BOC - 2018/127. Martes 3 de Julio de 2018 - 3139

III. Otras Resoluciones

Presidencia del Gobierno

3139 - Secretaría General.- Resolución de 25 de junio de 2018, por la que se dispone la publicación del Acuerdo que aprueba las instrucciones que conforman la normativa de seguridad en el uso de los recursos informáticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias.

Descargar en formato pdf

Adoptado por el Gobierno de Canarias, en sesión de 25 de junio de 2018, el Acuerdo por el que se aprueban las instrucciones que conforman la normativa de seguridad en el uso de los recursos informáticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias, y de conformidad con el apartado tercero del mismo,

R E S U E L V O:

Disponer la publicación del Acuerdo por el que se aprueban las instrucciones que conforman la normativa de seguridad en el uso de los recursos informáticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias, en los términos del anexo.

Santa Cruz de Tenerife, a 25 de junio de 2018.- El Secretario General, Ceferino José Marrero Fariña.

A N E X O

El Gobierno de Canarias, en sesión celebrada el día 25 de junio de 2018 adoptó, entre otros, el siguiente Acuerdo:

4.- PROPUESTA DE ACUERDO POR EL QUE SE APRUEBAN LAS INSTRUCCIONES QUE CONFORMAN LA NORMATIVA DE SEGURIDAD EN EL USO DE LOS RECURSOS INFORMÁTICOS, TELEFÓNICOS Y DE REDES DE COMUNICACIÓN DE LA ADMINISTRACIÓN PÚBLICA DE LA COMUNIDAD AUTÓNOMA DE CANARIAS (CONSEJERÍA DE PRESIDENCIA, JUSTICIA E IGUALDAD).

Con la extensión del uso generalizado de las tecnologías en las Administraciones Públicas, se ha puesto a disposición del personal al servicio de la Administración Pública de la Comunidad Autónoma de Canarias y las personas que ocupan cargos públicos en la misma una serie de recursos informáticos, telefónicos y de telecomunicaciones, los cuales son propiedad o están bajo supervisión de la Administración Pública de la Comunidad Autónoma de Canarias, cuyo uso ha de preservar la seguridad de los mismos en aras de garantizar la eficiencia, confidencialidad, integridad y disponibilidad de la información. Para ello, el uso de los citados recursos y redes ha de ser realizado de forma ordenada y responsable, enfocado al desempeño de las funciones del puesto de trabajo.

En este sentido, y de acuerdo con lo previsto en el Texto Refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre, es un principio de conducta de las empleadas y empleados públicos la administración de los recursos y bienes públicos con austeridad, y la no utilización de los mismos en provecho propio o de personas allegadas. El personal de la Administración y las personas que ocupan cargos públicos tendrán asimismo el deber de velar por su conservación.

El artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que el Esquema Nacional de Seguridad, regulado por el Real Decreto 3/2010, de 8 de enero, tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada. El Anexo II de este Real Decreto, que recoge las "Medidas de Seguridad", en su apartado 3, subapartado 2, relativo a la normativa de seguridad en el marco organizativo, señala que se deberá disponer de una serie de documentos que describan:

a) El uso correcto de equipos, servicios e instalaciones.

b) Lo que se considerará uso indebido.

c) La responsabilidad del personal con respecto al cumplimiento o violación de estas normas.

La entrada en vigor de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, así como de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, plantean un entorno de trabajo en el cual la tramitación electrónica constituye la actuación habitual de las Administraciones. La utilización de los medios electrónicos, la firma y sedes electrónicas, el intercambio electrónico de datos en entornos cerrados de comunicación y la actuación administrativa automatizada plantean un enfoque que requiere unas instrucciones que conformen la normativa de seguridad en el uso de los recursos informáticos, telefónicos y de redes de comunicación corporativos de la Administración Pública de la Comunidad Autónoma de Canarias.

Asimismo, el Acuerdo del Gobierno de Canarias de 22 de febrero de 2016 (BOC nº 54, de 18 de marzo de 2016) aprueba los criterios generales y las medidas que conforman el marco de referencia para la asignación y el uso eficiente de los recursos públicos en el sector público autonómico. En dicho Acuerdo se recogen medidas para el uso racional de los servicios de telecomunicaciones y tecnologías de la información, que en algunos supuestos requieren un mayor detalle. Además, determina que la tramitación electrónica debe constituir la actuación habitual de las Administraciones Públicas.

El presente Acuerdo tiene por objeto establecer las instrucciones que conformen la normativa de seguridad en la utilización de los recursos informáticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias, con la finalidad de garantizar la seguridad y eficiencia de los mismos, así como asegurar la confidencialidad, integridad y disponibilidad de la información en ellos almacenada o accesible.

En su virtud, el Gobierno, tras deliberar, y a propuesta del Consejero de Presidencia, Justicia e Igualdad, acuerda:

Primero.- Aprobar las instrucciones que conforman la normativa de seguridad de uso de los recursos informáticos, telefónicos, y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias, que figuran como anexo.

Segundo.- Facultar a la persona titular del órgano competente en materia de tecnologías de la información y de las comunicaciones para dictar instrucciones concretas que resulten precisas para la ejecución de este Acuerdo, especialmente las relativas a contraseñas, correo electrónico, servicio colaborativo de documentos, control de acceso a los sistemas de información y al uso del servicio de VPN.

Tercero.- Ordenar la publicación del presente Acuerdo en el Boletín Oficial de Canarias.

A N E X O

ÍNDICE

1.- PRINCIPIOS GENERALES Y DEFINICIONES.

1.1.- Principios Generales.

1.2.- Ámbito de aplicación.

1.3.- Definiciones.

2.- RECURSOS INFORMÁTICOS, TELEFÓNICOS Y DE REDES DE COMUNICACIÓN Y DEBERES ESPECÍFICOS DE SUS PERSONAS USUARIAS.

2.1.- Utilización de equipos informáticos, de comunicaciones y telefónicos.

2.2.- Utilización de Equipos Portátiles, Tabletas, Móviles y Dispositivos Criptográficos.

2.3.- Utilización de aplicaciones informáticas.

2.4.- Acceso a las redes de comunicación.

2.5.- Acceso a internet.

2.6.- Correo electrónico.

3.- SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN.

3.1.- Utilización de la información.

3.2.- Identificación y autenticación.

3.3.- Control de accesos.

3.4.- Copias de seguridad.

3.5.- Confidencialidad de la información.

