normativa de uso de los recursos y de los sistemas de

Normativa de Seguridad TICAprobado por

Comité de Seguridad TIC de laConsejería

Normativa de uso de los recursos y de los sistemas deinformación de la Consejería

Normativa de Seguridad TIC

Normativa de uso de los recursos y de lossistemas de información de la Consejería

Comité de Seguridad TIC de la Consejería

Página 1 de 56




HOJA DE CONTROL

Proyecto Normativa de Seguridad TIC

Documento Normativa de uso de los recursos y de los sistemas de información de la Consejería

Nombre del FicheroUSTIC-Normativa de uso de los recursos y de los sistemas de información de laConsejería.odt

Autor Antonio Pedro Serrano Álvarez

Versión/Edición 1.03 Fecha Versión 19/06/19

Aprobado por Comité de Seguridad TIC de la Consejería

Fecha Aprobación 13/06/2019

REGISTRO DE CAMBIOS

Versión Causa del Cambio Responsable del Cambio Área Fecha del Cambio

01.00 CreaciónAntonio Pedro Serrano Álvarez

Unidad de Seguridad TIC

11/06/2018

01.01 Actualización por revisiónAntonio Pedro Serrano Álvarez

Unidad de Seguridad TIC 09/08/2018

01.02 ActualizaciónAntonio Pedro Serrano Álvarez


01.03 ActualizaciónAntonio Pedro Serrano Álvarez


CONTROL DE DISTRIBUCIÓN

Nombre y Apellidos Cargo Área Nº Copias

Página 2 de 56




ÍNDICE

1 INTRODUCCIÓN..............................................................................................................................................................51.1 Objeto.......................................................................................................................................................................51.2 Ámbito de aplicación.................................................................................................................................................51.3 Vigencia....................................................................................................................................................................61.4 Revisión y evaluación................................................................................................................................................61.5 Referencias...............................................................................................................................................................61.6 Marco Normativo......................................................................................................................................................6

1.6.1 Marco Normativo de la Unión Europea................................................................................................................61.6.2 Marco Normativo Estatal....................................................................................................................................71.6.3 Marco Normativo de la Comunidad Autónoma de Andalucía................................................................................7

2 USO DEL PUESTO DE TRABAJO TIC.................................................................................................................................82.1 Responsabilidad del Servicio.....................................................................................................................................82.2 Responsabilidad del Servicio de Personal..................................................................................................................92.3 Responsabilidad de las Personas Usuarias................................................................................................................92.4 Uso aceptable...........................................................................................................................................................92.5 Uso no aceptable......................................................................................................................................................92.6 Aceptación y compromiso de cumplimiento.............................................................................................................102.7 Responsabilidades derivadas...................................................................................................................................10

3 USO DE LA RED DE COMUNICACIONES.........................................................................................................................113.1 Responsabilidad del Servicio....................................................................................................................................113.2 Responsabilidad de las personas usuarias...............................................................................................................123.3 Uso aceptable.........................................................................................................................................................123.4 Uso no aceptable....................................................................................................................................................123.5 Aceptación y compromiso de cumplimiento.............................................................................................................133.6 Responsabilidades derivadas...................................................................................................................................13

4 USO DE INTERNET........................................................................................................................................................154.1 Responsabilidad del Servicio de Informática.............................................................................................................154.2 Responsabilidad de las personas usuarias...............................................................................................................154.3 Uso aceptable.........................................................................................................................................................164.4 Uso no aceptable....................................................................................................................................................164.5 Aceptación y compromiso de cumplimiento.............................................................................................................174.6 Responsabilidades derivadas...................................................................................................................................17

5 USO Y ACCESO A LOS SISTEMAS DE INFORMACIÓN Y A LOS DATOS TRATADOS............................................................185.1 Responsabilidad por roles definidos en el ENS.........................................................................................................185.2 Responsabilidad del Responsable de Información....................................................................................................185.3 Responsabilidad del Responsable del Servicio.........................................................................................................195.4 Responsabilidad del Responsable del Sistema.........................................................................................................195.5 Responsabilidad de los Servicios de Personal..........................................................................................................195.6 Responsabilidad de las personas usuarias...............................................................................................................195.7 Uso aceptable.........................................................................................................................................................205.8 Uso no aceptable....................................................................................................................................................205.9 Aceptación y compromiso de cumplimiento.............................................................................................................205.10 Responsabilidades derivadas................................................................................................................................21

6 USO Y ACCESO AL CORREO ELECTRÓNICO CORPORATIVO A TRAVÉS DE LOS MEDIOS DE LA CONSEJERÍA..................226.1 Responsabilidad del Servicio...................................................................................................................................226.2 Responsabilidad del Responsable de Información....................................................................................................226.3 Responsabilidad de las personas usuarias...............................................................................................................226.4 Uso aceptable.........................................................................................................................................................236.5 Uso no aceptable....................................................................................................................................................246.6 Aceptación y compromiso de cumplimiento.............................................................................................................246.7 Responsabilidades derivadas..................................................................................................................................25

7 USO Y CREACIÓN DE CONTRASEÑAS............................................................................................................................26

Página 3 de 56




7.1 Responsabilidad de las personas usuarias...............................................................................................................267.2 Uso aceptable.........................................................................................................................................................277.3 Uso no aceptable....................................................................................................................................................277.4 Aceptación y compromiso de cumplimiento.............................................................................................................277.5 Responsabilidades derivadas...................................................................................................................................28

8 USO DE ORDENADORES PORTÁTILES.............................................................................................................................298.1 Responsabilidad del Servicio...................................................................................................................................298.2 Responsabilidad de las personas usuarias...............................................................................................................308.3 Uso aceptable.........................................................................................................................................................318.4 Uso no aceptable....................................................................................................................................................318.5 Aceptación y compromiso de cumplimiento.............................................................................................................318.6 Responsabilidades derivadas..................................................................................................................................32

9 USO DE TELÉFONOS MÓVILES, TABLETAS Y SMARTPHONES........................................................................................339.1 Responsabilidad del Servicio...................................................................................................................................339.2 Responsabilidad de las personas usuarias...............................................................................................................349.3 Uso aceptable.........................................................................................................................................................359.4 Uso no aceptable....................................................................................................................................................359.5 Aceptación y compromiso de cumplimiento.............................................................................................................369.6 Responsabilidades derivadas..................................................................................................................................36

