Orden 5/2016, de 28 de junio, de la Consejería de Administración Pública y Hacienda, por la que se aprueba la Política de Uso Aceptable de los sistemas de información corporativos de la Comunidad Autónoma de La Rioja

• Sección: I. Disposiciones Generales
• Emisor: ConsejerÍA de AdministraciÓN PÚBlica y Hacienda
• Rango de Ley: Orden

La utilización constante y creciente de las tecnologías de la información y las comunicaciones en el ámbito de la administración pública, tanto para el funcionamiento interno como para la relación con los ciudadanos, supone una clara eficiencia en el uso de los recursos económicos.

Este uso masivo de la tecnología, soportado por dispositivos cada vez más potentes, con mayor capacidad de almacenamiento de información y también con mayores posibilidades de conexión, traen consigo una mayor complejidad de los sistemas y de las redes y un incremento en los riesgos que existen sobre esa información. Se trata no sólo de riesgos de pérdida o fuga de información sino también de riesgos asociados a la pérdida de confidencialidad, a la modificación no autorizada o pérdida de integridad y a la pérdida de disponibilidad u otras amenazas que afectan a información.

Esta extensión de las nuevas tecnologías ha puesto a disposición de las autoridades y de los empleados públicos una serie de recursos informáticos, cuyo empleo debe hacerse de forma ordenada y enfocada al desempeño de su actividad. Por ello, es necesario poner en conocimiento de todo el personal el modo adecuado de utilización de las nuevas tecnologías en el ámbito de la Comunidad Autónoma de La Rioja. De esta forma se hará un uso más eficiente de las mismas, lo que repercutirá positivamente en una más eficiente gestión administrativa y por tanto en un mejor servicio al ciudadano.

Pero además, es necesario prevenir las posibles prácticas abusivas que de una utilización particular de los medios informáticos públicos se pudieran producir, y muy especialmente de aquéllas que puedan llegar a poner en riesgo la seguridad de los sistemas informáticos y, con ello, de las bases de datos que contienen datos personales de los ciudadanos. Esta necesidad de proteger la información generada en el sector público ya motivó la aprobación del Decreto 40/2014, de 3 de octubre, por el que se aprueba la Política de Seguridad de la Información de la Comunidad Autónoma de La Rioja, de la que esta Orden es una manifestación parcial.

Finalmente, también hay que asegurar que el uso de los distintos programas informáticos se haga respetando las condiciones establecidas en sus licencias de uso, garantizando de esta manera los derechos de los proveedores que participan en el desarrollo informático de nuestro sector público.

Para cumplir estas tres finalidades -eficiencia en gestión, seguridad en los datos y respeto a las licencias de uso-, la política de uso aceptable regula las obligaciones de las autoridades y de los empleados públicos de la Comunidad Autónoma en su condición de usuarios de los sistemas tecnológicos puestos a su disposición para el desempeño de sus funciones. Este conjunto de normas implican tanto aspectos de seguridad como organizativos, de protección de datos, de eficiencia y de responsabilidad.

En su virtud, y en uso de las facultades que tengo atribuidas, apruebo la siguiente

Orden

Artículo único Política de uso aceptable.

Primero. Se aprueba la política de uso aceptable de los sistemas de información corporativos de la Comunidad Autónoma de La Rioja, que se incluye como anexo a esta Orden.

Segundo. Todos los usuarios de los sistemas de información y redes de comunicaciones que sean propiedad o estén bajo la supervisión de la Administración General de la Comunidad Autónoma de La Rioja y de sus organismos públicos están obligados al conocimiento y cumplimiento de esta política.

Disposición final única Entrada en vigor.

La presente Orden entrará en vigor a partir de su publicación en el Boletín Oficial de La Rioja.

Logroño a 28 de junio de 2016.- El Consejero de Administración Pública y Hacienda, Alfonso Domínguez Simón.

Anexo

Política de uso aceptable de los sistemas de información corporativos.