4.- ACCESO DE TERCERAS PERSONAS A LOS SISTEMAS DE INFORMACIÓN Y REDES EN INSTALACIONES DE LA ADMINISTRACIÓN PÚBLICA DE LA COMUNIDAD AUTÓNOMA DE CANARIAS.

5.- CONTROL GENÉRICO DE LOS RECURSOS INFORMÁTICOS, TELEFÓNICOS Y DE REDES DE COMUNICACIÓN CORPORATIVOS.

5.1.- Órganos competentes.

5.2.- Monitorización y aplicación de estas instrucciones que conforman la normativa de seguridad.

5.3.- Control específico de la utilización de equipos telefónicos.

5.4.- Notificación de incidentes de seguridad.

6.- OTROS DEBERES Y RESPONSABILIDADES.

6.1.- Deberes del personal de las tecnologías de la información y las comunicaciones.

6.2.- Deberes adicionales de las personas usuarias.

6.3.- Uso indebido de los recursos informáticos, telefónicos y de telecomunicaciones.

6.4.- Responsabilidades.

6.5.- Medidas cautelares extraordinarias.

1.- PRINCIPIOS GENERALES Y DEFINICIONES.

1.1.- Principios Generales.

1. Las personas comprendidas en el ámbito de aplicación de estas instrucciones estarán sujetas a los principios de legalidad, eficacia, profesionalidad, eficiencia y diligencia en la utilización de los recursos informáticos, telefónicos y de redes de comunicación, y respetarán la integridad de los mismos, con sometimiento pleno a la Ley y al Derecho.

2. El uso de los recursos informáticos, telefónicos y de redes de comunicación puestos a disposición de los sujetos incluidos en el ámbito de aplicación de estas instrucciones se circunscribirá única y exclusivamente al ejercicio de las funciones que tienen atribuidas por razón de su puesto de trabajo o cargo, permitiéndose excepcionalmente su uso para la conciliación personal y familiar, salvaguardando en todo caso lo dispuesto en estas instrucciones.

1.2.- Ámbito de aplicación.

Las presentes instrucciones son de aplicación a las personas que ocupan cargos públicos y al personal al servicio de la Administración Pública de la Comunidad Autónoma de Canarias, de los organismos autónomos dependientes de ella, y del resto de las entidades públicas no empresariales a que hace referencia la letra d) del artículo 2 de la Ley 11/2006, de 11 de diciembre, de la Hacienda Pública Canaria, así como a cualesquiera personas que, en virtud de cualquier título, se hallen autorizadas para la utilización de sus recursos informáticos, telefónicos o redes de comunicación.

La actividad en el entorno tecnológico educativo de los centros públicos de enseñanza no universitaria estará sujeta a la normativa de seguridad que establezca el propio Departamento competente en materia de educación.

1.3.- Definiciones.

A los efectos de las presentes instrucciones se entenderá por:

a) Redes de comunicación: infraestructura de telecomunicación accesible por las personas usuarias, tanto de acceso a red interna o intranet como de acceso a red externa o extranet, correo electrónico o cualquier otro instrumento de transmisión telemática o acceso a la información, mediante la conexión de medios informáticos o de telefonía, que sean propiedad o estén bajo supervisión de la Administración Pública de la Comunidad Autónoma de Canarias.

b) Persona usuaria: toda persona física que tenga autorizado el acceso a los sistemas de información o redes de comunicaciones de la Administración Pública de la Comunidad Autónoma de Canarias.

c) Recursos informáticos: todos los medios de cualquier naturaleza, físicos o lógicos, que intervienen en los sistemas de información y en las redes de comunicaciones.

d) Recursos telefónicos: equipos de proceso y transmisión de información que permiten la comunicación vocal y de fax.

e) Aplicación informática: programa o conjunto de programas informáticos que tienen por objeto el tratamiento electrónico de la información.

f) Identificador: información, frecuentemente constituida por una cadena de caracteres, que identifica a una persona usuaria en los sistemas informáticos.

g) Contraseña: información, frecuentemente constituida por una cadena de caracteres, que se utiliza en el proceso de autenticación de una persona usuaria.

h) Identificación y Autenticación: procedimientos de reconocimiento y comprobación, respectivamente, de la identidad de una persona usuaria.

i) Credenciales: conjunto de uno o más elementos, frecuentemente pero no de manera exclusiva consistentes en el identificador y contraseña, que se utiliza para identificar a una persona usuaria en el proceso de autenticación en los sistemas informáticos.

j) Cuenta de Persona Usuaria: personalización de un servicio de red para su uso por una persona usuaria. La utilización de un servicio de red conlleva la asignación de un identificador y una contraseña que permiten a la persona usuaria la utilización personal de dicho servicio y el acceso al espacio virtual restringido, por ejemplo, la cuenta de persona usuaria de correo electrónico.

k) Equipo informático: dispositivo electrónico capaz de procesar información y ejecutar instrucciones de las aplicaciones informáticas.

l) Equipo de comunicación: dispositivo electrónico que permite la interconexión de redes de ordenadores y servidores. Permite asegurar el correcto enrutamiento de información entre redes, o determinar la ruta que debe tomar la misma.

m) DNS: el sistema de nombres de dominio (DNS, por sus siglas en inglés, Domain Name System) es un sistema de nomenclatura jerárquico descentralizado para dispositivos conectados a redes IP como Internet o una red privada.

n) Proxy: intermediario entre una red interna (por ejemplo, una intranet) y una conexión externa a Internet.

ñ) Cortafuego: barrera o protección que permite a un sistema salvaguardar la información al acceder a otras redes, como por ejemplo Internet.

o) Antivirus: programa informático cuyo objetivo es detectar, bloquear, prevenir o eliminar virus informáticos.

p) Spam: correo electrónico con remitente desconocido, generalmente enviado de forma masiva con fines publicitarios o maliciosos, que no es solicitado ni deseado por la persona usuaria.

q) Registro de Eventos: registro de eventos informáticos o telefónicos durante un rango de tiempo determinado.

r) CiberCentro: Centro integral de atención al personal al servicio de la Administración Pública de la Comunidad Autónoma de Canarias y centros directivos para el soporte, la explotación y la gestión de los servicios de telecomunicaciones e informáticos de la Administración Pública de la Comunidad Autónoma de Canarias.

s) VPN: Virtual Private Network es una tecnología de red de computadoras que permite una extensión segura de la red de área local sobre una red pública o no controlada como Internet.

2.- RECURSOS INFORMÁTICOS, TELEFÓNICOS Y DE REDES DE COMUNICACIÓN Y DEBERES ESPECÍFICOS DE SUS PERSONAS USUARIAS.

