Saltar al contenido principal
Orientaciones 2016 OEA

Subsección 3.7: Protección de los sistemas informáticos

A fin de cumplir el criterio mencionado en el artículo 25, apartado 1, letra j), del AE CAU, debe usted adoptar las medidas de seguridad oportunas para proteger su sistema informático de la intrusión y asegurar su documentación.

3.7.1

En relación con la pregunta a), las medidas pueden consistir en lo siguiente:

  • un plan de seguridad actualizado en el que figuren las medidas en vigor para proteger su sistema informático frente al acceso no autorizado, así como la destrucción deliberada y la pérdida de información;
  • información detallada sobre si opera con sistemas múltiples en múltiples sitios y cómo se controlan dichos sistemas;
  • determinación de los responsables de la protección y explotación del sistema informático de la empresa (la responsabilidad no debería quedar limitada a una persona, sino recaer en varias, de forma que cada una de ellas pueda controlar las acciones de las demás),
  • información detallada sobre cortafuegos, antivirus y otras protecciones contra programas informáticos malintencionados;
  • un plan de continuidad de la empresa y de recuperación en caso de emergencia cuando ocurran incidentes;
  • rutinas de copia de seguridad que incluyan restauración de todos los programas y datos relevantes tras una interrupción debida a una avería del sistema;
  • registros en los que se tome nota de cada usuario y de sus acciones;
  • si la vulnerabilidad del sistema se gestiona periódicamente y quién la gestiona.

En relación con la pregunta b), indique la frecuencia con que comprueba la eficacia de su sistema contra el acceso no autorizado, cómo registra los resultados y cómo hace frente a la situación cuando el sistema se ve amenazado.

3.7.2

  • Los procedimientos que usted establezca en relación con los derechos de acceso deben incluir lo siguiente:
    modalidades de concesión de las autorizaciones de acceso y nivel de acceso al sistema informático (el acceso a la información sensible debería estar limitado al personal autorizado a introducir cambios en la misma),
  • formato de las contraseñas, frecuencia de los cambios y persona encargada de proporcionar esas contraseñas, y
  • eliminación/mantenimiento/actualización de la información sobre el usuario.