Saltar ao contido principal
Orientacións 2016 OEA

Subsección 3.7: Protección dos sistemas informáticos

A fin de cumprir o criterio mencionado no artigo 25, apartado 1, letra j), do AE CAU, debe vostede adoptar as medidas de seguridade oportunas para protexer o seu sistema informático da intrusión e asegurar a súa documentación.

3.7.1

En relación coa pregunta a), as medidas poden consistir no seguinte:

  • un plan de seguridade actualizado en que figuren as medidas en vigor para protexer o seu sistema informático fronte ao acceso non autorizado, así como a destrución deliberada e a perda de información;
  • información detallada sobre se opera con sistemas múltiples en múltiples sitios e como contrólanse os devanditos sistemas;
  • determinación dos responsables da protección e explotación do sistema informático da empresa (a responsabilidade non debería quedar limitada a unha persoa, senón recaer en varias, de xeito que cada unha delas poida controlar as accións das demais),
  • información detallada sobre devasas, antivirus e outras proteccións contra programas informáticos mal intencionados;
  • un plan de continuidade da empresa e de recuperación en caso de emerxencia cando ocorran incidentes;
  • rutinas de copia de seguridade que inclúan restauración de todos os programas e datos relevantes tras unha interrupción debida a unha avaría do sistema;
  • rexistros en que se tome nota de cada usuario e das súas accións;
  • se a vulnerabilidade do sistema xestiónase periodicamente e quen xestiónaa.

En relación coa pregunta b), indique a frecuencia con que comproba a eficacia do seu sistema contra o acceso non autorizado, como rexistra os resultados e como fai fronte á situación cando o sistema se ve ameazado.

3.7.2

  • Os procedementos que vostede estableza en relación cos dereitos de acceso deben incluír o seguinte:
    modalidades de concesión das autorizacións de acceso e nivel de acceso ao sistema informático (o acceso á información sensible debería estar limitado ao persoal autorizado a introducir cambios na mesma),
  • formato dos contrasinais, frecuencia dos cambios e persoa encargada de proporcionar eses contrasinais, e
  • eliminación/mantemento/actualización da información sobre o usuario.