Para a Indra, as informações são um dos seus ativos mais críticos. Por isto, considera que é necessário definir medidas adequadas em todos os locais em que elas possam ser armazenadas ou através dos quais possam ser transmitidas, para garantir:
- Sua confidencialidade, certificando-se de que apenas quem estiver autorizado e tenha precisar tomar o conhecimento mínimo necessário ("need-to-know") possa ter acesso a elas, evitando, com isto, problemas de vazamento ou exclusão acidental de informações sensíveis.
- Sua integridade, certificando-se de que as informações e seus métodos de processamento sejam exatos e completos, evitando realizar modificações sem autorização.
- Sua disponibilidade, certificando-se de que os usuários autorizados possam ter acesso às informações e aos ativos associados a elas quando solicitarem, garantindo sempre a entrada aos sistemas críticos da empresa através da elaboração de planos de continuidade dos negócios.
A Segurança da Informação é uma parte essencial da estratégia de negócios da Indra devido ao impacto que exerce em suas atividades e nas dos seus clientes. Por este motivo, a Indra desenvolveu um Sistema de Gestão da Segurança da Informação, certificado segundo a norma ISO 27001, que se responsabiliza pela definição, implementação e melhoria dos controles e procedimentos mais eficazes, para minimizar e administrar os riscos nos processos internos da companhia, nas operações diárias, no desenvolvimento e na execução de Projetos, programas e serviços a partir da fase comercial da operação, bem como no gerenciamento dos clientes.
Pilares fundamentais da estratégia de segurança:
- Um sistema de Governança da Segurança da Informação, que zela pela coordenação e organização adequadas da segurança da informação em todos os níveis. Um Coordenador da Segurança da Informação ou CISO (Chief Information Security Officer) que está à frente e responde diretamente à Comissão de Auditoria e Conformidade (CAC) e à Unidade de Coordenação de Riscos (UCR), e que é responsável pela coordenação da segurança da informação na companhia. Sua principal função é desenvolver a estratégia, os objetivos e os planos de Segurança da Informação da Indra. E LISOs (Local Information Security Officers) de Segurança e de Mercado, cuja principal função é zelar pela segurança da informação nos Mercados e subsidiárias sob sua jurisdição.
- Um Fundamento de Normatização da Segurança da Informação, aplicável a todos os mercados e áreas da companhia, bem como a todas as empresas, sedes e subsidiárias da Indra. Deve ser cumprido obrigatoriamente por todos da Indra e tem, como eixo principal, a Política de Segurança da Informação, que define os princípios essenciais da segurança nos quais o fundamento normativo está baseado.
- A conscientização e o treinamento contínuo em Segurança da Informação durante todas as fases empregatícias, que têm como objetivo conscientizar e treinar todos os usuários da companhia.
"Todos nós que fazemos parte da companhia devemos estar cientes da nossa responsabilidade no campo da Segurança da Informação e da criticidade de proteger a confidencialidade, a integridade e a disponibilidade das informações que manuseamos, sejam as nossas ou as dos nossos clientes". Fernando Abril-Martorell
- A Tecnologia e os controles de segurança como uma solução integral que abrange os monitoramentos de segurança voltados à segurança física e do meio, e orientados à prevenção de acessos físicos por pessoas não autorizadas, de danos e interferências nas instalações da organização e nas informações, como, por exemplo, controles de segurança lógica que servem para proteger a confidencialidade, integridade e disponibilidade das informações e dos recursos usados para o seu processamento.
- Os processos de auditoria e monitoramento da conformidade, como mecanismo de verificação e controle. Internamente, isso é feito por meio de processos de supervisão e monitoramento contínuos que estão ativos permanentemente, como, por exemplo:
- Processos de monitoramento da segurança e de redes, que zelam pela observância das normas de segurança nas redes e nos sistemas de informação.
- Processos de auditorias de vulnerabilidades técnicas de plataformas e aplicativos, que disponibilizam análises de vulnerabilidades em plataformas e em aplicativos, e cuja finalidade é divulgar e avaliar os riscos de segurança provenientes de vulnerabilidades, e
- Processos de validação antes da conexão de plataformas à rede da Indra, que proporcionam a realização de verificação das plataformas antes da sua conexão à rede da Indra, garantindo a observância das normas de segurança da informação quanto a patches, atualizações críticas, antivírus, etc.
Adicionalmente, os indicadores que permitem provar a conformidade com a política de segurança são incluídos anualmente no relatório de sustentabilidade.
Externamente, isso é feito por meio de diversas auditorias externas de verificação, às quais a Indra está sujeita, como, por exemplo: auditorias da norma ISO 27001 pela AENOR, órgão de certificação de renome internacional, auditorias financeiras e SCIIFF e auditorias de TIC.
Para garantir a segurança na cadeia de suprimentos, a Indra estabeleceu uma Política de Segurança da Informação para fornecedores, que deve ser cumprida e que está incluída nos processos de homologação e contratação de nossos fornecedores.