Tabla 3.
Guía de buenas prácticas para la seguridad informática en centros de AP. Para cada recomendación se especifica el nivel de amenaza prevenido y la fuente de la que procede según la numeración de la Tabla 2
| Bloque | Recomendación | Amenaza prevenida | Estándares, normas y recomendaciones (tabla 2) |
|---|---|---|---|
| Formación | Se debe conocer y aplicar la política de seguridad de la organización sanitaria que debe estar definida según lo dispuesto en el artículo 11 del Esquema Nacional de Seguridad | Nivel 1, 4, 5 | 1,2,16,20 |
| Fortaleza contraseñas | La contraseña se debe modificar cada 90 días | Nivel 1, 2, 4, 5 | 11,16 |
| La contraseña debe estar compuesta por 8 dígitos como mínimo | Nivel 1, 2, 4, 5 | 4,11,15,16 | |
| Componerla de letras mayúsculas y minúsculas, algún número y algún carácter especial | Nivel 1, 2, 4, 5 | 1,4,11,15,16 | |
| La contraseña no debe constar de fechas, nombres o información personal | Nivel 1, 2, 4, 5 | 1,4,11,15,16 | |
| La contraseña no debe apuntarse en ningún sitio ni enviarla por correo electrónico | Nivel 1, 2, 4, 5 | 1,4,11,15,16 | |
| La contraseña debe de ser diferente de la que protege cuentas de carácter personal | Nivel 1, 2, 4, 5 | 1,4,11,15,16 | |
| No compartir la contraseña con nadie ni solicitar la de otro compañero | Nivel 1, 2, 3, 4, 5 | 1,4,11,15,16 | |
| No guardar la contraseña en el navegador de Internet | Nivel 1, 2, 3, 4, 5 | 1,4,11,15,16 | |
| Uso de certificados digitales | Los certificados digitales deben protegerse con contraseña y aplicarle a esta las mismas reglas del bloque anterior | Nivel 1, 2, 3, 4, 5 | 20 |
| Uso del correo electrónico | No consultar cuentas de correo personal desde el centro sanitario por ser una posible entrada de virus y fuga de información | Nivel 1, 3, 5 | 1 |
| No enviar desde cuentas de correo personal información personal de salud, ni proporcionar la dirección para recibir este tipo de datos | Nivel 1, 3, 5 | 1 | |
| No utilizar su cuenta de correo electrónico corporativa para fines personales, y extremar las medidas de seguridad si va a acceder a ella desde un domicilio particular | Nivel 1, 3, 5 | 1,9 | |
| No responder a correos electrónicos que le soliciten la remisión de datos de salud | Nivel 1, 2, 3, 5 | 1,9,16 | |
| Extremar la precaución, al abrir adjuntos de un correo electrónico para no introducir virus en el centro. | Nivel 1,5 | 1,9,16 | |
| Encriptar o codificar los correos electrónicos que contengan datos personales de salud | Nivel 1, 2, 5 | 1,2,9,16 | |
| Incluir en el pie de los faxes y correos electrónicos enviados una cláusula informando de la naturaleza y privacidad de los datos | Nivel 1 | 1,2,9,16 | |
| Acceso a Internet | Evitar navegar por: redes sociales, páginas de descargas, páginas de almacenamiento de archivos, mensajería instantánea y juegos online por ser una entrada potencial de amenazas | Nivel 1, 3, 5 | 1,16 |
| Precaución en la descarga de archivos de Internet | Nivel 1, 2, 5 | 1,16 | |
| Uso de dispositivos y medios extraíbles | Consultar con el responsable de la información la conveniencia o no de sacar información personal de salud del centro en un medio extraíble | Nivel 1, 3, 4, 5 | 1,6,16,19 |
| Encriptar o codificar la información personal de salud que salga del centro en medios extraíbles o dispositivos portátiles | Nivel 1, 3, 4, 5 | 2,10,16,19 | |
| Precaución en el uso de medios extraíbles (USB, CD) para evitar la entrada de virus | Nivel 1, 3, 5 | 10,16,19 | |
| Borrado seguro de medios extraíbles con información personal de salud al desecharse para evitar que pueda recuperarse | Nivel 1, 3, 4, 5 | 1,2,10,16,19 | |
| Uso de equipos | Cerrar la sesión, bloquearla o apagar la pantalla del ordenador cuando vaya a ausentarse del mismo durante 5 min o más | Nivel 1, 2, 3, 4, 5 | 1,2,7,16 |
| Evitar que los datos desplegados en pantallas sean vistos por personas no autorizadas | Nivel 1, 2, 3, 4, 5 | 1,2,16 | |
| No colocar información sensible en unidades del ordenador compartidas con trabajadores que no tengan autorización a acceder a dichos datos | Nivel 1, 2, 3, 4, 5 | 1 | |
| Acceder únicamente a la información indispensable para desempeñar el trabajo. Si se accede a información que no deba ser vista, se debe informar al departamento de informática del centro | Nivel 1, 2, 3, 4, 5 | 1,16 | |
| Borrar la memoria de las fotocopiadoras de alta capacidad del centro tras fotocopiar información que contenga datos personales de salud | Nivel 1, 2, 3, 4, 5 | 1 | |
| Retirar los documentos con datos sensibles de la bandeja de impresión de las impresoras y faxes para que no puedan ser consultados por personal no autorizado | Nivel 1, 2, 3, 4, 5 | 1,7,16 | |
| Instalación de software | No instalar software no relacionado con las funciones del puesto de trabajo por ser una posible entrada de amenazas | Nivel 1, 3, 5 | 7,16 |
| Cuidar que el software a instalar esté libre de virus | Nivel 1, 3, 5 | 1,16 | |
| Incidencias de seguridad | Conocer el protocolo de actuación frente a la detección de amenazas informáticas | Nivel 1, 2, 3, 4, 5 | 1,16 |
| Informar de cualquier anomalía en el funcionamiento del ordenador a quien corresponda según el procedimiento que debe ser definido por la organización para la notificación de incidencias | Nivel 1, 2, 3, 4, 5 | 1,16 |