2.1.- Utilización de equipos informáticos, de comunicaciones y telefónicos.

1. Las personas usuarias no podrán alterar ni modificar los equipos informáticos, telefónicos y de comunicaciones que les sean facilitados para el ejercicio de sus funciones. Salvo autorización expresa, las personas usuarias no tendrán privilegio de administración de los equipos.

Únicamente el personal autorizado podrá distribuir, instalar o desinstalar software y hardware, o modificar la configuración de cualquiera de los equipos, especialmente en aquellos aspectos que puedan repercutir en la seguridad de los sistemas de información.

Con carácter general, las personas usuarias no tienen permitido conectar a los equipos informáticos o telefónicos que se les provea otros equipos y software distintos de los que tengan instalados.

2. Las personas usuarias deberán bloquear o apagar sus equipos al ausentarse, temporal o permanentemente, de su puesto de trabajo, a efectos de evitar su acceso a estos recursos por otras personas durante su ausencia.

3. Las personas usuarias deberán reiniciar o apagar sus equipos informáticos de puesto de trabajo periódicamente, al menos cada 45 días, para permitir la actualización automática de aplicaciones, sistema operativo, firmas de antivirus y demás medidas de seguridad.

4. Se imprimirán únicamente aquellos documentos que sean estrictamente necesarios.

5. La instalación, reparación y mantenimiento de los equipos informáticos, telefónicos y de comunicaciones solo podrá realizarse por el personal con responsabilidad en estas funciones, que deberá estar debidamente identificado y acreditado.

2.2.- Utilización de Equipos Portátiles, Tabletas, Móviles y Dispositivos Criptográficos.

1. El equipo portátil, tableta, móvil y dispositivo criptográfico estará bajo la custodia de la persona usuaria que los utilice o de la persona responsable de la unidad administrativa a quien haya sido asignado. Ambos deberán adoptar las medidas necesarias para evitar daños o sustracción, así como el acceso a ellos por parte de personas no autorizadas. Dichas medidas comprenderán, al menos, el uso de contraseñas o códigos (PIN) secretos y personales para el acceso a los dispositivos bajo su responsabilidad.

2. La sustracción o pérdida de estos equipos se ha de poner inmediatamente en conocimiento del órgano competente en materia de tecnologías de la información y de las comunicaciones, notificando la correspondiente incidencia a CiberCentro, y a la persona titular del órgano superior propietario del equipo, cuando haya afectado a este. En caso de sustracción, se acompañará de la correspondiente denuncia.

3. Los equipos portátiles, tabletas, móviles y dispositivos criptográficos deberán utilizarse únicamente para fines institucionales relacionados con el ejercicio de las funciones que tienen atribuidas por razón de su puesto de trabajo o cargo, especialmente cuando se usen fuera de las instalaciones de la Administración Pública de la Comunidad Autónoma de Canarias.

4. Las personas usuarias de estos equipos se responsabilizarán de que no sean usados por terceras personas ajenas a la Administración Pública de la Comunidad Autónoma de Canarias o no autorizadas para ello.

5. La persona usuaria deberá bloquear su equipo portátil, tableta o móvil, a efectos de evitar su acceso a estos recursos por otras personas durante su ausencia.

6. Cuando la tipología de la información tratada así lo requiera, los equipos portátiles afectados deberán tener cifrado el disco duro, disponer de software que garantice un arranque seguro, así como mecanismos de auditoría capaces de crear un registro por cada fichero extraído del sistema por cualquier medio (red, dispositivos extraíbles, impresoras, etc.).

7. Las personas usuarias de equipos portátiles deberán realizar conexiones periódicas al menos cada 45 días a la red corporativa para permitir la actualización automática de aplicaciones, sistema operativo, firmas de antivirus y demás medidas de seguridad.

8. Cuando se modifiquen las circunstancias profesionales (cambio de puesto de trabajo, término de una tarea, cese en el cargo, etc.) que originaron la entrega de un recurso informático móvil, la persona usuaria lo devolverá al órgano propietario del equipo, en el plazo máximo de un mes, al objeto de proceder al borrado seguro de la información almacenada y restaurar el equipo a su estado original para que pueda ser asignado a un nueva persona usuaria, salvo en aquellos casos en los que esté permitida la desafectación del dispositivo a favor de la propia persona usuaria.

En el caso de los dispositivos criptográficos, habrá que estar a lo que disponga la persona titular del órgano propietario del mismo en el momento de su entrega.

2.3.- Utilización de aplicaciones informáticas.

1. Las personas usuarias deben hacer uso exclusivamente de las aplicaciones informáticas o versiones de software instalados en sus equipos por la Administración Pública de la Comunidad Autónoma de Canarias. Asimismo, las personas usuarias se limitarán a ejecutar las aplicaciones informáticas para las que estén autorizadas.

2. No se podrá instalar o utilizar software del cual no se disponga la autorización y licencia correspondiente.

2.4.- Acceso a las redes de comunicación.

1. La conexión de las personas usuarias a las redes de comunicación será facilitada por el órgano superior de la Administración Pública de la Comunidad Autónoma de Canarias que tenga atribuida la competencia en materia de tecnologías de la información y de las comunicaciones.

2. Las personas usuarias solo podrán utilizar las redes, los equipos informáticos, telefónicos y de comunicaciones que se pongan a su disposición por la Administración Pública de la Comunidad Autónoma de Canarias y que estén directamente especificados por esta Administración, debiendo cumplir las normas que la misma establezca. Excepcionalmente, con la autorización y supervisión de la persona responsable de los sistemas de información pertinentes, se podrá realizar la conexión a la red corporativa de comunicaciones con un equipo informático o telefónico distinto a los instalados para tal fin.

Las personas usuarias no deben intentar obtener otros derechos o acceso distintos a los que tienen asignados. Asimismo, no deben intentar distorsionar o falsear los registros de eventos de los sistemas de información.

3. La instalación y conexión de líneas de comunicaciones a la red de voz y datos de la Administración Pública de la Comunidad Autónoma de Canarias requerirá de la autorización del órgano competente en materia de tecnologías de la información y de las comunicaciones. En cualquier caso, habrán de ser gestionadas por dicho órgano superior.

4. No se permite la instalación de redes inalámbricas o puntos de acceso inalámbricos que no dispongan de la autorización del órgano competente en materia de tecnologías de la información y de las comunicaciones.