10 USO DE IMPRESORAS Y ESCÁNERES...........................................................................................................................3710.1 Responsabilidad del Servicio..................................................................................................................................3710.2 Responsabilidad de las personas usuarias............................................................................................................3810.3 Uso aceptable......................................................................................................................................................3910.4 Uso no aceptable.................................................................................................................................................3910.5 Aceptación y compromiso de cumplimiento..........................................................................................................3910.6 Responsabilidades derivadas................................................................................................................................39

11 USO DE COPIAS DE SEGURIDAD..................................................................................................................................4011.1 Responsabilidad del Servicio de Informática..........................................................................................................4011.2 Responsabilidad de las personas usuarias............................................................................................................4111.3 Respaldo de sistemas de información...................................................................................................................4111.4 Tipos de copia de respaldo...................................................................................................................................4211.5 Responsabilidades derivadas................................................................................................................................43

12 USO DE SOPORTES DE INFORMACIÓN........................................................................................................................4412.1 Responsabilidad de los Responsables de Información...........................................................................................4412.2 Responsabilidad del Servicio de Informática.........................................................................................................4612.3 Responsabilidad de las Personas Usuarias...........................................................................................................4612.4 Control de acceso a los soportes..........................................................................................................................4712.5 Servicios electrónicos para el intercambio de información.....................................................................................4712.6 Cifrado de datos personales sensibles..................................................................................................................4812.7 Eliminación de la información...............................................................................................................................48

12.7.1 Eliminación de la información en soportes no electrónicos..............................................................................4812.7.2 Eliminación de la información para la reutilización de soportes electrónicos....................................................4812.7.3 Eliminación de la información y destrucción de los soportes de información...................................................49

12.8 Consideraciones especiales para pizarras y flipcharts...........................................................................................5012.9 Aceptación y compromiso de cumplimiento..........................................................................................................5012.10 Responsabilidades derivadas...............................................................................................................................50

13 ANEXO A: ACRÓNIMOS Y GLOSARIO DE TÉRMINOS.....................................................................................................51

Página 4 de 56




1 INTRODUCCIÓN

1.1 Objeto

El objeto de la presente normativa es regular el uso de los recursos y sistemas de información dispuestos por la Consejeríade la Presidencia, Administración Pública e Interior de la Junta de Andalucía, en adelante Consejería, definiendo unas reglasde uso que deberán ser conocidas y observadas por todas las personas usuarias1 de la Consejería.

Para ello, se ha realizado una categorización exhaustiva de dichos recursos y sistemas de información de la Consejeríaestableciendo una normativa específica para cada tipología resultante:

• puesto de trabajo TIC (equipo informático, ordenador personal de sobremesa y dispositivos conectados).

• Red de comunicaciones.

• Internet.

• sistemas de información y datos tratados.

• Correo electrónico corporativo a través de medios dispuestos por la Consejería.

• Ordenadores portátiles.

• Teléfonos móviles, tabletas y smartphones.

• Impresoras y escáneres.

• Copias de seguridad.

• Soportes para el intercambio de información.

1.2 Ámbito de aplicación

Esta normativa alcanza a la Consejería, incluyendo a todas las Delegaciones de Gobierno en el ámbito de las competenciascorrespondientes a esta Consejería, exceptuando a los entes instrumentales dependientes de la Consejería, tal como dicta lapolítica de la seguridad de las Tecnologías de la Información y Telecomunicaciones de esta Consejería, en adelante Políticade Seguridad2 TIC de la Consejería.

Por tanto, la presente normativa es de aplicación y de obligado cumplimiento para toda persona que trabaje en el ámbito dela Consejería, incluyendo el personal de organizaciones externas cuando hagan uso de recursos o accedan a los sistemas deinformación de la Consejería.

Las personas usuarias serán informadas de esta normativa y aceptarán que la Secretaría General Técnica de la Consejería,en adelante SGT, sea el garante del cumplimiento de las mismas. Así mismo podrán proponer al órgano pertinente lasmodificaciones a este documento que consideren oportunas para ajustarlo a la lógica evolución tecnológica y legislativa quese produzca, manteniendo el espíritu del mismo en lo que respecta a los objetivos y finalidades de los recursos y de lossistemas de información de la Consejería. Las personas usuarias serán puntualmente informadas de cualquier modificaciónque fuera preciso introducir.

1 El perfil de las personas usuarias de Consejería está definido en el ANEXO A: Acrónimos y glosario de términos de esta normativa2 Orden de 30 de agosto de 2018, por la que se establece la política de la seguridad de las tecnologías de la información y telecomunicaciones así como elmarco organizativo y tecnológico en el ámbito de la Consejería. BOJA 171/2018.

Página 5 de 56

https://juntadeandalucia.es/boja/2018/171/BOJA18-171-00016-14365-01_00141662.pdf




1.3 Vigencia

La presente normativa ha sido aprobada por el Comité de Seguridad TIC de la Consejería con fecha 13 de junio de 2019,estableciendo de esta forma las directrices generales para el uso adecuado de los recursos de transmisión de información yde los sistemas de información que la Consejería pone a disposición de las personas usuarias para el ejercicio de susfunciones y que, correlativamente, asumen las obligaciones descritas, comprometiéndose a cumplir con lo dispuesto en lossiguientes epígrafes.

Cualquier modificación posterior entrará en vigor inmediatamente después de su publicación por parte de la Consejería. Lasversiones anteriores quedan anuladas por la última versión de esta normativa.

1.4 Revisión y evaluación

Según lo establecido en el artículo 18, apartados 4 y 5 de la Orden de 30 de agosto de 2018, por la que seestablece la política de la seguridad de las tecnologías de la información y telecomunicaciones así como el marcoorganizativo y tecnológico en el ámbito de la Consejería, la Unidad de Seguridad TIC se encarga de la gestión de losdocumentos indicados, debiendo asegurar que ésta sea completa y proporcione información suficiente para definir lasnecesidades de protección de la información y los activos asociados a la misma en el ámbito de la Consejería, así mismo elComité de Seguridad TIC establecerá los mecanismos necesarios para compartir la documentación derivada del desarrollocon el propósito de regularizarlo, en la medida de lo posible, en todo el ámbito de aplicación de la política de seguridad TIC.

1.5 Referencias

La presente normativa se fundamenta en la legislación vigente en materia de seguridad de las tecnologías de la informacióny las comunicaciones, en adelante TIC, de ámbito europeo, estatal y autonómico, así como en las normas y procedimientosinternos que resulten de aplicación a la Consejería en el marco de la política de seguridad de la información.