1. Principios básicos.

   Esta política de uso aceptable está basada en una serie de principios básicos con el objeto de garantizar la seguridad de la información en todos sus aspectos.

   Los principios básicos sobre los que se asienta esta política son:

   1. Principio de máxima seguridad: Todo aquello que no está explícitamente permitido, está prohibido.

   2. Principio de control: Los sistemas de información y la red dispondrán de los mecanismos de control, supervisión y registro necesarios para garantizar que el uso que se hace de ellos es el adecuado.

   3. Principio de auditoría: Los registros de actividad de los sistemas de información y de la red, se almacenarán durante el máximo tiempo posible para garantizar las máximas posibilidades de auditoría y trazabilidad de las acciones realizadas en los sistemas.

   4. Principio de menor autoridad. Los perfiles de usuario se diseñarán con el acceso a la información y recursos imprescindibles para la ejecución de las funciones asignadas.

   5. Principio de confidencialidad: La información deberá tratarse con el debido secreto y el celo profesional. Se tendrá especial cuidado con aquella información que esté clasificada como confidencial, sensible, privilegiada o que incluya datos de carácter personal.

   6. Principio de eficiencia: Los sistemas de información se usarán de la forma más eficiente posible, evitando gastos o consumos innecesarios.

2. Ámbito de aplicación.

   La presente política será de aplicación a todos los usuarios de la red corporativa de la Administración General de la Comunidad Autónoma de La Rioja y de sus organismos públicos, conforme a lo dispuesto en el artículo 2 del Decreto 40/2014, de 3 de octubre, por el que se aprueba la Política de Seguridad de la Información de la Comunidad Autónoma de La Rioja.

   Se consideran usuarios tanto las autoridades y empleados públicos, como quienes de forma eventual tengan acceso a través de redes y aplicaciones de la Administración autonómica.

   No se considerará usuarios de la red corporativa ni quedarán por tanto sujetos a las previsiones de esta Orden quienes hagan uso de las conexiones wifi de cortesía que se ponen a disposición de los ciudadanos en edificios oficiales y centros públicos.

3. Política sobre el uso de equipamiento informático.

   1. El Gobierno de La Rioja, a través de la Dirección General de las Tecnologías de la Información y la Comunicación, proporcionará a los usuarios, el equipamiento informático adecuado para la realización de las tareas relacionadas con su puesto de trabajo. Este equipamiento es propiedad del Gobierno de La Rioja y su uso debe ir ligado al funcionamiento de los servicios públicos.

   2. La Dirección General de las Tecnologías de la Información y la Comunicación definirá la configuración hardware y software de los diferentes equipos y proporcionará los accesos a la red corporativa para cualquier dispositivo. En consecuencia, ningún equipo ni dispositivo deberá ser conectado a la red, si no es por técnicos autorizados de la Dirección General de las Tecnologías de la Información y la Comunicación.

   3. Toda la información almacenada en los sistemas de información del Gobierno de La Rioja es de su propiedad y, por tanto, está sujeta a esta Política de Uso Aceptable y a cuantas normas de uso apruebe la organización.

   4. El personal de la Dirección General de las Tecnologías de la Información y la Comunicación es el responsable de modificar o alterar la configuración de los dispositivos, tanto a nivel hardware como software. En consecuencia, sólo este personal podrá proceder a instalar o desinstalar cualquier tipo de software de un dispositivo de uso corporativo. En consecuencia, los usuarios no dispondrán de autorización de administración sobre los equipos, salvo autorización expresa de la Dirección General de las Tecnologías de la Información y la Comunicación

   5. Por razones de seguridad y de protección de derechos de propiedad intelectual no está permitida la instalación de ningún software protegido por derechos de autor o con licencia, sin que se disponga de la misma.

   6. La Dirección General de las Tecnologías de la Información y la Comunicación es responsable del inventario de equipamiento informático de la organización, sin perjuicio de las competencias de...