5. Toda conexión remota desde el exterior de la Administración Pública de la Comunidad Autónoma de Canarias queda prohibida, con la salvedad de los servicios corporativos que sean habilitados para su uso remoto. Esta autorización solo se concederá por el órgano competente en materia de tecnologías de la información y de las comunicaciones cuando la función asignada al puesto de trabajo lo requiera, y tras tener garantías suficientes de que no se verán afectados los niveles de seguridad de los sistemas de la Administración Pública de la Comunidad Autónoma de Canarias.

2.5.- Acceso a Internet.

1. El acceso a Internet por las personas usuarias se realizará únicamente empleando los medios y a través de la red establecida a estos efectos por la Administración Pública de la Comunidad Autónoma de Canarias.

2. Con carácter general, las conexiones que se realicen a Internet deben obedecer a fines profesionales para el ejercicio de las tareas y actividades que corresponden a las funciones del puesto de trabajo, teniendo siempre en cuenta que se están utilizando recursos informáticos restringidos y escasos. El acceso a Internet para fines personales debe limitarse y, de ser absolutamente necesario, solo debe utilizarse un tiempo razonable, que no interfiera en el rendimiento profesional ni en la eficiencia y seguridad de los recursos informáticos corporativos.

3. No deberá accederse en ningún caso a direcciones de Internet que tengan un contenido ilegal, ofensivo o atentatorio de la dignidad humana. A estos efectos, la Administración Pública de la Comunidad Autónoma de Canarias a través del órgano competente en materia de tecnologías de la información y de las comunicaciones podrá restringir el acceso a determinados servidores de contenidos en Internet. El hecho de que la Administración Pública de la Comunidad Autónoma de Canarias no haya bloqueado el acceso a una determinada página web no implica que el acceso a la misma sea autorizado.

4. Las autorizaciones de acceso a Internet se concederán acordes con las funciones del puesto que desempeñe la persona usuaria, produciéndose una segmentación de perfiles que habilite las conexiones.

5. No está permitida la instalación de proxys y cortafuegos por parte de las personas usuarias. Asimismo, los servidores DNS a instalar deberán estar subordinados y sincronizados con los establecidos por el órgano competente en materia de tecnologías de la información y de las comunicaciones.

6. Las transferencias de datos desde o a Internet se realizarán exclusivamente cuando lo exija el ejercicio de las funciones del puesto de trabajo, sin perjuicio de lo establecido en el apartado 2 anterior respecto al acceso a internet para fines personales. En todo caso, las personas usuarias deberán tener en cuenta, antes de utilizar la información proveniente de la red, si dicho uso es conforme a las normas que protegen la propiedad intelectual e industrial, así como la normativa de protección de datos de carácter personal.

7. Los equipos informáticos y telefónicos que tengan acceso a Internet, deberán disponer de software actualizado de protección frente a virus y demás códigos maliciosos, así como cualquier otro sistema de seguridad corporativo que sea requerido por la Administración Pública de la Comunidad Autónoma de Canarias.

2.6.- Correo electrónico.

1. La Administración Pública de la Comunidad Autónoma de Canarias, a través del órgano competente en materia de tecnologías de la información y de las comunicaciones, suministrará a cada persona usuaria una dirección individual de correo electrónico, procediéndole a instalar y configurar una cuenta de correo. El acceso a dicha cuenta de correo se efectuará mediante una contraseña personal. El correo corporativo deberá utilizarse, única y exclusivamente, para la realización de las funciones encomendadas al personal, evitando con carácter general el uso privado del mismo.

2. Las personas usuarias no tienen permitido el acceso a cuentas de correo que no le hayan sido asignadas o autorizadas.

Asimismo, las personas usuarias no pueden interceptar, leer, borrar, copiar o modificar el correo electrónico dirigido a otras personas usuarias.

3. No está permitido el uso del correo electrónico utilizando mensajes con contenidos ofensivos o atentatorios a la dignidad humana. Asimismo, tampoco está permitido el envío deliberado de cualquier clase de programa o virus que pueda causar perjuicios en los sistemas de información de la Administración Pública de la Comunidad Autónoma de Canarias o a terceros.

4. Las personas usuarias deberán notificar a CiberCentro cualquier tipo de anomalía detectada, así como los correos spam que se reciban, a fin de configurar adecuadamente las medidas de seguridad oportunas.

5. Con la finalización o interrupción de la relación funcionarial o laboral, o de prestación de servicios, se inhabilitará el acceso a la cuenta de correo de la persona usuaria.

6. Las personas usuarias de cuentas de correo electrónico, así como las personas responsables de cuentas de correo electrónico genéricas, proporcionadas por la Administración Pública de la Comunidad Autónoma de Canarias, deben identificarse en el envío de cualquier correo de acuerdo con las normas de uso para correo electrónico previstas en el apartado de Identificación en audiovisuales e Internet del Manual de Identidad Corporativa Gráfica del Gobierno de Canarias.

7. A los efectos de evitar que los servidores queden colapsados por su uso inadecuado o que puedan resultar dañados, las personas usuarias deberán abstenerse de enviar mensajes masivos o con ficheros adjuntos de gran tamaño, así como propagar cartas encadenadas y participar en esquemas piramidales o actividades similares.

3.- SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN.

3.1.- Utilización de la información.

1. Toda la información albergada en los sistemas de almacenamiento de la Administración Pública de la Comunidad Autónoma de Canarias, o que circule a través de su red mediante elementos o dispositivos de comunicación o transmisión, que sea propiedad de la misma o le haya sido confiada, no confiere derecho alguno en cuanto a posesión, titularidad o derecho de copia de la misma, por lo que su uso debe ser estrictamente oficial y profesional.

Las personas usuarias con acceso a información y datos deben usarlos únicamente para las operaciones para las que fueron generados e incorporados, sin destinarlos a otros fines o incurrir en actividades que puedan considerarse ilícitas o ilegales.

2. La información y los datos generados por la persona usuaria en el desempeño de sus competencias profesionales deberán mantenerse únicamente en unidades de red de la Administración Pública de la Comunidad Autónoma de Canarias o en cualquier otro tipo de servicio de ficheros centralizado propio de la Administración Pública de la Comunidad Autónoma de Canarias que esta facilite a las personas usuarias para tal fin. En los recursos de almacenamiento solo está permitido almacenar información exclusivamente relativa al desempeño del puesto de trabajo. Se habilitarán mecanismos de control para el acceso remoto a la información.