1.6 Marco Normativo

1.6.1 Marco Normativo de la Unión Europea

• A día de aprobación de la presente normativa además son de obligado cumplimiento:

◦ Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018 , relativo aun marco para la libre circulación de datos no personales en la Unión Europea.

◦ Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014 , relativo a laidentificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercadointerior y por la que se deroga la Directiva 1999/93/CE.

◦ Directiva (UE) 2014/24/UE, del Parlamento Europeo y del Consejo , de 26 de febrero de 2014, sobrecontratación pública y por la que se deroga la Directiva 2004/18/CE.

Página 6 de 56

https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=uriserv:OJ.L_.2014.094.01.0065.01.SPA

https://www.boe.es/doue/2014/257/L00073-00114.pdf

http://www.boe.es/doue/2018/303/L00059-00068.pdf




1.6.2 Marco Normativo Estatal


◦ Código de Protección de Datos de Carácter Personal .

◦ Código de Derecho de la Ciberseguridad .

◦ Circular 3/2017 de la Fiscalía General del Estado sobre la reforma del código penal operada por la LO1/2015 de 30 de marzo en relación con los delitos de descubrimiento y revelación de secretos y los delitosde daños informáticos.

◦ Resolución de 7 de octubre de 2016 , de la Secretaría de Estado de Administraciones Públicas, por la que seaprueba la Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad.

◦ Real Decreto 951/2015, de 23 de octubre , de modificación del Real Decreto 3/2010, de 8 de enero, por elque se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

1.6.3 Marco Normativo de la Comunidad Autónoma de Andalucía


◦ Orden de 30 de agosto de 2018 , por la que se establece la política de la seguridad de las tecnologías de lainformación y telecomunicaciones así como el marco organizativo y tecnológico en el ámbito de la Consejería.

◦ Decreto 70/2017, de 6 de junio , por el que se modifica el Decreto 1/2011, de 11 de enero, por el que seestablece la política de seguridad de las tecnologías de la información y comunicaciones en la Administraciónde la Junta de Andalucía.

◦ Orden de 9 de junio de 2016 , por la que se efectúa el desarrollo de la Política de Seguridad de lasTecnologías de la Información y Comunicaciones en la Administración de la Junta de Andalucía.

◦ Decreto 1/2011, de 11 de enero , por el que se establece la política de seguridad de las tecnologías de lainformación y comunicaciones en la Administración de la Junta de Andalucía.

◦ Resolución de 27 de septiembre de 2004 , de la Secretaría General para la Administración Pública, por la quese establece el manual de comportamiento de los empleados públicos en el uso de los sistemas informáticosy redes de comunicaciones de la Administración de la Junta de Andalucía.

◦ Ley 9/2007, de 22 de octubre , de la Administración de la Junta de Andalucía.

Página 7 de 56

https://www.boe.es/buscar/pdf/2007/BOE-A-2007-19819-consolidado.pdf

https://juntadeandalucia.es/boja/2004/200/1





https://www.boe.es/boe/dias/2015/11/04/pdfs/BOE-A-2015-11881.pdf


https://www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/Circular_3-2017.pdf?idFile=5b2dd5f5-5a18-4732-bc75-7e5a63a9075c

https://www.boe.es/legislacion/codigos/codigo.php?id=173_Codigo_de_Derecho__de_la_Ciberseguridad&modo=1

https://www.boe.es/legislacion/codigos/codigo.php?id=055_Proteccion_de_Datos_de_Caracter_Personal&modo=1




2 USO DEL PUESTO DE TRABAJO TIC

El puesto de trabajo TIC en la Consejería se define como el conjunto de servicios TIC, proporcionados por la Consejería, quenecesita una persona usuaria para desarrollar su trabajo en la Consejería. Estos servicios TIC están relacionados con algunode estos elementos:

• Hardware: ordenador personal de sobremesa y cualquier otro periférico o sistema hardware relacionado con losanteriores.

• Software: sistema operativo, herramientas ofimáticas, herramientas de productividad personal, aplicacionescorporativas, y cualquier otro software relacionado con los anteriores.

• Red: Servicio de sistema de comunicaciones relacionados con el puesto de trabajo.

• Otros recursos informáticos compartidos: servicio de ficheros, servicio de impresión, correo electrónico,agenda corporativa y cualquier otro recurso compartido corporativo.

2.1 Responsabilidad del Servicio

En los servicios centrales de la Consejería, es responsabilidad del Servicio de Informática dependiente de la SGT de laConsejería, proporcionar el puesto de trabajo TIC necesario al personal adscrito a esta Consejería para el desempeño de susfunciones.

En cada Delegación de Gobierno, es responsabilidad del servicio o departamento de Informática correspondiente,proporcionar el puesto de trabajo TIC necesario al personal adscrito a esta Consejería para el desempeño de sus funciones.

En ambos casos, el equipamiento informático asociado al puesto de trabajo TIC:

• Ha de estar plenamente configurado y con acceso a los servicios y aplicaciones necesarias para el desempeño delas competencias profesionales de cada persona usuaria.

• Ha de estar configurado para que al cabo de un tiempo de inactividad quede bloqueado. Dicho tiempo deinactividad será parte de la configuración y no podrá ser alterado por la personas usuarias.

Es responsabilidad del Centro de Atención a Personas Usuarias, en adelante CAU, con respecto al puesto de trabajo TIC delas personas usuarias:

• Atender y resolver las peticiones o incidencias relacionadas con el uso del puesto de trabajo TIC de las personasusuarias.

• Actualizar todo elemento del puesto de trabajo TIC para la seguridad y la mejora continua del uso del mismo porparte de las personas usuarias.

• Instalar, mantener y actualizar de manera continua el software de antivirus en el puesto de trabajo TIC para ladetección y eliminación de cualquier tipo de software malicioso.

• Establecer un sistema de protección perimetral (cortafuegos) en el equipamiento informático asociado al puestode trabajo TIC que minimice la visibilidad exterior.

• Mantener un inventario a través del CAU de todo el equipamiento informático asociado a todo puesto de trabajoTIC.

