Manual de comportamiento de los empleados públicos en el uso de las TIC de la Junta de Andalucía

INTRODUCCIÓN.

La regulación de la utilización de los medios informáticos por parte de sus empleados está siendo una iniciativa común en las Administraciones Públicas. No obstante, todavía no existe un consenso en cuanto al alcance, fines y rigurosidad de esta regulación (como tampoco existe en las empresas privadas).

La jurisdicción está dictando sentencias sobre denuncias por uso presuntamente inadecuado de medios informáticos, que van marcando el camino a seguir, como se trata en el excelente blog Contencioso.es, mantenido por el juez Jose Ramón Chaves.

REGLAMENTO QUE ESTABLECE EL MANUAL DE COMPORTAMIENTO DE LOS EMPLEADOS DE LA JUNTA DE ANDALUCÍA

RESOLUCIÓN DE 27 DE SEPTIEMBRE DE 2004, DE LA SECRETARÍA GENERAL PARA LA ADMINISTRACIÓN PÚBLICA, POR LA QUE SE ESTABLECE EL MANUAL DE COMPORTAMIENTO DE LOS EMPLEADOS PÚBLICOS EN EL USO DE LOS SISTEMAS INFORMÁTICOS Y REDES DE COMUNICACIONES DE LA ADMINISTRACIÓN DE LA JUNTA DE ANDALUCÍA. Publicada en BOJA no 200, de 13 de octubre de 2004.

TEXTO DE LA ORDEN

Con la extensión de las nuevas tecnologías en la Administración de la Junta de Andalucía, se ha puesto a disposición de sus trabajadores una serie de recursos informáticos, cuyo uso ha de ser realizado de forma ordenada y enfocado al desempeño de su actividad laboral. Por ello, es necesario poner en conocimiento de los empleados públicos cuál es el modo correcto de utilización de las nuevas tecnologías en el ámbito de la Junta de Andalucía, con el fin de que obtengan un uso más eficiente de las mismas en el desarrollo de sus tareas, lo que repercutirá positivamente en la gestión administrativa y en los servicios prestados al ciudadano, además de prevenir las prácticas abusivas que de una utilización particular de los medios informáticos públicos se pudieran producir, y sobre todo de
aquéllas que puedan poner en riesgo la seguridad de los sistemas informáticos.
Considerando, igualmente, que se ha de garantizar la legalidad, eficacia y eficiencia de la utilización de los sistemas de información y la fluidez de las comunicaciones informáticas, internas y externas en la Administración de la Junta de Andalucía, así como la protección de las bases de datos que
contengan datos personales de las ciudadanas y ciudadanos, para la gestión de los distintos procedimientos administrativos, y aquellos otros archivos sensibles para el funcionamiento de la Administración Andaluza, resulta necesario establecer las pautas de comportamiento de utilización de
los sistemas y equipos informáticos por los empleados públicos.
Finalmente, también se ha de asegurar que el uso de los distintos programas informáticos se haga respetando las condiciones establecidas en sus licencias de uso, garantizando de esta manera los derechos de los proveedores que participan en el desarrollo informático de la Junta de Andalucía.
En virtud de las competencias atribuidas en el artículo 7 del Decreto 200/2004, de 11 de mayo, por el que se establece la Estructura Orgánica de la Consejería de Justicia y Administración Pública, se aprueban las instrucciones contenidas en el Manual para usuarios de los sistemas informáticos y redes de comunicaciones de la Administración de la Junta de Andalucía que se adjunta como Anexo a la presente Resolución.

Sevilla, 27 de septiembre de 2004.­
El Secretario General para la Administración Pública,
Pedro José Pérez González­Toruño.

ANEXO DE LA ORDEN: MANUAL DE COMPORTAMIENTO DE LOS EMPLEADOS PÚBLICOS EN EL USO DE LOS SISTEMAS INFORMÁTICOS Y REDES DE COMUNICACIONES DE LA ADMINISTRACIÓN DE LA JUNTA DE ANDALUCÍA.