3. Las personas usuarias deberán proteger la información y los datos a los que tienen acceso. Esta protección debe prevenir el empleo de operaciones que puedan producir una alteración indebida, inutilización o destrucción, robo o uso no autorizado, en definitiva, cualquier forma que pueda dañar los datos, recursos y aplicaciones informáticas y documentos electrónicos propios de la Administración Pública de la Comunidad Autónoma de Canarias.

3.2.- Identificación y autenticación.

1. Toda persona usuaria con acceso a un sistema de información dispondrá de una única autorización de acceso, personal e intransferible, compuesta al menos de identificador de persona usuaria y contraseña. Estos permitirán una identificación individual, evitándose registros duplicados o múltiples.

A aquellas personas usuarias con privilegios especiales se les asignará, al mismo tiempo, otro identificador para el uso normal con privilegios restringidos.

2. Las personas usuarias deben custodiar convenientemente sus credenciales y/o cualquier otro tipo de acceso personal que se les haya autorizado, sin proceder a su revelación o puesta al alcance de terceras personas. Serán responsables de toda la actividad relacionada con el uso de su acceso personal autorizado.

3. Las personas usuarias no tienen permitido el uso de contraseñas ni de otro tipo de formas de autenticación que no les hayan sido asignadas o autorizadas. Se prohíbe la entrada en los recursos y aplicaciones informáticas utilizando un identificador y contraseña o cualquier otro tipo de forma de autenticación de otra persona usuaria.

Es responsabilidad de la persona usuaria hacer buen uso de su cuenta de usuario. Las personas usuarias no podrán autorizar a terceras personas, en ningún caso, el uso de sus contraseñas o de cualquier otro tipo de acceso personal que se le haya asignado.

4. Las contraseñas deberán cumplir la Normativa de Contraseñas de la Administración Pública de la Comunidad Autónoma de Canarias descrita y definida por el órgano competente en materia de tecnologías de la información y de las comunicaciones.

5. Si las personas usuarias sospechan que su acceso autorizado (identificador de persona usuaria y contraseña o cualquier otro tipo de forma de autenticación) está siendo utilizado por otra persona, deberá proceder inmediatamente al cambio de contraseña o revocación del mismo y notificar la correspondiente incidencia a CiberCentro, así como a la persona que desempeñe un cargo inmediatamente superior en la jerarquía, a los efectos de lo señalado en el apartado 5 de estas instrucciones.

La persona usuaria nunca facilitará sus credenciales, aunque recibiera una llamada telefónica o correo electrónico solicitándole dichos datos. La persona usuaria procederá a comunicar este hecho a CiberCentro, así como a la persona que desempeñe un cargo inmediatamente superior en la jerarquía, a los efectos de lo señalado en el apartado 5 de estas instrucciones.

6. Finalizada o interrumpida la relación funcionarial o laboral de la persona usuaria, o la prestación de servicios con la Administración Pública de la Comunidad Autónoma de Canarias, se inhabilitarán sus credenciales y/o cualquier otro tipo de acceso personal que se le haya autorizado.

3.3.- Control de Accesos.

1. Se limitarán los intentos consecutivos de acceso fallidos sobre una cuenta a un máximo establecido.

2. Para evitar accesos indebidos, las personas usuarias cancelarán todas las sesiones activas a la finalización de su uso, salvo si se habilita una herramienta de bloqueo general, por ejemplo, una contraseña para protector de pantalla.

3. Las personas usuarias solo podrán acceder a aquella información y recursos para los que posean las debidas y explícitas autorizaciones, en función de las labores que desempeñen, no pudiendo en ningún caso acceder a información perteneciente a otras personas usuarias o grupos de personas usuarias para los que no se posea tal autorización. Deberá salvaguardar cualquier información, documento, soporte informático, dispositivo de almacenamiento extraíble, etc., que pueda contener información confidencial o protegida frente a posibles revelaciones o robos de terceros no autorizados.

4. Los derechos de acceso a la información y a los sistemas de información que la tratan deberán siempre otorgarse en base a los principios de mínimo privilegio posible y necesidad de conocer.

3.4.- Copias de Seguridad.

De forma periódica, se realizarán, por el órgano responsable del sistema de almacenamiento, copias de seguridad, tanto completas como incrementales, de las unidades de red donde se almacene la información de la persona usuaria, como cautela esencial de protección de la información. Con carácter general, no se realizarán copias de seguridad de la información almacenada de forma local.

3.5.- Confidencialidad de la Información.

1. La información contenida en los sistemas de información de la Administración Pública de la Comunidad Autónoma de Canarias es propiedad de la Administración Pública de la Comunidad Autónoma de Canarias, por lo que las personas usuarias deben abstenerse de comunicar, divulgar, distribuir o poner en conocimiento o al alcance de terceras personas (externas o internas no autorizadas) dicha información, salvo autorización expresa de la persona titular de la misma.

2. Todo el personal de la organización o ajeno a la misma que, por razón de su actividad profesional, hubiera tenido acceso a información gestionada por la Administración Pública de la Comunidad Autónoma de Canarias (tal como datos personales, documentos, metodologías, claves, análisis, programas, etc.) deberá mantener sobre ella, por tiempo indefinido, una absoluta reserva.

Finalizada la relación funcionarial o laboral de la persona usuaria, o la prestación de servicios con la Administración Pública de la Comunidad Autónoma de Canarias, o la relación o título que haya motivado la autorización de acceso a la información, deberán mantener la máxima reserva y confidencialidad, no solo de la información y documentos, sino también de las claves, análisis y recursos informáticos.

3. En el caso de entrar en conocimiento de información que no sea de libre difusión, en cualquier tipo de soporte, deberá entenderse que dicho conocimiento es estrictamente temporal mientras dure la función encomendada, con la obligación de secreto o reserva indefinidas y sin que ello le confiera derecho alguno de posesión, titularidad o copia del mismo. Asimismo, se deberán devolver los soportes de información utilizados inmediatamente después de la finalización de las tareas que hubieren originado su uso.

4. Como medida de protección de la información propia, confiada o tratada por la Administración Pública de la Comunidad Autónoma de Canarias, no está permitido el envío al exterior de información, electrónicamente, mediante soportes informáticos o por cualquier otro medio, que no hubiere sido previamente autorizada por el órgano superior titular de la información.

5. Se evitará almacenar información sensible, confidencial o protegida en medios desatendidos (tales como CDs, DVDs, memorias USB, listados, etc.) así como dejar visible tal información en la misma pantalla del ordenador o en documentos impresos en el puesto de trabajo cuando la persona usuaria se ausente del mismo.