Página 8 de 56




2.2 Responsabilidad del Servicio de Personal

Es responsabilidad del Servicio de Personal correspondiente (Servicio de Personal de la SGT en Servicios Centrales, Serviciode Personal de la Secretaría General en cada Delegación de Gobierno):

• Comunicar al CAU el cese de actividad de personal de la Consejería de forma inmediata al objeto de que le seanretirados los recursos informáticos que le hubieren sido asignados y sean actualizados sus datos en el sistema deautenticación y en los perfiles de autorización en sistemas de información.

2.3 Responsabilidad de las Personas Usuarias

Es responsabilidad de las personas usuarias de la Consejería:

• Hacer un uso aceptable del puesto de trabajo TIC.

• Utilizar los servicios del CAU según la normativa específica de uso del Centro de Atención a las Personas Usuariasde la Consejería.

• Comunicar al CAU cualquier incidente de seguridad o funcionamiento incorrecto del equipamiento informáticoasociado al puesto de trabajo TIC.

• Mantener los puestos de trabajo despejados, sin acumular más material encima de la mesa que el requerido parala actividad que se está realizando en cada momento3.

• Utilizar los medios dispuestos por la Consejería para custodiar el material documental (cajones, archivadores,estanterías, salas de archivo, o similares) especialmente cuando la información sea considerada confidencial ocontenga datos personales.

2.4 Uso aceptable

Se considera uso aceptable el que:

• las personas usuarias utilicen el puesto de trabajo TIC para usos compatibles para las funciones que lescompeten.

• las personas usuarias participen en el cuidado del equipo que tiene asignado, detectando la ausencia deelementos, como puedan ser cables y accesorios, robos, pérdidas, y cualquier otro potencial incidente deseguridad y dando cuenta al CAU de tales circunstancias.

2.5 Uso no aceptable

Se considera uso no aceptable cualquier uso de los recursos con fines distintos a los autorizados no está permitido, enparticular:

3 Tal como queda reflejado en la Guía de Seguridad CCN-STIC 804. ESQUEMA NACIONAL DE SEGURIDAD. GUÍA DE IMPLANTACIÓN. Punto 5.3.1.[MP.EQ.1] puesto de trabajo DESPEJADO.

Página 9 de 56

https://www.ccn-cert.cni.es/publico/ens/ens/index.html#!1134

https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/800-Esquema_Nacional_de_Seguridad/804-Medidas_de_implantacion_del_ENS/804_medidas_de_implantacion_del_ens.pdf




• No está permitida la alteración ni modificación de los equipamientos suministrados.

• No está permitida la instalación de aplicaciones informáticas sin la correspondiente licencia o no adecuándose a lalegislación vigente.

• No está permitida la instalación o visualización de contenidos ofensivos, violentos, amenazadores, obscenos o, engeneral, aquellos que agredan la dignidad de las personas.

• No está permitida la instalación y/o utilización de programas o contenidos que vulneren la legislación vigente enmateria de propiedad intelectual.

• No está permitida la reparación, instalación o mantenimiento del equipamiento por parte de las personas usuarias.Estas labores corresponden al CAU.

• No está permitido el uso y acceso de los recursos, así como los datos confidenciales, que pone la Consejería adisposición de la persona usuaria mientras está prestando servicio en la Consejería una vez finalizado el propósitoy/o relación con la misma.

2.6 Aceptación y compromiso de cumplimiento

• Las personas usuarias de la Consejería tendrán acceso libre y permanente, durante el tiempo de vinculación conla Consejería, al uso de su puesto de trabajo TIC asignado según la presente normativa.

• El uso del Puesto TIC asignado implica el conocimiento y plena aceptación de las advertencias legales ycondiciones vigentes en cada momento en que las personas usuarias accedan a las mismas y que se especificanen este documento.

• Cualquier persona usuaria que incumpla alguno de los términos especificados en este documento deberá asumirlas responsabilidades derivadas.

2.7 Responsabilidades derivadas

• Todas las personas usuarias deben cumplir las directrices de protección de equipos informáticos dispuestas através de esta normativa y del resto de normativas referenciadas.

• Cualquier persona que administre o use un equipo informático propiedad de la Consejería sin su consentimientoserá responsable de hacer un uso no aceptable del mismo.

• El uso no aceptable estará sometido a las previsiones disciplinarias, administrativas, civiles o penales descritas enlas leyes.

Página 10 de 56




3 USO DE LA RED DE COMUNICACIONES

La red de comunicaciones de la Consejería es el conjunto de todos los recursos tanto físicos como lógicos que dispone laConsejería para permitir el transporte de información a través de los equipamientos y sistemas de información conectados ala misma independientemente de su naturaleza (sistemas de cableado, sistemas de comunicación inalámbricos o accesoremotos).


• Es responsabilidad del Servicio de Informática dependiente de la SGT de la Consejería proporcionar la red decomunicaciones de esta en los siguientes términos:

◦ Ofrecer servicios necesarios de conectividad a las redes de comunicaciones de la Consejería a todas laspersonas usuarias, cumpliendo siempre con las normas de uso y seguridad.

◦ Garantizar la disponibilidad del acceso a los sistemas de información de la Consejería y a los sistemascorporativos de la Junta de Andalucía necesarios para el desempeño de sus funciones de forma segura,mediante los sistemas de cableado, sistemas de comunicación inalámbricos y accesos remotos permitidosdesde redes ajenas a la Consejería.

◦ Velar por la salvaguardia del espectro de radiofrecuencias que utilizan las redes inalámbricas de laConsejería.

◦ Habilitar en las redes inalámbricas de la Consejería el cifrado tal y como se especifica en el protocoloexistente.

◦ Establecer una adecuada segregación de redes y subredes4 para acotar el acceso a la información y reducirla propagación de incidentes de seguridad para que queden restringidos al entorno donde ocurren. Estasegmentación de red debe permitir establecer los siguientes controles:

▪ Control de entrada de las personas usuarias que pueden trabajar en cada segmento, en particular si elacceso se realiza desde el exterior del segmento, tanto si es desde otro segmento de la red decomunicaciones de la Consejería como si el acceso procede del exterior de dicha red, extremando lasprecauciones en este último escenario.

▪ Control de salida de la información disponible en cada segmento.

▪ Control de entrada de las aplicaciones y sistemas de información utilizables o accesibles en cadasegmento.

• Es responsabilidad del Centro de Atención a Personas Usuarias dependiente del Servicio de Informática de la SGTde la Consejería:

◦ Garantizar la atención y resolución de las peticiones o incidencias relacionadas con las redes decomunicaciones de la Consejería de las personas usuarias, a través del CAU.