1. Objeto.

1.1. Facilitar el máximo aprovechamiento de los medios informáticos en la actuación de la Administración de la Junta de Andalucía.
1.2. Asegurar la protección de los derechos de los ciudadanos en sus relaciones con la Administración, de las personas que tienen acceso a los recursos Informáticos y de la propia Junta de Andalucía.
1.3. Mejorar los servicios que la Administración de la Junta de Andalucía presta a los ciudadanos, propiciando una gestión eficiente de los procesos incluidos en sus sistemas de información y redes de comunicaciones con las que opera.
1.4. Prevenir a los sistemas de información y a los datos a ellos incorporados de los riesgos o daños que puedan deberse a la acción humana, referente a conductas incorrectas o inadecuadas.

2. Definiciones.

A los efectos del presente Manual se entenderá por:

2.1. Administración de la Junta de Andalucía. Todos los servicios dependientes de la Administración de la Junta de Andalucía y de sus Organismos Autónomos. Asimismo, se consideran incluidas las empresas y otras entidades contempladas en los artículos 6 y 6 bis de la Ley 5/1983, de 19 de julio, General de la Hacienda Pública de la Comunidad Autónoma de Andalucía, cuando utilicen sistemas de información y/o redes de comunicación propiedad o bajo supervisión de la Administración de la Junta de Andalucía, como quedan definidas en este punto.

2.2. Redes de comunicación. Infraestructura de telecomunicación accesible por los usuarios, tanto de acceso a red interna o intranet como de acceso a red externa o extranet, correo electrónico o e­mail o cualquier otro instrumento de transmisión telemática o acceso a la información, mediante la conexión de medios Informáticos, que sean propiedad o estén bajo supervisión de la Administración de la Junta de Andalucía.
2.3. Usuarios. Será toda persona física que tenga autorizado el acceso a los sistemas de información o redes de comunicaciones de la Administración de la Junta de Andalucía.
2.4. Recursos informáticos. Todos los medios de cualquier naturaleza, físicos, lógicos o humanos, que intervienen en los sistemas de información y en las redes de comunicaciones.
2.5. Aplicación informática. Programa o conjunto de programas informáticos que tienen por objeto el tratamiento electrónico de la información.

3. Ámbito de aplicación.

3.1. Las reglas que comprenden este Manual serán de aplicación a todas los usuarios, cualquiera que sea el nivel o función que ejerza.
3.2. Las reglas que comprenden este Manual serán de aplicación para todo uso de los sistemas de información y redes de comunicación de la Administración de la Junta de Andalucía.

4. Utilización de los equipos informáticos.

4.1. La Administración de la Junta de Andalucía será quién ponga a disposición de los usuarios los medios y equipos informáticos para el cumplimiento de sus obligaciones laborales.En consecuencia, dichos equipos informáticos no están destinados al uso personal o extraprofesional de los usuarios, por tanto, éstos deben conocer que no gozan del uso privativo de los mismos.
4.2. Los usuarios deberán destinar los equipos informáticos de que sean proveídos, a usos compatibles con la finalidad de las funciones del servicio al que se encuentren adscritos y que correspondan a su trabajo.
4.3. Los usuarios deberán cuidar los equipos informáticos que les sean facilitados, no procediendo a alterarlos o modificarlos.
4.4. Los usuarios no tienen permitido conectar a los equipos informáticos que se les provea, otros equipos distintos de los que tengan instalados.
4.5. Los usuarios en ningún caso podrán acceder físicamente al interior de los PC's que tengan asignados para el ejercicio de sus funciones, sólo personal autorizado podrá realizarlo para labores de reparación, instalación o mantenimiento.
4.6. Los usuarios sólo podrán usar equipos que estén directamente especificados por la Administración de la Junta de Andalucía.
4.7. Los usuarios deberán abstenerse de manipular los mecanismos de seguridad instalados en los PC's.

5. Utilización de las aplicaciones informáticas.

5.1. Los usuarios deben hacer uso exclusivamente de las aplicaciones informáticas o versiones de software instalados en sus equipos por la Administración de la Junta de Andalucía.Además, están obligados a seguir las instrucciones o normas que la misma establezca para su empleo.
En todo caso, la utilización de las aplicaciones informáticas tiene una finalidad profesional, es decir, destinadas a satisfacer las obligaciones laborales y con el propósito para el que fueron diseñadas e implantadas, por lo que no son idóneas para un uso personal o privado.

