Resolución de 25 de junio de 2018, de la Secretaría General de Presidencia del Gobierno, por la que se dispone la publicación del Acuerdo que aprueba las instrucciones que conforman la normativa de seguridad en el uso de los recur- sos informáticos,...
Xxxxxxxxxx xx 00 xx xxxxx xx 0000, xx xx Xxxxxxxxxx General de Presidencia del Gobierno, por la que se dispone la publicación del Acuerdo que aprueba las instrucciones que conforman la normativa de seguridad en el uso de los recur- sos informáticos, telefónicos y de redes de co- municación de la Administración Pública de la Comunidad Autónoma de Canarias (BOC 127, de 3.7.2018)
Adoptado por el Gobierno de Canarias, en se- sión de 25 xx xxxxx de 2018, el Acuerdo por el que se aprueban las instrucciones que conforman la normativa de seguridad en el uso de los recursos in- formáticos, telefónicos y de redes de comunica- ción de la Administración Pública de la Comunidad Autónoma de Canarias, y de conformidad con el apartado tercero del mismo,
RESUELVO:
Disponer la publicación del Acuerdo por el que se aprueban las instrucciones que conforman la normativa de seguridad en el uso de los recursos in- formáticos, telefónicos y de redes de comunica- ción de la Administración Pública de la Comunidad Autónoma de Canarias, en los términos del anexo.
ANEXO ÍNDICE
1. PRINCIPIOS GENERALES Y DEFINICIONES.
1.1. Principios Generales.
1.2. Ámbito de aplicación.
1.3. Definiciones.
2. RECURSOS INFORMÁTICOS, TELEFÓNICOS Y DE REDES DE COMUNICACIÓN Y DEBERES ESPECÍFICOS DE SUS PERSONAS USUARIAS.
2.1. Utilización de equipos informáticos, de co- municaciones y telefónicos.
2.2. Utilización de Equipos Portátiles, Tabletas, Móviles y Dispositivos Criptográficos.
2.3. Utilización de aplicaciones informáticas.
2.4. Acceso a las redes de comunicación.
2.5. Acceso a internet.
2.6. Correo electrónico.
3. SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN.
3.1. Utilización de la información.
3.2. Identificación y autenticación.
3.3. Control de accesos.
3.4. Copias de seguridad.
INSTALACIONES DE LA ADMINISTRACIÓN PÚBLICA DE LA COMUNIDAD AUTÓNOMA DE CANARIAS.
5. CONTROL GENÉRICO DE LOS RECURSOS INFORMÁTICOS, TELEFÓNICOS Y DE REDES DE COMUNICACIÓN CORPORATIVOS.
5.1. Órganos competentes.
5.2. Monitorización y aplicación de estas ins- trucciones que conforman la normativa xx xxxx- ridad.
5.3. Control específico de la utilización de equi- pos telefónicos.
5.4. Notificación de incidentes de seguridad.
6. OTROS DEBERES Y RESPONSABILIDADES.
6.1. Deberes del personal de las tecnologías de la información y las comunicaciones.
6.2. Deberes adicionales de las personas usua- rias.
6.3. Uso indebido de los recursos informáticos, telefónicos y de telecomunicaciones.
6.4. Responsabilidades.
6.5. Medidas cautelares extraordinarias.
1. PRINCIPIOS GENERALES Y DEFINICIONES.
1.1. Principios Generales.
1. Las personas comprendidas en el ámbito de aplicación de estas instrucciones estarán sujetas a los principios de legalidad, eficacia, profesionali- dad, eficiencia y diligencia en la utilización de los re- cursos informáticos, telefónicos y de redes de co- municación, y respetarán la integridad de los mis- mos, con sometimiento pleno a la Ley y al Derecho.
2. El uso de los recursos informáticos, telefó- nicos y de redes de comunicación puestos a dis- posición de los sujetos incluidos en el ámbito de aplicación de estas instrucciones se circunscribirá única y exclusivamente al ejercicio de las funcio- nes que tienen atribuidas por razón de su puesto de trabajo o cargo, permitiéndose excepcional- mente su uso para la conciliación personal y fa- miliar, salvaguardando en todo caso lo dispuesto en estas instrucciones.
1.2. Ámbito de aplicación.
Las presentes instrucciones son de aplicación a las personas que ocupan cargos públicos y al personal al servicio de la Administración Pública de la Comunidad Autónoma de Canarias, de los organismos autónomos dependientes de ella, y del resto de las entidades públicas no empresariales a que hace referencia la letra d) del artículo 2 de la Ley 11/2006, de 00 xx xxxxxxxxx, xx xx Xxxxxxxx Xxxxxxx Xxxxxxx (1), así como a cualesquiera per-
3.5. Confidencialidad de la información.
4. ACCESO DE TERCERAS PERSONAS A LOS
SISTEMAS DE INFORMACIÓN Y REDES EN
(1) La Ley 11/2006 figura como L11/2006.
sonas que, en virtud de cualquier título, se hallen autorizadas para la utilización de sus recursos in- formáticos, telefónicos o redes de comunicación. La actividad en el entorno tecnológico educa- tivo de los centros públicos de enseñanza no uni- versitaria estará sujeta a la normativa de seguri- dad que establezca el propio Departamento com-
petente en materia de educación.
1.3. Definiciones.
A los efectos de las presentes instrucciones se entenderá por:
a) Redes de comunicación: infraestructura de telecomunicación accesible por las personas usua- rias, tanto de acceso a red interna o intranet como de acceso a red externa o extranet, correo electró- nico o cualquier otro instrumento de transmisión te- lemática o acceso a la información, mediante la conexión de medios informáticos o de telefonía, que sean propiedad o estén bajo supervisión de la Administración Pública de la Comunidad Autó- noma de Canarias.
b) Persona usuaria: toda persona física que ten- ga autorizado el acceso a los sistemas de informa- ción o redes de comunicaciones de la Adminis- tración Pública de la Comunidad Autónoma de Canarias.
c) Recursos informáticos: todos los medios de cualquier naturaleza, físicos o lógicos, que inter- vienen en los sistemas de información y en las re- des de comunicaciones.
d) Recursos telefónicos: equipos de proceso y transmisión de información que permiten la co- municación vocal y de fax.
