves funcions, obligacions i responsabilitats, així com els que no comprometin la seguretat de la informació del Grup GVC GAESCO.
• Alinear-se amb les millors pràctiques i estàndards d’àmbit internacional en matèria de seguretat de la informació i/o ciberseguretat vigents en cada moment.
• Aplicar les mesures de seguretat adients sobre la informació i dades personals tractades per mitjans electrònics i en suport en paper que el Grup GVC GAESCO gestiona en l’àmbit de les seves competències. Aquesta informació estarà regulada pel Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades i, així com per la Llei Orgànica 3/2018, de 5 de desembre de Protecció de dades personals i garantia dels drets digitals (LOPDGDD).

D’acord amb els objectius esmentats, aquesta Política General de Seguretat de la Informació cerca l’adopció dels següents principis de seguretat, garantint:

• Disponibilitat: la informació i sistemes d’informació poden ser utilitzats en els temps i forma requerida.
• Confidencialitat: a les dades i sistemes d’informació només s’accediran per les persones degudament autoritzades.
• Autenticitat: propietat que consisteix en que l’entitat/persona és qui diu ser o bé, es garanteix la font de la qual procedeixen les dades.
• Integritat: exactitud de la informació i dels sistemes d’informació contra l’alteració, pèrdua o destrucció, ja sigui de forma accidental o fraudulenta.
• Legalitat: la informació es tracta d’acord amb el marc normatiu.
• Formació: d’acord amb el principi de seguretat integral, garantir un adequat nivell de conscienciació i capacitació en matèria de seguretat de la informació a tot el personal de l’organització.
• Gestió d’incidents: l’anàlisi i gestió dels riscos com a part essencial del procés de seguretat de l’organització, mantenint l’entorn controlat i minimitzant els riscos, d’acord amb les mesures de prevenció, detecció, reacció i recuperació, i establint protocols per a l’intercanvi d’informació relacionada amb els incidents.

c)    Compliment Normatiu

Aquesta Política General de Seguretat de la Informació i la resta de documentació associada estan alineades amb l’àmbit jurídic actual de lleis, reglaments i normatives que s’apliquin al Grup GVC GAESCO, respecte a qualsevol abast material o territorial.

Per a més informació, revisar el document GVC_NOR_005_Cumplimiento requisits legals.

d)    Aplicació de Recursos

La Direcció del Grup GVC GAESCO manifesta el seu compromís de garantir, dins del seu àmbit de funcions i responsabilitats, la provisió de recursos necessaris per implementar i mantenir els processos relacionats amb la seguretat de la informació del Grup GVC GAESCO i la seva millora contínua. Tot això per tal d’assolir els objectius estratègics, la difusió, consolidació i compliment d’aquesta Política General de Seguretat de la Informació, així com també implementar els mecanismes de distribució i publicació adients amb l’objectiu que pugui ser coneguda pels diferents usuaris als quals hi afecti.

e)     Rols i responsabilitats

Tot usuari afectat per aquesta Política tindrà l’obligació de:

• Complir en tot moment amb la Política General de Seguretat de la Informació, normes, procediments i instruccions de Seguretat de la Informació de l’Organització.
• Tenir un paper actiu en la ciberseguretat de qualssevol actius que siguin objecte de protecció dins l’àmbit d’aquesta Política.
• Mantenir el secret professional i la confidencialitat respecte de la informació de l’Organització.
• Informar, d’acord amb la corresponent normativa, de situacions sospitoses o anòmales, incidents de seguretat, i no conformitats o incompliments de seguretat dels sistemes d’informació i/o actius de l’organització.

La responsabilitat general de la Seguretat de la Informació recau en la persona a qui se li assignin les funcions del responsable del Sistema de Gestió de Seguretat de la Informació (SGSI).

Quant a l’incompliment de la Política General de Seguretat de la Informació del Grup GVC GAESCO i la resta dels documents relacionats amb la seguretat de la informació, per part de qualsevol a qui li siguin d’aplicació i que posi en risc la seguretat de la informació en qualssevol de les seves dimensions, la Direcció del Grup GVC GAESCO es reserva el dret d’iniciar les accions corresponents segons els codis i normes internes de comportament i el marc legal vigent.

f)     Control de Compliment

El grau d’aplicació d’aquesta política serà mesurat periòdicament (com a mínim, anualment) mitjançant autoavaluacions coordinades pel responsable del SGSI i mitjançant auditories internes o externes (com a mínim anuals), i sempre que es produeixin canvis substancials en els sistemes d’informació del Grup GVC GAESCO. L’aprovació d’aquesta política es duu a terme en la Revisió per la Direcció, indicat en el SGSI.

g)    Normatives de Seguretat de la Informació

Aquesta Política de Seguretat de la informació serà suportada i complementada per un conjunt de documents específics. Aquests documents són les denominades Normatives de Seguretat de la Informació i estaran basades en les millors pràctiques de mercat i alineades amb les necessitats específiques del Grup GVC GAESCO.

h)    Classificació de la Informació

Tota informació haurà de ser classificada en virtut de la seva importància per a l’organització i ha de ser tractada segons l’esmentada classificació, d’acord amb el que disposa GVC_NOR_008_Clasificació de la Informació.

i)      Control d’accés

El Grup GVC GAESCO implementarà mesures de seguretat físiques d’acord amb els escenaris de riscos amb l’objectiu d’impedir l’accés físic no autoritzat, així com un sistema de control d’accés lògic per a tota informació resident en els sistemes d’informació TIC de l’Organització. Les mesures concretes es troben desenvolupades en els documents GVC_NOR_015_Control d’accés físic i GVC_NOR_019_Control d’accés lògic.