◦ Gestionar el inventario de todos los elementos de la red de comunicaciones de la Consejería, a través delCAU.

4 Guía de Seguridad CCN-STIC 804. ESQUEMA NACIONAL DE SEGURIDAD. GUÍA DE IMPLANTACIÓN. Punto 5.4.4. [MP.COM.4] SEGREGACIÓN DEREDES .

Página 11 de 56








3.2 Responsabilidad de las personas usuarias

• Es responsabilidad de las personas usuarias de las redes de comunicaciones de la Consejería:

◦ Hacer un uso aceptable de las redes de comunicaciones de la Consejería en los siguientes términos:

▪ Utilizar la infraestructura de red exclusivamente para el desempeño de la función de su puesto detrabajo.

▪ Comunicar al CAU los problemas o incidentes de seguridad TIC que observen, para su registro yresolución.

▪ Evitar situaciones que afecten a la seguridad de las redes y al resto de personas usuarias.

▪ No interferir con el espectro de radiofrecuencias que utilizan las redes inalámbricas de la Consejería.

▪ No proporcionar tráfico a terceras personas o entidades, salvo por expreso consentimiento del Jefe delServicio de Informática.

▪ Respetar el contenido de las leyes y demás disposiciones que sean de aplicación con especial atenciónal cumplimiento de la normativa vigente en materia de protección de datos.

3.3 Uso aceptable

Las personas usuarias de las redes de Comunicaciones de la Consejería deberán hacer un uso aceptable de las redes decomunicaciones de ésta, en los términos descritos en el punto 3.2 de este documento.


Se consideran no aceptables los siguientes usos de la infraestructura y de los servicios ofrecidos por las redes decomunicaciones de la Consejería:

• Cualquier transmisión de información o acto que viole la legislación vigente.

• Cualquier fin privado no autorizado por la Consejería.

• Cualquier acción que cause cualquier tipo de molestia o inhabilitación al desempeño laboral del resto de personasusuarias de la Consejería.

• Cualquier circulación de información difamatoria de cualquier tipo, ya sea contra entidades o personas.

• Cualquier distribución de material o contenido que viole derechos de propiedad intelectual.

• Proporcionar acceso remoto a redes de comunicaciones distintas a las que el Servicio de Informática dependientede la SGT ofrece.

• Conectar equipos de red activos (hubs, switches, routers, módems, cortafuegos, puntos de acceso inalámbricos, yproductos electrónicos de similares características) que previsiblemente perturben el correcto funcionamiento de lared o comprometan su seguridad, salvo expresa autorización del Servicio de Informática.

Página 12 de 56




• Conectar equipos con nombres o direcciones no registrados en el DNS o asignadas específicamente.

• Utilizar mecanismos para la manipulación de direcciones de red o cualquier otro uso que pueda afectar a latopología o a la estructura lógica de la red, salvo expresa autorización del Servicio de Informática.

• Utilizar analizadores del tráfico, salvo expresa autorización del Servicio de Informática.

• Conectar, desconectar o reubicar elementos de comunicación sin la autorización expresa del Servicio deInformática.

• Alojar dominios distintos a los dominios corporativos salvo expresa autorización del Servicio de Informática o delServicio de Aplicación TIC a Transparencia, Gobierno Abierto y Portal.

• Cualquier otra actividad que pueda producir:

◦ La congestión de la red de comunicaciones de la Consejería o de sus sistemas de información mediante elenvío de información o programas concebidos para tal fin.

◦ La destrucción, manipulación o apropiación indebida de la información que circula por la red o de lainformación de otras personas usuarias.

◦ La violación de la privacidad e intimidad de otras personas usuarias.

◦ El deterioro del trabajo de otras personas usuarias.

◦ El uso y obtención de cuentas de Sistemas Informáticos ajenas.

◦ La comunicación de contraseñas u otro tipo de información que permita a otras personas usuarias accederen los sistemas de información.



• Las personas usuarias de la Consejería tendrán acceso libre y permanente, durante el tiempo de vinculación conla Consejería, al uso de la red de comunicaciones a las que se refiere la presente normativa.

• El uso de la red de comunicaciones de la Consejería implica el conocimiento y plena aceptación de lasadvertencias legales y condiciones vigentes en cada momento en que las personas usuarias accedan a lasmismas y que se especifican en este documento.


• Cualquier persona usuaria de la red de comunicaciones de la Consejería que incumpla alguno de los términosespecificados en este documento deberá asumir las responsabilidades derivadas.

• Todas las personas usuarias deben cumplir la directrices de uso de la red de comunicaciones de la Consejeríadispuestas a través de esta normativa y del resto de normativas referenciadas.

Página 13 de 56




• Cualquier persona que administre o use la red de comunicaciones de la Consejería sin su consentimiento seráresponsable de hacer un uso no aceptable de la misma.

Página 14 de 56




4 USO DE INTERNET

El objetivo de la presente norma es regular el uso y acceso a Internet por parte de las personas usuarias de la Consejería.

4.1 Responsabilidad del Servicio de Informática

Es responsabilidad del Servicio de Informática de la SGT de la Consejería:

• Proporcionar acceso a Internet a las personas usuarias de la Consejería que lo necesiten exclusivamente para eldesempeño de sus funciones, cumpliendo siempre con las normas de uso y seguridad, y minimizando los riesgosderivados de dicho uso.

• Regular, controlar y monitorizar el uso de Internet que cada persona usuaria realice custodiando informaciónparticularizada de las direcciones a las que accede, fecha, hora ficheros descargados, tiempo de conexión ocualquier otra información acerca del uso.


Es responsabilidad de las personas usuarias de la Consejería con respecto al uso de Internet:

• Usar Internet de manera responsable y exclusivamente para fines profesionales.

• No visitar páginas de contenido poco ético, ofensivo o ilegal. No está permitido el acceso a páginas cuyo contenidopueda resultar ofensivo o atentar contra la dignidad humana, ni tampoco a páginas de contenido no adecuado,ilegal o poco ético.

• No visitar páginas no fiables o sospechosas. Para evitar posibles incidentes de seguridad TIC, es aconsejable novisitar páginas que se consideren sospechosas de contener código malicioso.