e) Aplicación informática: programa o conjun- to de programas informáticos que tienen por objeto el tratamiento electrónico de la información.
f) Identificador: información, frecuentemente constituida por una cadena de caracteres, que iden- tifica a una persona usuaria en los sistemas infor- máticos.
g) Contraseña: información, frecuentemente constituida por una cadena de caracteres, que se utiliza en el proceso de autenticación de una per- sona usuaria.
h) Identificación y Autenticación: procedimientos de reconocimiento y comprobación, respectivamente, de la identidad de una persona usuaria.
i) Credenciales: conjunto de uno o más ele- mentos, frecuentemente pero no de manera exclu- siva consistentes en el identificador y contraseña, que se utiliza para identificar a una persona usua- ria en el proceso de autenticación en los sistemas informáticos.
j) Cuenta de Persona Usuaria: personalización de un servicio de red para su uso por una persona usuaria. La utilización de un servicio de red con-
lleva la asignación de un identificador y una con- traseña que permiten a la persona usuaria la utili- zación personal de dicho servicio y el acceso al espacio virtual restringido, por ejemplo, la cuenta de persona usuaria de correo electrónico.
k) Equipo informático: dispositivo electrónico capaz de procesar información y ejecutar instruc- ciones de las aplicaciones informáticas.
l) Equipo de comunicación: dispositivo elec- trónico que permite la interconexión de redes de or- denadores y servidores. Permite asegurar el co- rrecto enrutamiento de información entre redes, o determinar la ruta que debe tomar la misma.
m) DNS: el sistema de nombres de dominio ( DNS, por sus siglas en inglés, Domain Name System) es un sistema de nomenclatura jerárquico descentralizado para dispositivos conectados a re- des IP como Internet o una red privada.
n) Proxy: intermediario entre una red interna (por ejemplo, una intranet) y una conexión exter- na a Internet.
ñ) Cortafuego: barrera o protección que per- mite a un sistema salvaguardar la información al acceder a otras redes, como por ejemplo Internet.
o) Antivirus: programa informático cuyo ob- jetivo es detectar, bloquear, prevenir o eliminar virus informáticos.
p) Spam: correo electrónico con remitente des- conocido, generalmente enviado de forma xxxx- va con fines publicitarios o maliciosos, que no es solicitado ni deseado por la persona usuaria.
q) Registro de Eventos: registro de eventos in- formáticos o telefónicos durante un rango de tiem- po determinado.
r) CiberCentro: Centro integral de atención al personal al servicio de la Administración Pública de la Comunidad Autónoma de Canarias y cen- tros directivos para el soporte, la explotación y la gestión de los servicios de telecomunicaciones e in- formáticos de la Administración Pública de la Comunidad Autónoma de Canarias.
s) VPN: Virtual Private Network es una tec- nología de red de computadoras que permite una extensión segura de la red de área local sobre una red pública o no controlada como Internet.
2. RECURSOS INFORMÁTICOS, TELEFÓNICOS Y DE REDES DE COMUNICACIÓN Y DEBERES ESPECÍFICOS DE SUS PERSONAS USUARIAS.
2.1. Utilización de equipos informáticos, de comunicaciones y telefónicos.
1. Las personas usuarias no podrán alterar ni modificar los equipos informáticos, telefónicos y de comunicaciones que les sean facilitados para el ejercicio de sus funciones. Salvo autorización ex- presa, las personas usuarias no tendrán privilegio de administración de los equipos.
Únicamente el personal autorizado podrá dis- tribuir, instalar o desinstalar software y hardware, o modificar la configuración de cualquiera de los equipos, especialmente en aquellos aspectos que puedan repercutir en la seguridad de los sistemas de información.
Con carácter general, las personas usuarias no tienen permitido conectar a los equipos informáti- cos o telefónicos que se les provea otros equipos y software distintos de los que tengan instalados.
2. Las personas usuarias deberán bloquear o apagar sus equipos al ausentarse, temporal o per- manentemente, de su puesto de trabajo, a efectos de evitar su acceso a estos recursos por otras personas durante su ausencia.
3. Las personas usuarias deberán reiniciar o apagar sus equipos informáticos de puesto de tra- bajo periódicamente, al menos cada 45 días, para permitir la actualización automática de aplicacio- nes, sistema operativo, firmas de antivirus y de- más medidas de seguridad.
4. Se imprimirán únicamente aquellos docu- mentos que sean estrictamente necesarios.
5. La instalación, reparación y mantenimiento de los equipos informáticos, telefónicos y de co- municaciones solo podrá realizarse por el personal con responsabilidad en estas funciones, que debe- rá estar debidamente identificado y acreditado.
2.2. Utilización de Equipos Portátiles, Tabletas, Móviles y Dispositivos Criptográficos.
1. El equipo portátil, tableta, móvil y disposi- tivo criptográfico estará bajo la custodia de la per- sona usuaria que los utilice o de la persona res- ponsable de la unidad administrativa a quien haya sido asignado. Ambos deberán adoptar las medidas necesarias para evitar daños o sustracción, así co- mo el acceso a ellos por parte de personas no au- torizadas. Dichas medidas comprenderán, al menos, el uso de contraseñas o códigos (PIN) secretos y personales para el acceso a los dispositivos bajo su responsabilidad.
2. La sustracción o pérdida de estos equipos se ha de poner inmediatamente en conocimiento del órgano competente en materia de tecnologías de la información y de las comunicaciones, notifi- cando la correspondiente incidencia a CiberCentro, y a la persona titular del órgano superior propietario del equipo, cuando haya afectado a este. En caso de sustracción, se acompañará de la correspondiente denuncia.
3. Los equipos portátiles, tabletas, móviles y dispositivos criptográficos deberán utilizarse úni- camente para fines institucionales relacionados con el ejercicio de las funciones que tienen atri- buidas por razón de su puesto de trabajo o cargo, especialmente cuando se usen fuera de las instala-
ciones de la Administración Pública de la Comu- nidad Autónoma de Canarias.
4. Las personas usuarias de estos equipos se responsabilizarán de que no sean usados por ter- ceras personas ajenas a la Administración Pública de la Comunidad Autónoma de Canarias o no au- torizadas para ello.
5. La persona usuaria deberá bloquear su equi- po portátil, tableta o móvil, a efectos de evitar su acceso a estos recursos por otras personas durante su ausencia.