6. No se podrá transmitir o alojar información sensible, confidencial o protegida propia de la Administración Pública de la Comunidad Autónoma de Canarias en servidores externos a la Administración Pública de la Comunidad Autónoma de Canarias, salvo autorización expresa de la persona titular de la información, que comprobará la inexistencia de trabas legales para ello y verificará la suscripción de un contrato expreso entre la Administración Pública de la Comunidad Autónoma de Canarias y la empresa responsable de la prestación del servicio, incluyendo los Acuerdos de Nivel de Servicio que procedan, el correspondiente Acuerdo de Confidencialidad, y siempre previo análisis de los riesgos asociados a tal externalización.

7. Los soportes de información que vayan a ser reutilizados o causen baja deberán ser previamente tratados para eliminar permanentemente la información que pudieran contener, de manera que resulte imposible su recuperación.

8. Las personas usuarias deberán retirar en el menor tiempo posible, cualquier impreso o documento de los dispositivos periféricos de uso compartido, tales como impresoras, fax, escáner, etc.

4.- ACCESO DE TERCERAS PERSONAS A LOS SISTEMAS DE INFORMACIÓN Y REDES EN INSTALACIONES DE LA ADMINISTRACIÓN PÚBLICA DE LA COMUNIDAD AUTÓNOMA DE CANARIAS.

Las terceras personas ajenas a la Administración Pública de la Comunidad Autónoma de Canarias, que utilicen los recursos de sistemas de información y comunicaciones de la misma, deberán observar las siguientes normas:

a) El personal ajeno a la Administración Pública de la Comunidad Autónoma de Canarias que temporalmente deba acceder a los sistemas de información corporativos o departamentales, deberá hacerlo siempre bajo la supervisión de algún miembro acreditado de la Administración Pública de la Comunidad Autónoma de Canarias (enlace) y previa autorización de la persona responsable del sistema de información en cuestión.

b) Cualquier incidencia que surja antes o en el transcurso del acceso a la Administración Pública de la Comunidad Autónoma de Canarias deberá ponerlo en conocimiento de su enlace. La función del enlace será dar asesoramiento, atender consultas o necesidades, transmitir instrucciones, ponerle al corriente de sus cometidos, objetivos, etc.

c) Para los accesos de terceros a los sistemas de información de la Administración Pública de la Comunidad Autónoma de Canarias, siempre que sea posible, se les crearán usuarios temporales que serán eliminados una vez concluido su trabajo o su función.

d) Tales personas, en lo que les sea de aplicación, deberán cumplir puntualmente las presentes instrucciones, así como el resto de normativa de seguridad de la Administración Pública de la Comunidad Autónoma de Canarias, especialmente en lo referente a los apartados de utilización y confidencialidad de la información.

5.- CONTROL GENÉRICO DE LOS RECURSOS INFORMÁTICOS, TELEFÓNICOS Y DE REDES DE COMUNICACIÓN CORPORATIVOS.

5.1.- Órganos competentes.

1. Las secretarías generales técnicas y órganos equivalentes, con el apoyo del órgano competente en materia de tecnologías de la información y de las comunicaciones, velarán por el cumplimiento de las presente instrucciones, pudiendo comprobar, de forma periódica o cuando resulte conveniente por razones específicas de seguridad o del servicio, la correcta utilización de los recursos.

2. El órgano competente en materia de modernización y calidad de los servicios, en el marco del Reglamento de la Función Inspectora, podrá ejercer, con arreglo a la planificación de la actuación inspectora, los controles correspondientes al uso de los recursos informáticos, telefónicos y redes de comunicación regulados en estas instrucciones, así como la inspección directa sobre todos los servicios de la Administración autonómica a los efectos del control de legalidad previsto en el citado Reglamento.

3. Las medidas que se adopten, de carácter específico o genérico, para el cumplimiento de los fines establecidos en estas instrucciones no vulnerarán el derecho al secreto de las comunicaciones previsto en el artículo 18.3 de la Constitución Española.

5.2.- Monitorización y aplicación de estas instrucciones que conforman la normativa de seguridad.

1. La Administración Pública de la Comunidad Autónoma de Canarias, por motivos legales, de seguridad y de calidad del servicio, y cumpliendo en todo momento los requisitos que al efecto establece la legislación vigente:

a) Revisará periódicamente el estado de los equipos, el software instalado, los dispositivos y redes de comunicaciones de su responsabilidad.

b) Monitorizará los accesos a la información contenida en sus sistemas.

c) Auditará la seguridad de las credenciales y aplicaciones alojadas en infraestructura corporativa.

d) Monitorizará los servicios de Internet, correo electrónico y otras herramientas de colaboración.

2. La Administración Pública de la Comunidad Autónoma de Canarias llevará a cabo esta actividad de monitorización sin utilizar sistemas o programas que pudieran atentar contra los derechos constitucionales de las personas usuarias, tales como el derecho a la intimidad personal y al secreto de las comunicaciones, manteniéndose en todo momento los principios de necesidad, idoneidad y proporcionalidad, preservando las garantías del derecho a la intimidad y la privacidad de la información manejada.

3. Los sistemas en los que se detecte un uso inadecuado o en los que no se cumplan los requisitos mínimos de seguridad, podrán ser bloqueados o suspendidos temporalmente. El servicio se restablecerá cuando la causa de su inseguridad o degradación desaparezca. El órgano competente en materia de tecnologías de la información y de las comunicaciones, con la colaboración de las restantes unidades de la Administración Pública de la Comunidad Autónoma de Canarias, velará por el cumplimiento de estas instrucciones e informará sobre los incumplimientos o deficiencias de seguridad observados, al objeto de que se tomen las medidas oportunas.

4. El sistema que proporciona el servicio de correo electrónico podrá, de forma automatizada, rechazar, bloquear o eliminar parte del contenido de los mensajes enviados o recibidos en los que se detecte algún problema de seguridad o de incumplimiento de estas instrucciones. Se podrá insertar contenido adicional en los mensajes enviados con objeto de advertir a los receptores de los mismos de los requisitos legales y de seguridad que deberán cumplir en relación con dichos correos. Para su verificación y monitorización, los datos de conexión y tráfico se guardarán en un registro durante el tiempo que establezca la normativa vigente en cada supuesto. En ningún caso esta retención de datos afectará al secreto de las comunicaciones, de conformidad con lo dispuesto en el artículo 23 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

5. El sistema que proporciona el servicio de navegación podrá contar con filtros de acceso que bloqueen el acceso a páginas web con contenidos inadecuados, programas lúdicos de descarga masiva o páginas potencialmente inseguras o que contengan virus o código dañino, garantizándose la seguridad y el buen uso de los accesos a Internet, conforme a estas instrucciones. Igualmente, el sistema podrá registrar y dejar traza de las páginas a las que se ha accedido, así como del tiempo de acceso, fecha y hora, volumen y tamaño de los archivos descargados. El sistema permitirá el establecimiento de controles que posibiliten detectar y notificar a la persona usuaria y a la persona titular del órgano superior sobre usos prolongados e indebidos del servicio.