• No utilizar servicios de almacenamiento5 en la nube (Google Drive, OneDrive, Dropbox, o similares) para guardarinformación relativa a la Consejería o al puesto de trabajo desempeñado, a no ser que esté expresamenteautorizado, controlado el acceso y registrado conforme a la normativa autonómica existente.

• Cuidar la información que se publica en Internet. No se debe proporcionar información sobre la organización enforos, chats, etc., ya que podría ser utilizada de forma fraudulenta o malintencionada. En este sentido, estáprohibido difundir sin autorización cualquier tipo de información no pública sobre el funcionamiento interno de laConsejería, sus recursos, estructura, etc.

• Observar las restricciones legales que sean de aplicación, especialmente la información y los contenidos (vídeos,imágenes, etc.) sujetos a los derechos derivados de la Propiedad Intelectual o Industrial.

• Realizar descargas o transferencias de datos en el ejercicio de las funciones de su puesto de trabajo, teniendo enconsideración que estas actividades pueden ir en detrimento del rendimiento de los recursos informáticos.

• No descargar código o programas no confiables. Es necesario asegurar la confiabilidad del sitio desde el cual sedescargan los programas, utilizando siempre las páginas oficiales, y usando licencias válidas.

5 Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en laAdministración de la Junta de Andalucía. El artículo 5 apartado b), Principio de integridad y calidad, dice que: “se deberá garantizar el mantenimiento de laintegridad y calidad de la información, así como de los procesos de tratamiento de la misma, estableciéndose los mecanismos para asegurar que losprocesos de creación, tratamiento, almacenamiento y distribución de la información que contribuyen a preservar su exactitud y corrección”.

Página 15 de 56

https://juntadeandalucia.es/boja/2011/11/d2.pdf




• Asegurar la autenticidad de la página visitada asegurándose que la página que se visita es realmente la que diceser.

• Comprobar la seguridad de la conexión. Cuando se transmita información sensible, confidencial o protegida esimportante asegurar su cifrado. Una manera de asegurar la confidencialidad es comprobar que se utiliza protocoloseguro https en la comunicación en vez del protocolo estándar no seguro http (examinando la barra dedirecciones). También debería aparecer un icono representando un candado en la barra del navegador. A través dedicho candado se puede obtener información sobre el certificado digital de identidad del sitio web visitado.

• Cerrar las sesiones al terminar la conexión. Es muy conveniente cerrar las sesiones al terminar la conexión o elintercambio de información, ya que en muchas ocasiones la conexión permanece abierta por defecto y no essuficiente con cerrar el navegador. La mayoría de los sitios web disponen de una opción de “desconexión”,“logout” o similar que conviene utilizar.

• Utilizar las versiones de navegadores y las herramientas contra código dañino instaladas por defecto por el CAU enlos medios y recursos dispuestos por la Consejería, sin alterar su configuración.

• Eliminar la información privada. Los navegadores Web almacenan información privada durante su utilización, talcomo el historial de navegación, cookies aceptadas, contraseñas, etc., información a la que podría acceder unatacante que se hubiera introducido en el sistema. Por tanto, es recomendable borrar esta información de maneraperiódica, usando las herramientas disponibles en el navegador.

• No instalar complementos desconocidos. Cuando se cargan ciertas páginas web, se muestra un mensajecomunicando la necesidad de instalar en el ordenador asignado un complemento (plug-in, add-on, etc.) para poderacceder al contenido. Es muy recomendable analizar primero la conveniencia de instalar tal complemento yhacerlo, en cualquier caso, siempre desde la página del distribuidor o proveedor oficial del mismo.

• Comunicar al CAU cualquier problema, duda o sospecha de incidentes de seguridad TIC.

4.3 Uso aceptable

Las personas usuarias de la Consejería deberán hacer un uso aceptable de Internet en los términos descritos en el punto4 .2 de este documento.


Los siguientes usos de Internet se consideran no aceptables:

• Cualquier uso o acto que viole la legislación vigente.

• Cualquier fin privado no autorizado por la Consejería.

• Cualquier acción que cause cualquier tipo de molestia o inhabilitación al desempeño laboral del resto de personasusuarias de la Consejería.

• Cualquier circulación de información difamatoria de cualquier tipo, ya sea contra entidades o personas.

• Cualquier distribución de material o contenido que viole derechos de propiedad intelectual.

• Proporcionar acceso remoto a webs maliciosas.

Página 16 de 56




• Conectar equipos de red activos (hubs, switches, routers, modems, cortafuegos, puntos de acceso inalámbricos,etc.) que previsiblemente perturben el correcto funcionamiento de la red o comprometa su seguridad, salvoexpresa autorización del Servicio de Informática.

• Utilizar proxies anónimos.

• Cualquier otro uso que pueda producir:

◦ La congestión de la red de comunicaciones de la Consejería o de sus sistemas de información mediante elenvío de información o programas concebidos para tal fin o la descarga de ficheros de gran volumen noautorizados.

◦ La destrucción, manipulación o apropiación indebida de la información que circula por la red o de lainformación de otras personas usuarias.


◦ El deterioro del trabajo de otras personas usuarias.

◦ El uso y obtención de cuentas de sistemas informáticos ajenas.

◦ La comunicación de contraseñas u otro tipo de información que permita a otras personas usuarias accederen los sistemas de información.



• Las personas usuarias de la Consejería autorizadas tendrán acceso libre y permanente, durante el tiempo devinculación con la Consejería, al uso de Internet en los términos descritos en la presente normativa.

• El uso de Internet mediante recursos de la Consejería implica el conocimiento y plena aceptación de lasadvertencias legales y condiciones vigentes en cada momento en que las personas usuarias accedan a lasmismas y que se especifican en este documento.


• Cualquier persona usuaria de la Consejería que incumpla alguno de los términos especificados en este documentodeberá asumir las responsabilidades derivadas.

• Todas las personas usuarias deben cumplir la directrices de uso de Internet dispuestas a través de esta normativay del resto de normativas referenciadas.

• Cualquier persona que administre o use el servicio de Internet de la Consejería sin su consentimiento seráresponsable de hacer un uso no aceptable de la misma.

Página 17 de 56




5 USO Y ACCESO A LOS SISTEMAS DE INFORMACIÓN Y A LOS DATOSTRATADOS

Los sistemas de información de la Consejería son aquellos conjuntos de datos e información gestionados por la Consejeríaque interactúan entre sí con el objetivo de cubrir las necesidades funcionales y técnicas derivadas de las competencias de laConsejería.