6. Cuando la tipología de la información tratada así lo requiera, los equipos portátiles afectados de- berán tener cifrado el disco duro, disponer de soft- ware que garantice un arranque seguro, así como mecanismos de auditoría capaces de crear un re- gistro por cada fichero extraído del sistema por cualquier medio (red, dispositivos extraíbles, im- presoras, etc.).
7. Las personas usuarias de equipos portátiles deberán realizar conexiones periódicas al menos ca- da 45 días a la red corporativa para permitir la actua- lización automática de aplicaciones, sistema operati- vo, firmas de antivirus y demás medidas de seguridad.
8. Cuando se modifiquen las circunstancias profesionales (cambio de puesto de trabajo, tér- xxxx de una tarea, cese en el cargo, etc.) que ori- ginaron la entrega de un recurso informático mó- vil, la persona usuaria lo devolverá al órgano pro- pietario del equipo, en el plazo máximo de un mes, al objeto de proceder al borrado seguro de la in- formación almacenada y restaurar el equipo a su es- tado original para que pueda ser asignado a un nueva persona usuaria, salvo en aquellos casos en los que esté permitida la desafectación del dispo- sitivo a favor de la propia persona usuaria.
En el caso de los dispositivos criptográficos, habrá que estar a lo que disponga la persona titular del órgano propietario del mismo en el momento de su entrega.
2.3. Utilización de aplicaciones informáticas.
1. Las personas usuarias deben hacer uso ex- clusivamente de las aplicaciones informáticas o versiones de software instalados en sus equipos por la Administración Pública de la Comunidad Autónoma de Canarias. Asimismo, las personas usuarias se limitarán a ejecutar las aplicaciones in- formáticas para las que estén autorizadas.
2. No se podrá instalar o utilizar software del cual no se disponga la autorización y licencia co- rrespondiente.
2.4. Acceso a las redes de comunicación.
1. La conexión de las personas usuarias a las redes de comunicación será facilitada por el órga- no superior de la Administración Pública de la Comunidad Autónoma de Canarias que tenga atri-
buida la competencia en materia de tecnologías de la información y de las comunicaciones.
2. Las personas usuarias solo podrán utilizar las redes, los equipos informáticos, telefónicos y de comunicaciones que se pongan a su disposición por la Administración Pública de la Comunidad Autónoma de Canarias y que estén directamente es- pecificados por esta Administración, debiendo cumplir las normas que la misma establezca. Excepcionalmente, con la autorización y supervi- sión de la persona responsable de los sistemas de información pertinentes, se podrá realizar la co- nexión a la red corporativa de comunicaciones con un equipo informático o telefónico distinto a los instalados para tal fin.
Las personas usuarias no deben intentar obte- ner otros derechos o acceso distintos a los que tie- nen asignados. Asimismo, no deben intentar dis- torsionar o falsear los registros de eventos de los sistemas de información.
3. La instalación y conexión de líneas de co- municaciones a la red de voz y datos de la Administración Pública de la Comunidad Autó- noma de Canarias requerirá de la autorización del órgano competente en materia de tecnologías de la información y de las comunicaciones. En cual- quier caso, habrán de ser gestionadas por dicho órgano superior.
4. No se permite la instalación de redes ina- lámbricas o puntos de acceso inalámbricos que no dispongan de la autorización del órgano compe- tente en materia de tecnologías de la información y de las comunicaciones.
5. Toda conexión remota desde el exterior de la Administración Pública de la Comunidad Autónoma de Canarias queda prohibida, con la sal- vedad de los servicios corporativos que sean habi- litados para su uso remoto. Esta autorización solo se concederá por el órgano competente en materia de tecnologías de la información y de las comunica- ciones cuando la función asignada al puesto de tra- bajo lo requiera, y tras tener garantías suficientes de que no se verán afectados los niveles de seguridad de los sistemas de la Administración Pública de la Comunidad Autónoma de Canarias.
2.5. Acceso a Internet.
1. El acceso a Internet por las personas usuarias se realizará únicamente empleando los medios y a través de la red establecida a estos efectos por la Administración Pública de la Comunidad Autóno- ma de Canarias.
2. Con carácter general, las conexiones que se realicen a Internet deben obedecer a fines profesio- nales para el ejercicio de las tareas y actividades que corresponden a las funciones del puesto de tra- bajo, teniendo siempre en cuenta que se están utili-
zando recursos informáticos restringidos y escasos. El acceso a Internet para fines personales debe li- mitarse y, de ser absolutamente necesario, solo de- be utilizarse un tiempo razonable, que no interfiera en el rendimiento profesional ni en la eficiencia y se- guridad de los recursos informáticos corporativos.
3. No deberá accederse en ningún caso a di- recciones de Internet que tengan un contenido ile- gal, ofensivo o atentatorio de la dignidad huma- na. A estos efectos, la Administración Pública de la Comunidad Autónoma de Canarias a través del órgano competente en materia de tecnologías de la información y de las comunicaciones podrá res- tringir el acceso a determinados servidores de con- tenidos en Internet. El hecho de que la Adminis- tración Pública de la Comunidad Autónoma de Canarias no haya bloqueado el acceso a una de- terminada página web no implica que el acceso a la misma sea autorizado.
4. Las autorizaciones de acceso a Internet se concederán acordes con las funciones del puesto que desempeñe la persona usuaria, produciéndose una segmentación de perfiles que habilite las co- nexiones.
5. No está permitida la instalación de proxys y cortafuegos por parte de las personas usuarias. Asimismo, los servidores DNS a instalar deberán es- tar subordinados y sincronizados con los estableci- dos por el órgano competente en materia de tecno- logías de la información y de las comunicaciones.
6. Las transferencias de datos desde o a Internet se realizarán exclusivamente cuando lo exija el ejercicio de las funciones del puesto de trabajo, sin perjuicio de lo establecido en el apartado 2 an- terior respecto al acceso a internet para fines per- sonales. En todo caso, las personas usuarias debe- rán tener en cuenta, antes de utilizar la informa- ción proveniente de la red, si dicho uso es confor- me a las normas que protegen la propiedad inte- lectual e industrial, así como la normativa de pro- tección de datos de carácter personal.