5.2. La Administración de la Junta de Andalucía será la responsable de configurar el sistema operativo, definir las aplicaciones informáticas de uso estandarizado y proceder a su instalación o desinstalación. Sólo tras autorización expresa, dada las características o naturaleza de las aplicaciones
informáticas, podrán los usuarios efectuar directamente su instalación.
5.3. Los usuarios en ningún caso podrán borrar o desinstalar las aplicaciones informáticas legalmente instaladas por la Administración de la Junta de Andalucía.
5.4. Los usuarios se limitarán a ejecutar las aplicaciones informáticas para las que estén autorizados, que les serán facilitadas por la Administración de la Junta de Andalucía.
5.5. Queda prohibido expresamente la instalación de aplicaciones informáticas sin la correspondiente licencia o no adecuándose a la legislación vigente.
5.6. Las aplicaciones informáticas están protegidas por la propiedad intelectual, por lo tanto, queda terminantemente prohibido el uso, reproducción, modificación, transformación, cesión o comunicación sin la debida autorización, con finalidad externa a la propia de la Administración de la
Junta de Andalucía.
5.7. Queda prohibida cualquier actuación que pueda tener consideración de provocadora o intimidatoria en el trabajo, de tal manera, que debe excluirse la instalación o visualización de salvapantallas, fotos, vídeos, comunicaciones u otros medios con contenidos ofensivos, violentos,
amenazadores, obscenos o, en general, aquellos que agredan la dignidad de la persona.
5.8. Los usuarios están obligados a cumplir las medidas de seguridad diseñadas por la Administración de la Junta de Andalucía, así como las prevenciones que al efecto se establezcan.
Por tanto, no podrán desactivar los programas antivirus ni sus actualizaciones. Tampoco podrán introducir voluntariamente programas, virus, macros o cualquier otro dispositivo lógico o secuencia de caracteres, que causen o sean susceptibles de causar alteración o daño en los recursos informáticos
de la Administración de la Junta de Andalucía o en los de terceros.
5.9. Los usuarios están obligados a utilizar exclusivamente los programas antivirus y sus respectivas actualizaciones u otros sistemas de seguridad, destinados a la prevención de la entrada en los Sistemas de Información de cualquier elemento destinado a alterar o dañar los recursos informáticos, que sean
instalados por la Administración de la Junta de Andalucía.