5.1 Responsabilidad por roles definidos en el ENS

Todo Sistema de Información de la Consejería, incluyendo los datos que gestiona, debe tener asignado obligatoriamente lossiguientes roles que ejercerán los niveles de responsabilidad acordes a la política de seguridad de la Consejería:

• Un Responsable de la Información6, que será el órgano directivo que decida sobre la finalidad, contenido y uso dela información.

• Un Responsable del Servicio7 que será el órgano directivo que decida sobre las características de los servicios aprestar.

• Un Responsable de los Sistemas8 que será la persona adscrita a la Unidad Administrativa responsable deInformática designada al efecto por la persona titular de la Jefatura del Servicio. Si el sistema no dependiera de laUnidad Administrativa responsable de Informática, los Responsables de los Sistemas serán las personas titularesde las unidades administrativas designadas como responsables del contrato o director/a del expediente, salvo quese designe específicamente para ello a otra persona adscrita a los anteriores.

5.2 Responsabilidad del Responsable de Información

Es responsabilidad de cada Responsable de la Información:

• Designar a las personas usuarias que pueden acceder a cada sistema de información del que sea responsable.

• Definir los perfiles necesarios de autorización de acceso de las personas usuarias. Estos perfiles configurarán lasfuncionalidades y privilegios disponibles en las aplicaciones según las competencias de cada persona usuaria,adoptando una política de asignación de privilegios mínimos necesarios para la realización de las funcionesencomendadas.

• Comunicar la designación o la sustitución de las personas usuarias al Responsable del Servicio y al Responsablede Sistema asociado para la correcta actualización y mantenimiento de sus autorizaciones de acceso.

• Los Responsables de la Información tendrán la condición de Responsables del Tratamiento respecto a lostratamientos de datos de carácter personal sobre los que determinen sus fines y medios, salvo que las normasaplicables sobre asignación de atribuciones en materia de protección de datos dispongan otra cosa9.

6 Art.13 de la Política de Seguridad TIC de la Consejería y Esquema Nacional de Seguridad.7 Art.14 de la Política de Seguridad TIC de la Consejería y Esquema Nacional de Seguridad.8 Art.15 de la Política de Seguridad TIC de la Consejería y Esquema Nacional de Seguridad.

9 Art. 23.2 de la Política de Seguridad TIC de la Consejería.

Página 18 de 56















5.3 Responsabilidad del Responsable del Servicio

Es responsabilidad de cada Responsable del Servicio asociado a cada sistema de información:

• Determinar los requisitos de los servicios prestados sobre cada sistema de información.

• Activar las políticas de bloqueo de sesiones o activación de salvapantallas cuando una persona usuaria deje deatender un ordenador personal durante un cierto tiempo, a efectos de evitar que ninguna persona pueda hacer unmal uso de sus credenciales, pudiendo llegar a suplantarlo.

5.4 Responsabilidad del Responsable del Sistema

Es responsabilidad de cada Responsable de Sistema:

• Supervisar el desarrollo, operación y mantenimiento de los sistemas de información durante todo su ciclo de vida,así como las especificaciones de los mismos, la instalación y verificación de su correcto funcionamiento, y elcifrado de las comunicaciones.

• Ser la primera persona responsable de la seguridad de los sistemas de información que dirija, velando porque laseguridad TIC esté presente en todas y cada una de las partes de sus ciclos de vida. Especialmente deberá velarporque el desarrollo de los sistemas siga las directrices de seguridad establecidas de manera horizontal por laJunta de Andalucía de acuerdo con los criterios y requisitos técnicos de seguridad aplicables definidos por laUnidad de Seguridad TIC de la Consejería.

• Creación, mantenimiento y actualización continua de la documentación de seguridad de los sistemas deinformación, con el asesoramiento de la Unidad de Seguridad TIC.

5.5 Responsabilidad de los Servicios de Personal

Es responsabilidad del Servicio de Personal dependiente de la SGT de la Consejería, y de los respectivos Servicios dePersonal en las Delegaciones de Gobierno, comunicar las bajas o cambios en la relación de las personas usuarias con laConsejería al Centro de Atención de Personas Usuarias, en adelante CAU, para proceder a la modificación efectiva de losderechos de acceso y los recursos informáticos que le fueron asignados.


Es responsabilidad de cada persona usuaria:

• Salvaguardar cualquier información, documento, soporte informático, dispositivo de almacenamiento extraíble,etc., al que tenga acceso y que pueda contener información confidencial o información de datos personalesprotegida frente a posibles revelaciones o robos de terceros no autorizados.

• Cumplir con las obligaciones de secreto y confidencialidad, y por supuesto con la normativa vigente en protecciónde datos. Esto no excluye la posibilidad de que, en estricto cumplimiento de los pertinentes requerimientosjudiciales o, en su caso, autoridad legalmente autorizada, deban revelarse estos contenidos.

• Hacer un buen uso de su identificador, contraseña, claves de acceso o cualquier otro mecanismo para el acceso,el cual podrá ser desactivado por el respectivo Responsable del Sistema en caso de una incorrecta utilización.

Página 19 de 56




• Comunicar al CAU los potenciales incidentes de seguridad TIC que observe:

◦ Sospechas de que sus credenciales estén siendo utilizadas por otra persona.

◦ Posibles fugas de información confidencial o datos personales.

◦ Funcionamiento incorrecto de las aplicaciones.

• Hacer un uso correcto de las contraseñas, tal como se describe en el capítulo 7 de la presente normativa.

5.7 Uso aceptable

Las personas usuarias harán un uso aceptable de los sistemas de información y de los datos a los que accedan y para ellodeberán:

• Responsabilizarse del uso y de la custodia de los identificadores y contraseñas y/o de los certificados digitalesreconocidos suministrados por la Consejería para el acceso seguro a los sistemas de información de la Consejería.

• Responsabilizarse de toda actividad relacionada con el uso de su acceso autorizado.


Los siguientes usos de los sistemas de información y de los datos a los que se acceda por parte de las personas usuarias seconsideran no aceptables:

• Hacer un uso no aceptable de las contraseñas para el acceso a los sistemas de información y a los datos, talcomo queda reflejado en el apartado 7.3 de esta normativa.

• Utilizar ningún acceso autorizado de otra personas usuaria, aunque dispongan de la autorización de su titularsalvo en las excepciones contempladas en la normativa.