7. Los equipos informáticos y telefónicos que tengan acceso a Internet, deberán disponer de soft- ware actualizado de protección frente a virus y de- más códigos maliciosos, así como cualquier otro sistema de seguridad corporativo que sea requeri- do por la Administración Pública de la Comunidad Autónoma de Canarias.
2.6. Correo electrónico.
1. La Administración Pública de la Comunidad Autónoma de Canarias, a través del órgano com- petente en materia de tecnologías de la informa- ción y de las comunicaciones, suministrará a cada persona usuaria una dirección individual de co- rreo electrónico, procediéndole a instalar y confi- gurar una cuenta de correo. El acceso a dicha cuen-
ta de correo se efectuará mediante una contrase- ña personal. El correo corporativo deberá utilizar- se, única y exclusivamente, para la realización de las funciones encomendadas al personal, evitan- do con carácter general el uso privado del mismo.
2. Las personas usuarias no tienen permitido el acceso a cuentas de correo que no le hayan sido asignadas o autorizadas.
Asimismo, las personas usuarias no pueden interceptar, leer, borrar, copiar o modificar el correo electrónico dirigido a otras personas usuarias.
3. No está permitido el uso del correo electró- nico utilizando mensajes con contenidos ofensi- vos o atentatorios a la dignidad humana. Asimismo, tampoco está permitido el envío deliberado de cualquier clase de programa o virus que pueda cau- sar perjuicios en los sistemas de información de la Administración Pública de la Comunidad Autónoma de Canarias o a terceros.
4. Las personas usuarias deberán notificar a CiberCentro cualquier tipo de anomalía detecta- da, así como los correos spam que se reciban, a fin de configurar adecuadamente las medidas de seguridad oportunas.
5. Con la finalización o interrupción de la re- lación funcionarial o laboral, o de prestación de servicios, se inhabilitará el acceso a la cuenta de co- rreo de la persona usuaria.
6. Las personas usuarias de cuentas de correo electrónico, así como las personas responsables de cuentas de correo electrónico genéricas, pro- porcionadas por la Administración Pública de la Comunidad Autónoma de Canarias, deben identi- ficarse en el envío de cualquier correo de acuerdo con las normas de uso para correo electrónico pre- vistas en el apartado de Identificación en audiovi- suales e Internet del Manual de Identidad Corporativa Gráfica del Gobierno de Canarias (1).
7. A los efectos de evitar que los servidores queden colapsados por su uso inadecuado o que puedan resultar dañados, las personas usuarias de- berán abstenerse de enviar mensajes masivos o con ficheros adjuntos de gran tamaño, así como propagar cartas encadenadas y participar en es- quemas piramidales o actividades similares.
3. SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN.
3.1. Utilización de la información.
1. Toda la información albergada en los siste- mas de almacenamiento de la Administración
(1) Véase Decreto 184/2004, de 21 de diciembre, por el que se aprueba la identidad corporativa del Gobierno de Canarias y se establen las normas para su tratamiento y utilización (D184/2004).
Pública de la Comunidad Autónoma de Canarias, o que circule a través de su red mediante elemen- tos o dispositivos de comunicación o transmisión, que sea propiedad de la misma o le haya sido con- fiada, no confiere derecho alguno en cuanto a po- sesión, titularidad o derecho de copia de la mis- ma, por lo que su uso debe ser estrictamente oficial y profesional.
Las personas usuarias con acceso a información y datos deben usarlos únicamente para las opera- ciones para las que fueron generados e incorpora- dos, sin destinarlos a otros fines o incurrir en acti- vidades que puedan considerarse ilícitas o ilegales.
2. La información y los datos generados por la persona usuaria en el desempeño de sus com- petencias profesionales deberán mantenerse úni- camente en unidades de red de la Administración Pública de la Comunidad Autónoma de Canarias o en cualquier otro tipo de servicio de ficheros cen- tralizado propio de la Administración Pública de la Comunidad Autónoma de Canarias que esta faci- lite a las personas usuarias para tal fin. En los re- cursos de almacenamiento solo está permitido al- macenar información exclusivamente relativa al desempeño del puesto de trabajo. Se habilitarán mecanismos de control para el acceso remoto a la información.
3. Las personas usuarias deberán proteger la información y los datos a los que tienen acceso. Esta protección debe prevenir el empleo de ope- raciones que puedan producir una alteración inde- bida, inutilización o destrucción, robo o uso no autorizado, en definitiva, cualquier forma que pue- da dañar los datos, recursos y aplicaciones infor- máticas y documentos electrónicos propios de la Administración Pública de la Comunidad Autóno- ma de Canarias.
3.2. Identificación y autenticación.
1. Toda persona usuaria con acceso a un sis- tema de información dispondrá de una única au- torización de acceso, personal e intransferible, compuesta al menos de identificador de persona usuaria y contraseña. Estos permitirán una identi- ficación individual, evitándose registros duplicados o múltiples.
A aquellas personas usuarias con privilegios especiales se les asignará, al mismo tiempo, otro identificador para el uso normal con privilegios restringidos.
2. Las personas usuarias deben custodiar con- venientemente sus credenciales y/o cualquier otro tipo de acceso personal que se les haya autorizado, sin proceder a su revelación o puesta al alcance de terceras personas. Serán responsables de toda la actividad relacionada con el uso de su acceso per- sonal autorizado.
3. Las personas usuarias no tienen permitido el uso de contraseñas ni de otro tipo de formas de autenticación que no les hayan sido asignadas o autorizadas. Se prohíbe la entrada en los recursos y aplicaciones informáticas utilizando un identi- ficador y contraseña o cualquier otro tipo de forma de autenticación de otra persona usuaria.
Es responsabilidad de la persona usuaria ha- cer buen uso de su cuenta de usuario. Las personas usuarias no podrán autorizar a terceras personas, en ningún caso, el uso de sus contraseñas o de cual- quier otro tipo de acceso personal que se le haya asignado.
4. Las contraseñas deberán cumplir la Normativa de Contraseñas de la Administración Pública de la Comunidad Autónoma de Canarias descrita y definida por el órgano competente en materia de tecnologías de la información y de las comunicaciones.