6. Utilización de la información incorporada a los sistemas.

6.1. Toda la información albergada en los servidores de la Administración de la Junta de Andalucía, o que circule a través de su red mediante elementos de comunicación o transmisión, que sean de su propiedad o le hayan sido confiada, tiene carácter confidencial.
6.2. Los usuarios están obligados a proteger la información, evitando el envío no autorizado al exterior, incluyendo esta noción tanto el acceso como la visualización de la misma.
Una especial consideración de confidencialidad corresponde a ficheros o información que contenga datos de carácter personal.
6.3. El conocimiento por los usuarios de la información reseñada en el punto 6.1, no confiere derecho alguno en cuanto a posesión, titularidad o derecho de copia de la misma, por lo que su uso debe ser estrictamente oficial y profesional.
6.4. Los usuarios con acceso a información y datos deben usarlos únicamente para las operaciones para las que fueron generados e incorporados, sin destinarlos a otros fines o incurrir en actividades que puedan considerarse ilícitas o ilegales. Asimismo, sólo deben acceder a aquellos datos y recursos que precisen para el ejercicio de las funciones que les correspondan, y efectuar sólo los tratamientos que sean precisos para el cumplimiento de los fines del servicio al que estén adscritos.
Para ello, se dispondrá de perfiles de acceso y una segmentación conveniente, tanto de los usuarios como de las necesidades de información.
6.5. Los usuarios están obligados a proteger la información y los datos a los que tienen acceso. Esta protección debe prevenir el empleo de operaciones que puedan producir una alteración indebida, inutilización o destrucción, robo o uso no autorizado, en definitiva, cualquier forma que pueda dañar
los datos, aplicaciones informáticas y documentos electrónicos propios de la Administración de la Junta de Andalucía.
6.6. Los usuarios, conforme a las instrucciones que reciban, utilizarán los medios o programas de salvaguarda que les facilite la Administración de la Junta de Andalucía, con la finalidad de garantizar la integridad y seguridad de los equipos informáticos, de las aplicaciones informáticas y de la
información que contengan. En cualquier caso, no intentarán descifrar claves, sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervengan en los procesos telemáticos.
6.7. Los usuarios están obligados a notificar cualquier incidencia o anomalía en el uso de los medios informáticos que detecten: pérdida de información, de listados o de disquetes, acceso no autorizado, uso de su identificador de usuario o de su contraseña, introducción de virus, recuperación de datos, desaparición de soportes informáticos y, en general, toda situación que pueda comprometer el buen uso y funcionamiento de los sistemas de información.
6.8. Cualquier fichero que se introduzca en la red corporativa o en el puesto de trabajo del usuario a través de soporte automatizados, internet, correo electrónico o cualquier otro medio, deberá cumplir los requisitos establecidos en estas normas y, en especial, las referidas a la propiedad intelectual, el
control antivirus y la protección de datos de carácter personal.
6.9. En aquellos casos en que sea posible se evitará la ubicación de ficheros que contengan datos de carácter personal en los PC's de usuarios.
6.10. Los usuarios sólo podrán crear ficheros temporales que contengan datos de carácter personal, cuando sean necesarios para el desempeño de sus funciones, en todo caso, deberán ser eliminados cuando hayan dejado de ser útiles para la finalidad para la que fueron creados.
6.11. Toda salida de información que contenga datos de carácter personal, sea en: soportes informáticos, correo electrónico, portátiles, etc., sólo podrá realizarse por personal autorizado formalmente por el responsable del fichero, siempre cumpliendo la normativa vigente que garantiza
los niveles de protección. Existirá un registro donde quede anotado las salidas y entradas de estos soportes.
6.12. Los usuarios autorizados a manejar soportes que contengan datos de carácter personal deben guardarlos en lugar seguro, especialmente finalizada la jornada laboral. En todo caso, una vez concluida la finalidad de las tareas a las que estaban destinados estarán obligados a su devolución
inmediata.
6.13. Si un usuario finaliza su relación funcionarial o laboral, con la Administración de la Junta de Andalucía o se traslada de puesto de trabajo, deberá dejar sin perjudicar todas las aplicaciones informáticas, ficheros, información, datos y documentos electrónicos que haya utilizado en su
actividad profesional.
6.14. Finalizada la relación funcionarial o laboral del usuario con la Administración de la Junta de Andalucía, dejará de tener acceso a los equipos informáticos y a la información incorporada a los mismos, debiendo devolver aquellos que se encuentren en su posesión. Seguirá obligado a mantener la máxima reserva y confidencialidad, no sólo de la información y documentos, sino también de las claves, análisis y aplicaciones informáticas.
6.15. Se dará a conocer a los usuarios los Documentos de Seguridad e instrucciones que fijen las normas de seguridad físicas y lógicas, donde se recojan las funciones y obligaciones de aquellos que tengan acceso a datos de carácter personal y, en todo caso, las consecuencias que conllevan su
incumplimiento.