6. El órgano competente en materia de tecnologías de la información y de las comunicaciones regulará y controlará los accesos a Internet en base a las condiciones establecidas en los apartados anteriores.

5.3.- Control específico de la utilización de equipos telefónicos.

1. El órgano competente en materia de tecnologías de la información y de las comunicaciones, en el marco de la normativa vigente en materia de protección de datos personales, realizará un seguimiento detallado de las cifras de consumo y facturación de todas las líneas y teléfonos que gestione, al objeto de conocer la cuantía y tendencia del gasto, y comprobar su necesidad, informando a las unidades afectadas y, en su caso, adoptando las medidas correctoras necesarias. A tal fin, registrará los registros de eventos de tráfico telefónico, incluyendo al menos la información de números marcados, facturación, fecha y hora, y terminal desde el que se ha efectuado la comunicación.

2. La Administración Pública de la Comunidad Autónoma de Canarias, a través del órgano competente en materia de tecnologías de la información y de las comunicaciones, establecerá perfiles de uso y filtros limitativos que estime necesarios para garantizar la seguridad y el buen uso de los recursos telefónicos.

5.4.- Notificación de incidentes de seguridad.

Las personas usuarias deberán notificar a CiberCentro, con carácter inmediato, cualquier incidencia o anomalía en el uso de los recursos informáticos, telefónicos y de redes de comunicación que detecten y, en general, toda situación que pueda comprometer el buen uso, funcionamiento y seguridad de los sistemas de información, especialmente cuando existan sospechas de que se haya producido un incidente de seguridad. Se guardará un registro de las incidencias de seguridad en una base de datos o aplicativo con esta funcionalidad. El acceso a este registro estará restringido al personal autorizado.

6.- OTROS DEBERES Y RESPONSABILIDADES.

6.1.- Deberes del personal de las tecnologías de la información y las comunicaciones.

El personal con responsabilidad y funciones en recursos informáticos y redes de comunicación del centro de trabajo al que se encuentre adscrito, seguirá estrictamente las directrices de seguridad de los responsables de la Administración Pública de la Comunidad Autónoma de Canarias y, especialmente, las siguientes indicaciones:

1. No acceder ni alterar información o datos ajenos aprovechando sus privilegios de administración. Solo podrá acceder previa autorización de la persona responsable o persona propietaria del fichero para el ejercicio de las funciones que le corresponda.

2. Custodiar con especial cuidado los identificadores y contraseñas que den acceso a los sistemas con privilegio de personal administrador.

3. Si debido a sus atribuciones tuviera acceso a cualquier fase del tratamiento de datos de carácter personal, estará obligado al secreto respecto de los mismos y al deber de guardarlos con la debida diligencia. Deberá mantener dicho deber de confidencialidad aun después de finalizar sus relaciones con la Administración Pública de la Comunidad Autónoma de Canarias.

4. Notificar a la persona que desempeñe un cargo inmediatamente superior en la jerarquía cualquier violación de las normas de seguridad o de vulnerabilidad de los sistemas de información que detecten, así como cualquier anomalía que indicara una utilización de los recursos informáticos, telefónicos y de redes de comunicación contraria a la presente norma, no revelando en ningún caso a terceras personas estas debilidades, excepto a la persona autorizada que reciba el encargo de realizar los trabajos para su corrección.

5. Las personas administradoras de sistemas que estén autorizadas podrán acceder, exclusivamente, por motivos de mantenimiento y de seguridad, a aquellos ficheros de persona usuaria que permitan al personal administrador detectar, analizar y seguir las trazas de una determinada sesión o conexión.

6. El personal administrador de sistemas tiene el deber de guardar secreto sobre el contenido de los ficheros de las personas usuarias no debiendo permitir que terceras personas puedan acceder a los mismos, salvo previa autorización por escrito de la persona responsable o propietaria del fichero.

7. El personal administrador de sistemas utilizará cuentas personalizadas, descartándose la utilización de cuentas genéricas.

6.2.- Deberes adicionales de las personas usuarias.

Además de los deberes que se prevén en estas instrucciones, las personas usuarias deberán:

1. Cumplir las medidas de seguridad diseñadas por la Administración Pública de la Comunidad Autónoma de Canarias, así como las prevenciones que al efecto se establezcan.

2. Utilizar exclusivamente los programas antivirus y sus respectivas actualizaciones u otros sistemas de seguridad corporativos, destinados a la prevención de la entrada en los sistemas de información de cualquier elemento destinado a alterar o dañar los recursos informáticos, telefónicos y de redes de comunicación, que sean previstos por la Administración Pública de la Comunidad Autónoma de Canarias.

3. Cualquier fichero que se introduzca en la red corporativa o en el puesto de trabajo de la persona usuaria a través de Internet, correo electrónico o cualquier otro tipo de soporte o medio, deberá cumplir lo establecido en estas instrucciones y, en especial, las referidas a la propiedad intelectual, el control antivirus y la protección de datos de carácter personal.

4. Utilizar los medios o programas de salvaguarda que les facilite la Administración Pública de la Comunidad Autónoma de Canarias, conforme a las instrucciones que reciban, con la finalidad de garantizar la integridad y seguridad de los recursos informáticos, telefónicos y de redes de comunicación y de la información que contengan.

5. Colaborar, conforme a las instrucciones que reciban cuando así se requiera, para la instalación y/o configuración de los sistemas de seguridad corporativos en los equipos que tengan asignados.

6. Colaborar en la salvaguarda y protección de la información y los recursos informáticos, telefónicos y de redes de comunicación. Deberán en todo caso adecuarse a las instrucciones, procesos y/o procedimientos que el órgano competente en materia de tecnologías de la información y de las comunicaciones elabore a tal fin.

7. Colaborar con los administradores de sistemas en cualquier investigación que se haga sobre el uso de los recursos informáticos, telefónicos y de redes de comunicación, aportando la información que se les requiera.

8. Respetar las normas de identificación en audiovisuales e Internet, del Manual de Identidad Corporativa Gráfica del Gobierno de Canarias, en especial las relativas al fondo de pantalla, normas de uso para Internet y correo electrónico.