5. Si las personas usuarias sospechan que su acceso autorizado (identificador de persona usua- ria y contraseña o cualquier otro tipo de forma de autenticación) está siendo utilizado por otra per- sona, deberá proceder inmediatamente al cambio de contraseña o revocación del mismo y notificar la correspondiente incidencia a CiberCentro, así co- mo a la persona que desempeñe un cargo inme- diatamente superior en la jerarquía, a los efectos de lo señalado en el apartado 5 de estas instrucciones. La persona usuaria nunca facilitará sus cre- denciales, aunque recibiera una llamada telefónica o correo electrónico solicitándole dichos datos. La persona usuaria procederá a comunicar este hecho a CiberCentro, así como a la persona que desem- peñe un cargo inmediatamente superior en la je- rarquía, a los efectos de lo señalado en el apartado
5 de estas instrucciones.
6. Finalizada o interrumpida la relación fun- cionarial o laboral de la persona usuaria, o la pres- tación de servicios con la Administración Pública de la Comunidad Autónoma de Canarias, se inha- bilitarán sus credenciales y/o cualquier otro tipo de acceso personal que se le haya autorizado.
3.3. Control de Accesos.
1. Se limitarán los intentos consecutivos de acceso fallidos sobre una cuenta a un máximo es- tablecido.
2. Para evitar accesos indebidos, las personas usuarias cancelarán todas las sesiones activas a la finalización de su uso, salvo si se habilita una he- rramienta de bloqueo general, por ejemplo, una contraseña para protector de pantalla.
3. Las personas usuarias solo podrán acceder a aquella información y recursos para los que pose- an las debidas y explícitas autorizaciones, en fun- ción de las labores que desempeñen, no pudiendo
en ningún caso acceder a información pertene- ciente a otras personas usuarias o grupos de per- sonas usuarias para los que no se posea tal autori- zación. Deberá salvaguardar cualquier informa- ción, documento, soporte informático, dispositivo de almacenamiento extraíble, etc., que pueda con- tener información confidencial o protegida frente a posibles revelaciones o robos de terceros no au- torizados.
4. Los derechos de acceso a la información y a los sistemas de información que la tratan deberán siempre otorgarse en base a los principios de mí- nimo privilegio posible y necesidad de conocer.
3.4. Copias de Seguridad.
De forma periódica, se realizarán, por el ór- gano responsable del sistema de almacenamiento, copias de seguridad, tanto completas como incre- mentales, de las unidades de red donde se alma- cene la información de la persona usuaria, como cautela esencial de protección de la información. Con carácter general, no se realizarán copias de seguridad de la información almacenada de forma local.
3.5. Confidencialidad de la Información.
1. La información contenida en los sistemas de información de la Administración Pública de la Comunidad Autónoma de Canarias es propie- dad de la Administración Pública de la Comunidad Autónoma de Canarias, por lo que las personas usuarias deben abstenerse de comunicar, divulgar, distribuir o poner en conocimiento o al alcance de terceras personas (externas o internas no autoriza- das) dicha información, salvo autorización expre- sa de la persona titular de la misma.
2. Todo el personal de la organización o ajeno a la misma que, por razón de su actividad profe- sional, hubiera tenido acceso a información ges- tionada por la Administración Pública de la Comunidad Autónoma de Canarias (tal como da- tos personales, documentos, metodologías, claves, análisis, programas, etc.) deberá mantener sobre ella, por tiempo indefinido, una absoluta reserva.
Finalizada la relación funcionarial o laboral de la persona usuaria, o la prestación de servicios con la Administración Pública de la Comunidad Autónoma de Canarias, o la relación o título que haya motivado la autorización de acceso a la in- formación, deberán mantener la máxima reserva y confidencialidad, no solo de la información y documentos, sino también de las claves, análisis y recursos informáticos.
3. En el caso de entrar en conocimiento de in- formación que no sea de libre difusión, en cual- quier tipo de soporte, deberá entenderse que di- cho conocimiento es estrictamente temporal mien- tras dure la función encomendada, con la obliga-
ción xx xxxxxxx o reserva indefinidas y sin que ello le confiera derecho alguno de posesión, titulari- dad o copia del mismo. Asimismo, se deberán de- volver los soportes de información utilizados in- mediatamente después de la finalización de las ta- reas que hubieren originado su uso.
4. Como medida de protección de la informa- ción propia, confiada o tratada por la Adminis- tración Pública de la Comunidad Autónoma de Canarias, no está permitido el envío al exterior de información, electrónicamente, mediante soportes informáticos o por cualquier otro medio, que no hubiere sido previamente autorizada por el órgano superior titular de la información.
5. Se evitará almacenar información sensible, confidencial o protegida en medios desatendidos (tales como CDs, DVDs, memorias USB, listados, etc.) así como dejar visible tal información en la misma pantalla del ordenador o en documentos impresos en el puesto de trabajo cuando la perso- na usuaria se ausente del mismo.
6. No se podrá transmitir o alojar información sensible, confidencial o protegida propia de la Administración Pública de la Comunidad Autóno- ma de Canarias en servidores externos a la Administración Pública de la Comunidad Autóno- ma de Canarias, salvo autorización expresa de la persona titular de la información, que comprobará la inexistencia de trabas legales para ello y verificará la suscripción de un contrato expreso entre la Administración Pública de la Comunidad Autóno- ma de Canarias y la empresa responsable de la pres- tación del servicio, incluyendo los Acuerdos de Nivel de Servicio que procedan, el correspondien- te Acuerdo de Confidencialidad, y siempre previo análisis de los riesgos asociados a tal externalización.
7. Los soportes de información que vayan a ser reutilizados o causen baja deberán ser previa- mente tratados para eliminar permanentemente la información que pudieran contener, de manera que resulte imposible su recuperación.
8. Las personas usuarias deberán retirar en el menor tiempo posible, cualquier impreso o docu- mento de los dispositivos periféricos de uso com- partido, tales como impresoras, fax, escáner, etc.