j)      Proves de seguretat de les TIC

El Grup GVC GAESCO estableix i implementa un pla de proves de seguretat de les TIC per validar l’eficàcia de les seves mesures de seguretat de les TIC desenvolupades, i assegura que aquest pla consideri les amenaces i vulnerabilitats identificades com a part del marc de gestió de riscos de les TIC.

k)    Adquisició, desenvolupament i manteniment de sistemes TIC

El Grup GVC GAESCO dissenya i implementa, quan correspongui, un procediment que reguli l’adquisició, el desenvolupament i el manteniment dels sistemes TIC seguint un enfocament basat en riscos. Les mesures concretes es troben desenvolupades en els documents GVC_NOR_011_Seguretat de la Informació en les relacions amb proveïdors, GVC_NOR_013_Seguretat en el cicle de vida del desenvolupament i GVC_NOR_029_Manteniment dels equips.

l)      Gestió de projectes i canvis de les TIC

El Grup GVC GAESCO desenvolupa, documenta i implementa un procediment de gestió de projectes de les TIC i defineix els rols i responsabilitats per a la seva implementació. Així mateix, el Grup GVC GAESCO. documenta i implementa un procediment de gestió de canvis de les TIC per assegurar que tots els canvis en els sistemes TIC es registrin, provin, avaluïn, aprovin, implementin i verifiquin de manera controlada i amb les salvaguardes adequades per preservar la resiliència operativa digital de l’organització.

Les mesures concretes es troben desenvolupades en els documents GVC_NOR_032_Gestió de projectes i GVC_NOR_020_Gestió de canvis.

m)   Gestió de la seguretat basada en els riscos i anàlisis i gestió de riscos

Tots els sistemes afectats per aquesta Política de Seguretat hauran de ser objecte d’una anàlisi de riscos, avaluant les amenaces i els riscos als quals estan exposats. Aquesta anàlisi es repetirà:

• Regularment, almenys un cop l’any.
• Quan canviïn la informació manejada i/o els serveis prestats de manera significativa.
• Quan s’esdevingui un incident greu de seguretat o es detectin vulnerabilitats greus.

El Responsable del SGSI serà l’encarregat que es realitzi l’anàlisi de riscos, així com d’identificar mancances i debilitats i posar-les en coneixement del Comitè de Seguretat de la Informació.

n)    Proveïdors i terceres Parts

Totes les adquisicions rellevants de béns o serveis o que suposin un impacte en els serveis o sistemes del Grup GVC GAESCO seran sotmesos a un procés d’anàlisi de riscos.

Els requisits de seguretat de la informació per a la mitigació dels riscos associats al proveïdor s’han d’acordar amb aquest i quedar documentats, i s’ha de seguir el dictat per les normatives de seguretat establertes i que complementen aquesta política.

o)    Responsabilitats per incompliment

L’incompliment d’aquesta Política i les Normatives que en deriven serà considerat com una falta greu, donant lloc a l’aplicació de la normativa sobre Règim Disciplinari sense perjudici d’altres responsabilitats a què hi hagués lloc.

D’una forma similar, qualsevol membre col·laborador, subcontractat o consultor que no compleixi amb aquesta Política estarà subjecte al trasllat fora de les instal·lacions del Grup GVC GAESCO i a la terminació de la relació amb l’Organització.

p)    Gestió d’excepcions

Qualsevol excepció a aquesta Política de Seguretat de la Informació haurà de ser registrada i informada al responsable del SGSI del Grup GVC GAESCO. Aquestes excepcions seran analitzades per avaluar el risc que podrien introduir la societat i, en base a la categorització d’aquests riscos, aquests hauran de ser assumits pel peticionari de l’excepció juntament amb els responsables del negoci.

q)    Canvi climàtic

El Grup GVC GAESCO ha realitzat l’anàlisi dels serveis prestats per l’organització així com la seva operativa habitual per a la prestació dels mateixos no trobant aspectes que puguin influir en el canvi climàtic del planeta més enllà dels generats pels sistemes de climatització i emissions de vehicles que presten servei a l’organització,  en ambdós casos dins dels requisits legals establerts.

S’han analitzat els requisits de les parts interessades sense trobar-ne cap d’específicament relacionat amb el canvi climàtic.

En base a ambdues anàlisis es conclou la no necessitat d’aplicar mesures més enllà dels requisits legals estàndard establerts.

r)     Aprovació i revisió

La Política General de Seguretat de la Informació s’aprova formalment pels Òrgans d’Administració de les Societats que integren el Grup GVC GAESCO quedarà reflectida en les corresponents actes, i estarà vigent fins que sigui reemplaçada per una nova versió. Així mateix, es revisarà anualment i sempre que es produeixin canvis significatius que ho requereixin, per tal d’adaptar-la a les noves circumstàncies, tècniques i/o organitzatives, evitant que quedi obsoleta.

A aquests efectes, regularment es revisarà la seva idoneïtat, oportunitat i precisió. Les modificacions que se’n puguin derivar seran proposades pel responsable del SGSI per a la seva validació.

s)    Entrada en vigor

La Política de Seguretat de la Informació entrarà en vigor a partir del mateix dia de la seva publicació a la Intranet de l’empresa i distribució a tot element afectat.