7. Acceso a la información.

7.1. Todo usuario con acceso a un sistema de información dispondrá de una única autorización de acceso, personal e intransferible, compuesta al menos de identificador de usuario y contraseña. Estos permitirán una identificación individual, evitándose registros duplicados o múltiples.
7.2. Los usuarios deben custodiar convenientemente su identificador de usuario y/o contraseña, sin proceder a su revelación o puesta al alcance de terceros. Serán responsables de toda la actividad relacionada con el uso de su acceso personal autorizado.
7.3. Las contraseñas tendrán plazo de vigencia, los usuarios procederán, siguiendo las instrucciones del responsable del sistema, a cambiarlas antes de cumplirse el mismo. Si transcurrido dicho plazo no se hubiesen cambiado caducarán denegándose el acceso, de oficio serán modificada, comunicándose
la nueva posteriormente al usuario. El plazo de vigencia en ningún caso podrá ser superior a los 9 meses.
7.4. Si los usuarios sospechan que su acceso autorizado (identificador de usuario y/o contraseña) está siendo utilizado por otra persona, deberá proceder inmediatamente al cambio de contraseña y notificar la correspondiente incidencia.
7.5. Los usuarios no deben intentar obtener otros derechos de acceso al suyo personal, ni utilizar ningún otro acceso autorizado que corresponda a otro usuario, aunque disponga de la autorización de éste, salvo en los supuestos permitidos por la Ley o conforme a las instrucciones que imparta la Administración de la Junta de Andalucía.

8. Acceso a las redes de comunicación.

8.1. La conexión de los usuarios a las redes de comunicación será facilitada por la Administración de la Junta de Andalucía.
8.2. Queda prohibido conectarse a la red corporativa de comunicaciones por otros medios distintos a los definidos y administrados por la Administración de la Junta de Andalucía.
8.3. Queda prohibido conectarse a la red corporativa de comunicaciones con cualquier equipo informático distinto a los instalados para tal fin por la Administración de la Junta de Andalucía. El personal externo que deba conectarse a los entornos corporativos desde sus equipos requerirá la autorización y, en su caso, la supervisión del responsable de los sistemas de información pertinente.
8.4. Los usuarios tienen prohibido intentar obtener otros derechos o acceso distintos a los que tienen asignados. Asimismo, no deben intentar distorsionar o falsear los registros “logs” de los sistemas de información.

9. Acceso a internet.

9.1. El acceso a internet por los usuarios se realizará únicamente empleando los medios y a través de la red establecida a estos efectos por la Administración de la Junta de Andalucía. Por lo que no está permitido su acceso llamando directamente a un proveedor de servicio de acceso y usando un navegador, o con otras herramientas de internet conectándose mediante un módem.
9.2. Las conexiones a internet que se produzcan a través de la red corporativa tendrán una finalidad profesional. En este sentido, cada usuario autorizado empleará estas conexiones exclusivamente para el ejercicio de las tareas y actividades que corresponden a las funciones de su puesto de trabajo.
9.3. No deberá accederse en ningún caso a direcciones de internet que tengan un contenido ofensivo o atentatorio de la dignidad humana. A estos efectos, la Administración de la Junta de Andalucía podrá restringir el acceso a determinados servidores de contenidos en internet.
9.4. Las autorizaciones de acceso a internet se concederán acordes con las funciones del puesto que desempeñe el usuario, produciéndose una segmentación de perfiles que habilite las conexiones.
9.5. La Administración de la Junta de Andalucía regulará y controlará los accesos a internet. Se podrá proceder a monitorizar las direcciones de acceso y el tiempo de conexión de los usuarios a internet, así como la limitación de su uso en razón de las funciones que ejerza, por motivos de seguridad o rendimiento de la red.
9.6. La Administración de la Junta de Andalucía registrará todos los accesos a servidores de la red, incluyendo al menos la información de: direcciones de páginas visitadas, fecha y hora, ficheros descargados, usuario y puesto desde el que se ha efectuado la conexión.
9.7. Queda terminantemente prohibida la instalación de proxys por los usuarios.
9.8. Las transferencias de datos desde o a internet se realizarán exclusivamente cuando lo exija el ejercicio de las funciones del puesto de trabajo. En todo caso, los usuarios deberán tener en cuenta, antes de utilizar la información proveniente de la red, si dicho uso es conforme a las normas que protegen la propiedad intelectual e industrial.