4. ACCESO DE TERCERAS PERSONAS A LOS SISTEMAS DE INFORMACIÓN Y REDES EN INS- TALACIONES DE LA ADMINISTRACIÓN PÚBLICA DE LA COMUNIDAD AUTÓNOMA DE CANARIAS. Las terceras personas ajenas a la Adminis- tración Pública de la Comunidad Autónoma de Canarias, que utilicen los recursos de sistemas de información y comunicaciones de la misma, de-
berán observar las siguientes normas:
a) El personal ajeno a la Administración Pública de la Comunidad Autónoma de Canarias
que temporalmente deba acceder a los sistemas de información corporativos o departamentales, de- berá hacerlo siempre bajo la supervisión de algún miembro acreditado de la Administración Pública de la Comunidad Autónoma de Canarias (enlace) y previa autorización de la persona responsable del sistema de información en cuestión.
b) Cualquier incidencia que surja antes o en el transcurso del acceso a la Administración Pública de la Comunidad Autónoma de Canarias deberá ponerlo en conocimiento de su enlace. La función del enlace será dar asesoramiento, atender consul- tas o necesidades, transmitir instrucciones, poner- le al corriente de sus cometidos, objetivos, etc.
c) Para los accesos de terceros a los sistemas de información de la Administración Pública de la Comunidad Autónoma de Canarias, siempre que sea posible, se les crearán usuarios temporales que serán eliminados una vez concluido su trabajo o su función.
d) Tales personas, en lo que les sea de aplica- ción, deberán cumplir puntualmente las presentes instrucciones, así como el resto de normativa de seguridad de la Administración Pública de la Comunidad Autónoma de Canarias, especialmen- te en lo referente a los apartados de utilización y confidencialidad de la información.
5. CONTROL GENÉRICO DE LOS RECURSOS INFORMÁTICOS, TELEFÓNICOS Y DE REDES DE COMUNICACIÓN CORPORATIVOS.
5.1. Órganos competentes.
1. Las secretarías generales técnicas y órganos equivalentes, con el apoyo del órgano competente en materia de tecnologías de la información y de las comunicaciones, velarán por el cumplimiento de las presente instrucciones, pudiendo comprobar, de forma periódica o cuando resulte conveniente por razones específicas de seguridad o del servi- cio, la correcta utilización de los recursos.
2. El órgano competente en materia de mo- dernización y calidad de los servicios, en el marco del Reglamento de la Función Inspectora, podrá ejercer, con arreglo a la planificación de la actua- ción inspectora, los controles correspondientes al uso de los recursos informáticos, telefónicos y re- des de comunicación regulados en estas instruc- ciones, así como la inspección directa sobre todos los servicios de la Administración autonómica a los efectos del control de legalidad previsto en el ci- tado Reglamento.
3. Las medidas que se adopten, de carácter es- pecífico o genérico, para el cumplimiento de los fi- nes establecidos en estas instrucciones no vulne- rarán el derecho al secreto de las comunicaciones previsto en el artículo 18.3 de la Constitución Española.
5.2. Monitorización y aplicación de estas ins- trucciones que conforman la normativa xx xxxx- ridad.
1. La Administración Pública de la Comunidad Autónoma de Canarias, por motivos legales, de seguridad y de calidad del servicio, y cumpliendo en todo momento los requisitos que al efecto es- tablece la legislación vigente:
a) Revisará periódicamente el estado de los equipos, el software instalado, los dispositivos y re- des de comunicaciones de su responsabilidad.
b) Monitorizará los accesos a la información contenida en sus sistemas.
c) Auditará la seguridad de las credenciales y aplicaciones alojadas en infraestructura corpora- tiva.
d) Monitorizará los servicios de Internet, correo electrónico y otras herramientas de colaboración.
2. La Administración Pública de la Comunidad Autónoma de Canarias llevará a cabo esta actividad de monitorización sin utilizar sistemas o programas que pudieran atentar contra los derechos constitu- cionales de las personas usuarias, tales como el derecho a la intimidad personal y al secreto de las comunicaciones, manteniéndose en todo momen- to los principios de necesidad, idoneidad y pro- porcionalidad, preservando las garantías del dere- cho a la intimidad y la privacidad de la información manejada.
3. Los sistemas en los que se detecte un uso inadecuado o en los que no se cumplan los requi- sitos mínimos de seguridad, podrán ser bloqueados o suspendidos temporalmente. El servicio se res- tablecerá cuando la causa de su inseguridad o de- gradación desaparezca. El órgano competente en materia de tecnologías de la información y de las comunicaciones, con la colaboración de las res- tantes unidades de la Administración Pública de la Comunidad Autónoma de Canarias, velará por el cumplimiento de estas instrucciones e informará sobre los incumplimientos o deficiencias xx xxxx- ridad observados, al objeto de que se tomen las medidas oportunas.
4. El sistema que proporciona el servicio de correo electrónico podrá, de forma automatizada, rechazar, bloquear o eliminar parte del contenido de los mensajes enviados o recibidos en los que se detecte algún problema de seguridad o de in- cumplimiento de estas instrucciones. Se podrá in- sertar contenido adicional en los mensajes enviados con objeto de advertir a los receptores de los mis- mos de los requisitos legales y de seguridad que de- berán cumplir en relación con dichos correos. Para su verificación y monitorización, los datos de co- nexión y tráfico se guardarán en un registro du- rante el tiempo que establezca la normativa vi-
gente en cada supuesto. En ningún caso esta re- tención de datos afectará al secreto de las comu- nicaciones, de conformidad con lo dispuesto en el artículo 23 del Real Decreto 3/2010, de 8 de ene- ro, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
5. El sistema que proporciona el servicio de navegación podrá contar con filtros de acceso que bloqueen el acceso a páginas web con contenidos inadecuados, programas lúdicos de descarga masiva o páginas potencialmente inseguras o que conten- gan virus o código dañino, garantizándose la se- guridad y el buen uso de los accesos a Internet, conforme a estas instrucciones. Igualmente, el sis- tema podrá registrar y dejar traza de las páginas a las que se ha accedido, así como del tiempo de ac- ceso, fecha y hora, volumen y tamaño de los ar- chivos descargados. El sistema permitirá el esta- blecimiento de controles que posibiliten detectar y notificar a la persona usuaria y a la persona titular del órgano superior sobre usos prolongados e in- debidos del servicio.
6. El órgano competente en materia de tecno- logías de la información y de las comunicaciones regulará y controlará los accesos a Internet en ba- se a las condiciones establecidas en los apartados anteriores.
