Seguridad de la información

Confidencialidad, integridad y disponibilidad aseguradas bajo la norma ISO 27001.

Seguridad de la información

Para Indra Group, la información es uno de sus activos más críticos. Por esa razón, considera necesario establecer las medidas oportunas en todos aquellos lugares en los que pueda almacenarse o por los que pueda trasmitirse para garantizar:

Su confidencialidad, asegurando que sólo quienes estén autorizados y deban acceder (necesidad de conocimiento mínimo 'need-to-know') puedan acceder a la información, evitando así problemas de fugas o borrados no intencionados de información sensible
Su integridad, asegurando que la información y sus métodos de proceso son exactos y completos, evitando así posibles modificaciones no autorizadas
Su disponibilidad, asegurando que los usuarios autorizados puedan tener acceso a la información y a sus activos asociados cuando lo requieran, garantizando en todo momento el acceso a los sistemas críticos de la compañía a través de la elaboración de planes de continuidad del negocio

La Seguridad de la Información es parte esencial de la estrategia de negocio de Indra Group debido al impacto que tiene en su actividad y en la de sus clientes. Por esa razón, Indra Group ha desarrollado un Sistema de Gestión de Seguridad de la Información, certificado bajo la norma ISO 27001, que se encarga de definir, implantar y mejorar los controles y los procedimientos más eficaces que permitan minimizar y gestionar los riesgos en los procesos internos de la compañía; en la operación diaria; en el desarrollo y la ejecución de proyectos, programas y servicios desde la fase comercial a la operación; así como en la gestión de los clientes.

La Seguridad de la Información es parte esencial de la estrategia de negocio de Indra Group debido al impacto que tiene en su actividad y en la de sus clientes

Estrategia de seguridad

Pilares fundamentales

Gobierno de Seguridad de la Información

Un Gobierno de Seguridad de la Información, que vela por la correcta coordinación y organización de la seguridad de la información a todos los niveles. Con un Responsable de Seguridad de la Información o CISO (Chief Information Security Officer) a la cabeza, que reporta directamente a la Comisión de Auditoría y Cumplimiento (CAC) y a la Unidad de Coordinación de Riesgos (UCR) y encargado de la coordinación de la seguridad de la información en la compañía y cuya función principal es desarrollar la estrategia, objetivos y planes de Seguridad de la Información de Indra. Y los LISO (Local Information Security Officer) de Seguridad y mercado, cuya función principal es velar por la seguridad de la información en los Mercados y filiales bajo su competencia.

Marco Normativo de Seguridad de la Información

Un Marco Normativo de Seguridad de la Información, aplicable a todos los mercados y áreas de la compañía, así como a todas las compañías, sedes y filiales de Indra Group, y de obligado cumplimiento por todo el colectivo Indra Group, cuyo eje principal es la Política de Seguridad de la Información que establece los principios fundamentales de seguridad en los que se basa el marco normativo. La versión vigente de la Política de Seguridad de la Información ha sido aprobada por el Consejo de Administración con fecha 27 de marzo de 2023.

Concienciación y formación continua

La concienciación y la formación continua en Seguridad de la Información durante todas las fases del empleo, que tiene como objetivo la concienciación y la formación de todos los usuarios de la compañía, de tal manera que todos los que integran la compañía sean conscientes de su responsabilidad en el ámbito de la Seguridad de la Información, y de la criticidad de proteger la confidencialidad, la integridad y la disponibilidad de la información que se maneja, tanto nuestra como de nuestros clientes.

Tecnología y controles de seguridad

La tecnología y los controles de seguridad como solución integral que engloba tanto los controles de seguridad destinados a la seguridad física y del entorno, encaminados a prevenir los accesos físicos no autorizados, los daños y las interferencias a las instalaciones de la organización y a la información, como los controles de seguridad lógica encaminados a la preservación de la confidencialidad, integridad y disponibilidad de la Información y de los recursos para su tratamiento.

Proceso de auditoría y seguimiento del cumplimiento

Los procesos de auditoría y seguimiento del cumplimiento, como mecanismo de verificación y control tanto de manera interna a través de procesos de supervisión continua y monitorización, que se encuentran activos permanentemente, como, por ejemplo:

Procesos de monitorización de seguridad y redes que velan por el cumplimiento de la normativa de seguridad en las redes y sistemas de información

Procesos de auditorías de vulnerabilidades técnicas de plataformas y aplicaciones que proporciona análisis de vulnerabilidades tanto en plataformas, como en aplicativos y que tiene como finalidad dar a conocer y valorar los riesgos de seguridad provenientes de vulnerabilidades

Procesos de validación antes de la conexión de plataformas a la Red de Indra Group que proporciona la revisión de las plataformas previa a su conexión a la Red de Indra Group, garantizando el cumplimiento de la normativa de seguridad de la información en cuanto a parcheo, actualizaciones críticas, antivirus, etc.

Adicionalmente, todos los años se contemplan en el Informe de Sostenibilidad indicadores que permiten evidenciar el cumplimiento de la política de seguridad.

Asimismo, Indra Group es sometido a diferentes auditorías externas de verificación, como pueden ser: auditorias de la norma ISO 27001 por parte de AENOR, certificadora avalada internacionalmente, auditorías financieras y SCIIF y auditorías TIC.

Con el fin de garantizar la seguridad en la cadena de suministro, Indra Group tiene establecida una Política de Seguridad de la Información para proveedores, de obligado cumplimiento, y que se encuentra recogida dentro del procesos homologación y contratación de nuestros proveedores.

De igual modo, en aras de garantizar la pronta detección y gestión eficaz de incidentes de seguridad, Indra Group tiene formalizado un equipo interno de gestión de incidentes 'Indra CSIRT', que presta sus servicios de acuerdo a los estipulado en el documento RFC2350. Ante cualquier evento sospechoso o vulnerabilidad que pueda afectar a los sistemas de información de Indra Group, póngase en contacto con Indra Group CSIRT.