10. Correo electrónico.

10.1. La Administración de la Junta de Andalucía suministrará a cada usuario una dirección individual de correo electrónico, procediéndole a instalar y configurar una cuenta de correo. El acceso a dicha cuenta de correo se efectuará mediante una clave personal.
10.2. Los usuarios tienen prohibido terminantemente el uso en las redes de comunicación de otras cuentas de correo electrónico distintas a las facilitadas por la Administración de la Junta de Andalucía.
10.3. El uso por los usuarios del correo electrónico habilitado por la Administración de la Junta de Andalucía es estrictamente profesional, es decir, para el ejercicio de las funciones que corresponde al puesto de trabajo que desempeñe.
10.4. Los usuarios tienen prohibido expresamente el acceso a cuentas de correos que no le hayan sido asignadas. Para que un usuario distinto pueda acceder a una cuenta de correo será preciso que el titular de ésta lo autorice por escrito, salvo los supuestos de cuentas de correo asociadas a puestos
singulares.
10.5. Los usuarios no pueden interceptar, leer, borrar, copiar o modificar el correo electrónico dirigido a otros usuarios.
10.6. Queda prohibido para todos los usuarios el uso abusivo del correo electrónico, utilizando mensajes con contenidos ofensivos o atentatorios a la dignidad humana. Asimismo, queda prohibido el envío deliberado de cualquier clase de programa o virus que puedan causar perjuicios en los sistemas de información de la Administración de la Junta de Andalucía o a terceros.
10.7. Los usuarios tienen prohibido el uso abusivo del sistema de listas de correos para el envío de mensajes de forma masiva o piramidal.
10.8. Con la finalización de la relación funcionarial o laboral se interrumpirá el acceso a la cuenta de correo del usuario.

11. Del personal con responsabilidades en los sistemas de información.

Se encontrarán exceptuados de aplicar las instrucciones precedentes que interfieran en su cometido aquellas personas adscritas a puestos de trabajo que tienen funciones de diseño, desarrollo, operación o administración de los sistemas de información y de las redes de comunicación. Sólo se entenderán autorizados para el ejercicio de tales funciones cuando sigan estrictamente las directrices de los responsables de la Administración de la Junta de Andalucía. Además, deberán tener especial consideración con:
11.1. No acceder a la información o datos aprovechando sus privilegios de administración. Sólo
podrán acceder previa autorización del responsable del fichero para el ejercicio de las funciones que
le corresponda.
11.2. Custodiar con especial cuidado identificadores y contraseñas que den acceso a los sistemas con
privilegio de administrador.
11.3. Procurar que la información almacenada y tratada por los sistemas de información sea salvaguardada mediante copias de seguridad y para la recuperación de datos periódicamente, al menos con carácter semanal, salvo que en dicho período no se haya producido actualización de los datos.
11.4. Que los soportes informáticos que contengan datos de carácter personal estén convenientemente registrados en un inventario actualizado, donde figure el tipo de información que contienen y las personas autorizadas a su manejo. Que se cumpla escrupulosamente el control de acceso restringido a
personal autorizado en los locales, edificios o recintos en que se encuentren los sistemas de almacenamiento y servidores con información confidencial o con datos de carácter personal.
11.5. Notificar cualquier violación de las normas de seguridad o de vulnerabilidad de los sistemas de información que detecten, no revelando en ningún caso a terceros estas debilidades, excepto a la persona autorizada que reciba en el encargo de realizar los trabajos para su corrección.

12. El uso de certificados digitales.

Se recomienda, para garantizar la validez y eficacia de la emisión y recepción de comunicaciones y documentos producidos telemáticamente, el uso de la firma electrónica.

13. La comprobación de los sistemas de información y de las redes de comunicación.

La Administración de la Junta de Andalucía, mediante los mecanismos formales y técnicos que considere oportunos, podrá comprobar, de forma periódica o cuando resulte conveniente por razones específicas de seguridad o del servicio, la correcta utilización de todos los sistemas de información y
redes de comunicación.

14. Las exigencias de responsabilidades.

La Administración de la Junta de Andalucía cuando detectare en el uso de los medios informáticos actuaciones irregulares, ilícitas o ilegales, procederá al ejercicio de las acciones pertinentes para las exigencias de las responsabilidades legales que correspondan.

15. Sobre el conocimiento de las instrucciones.

Todos los usuarios de los sistemas de información y redes de comunicaciones que sean propiedad o estén bajo la supervisión de la Administración de la Junta de Andalucía están obligados al conocimiento y cumplimiento de las presentes instrucciones.

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License