5.3. Control específico de la utilización de equipos telefónicos.
1. El órgano competente en materia de tecno- logías de la información y de las comunicaciones, en el marco de la normativa vigente en materia de protección de datos personales, realizará un se- guimiento detallado de las cifras de consumo y facturación de todas las líneas y teléfonos que ges- tione, al objeto de conocer la cuantía y tendencia del gasto, y comprobar su necesidad, informando a las unidades afectadas y, en su caso, adoptando las medidas correctoras necesarias. A tal fin, registra- rá los registros de eventos de tráfico telefónico, incluyendo al menos la información de números marcados, facturación, fecha y hora, y terminal desde el que se ha efectuado la comunicación.
2. La Administración Pública de la Comunidad Autónoma de Canarias, a través del órgano com- petente en materia de tecnologías de la informa- ción y de las comunicaciones, establecerá perfiles de uso y filtros limitativos que estime necesarios para garantizar la seguridad y el buen uso de los re- cursos telefónicos.
5.4. Notificación de incidentes de seguridad. Las personas usuarias deberán notificar a
CiberCentro, con carácter inmediato, cualquier in- cidencia o anomalía en el uso de los recursos in- formáticos, telefónicos y de redes de comunica-
ción que detecten y, en general, toda situación que pueda comprometer el buen uso, funcionamiento y seguridad de los sistemas de información, espe- cialmente cuando existan sospechas de que se ha- ya producido un incidente de seguridad. Se guar- dará un registro de las incidencias de seguridad en una base de datos o aplicativo con esta funciona- lidad. El acceso a este registro estará restringido al personal autorizado.
6. OTROS DEBERES Y RESPONSABILIDADES.
6.1. Deberes del personal de las tecnologías de la información y las comunicaciones.
El personal con responsabilidad y funciones en recursos informáticos y redes de comunicación del centro de trabajo al que se encuentre adscrito, seguirá estrictamente las directrices de seguridad de los responsables de la Administración Pública de la Comunidad Autónoma de Canarias y, especial- mente, las siguientes indicaciones:
1. No acceder ni alterar información o datos ajenos aprovechando sus privilegios de adminis- tración. Solo podrá acceder previa autorización de la persona responsable o persona propietaria del fichero para el ejercicio de las funciones que le corresponda.
2. Custodiar con especial cuidado los identi- ficadores y contraseñas que den acceso a los sis- temas con privilegio de personal administrador.
3. Si debido a sus atribuciones tuviera acceso a cualquier fase del tratamiento de datos de carác- ter personal, estará obligado al secreto respecto de los mismos y al deber de guardarlos con la debida diligencia. Deberá mantener dicho deber de con- fidencialidad aun después de finalizar sus relacio- nes con la Administración Pública de la Comunidad Autónoma de Canarias.
4. Notificar a la persona que desempeñe un cargo inmediatamente superior en la jerarquía cual- quier violación de las normas de seguridad o de vulnerabilidad de los sistemas de información que detecten, así como cualquier anomalía que indi- cara una utilización de los recursos informáticos, te- lefónicos y de redes de comunicación contraria a la presente norma, no revelando en ningún caso a terceras personas estas debilidades, excepto a la persona autorizada que reciba el encargo de reali- zar los trabajos para su corrección.
5. Las personas administradoras de sistemas que estén autorizadas podrán acceder, exclusiva- mente, por motivos de mantenimiento y xx xxxx- ridad, a aquellos ficheros de persona usuaria que permitan al personal administrador detectar, xxx- xxxxx y seguir las trazas de una determinada sesión o conexión.
6. El personal administrador de sistemas tie- ne el deber de guardar secreto sobre el contenido de
los ficheros de las personas usuarias no debiendo permitir que terceras personas puedan acceder a los mismos, salvo previa autorización por escrito de la persona responsable o propietaria del fichero.
7. El personal administrador de sistemas utili- xxxx xxxxxxx personalizadas, descartándose la uti- lización de cuentas genéricas.
6.2. Deberes adicionales de las personas usuarias. Además de los deberes que se prevén en es-
tas instrucciones, las personas usuarias deberán:
1. Cumplir las medidas de seguridad diseña- das por la Administración Pública de la Comunidad Autónoma de Canarias, así como las prevencio- nes que al efecto se establezcan.
2. Utilizar exclusivamente los programas an- tivirus y sus respectivas actualizaciones u otros sistemas de seguridad corporativos, destinados a la prevención de la entrada en los sistemas de in- formación de cualquier elemento destinado a al- terar o dañar los recursos informáticos, telefóni- cos y de redes de comunicación, que sean previs- tos por la Administración Pública de la Comunidad Autónoma de Canarias.
3. Cualquier fichero que se introduzca en la red corporativa o en el puesto de trabajo de la per- sona usuaria a través de Internet, correo electró- nico o cualquier otro tipo de soporte o medio, de- berá cumplir lo establecido en estas instrucciones y, en especial, las referidas a la propiedad intelec- tual, el control antivirus y la protección de datos de carácter personal.
4. Utilizar los medios o programas xx xxxxx- guarda que les facilite la Administración Pública de la Comunidad Autónoma de Canarias, conforme a las instrucciones que reciban, con la finalidad de garantizar la integridad y seguridad de los recursos informáticos, telefónicos y de redes de comunica- ción y de la información que contengan.
5. Colaborar, conforme a las instrucciones que reciban cuando así se requiera, para la instalación y/o configuración de los sistemas de seguridad corporativos en los equipos que tengan asignados.
6. Colaborar en la salvaguarda y protección de la información y los recursos informáticos, te- lefónicos y de redes de comunicación. Deberán en todo caso adecuarse a las instrucciones, procesos y/o procedimientos que el órgano competente en materia de tecnologías de la información y de las comunicaciones elabore a tal fin.
7. Colaborar con los administradores de siste- mas en cualquier investigación que se haga sobre el uso de los recursos informáticos, telefónicos y de redes de comunicación, aportando la información que se les requiera.
8. Respetar las normas de identificación en au- diovisuales e Internet, del Manual de Identidad
Corporativa Gráfica del Gobierno de Canarias, en especial las relativas al fondo de pantalla, normas de uso para Internet y correo electrónico.
9. Si una persona usuaria finaliza o interrumpe su relación funcionarial o laboral, o la prestación de servicios con la Administración Pública de la Comunidad Autónoma de Canarias o se traslada de puesto de trabajo, deberá dejar incólumes todas las aplicaciones informáticas, recursos informáticos, telefónicos y de redes de comunicación, ficheros, información, datos y documentos electrónicos que haya utilizado en su actividad profesional.
