La Entidad considera que la integridad, disponibilidad y confidencialidad de la información que gestiona, tanto la propia como la del resto de empresas del grupo, colaboradores, proveedores y, muy especialmente, la de nuestros clientes, resulta esencial para el correcto funcionamiento operativo y la protección de los intereses de los clientes y, por lo tanto, es preciso protegerla de cualquier riesgo que le pueda afectar.
La Dirección de la Entidad ha determinado, en consecuencia, que tanto la información como las plataformas y sistemas que permiten su tratamiento, almacenamiento y comunicación son activos de especial relevancia para la Entidad y como tales son protegidos.
En este sentido, dentro de los objetivos estratégicos que la Entidad tiene marcados, la seguridad de la información contribuye significativamente a garantizar un servicio de calidad, que teniendo la seguridad de los sistemas de información como uno de sus pilares fundamentales, nos permite tanto mejorar nuestros procesos productivos, como incrementar la confianza de nuestros clientes en los servicios ofrecidos por la Entidad.
La Entidad establece como objetivos de seguridad de la información y ciberseguridad:
- Hacer patente el compromiso de la Dirección con la seguridad de la información dotando de los medios necesarios.
- Definir, desarrollar y poner en funcionamiento los controles metodológicos, técnicos, organizativos y de gestión, necesarios para garantizar de un modo efectivo la preservación de unos niveles adecuados de confidencialidad, disponibilidad e integridad de la información, siguiendo un enfoque basado en riesgos, y sobre la base de los principios de “seguridad desde el diseño” y “seguridad por defecto”.
- Cumplir en todo momento la legislación vigente que sea de aplicación a la actividad de la Entidad desde el punto de vista de la seguridad y de la ciberseguridad.
- Proteger los activos de información frente a las ciberamenazas internas y externas.
- Cumplir con las reglamentaciones y directivas en vigor en materia de seguridad emitidas por los organismos supervisores, así como con aquellos requerimientos de seguridad que la Entidad adquiera contractualmente.
- Crear y promover de manera continua una “cultura de seguridad” tanto internamente, a todo el personal, como externamente a los clientes y proveedores, que permita asegurar la eficiencia y eficacia de los controles implantados y aumente la confianza de los clientes en nuestra Entidad.
- Promover las capacidades de prevención, detección, reacción, análisis, recuperación, respuesta, investigación y coordinación contra incidentes de seguridad y actividades del cibercrimen.
- Tratar la seguridad de la información integrada en un modelo de mejora continua que logre unos controles de seguridad cada vez más optimizados.
- Preservar la confidencialidad, integridad y disponibilidad de la información en base al nivel de su relevancia.
- Garantizar la resiliencia y la continuidad del negocio.
- Posibilitar la auditabilidad de todos los hechos relevantes de seguridad.