9. Si una persona usuaria finaliza o interrumpe su relación funcionarial o laboral, o la prestación de servicios con la Administración Pública de la Comunidad Autónoma de Canarias o se traslada de puesto de trabajo, deberá dejar incólumes todas las aplicaciones informáticas, recursos informáticos, telefónicos y de redes de comunicación, ficheros, información, datos y documentos electrónicos que haya utilizado en su actividad profesional.

6.3.- Uso indebido de los recursos informáticos, telefónicos y de telecomunicaciones.

1. Con carácter general, se considerará uso indebido de los recursos informáticos, telefónicos y de redes de comunicación, cualquier actuación que no se ajuste a las previsiones establecidas en las presentes instrucciones, entre ellos los usos que persigan o tengan como consecuencia el manejo de los sistemas de información para fines ajenos a la Administración; la destrucción o modificación no autorizada de la información; la degradación de los servicios; el uso intensivo de los recursos informáticos, telefónicos y de redes de comunicación para usos no profesionales; incurrir en actividades ilícitas de cualquier tipo; la violación del derecho a la intimidad, el secreto de las comunicaciones y del derecho a la protección de datos de carácter personal; dañar intencionadamente los recursos informáticos de la Administración; y difundir contenidos ofensivos o discriminatorios, sin perjuicio de lo establecido en el Código Penal u otra normativa aplicable.

2. Además de lo mencionado en el apartado anterior, específicamente tendrán la calificación de usos indebidos o incumplimientos los supuestos siguientes:

a) Cualquier actuación que pueda tener consideración de provocadora o intimidatoria en el trabajo, de tal manera que debe excluirse la instalación o visualización de salvapantallas, fotos, vídeos, comunicaciones u otros medios con contenidos ofensivos, violentos, amenazadores, obscenos o, en general, aquellos que agredan la dignidad de la persona.

b) La sustracción o el traslado no debidamente autorizado de cualquier elemento físico de la instalación informática o de la infraestructura complementaria, así como el causar daños a los mismos.

c) La búsqueda o utilización de identificadores y contraseñas de otras personas usuarias o cualquier intento de encontrar y explotar fallos en la seguridad de los sistemas informáticos de la Administración Pública de la Comunidad Autónoma de Canarias, o hacer uso de aquellos para atacar cualquier sistema informático.

d) El acceso a cualquier espacio restringido al cual no se tenga autorización.

e) La introducción intencionada de virus, macros o cualquier otro software, dispositivo lógico o secuencia de caracteres que cause o sea susceptible de causar alteración o daño en los recursos informáticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias o en los de terceras personas.

f) La no confidencialidad de los datos a los que, bien por parte de su trabajo o bien por accidente, se haya accedido.

g) La instalación y utilización de aplicaciones informáticas sin la previa autorización de la persona responsable de los recursos informáticos, telefónicos y de redes de comunicación del centro de trabajo al que se encuentre adscrita.

h) La descarga o distribución de documentos infringiendo los derechos de autoría y de copia.

i) El uso de los recursos informáticos para acceder o divulgar contenidos de carácter pornográfico, sexista, contra los derechos a la intimidad, el honor o la propia imagen.

j) Los usos ilícitos que se lleven a cabo con fines propagandísticos y comerciales.

k) Los usos indebidos de los recursos telefónicos.

l) La utilización de programas que, por su naturaleza, hagan un uso abusivo de la red.

m) El uso de los recursos informáticos, telefónicos y de redes de comunicación para fines privados, lúdicos u otros no relacionados estrictamente con la actividad propia de la Administración, salvo aquellas excepciones contempladas en estas instrucciones.

n) La transmisión de contenido ilegal o la actuación en perjuicio de los derechos a la intimidad, al honor, a la propia imagen o contra la dignidad de las personas.

ñ) La difusión de los datos de carácter personal o la cesión de los mismos a terceros.

o) El reenvío de correos electrónicos de forma masiva o la respuesta a mensajes spam.

p) La ejecución o apertura de ficheros adjuntos en correos electrónicos procedentes de fuentes no fiables, puesto que podrían contener virus o código malicioso. En caso de duda sobre la confiabilidad de los mismos, se deberá notificar esta circunstancia a los responsables tecnológicos de su centro directivo.

q) El uso de servicios de almacenamiento en la nube externos a la Administración Pública de la Comunidad Autónoma de Canarias o ajenos a los que pudiera establecer el órgano competente en materia de tecnologías de la información y de las comunicaciones.

r) Cualquier intento de descifrar claves, sistemas o algoritmos de cifrado y/o cualquier otro elemento de seguridad que intervenga en los procesos telemáticos.

s) La desactivación de los programas antivirus corporativos o de sus actualizaciones.

3. No se podrá difundir la cuenta de correo del usuario en listas de distribución, foros, servicios de noticias, etc., que no sean consecuencia de la actividad profesional del usuario.

4. Las personas usuarias no deberán entorpecer o absorber recursos informáticos, telefónicos y de redes de comunicación compartidos de forma tal que impidan realizar tareas de una forma eficiente al resto de las personas usuarias.

6.4.- Responsabilidades.

La responsabilidad por el incumplimiento de lo previsto en estas instrucciones, así como por cualquier actuación irregular, ilícita o ilegal que fuese detectada por la Administración en el uso de los recursos informáticos, telefónicos y de redes de comunicación corporativos será exigida de acuerdo con lo previsto en el régimen disciplinario de los empleados públicos establecido legal, reglamentaria o convencionalmente, así como, en su caso, de conformidad con lo previsto en esta materia en el ordenamiento civil y penal.

6.5.- Medidas cautelares extraordinarias.

En aquellos casos en los que el incumplimiento de estas instrucciones entrañe un riesgo manifiesto y grave para la seguridad y eficiencia de los recursos informáticos, telefónicos y de redes de comunicación corporativos de la Administración Pública de la Comunidad Autónoma de Canarias así como para la confidencialidad, integridad y disponibilidad de la información en ellos almacenada, se podrán adoptar las medidas que fueren adecuadas, a fin de garantizar el buen funcionamiento de aquellos, incluida, si ello fuere necesario, la suspensión inmediata del servicio prestado y el bloqueo temporal de los sistemas, cuentas o redes a los que tenga acceso la persona usuaria, con advertencia a la misma, así como a la persona que desempeñe un cargo inmediatamente superior en la jerarquía, en el espacio de tiempo más breve que sea posible.



© Gobierno de Canarias