6.3. Uso indebido de los recursos informáti- cos, telefónicos y de telecomunicaciones.
1. Con carácter general, se considerará uso in- debido de los recursos informáticos, telefónicos y de redes de comunicación, cualquier actuación que no se ajuste a las previsiones establecidas en las presentes instrucciones, entre ellos los usos que persigan o tengan como consecuencia el manejo de los sistemas de información para fines ajenos a la Administración; la destrucción o modificación no autorizada de la información; la degradación de los servicios; el uso intensivo de los recursos in- formáticos, telefónicos y de redes de comunica- ción para usos no profesionales; incurrir en acti- vidades ilícitas de cualquier tipo; la violación del derecho a la intimidad, el secreto de las comuni- caciones y del derecho a la protección de datos de carácter personal; dañar intencionadamente los re- cursos informáticos de la Administración; y di- fundir contenidos ofensivos o discriminatorios, sin perjuicio de lo establecido en el Código Penal u otra normativa aplicable.
2. Además de lo mencionado en el apartado anterior, específicamente tendrán la calificación de usos indebidos o incumplimientos los supuestos siguientes:
a) Cualquier actuación que pueda tener con- sideración de provocadora o intimidatoria en el trabajo, de tal manera que debe excluirse la insta- lación o visualización de salvapantallas, fotos, ví- deos, comunicaciones u otros medios con conte- nidos ofensivos, violentos, amenazadores, obsce- nos o, en general, aquellos que agredan la dignidad de la persona.
b) La sustracción o el traslado no debidamen- te autorizado de cualquier elemento físico de la instalación informática o de la infraestructura com- plementaria, así como el causar daños a los mis- mos.
c) La búsqueda o utilización de identificadores y contraseñas de otras personas usuarias o cual- quier intento de encontrar y explotar fallos en la se- guridad de los sistemas informáticos de la Administración Pública de la Comunidad Autóno-
ma de Canarias, o hacer uso de aquellos para ata- car cualquier sistema informático.
d) El acceso a cualquier espacio restringido al cual no se tenga autorización.
e) La introducción intencionada de virus, ma- cros o cualquier otro software, dispositivo lógico o secuencia de caracteres que cause o sea susceptible de causar alteración o daño en los recursos infor- máticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias o en los de terceras personas.
f) La no confidencialidad de los datos a los que, bien por parte de su trabajo o bien por acci- dente, se haya accedido.
g) La instalación y utilización de aplicaciones informáticas sin la previa autorización de la persona responsable de los recursos informáticos, telefó- nicos y de redes de comunicación del centro de trabajo al que se encuentre adscrita.
h) La descarga o distribución de documentos infringiendo los derechos de autoría y de copia.
i) El uso de los recursos informáticos para ac- ceder o divulgar contenidos de carácter pornográ- fico, sexista, contra los derechos a la intimidad, el honor o la propia imagen.
j) Los usos ilícitos que se lleven a cabo con fines propagandísticos y comerciales.
k) Los usos indebidos de los recursos telefó- nicos.
l) La utilización de programas que, por su na- turaleza, hagan un uso abusivo de la red.
m) El uso de los recursos informáticos, tele- fónicos y de redes de comunicación para fines pri- vados, lúdicos u otros no relacionados estricta- mente con la actividad propia de la Administración, salvo aquellas excepciones contempladas en estas instrucciones.
n) La transmisión de contenido ilegal o la ac- tuación en perjuicio de los derechos a la intimi- dad, al honor, a la propia imagen o contra la dig- nidad de las personas.
ñ) La difusión de los datos de carácter personal o la cesión de los mismos a terceros.
o) El reenvío de correos electrónicos de for- ma masiva o la respuesta a mensajes spam.
p) La ejecución o apertura de ficheros adjuntos en correos electrónicos procedentes xx xxxxxxx no fiables, puesto que podrían contener virus o códi- go malicioso. En caso de duda sobre la confiabili- dad de los mismos, se deberá notificar esta cir- cunstancia a los responsables tecnológicos de su centro directivo.
q) El uso de servicios de almacenamiento en la nube externos a la Administración Pública de la Comunidad Autónoma de Canarias o ajenos a los que pudiera establecer el órgano competente en
materia de tecnologías de la información y de las comunicaciones.
r) Cualquier intento de descifrar claves, siste- mas o algoritmos de cifrado y/o cualquier otro ele- mento de seguridad que intervenga en los procesos telemáticos.
s) La desactivación de los programas antivi- rus corporativos o de sus actualizaciones.
3. No se podrá difundir la cuenta de correo del usuario en listas de distribución, foros, servicios de noticias, etc., que no sean consecuencia de la actividad profesional del usuario.
4. Las personas usuarias no deberán entorpecer o absorber recursos informáticos, telefónicos y de redes de comunicación compartidos de forma tal que impidan realizar tareas de una forma eficien- te al resto de las personas usuarias.
6.4. Responsabilidades.
La responsabilidad por el incumplimiento de lo previsto en estas instrucciones, así como por cual- quier actuación irregular, ilícita o ilegal que fuese detectada por la Administración en el uso de los re- cursos informáticos, telefónicos y de redes de co- municación corporativos será exigida de acuerdo
con lo previsto en el régimen disciplinario de los empleados públicos establecido legal, reglamen- taria o convencionalmente, así como, en su caso, de conformidad con lo previsto en esta materia en el ordenamiento civil y penal.
6.5. Medidas cautelares extraordinarias.
En aquellos casos en los que el incumplimiento de estas instrucciones entrañe un riesgo manifies- to y grave para la seguridad y eficiencia de los re- cursos informáticos, telefónicos y de redes de co- municación corporativos de la Administración Pública de la Comunidad Autónoma de Canarias así como para la confidencialidad, integridad y disponibilidad de la información en ellos almace- nada, se podrán adoptar las medidas que fueren adecuadas, a fin de garantizar el buen funciona- miento de aquellos, incluida, si ello fuere necesa- rio, la suspensión inmediata del servicio prestado y el bloqueo temporal de los sistemas, cuentas o re- des a los que tenga acceso la persona usuaria, con advertencia a la misma, así como a la persona que desempeñe un cargo inmediatamente superior en la jerarquía, en el espacio de tiempo más breve que sea posible.