Indra considera la información como uno de sus activos más críticos, por esa razón considera necesario establecer las medidas oportunas en todos aquellos lugares en los que pueda almacenarse o por los que pueda trasmitirse para garantizar:
- Su confidencialidad, asegurando que sólo quienes estén autorizados y deban acceder (necesidad de conocimiento mínimo «need-to-know) puedan acceder a la información, evitando así problemas de fugas o borrados no intencionados de información sensible.
- Su integridad, asegurando que la información y sus métodos de proceso son exactos y completos, evitando así posibles modificaciones no autorizadas.
- Su disponibilidad, asegurando que los usuarios autorizados puedan tener acceso a la información y a sus activos asociados cuando lo requieran, garantizando en todo momento el acceso a los sistemas críticos de la compañía a través de la elaboración de planes de continuidad del negocio.
La Seguridad de la Información es parte esencial de la estrategia de negocio de Indra debido al impacto que tiene en su actividad y en la de sus clientes, por esa razón Indra ha desarrollado un Sistema de Gestión de Seguridad de la Información, certificado bajo la norma ISO 27001, que se encarga de definir, implantar y mejorar los controles y procedimientos más eficaces que permitan minimizar y gestionar los riesgos en los procesos internos de la compañía; en la operación diaria; en el desarrollo y ejecución de proyectos, programas y servicios desde la fase comercial a la operación; así como en la gestión de los clientes.
Pilares fundamentales de la estrategia de seguridad:
- Un Gobierno de Seguridad de la Información, que vela por la correcta coordinación y organización de la seguridad de la información a todos los niveles. Con un Responsable de Seguridad de la Información o CISO (Chief Information Security Officer) a la cabeza, que reporta directamente a la Comisión de Auditoría y Cumplimiento (CAC) y a la Unidad de Coordinación de Riesgos (UCR) y encargado de la coordinación de la seguridad de la información en la compañía y cuya función principal es desarrollar la estrategia, objetivos y planes de Seguridad de la Información de Indra. Y los LISO´s (Local Information Security Officer) de Seguridad y mercado, cuya función principal es velar por la seguridad de la información en los Mercados y filiales bajo su competencia.
- Un Marco Normativo de Seguridad de la Información, aplicable a todos los mercados y áreas de la compañía, así como a todas las compañías, sedes y filiales de Indra, y de obligado cumplimiento por todo el colectivo Indra, cuyo eje principal es la Política de Seguridad de la Información que establece los principios fundamentales de seguridad en los que se basa el marco normativo. La versión vigente de la Política de Seguridad de la Información ha sido aprobada por el Consejo de Administración con fecha 27 de marzo de 2023.
- La Concienciación y formación continua en Seguridad de la Información durante todas las fases del empleo, que tiene como objetivo la concienciación y formación de todos los usuarios de la compañía, de tal manera que todos los que integran la compañía sean conscientes de su responsabilidad en el ámbito de la Seguridad de la Información, y de la criticidad de proteger la confidencialidad, integridad y disponibilidad de la información que se maneja, tanto nuestra como de nuestros clientes.
- La Tecnología y controles de seguridad como solución integral que engloba tanto los controles de seguridad destinados a la seguridad física y del entorno, encaminados a prevenir los accesos físicos no autorizados, los daños y las interferencias a las instalaciones de la organización y a la información, como los controles de seguridad lógica encaminados a la preservación de la confidencialidad, integridad y disponibilidad de la Información y de los recursos para su tratamiento.
- Los Proceso de auditoría y seguimiento del cumplimiento, como mecanismo de verificación y control tanto de manera interna a través de procesos de supervisión continua y monitorización, que se encuentran activos permanentemente, como, por ejemplo:
- Procesos de monitorización de seguridad y redes que velan por el cumplimiento de la normativa de seguridad en las redes y sistemas de información,
- Procesos de auditorías de vulnerabilidades técnicas de plataformas y aplicaciones que proporciona análisis de vulnerabilidades tanto en plataformas, como en aplicativos y que tiene como finalidad dar a conocer y valorar los riesgos de seguridad provenientes de vulnerabilidades y,
- Procesos de validación antes de la conexión de plataformas a la Red de Indra que proporciona la revisión de las plataformas previa a su conexión a la Red de Indra, garantizando el cumplimiento de la normativa de seguridad de la información en cuanto a parcheo, actualizaciones críticas, antivirus etc,
Adicionalmente, anualmente se contemplan en el informe de sostenibilidad indicadores que permiten evidenciar el cumplimiento de la política de seguridad.
Como de manera externa, ya que Indra es sometido a diferentes auditorías externas de verificación, como pueden ser: Auditorias de la norma ISO 27001 por parte de AENOR, certificadora avalada internacionalmente, Auditorias Financieras y SCIIF y Auditorias TIC.
Con el fin de garantizar la seguridad en la cadena de suministro, Indra tiene establecida una Política de Seguridad de la Información para proveedores, de obligado cumplimiento, y que se encuentra recogida dentro del procesos homologación y contratación de nuestros proveedores.
De igual modo, en aras de garantizar la pronta detección y gestión eficaz de incidentes de seguridad, Indra tiene formalizado un equipo interno de gestión de incidentes “Indra CSIRT”, que presta sus servicios de acuerdo a los estipulado en el documento RFC2350. Ante cualquier evento sospechoso o vulnerabilidad que pueda afectar a los sistemas de información de Indra, póngase en contacto con Indra CSIRT