• No está permitido el uso y acceso a los recursos corporativos, así como el uso y acceso a los datos confidencialesni el uso de credenciales a los Sistemas de Información, que pone la Consejería a disposición de la personausuaria mientras está prestando servicio en la Consejería una vez finalizado el propósito y/o relación con lamisma.


• Las personas usuarias de los sistemas de información de la Consejería tendrán acceso libre y permanente,durante el tiempo de vinculación con la Consejería, al uso y acceso a los sistemas de información de la Consejeríasalvo en los horarios que sean programados para tareas de mantenimiento o actualización.

• El uso de los sistemas de información de la Consejería implica el conocimiento y plena aceptación de lasadvertencias legales y condiciones vigentes en cada momento en que las personas usuarias accedan a lasmismas y que se especifican en este documento.

• Cualquier persona usuaria de los sistemas de información de la Consejería que incumpla alguno de los términosespecificados en este documento deberá asumir las responsabilidades derivadas.

Página 20 de 56





• Todas las personas usuarias deben cumplir la directrices de uso de los sistemas de información de la Consejeríadispuestas a través de esta normativa y del resto de normativas referenciadas.

• Cualquier persona que administre o use los sistemas de información de la Consejería sin el debido consentimientoserá responsable de hacer un uso no aceptable de los mismos.

Página 21 de 56




6 USO Y ACCESO AL CORREO ELECTRÓNICO CORPORATIVO A TRAVÉSDE LOS MEDIOS DE LA CONSEJERÍA

• Esta normativa define las normas de uso y seguridad que deben seguir todas las personas usuarias quedispongan de una cuenta de correo corporativa en la Junta de Andalucía, cuando accedan a dicha cuenta pormedios y recursos facilitados por la Consejería.

• Los términos generales de uso del correo electrónico corporativo de la Junta de Andalucía se encuentran descritosen el siguiente enlace: (https://correo.juntadeandalucia.es/ayuda/).


Es responsabilidad del Servicio de Informática dependiente de la SGT de la Consejería proporcionar este servicio en elámbito de la Consejería, en los siguientes términos:

• Garantizando la calidad del servicio de correo electrónico corporativo en el ámbito de la Consejería.

• Preservando la privacidad y seguridad de las comunicaciones relacionadas con el correo electrónico corporativo enel ámbito de la Consejería.

• Evitando, en la medida de lo posible, situaciones que puedan causar algún tipo de responsabilidad civil o penal.

• Informando a las personas usuarias de esta normativa y garantizando el cumplimiento de la misma.

• Velando por que las personas usuarias, en la medida de lo posible, no reciban correos no deseados (spam).

• Informar a las personas usuarias puntualmente de cualquier modificación de la presente normativa.

Es responsabilidad del Centro de Atención a Personas Usuarias, que depende del Servicio de Informática de la SGT de laConsejería:

• Atender las peticiones de soporte de todas las personas usuarias pertenecientes a la Consejería o a otroorganismo de la Junta de Andalucía que necesiten acceder al correo corporativo por medios y recursos facilitadospor la Consejería.

6.2 Responsabilidad del Responsable de Información

Es responsabilidad de cada Responsable de Información:

• Comunicar al Servicio de Informática dependiente de la SGT de la Consejería, a través del CAU, las accionesnecesarias para coordinar el uso de cuentas de correo genéricas y listas de correo electrónico definidas en elámbito de sus competencias.


Es responsabilidad de las personas usuarias:

Página 22 de 56

https://correo.juntadeandalucia.es/ayuda/index.html#/term_correo




• Aceptar normas y condiciones. Conocer y aceptar plenamente las normas de uso del correo electrónicocorporativo a través de los medios de la Consejería y las condiciones que se especifican en el presentedocumento, así como en otras normativas legales que puedan ser de aplicación.

• Hacer un uso correcto de sus credenciales de acceso al servicio del correo electrónico corporativo(identificador de la persona usuaria y contraseña), siendo éstas de uso personal e intransferible. La personausuaria es responsable de cualquier uso ilícito de dichas credenciales y de las consecuencias que del uso indebidode la misma se puedan derivar.

• Software malicioso. No contestar aquellos correos no deseados (SPAM), ni descargar ninguno de sus archivosadjuntos, ni acceder a ningún enlace que aparezca en el cuerpo de este tipo de correos, para evitar instalarsoftware malicioso que dañe la instalación o reenvíe todo lo que se teclee (por ejemplo las credenciales) aterceros.

• Datos personales sensibles. Utilizar el correo electrónico como medio para la transmisión de datos personalesconsiderados como sensibles, según el RGPD especialmente protegidos –datos relativos a salud, ideología,afiliación sindical, religión y creencias, orientación sexual, origen racial– únicamente con el fin para el que estádefinido en su registro de actividad de tratamiento de datos, y adoptando mecanismos de cifrado u otrosequivalentes que garanticen que la información sea ininteligible por personas no autorizadas.

• Tratar las direcciones de correo electrónico de otras personas como datos de carácter personal.Por tanto, en el supuesto de realizar una comunicación múltiple, deberán introducir las direcciones de correoelectrónico para su envío a terceras personas en el campo BCC10 para no incurrir en vulneración de lo dispuestoen el RGPD y las normativas nacionales, así como lo dispuesto en el artículo 10 sobre Derechos y deberesfundamentales y el artículo 18 de la Constitución Española, sobre Derecho al honor, a la intimidad y a la propiaimagen. En los grupos de trabajo que se considere de interés conocer qué personas usuarias son destinatarias deuna comunicación múltiple, no se infringe la normativa de protección de datos.

• Poner en conocimiento del responsable correspondiente, el uso indebido o no autorizado de su cuenta decorreo electrónico a la mayor brevedad posible, así como notificar cualquier otra incidencia relacionada con elfuncionamiento del servicio a través del CAU.

• Texto legal. Incluir en todos los correos electrónicos el texto legal indicado por el Servicio de Informáticadependiente de la SGT de la Consejería, que indique a la persona destinataria aquellos aspectos legales a los quepuedan estar sujetos los correos remitidos.

• Contraseñas. Tener en cuenta la normativa en el uso y creación de contraseñas11 de este documento enrelación a las claves de acceso al correo.

6.4 Uso aceptable

Se considera uso aceptable el que:

• Las personas usuarias utilicen sus cuentas de correo corporativas únicamente para labores acordes al desempeñode sus funciones.

• Las personas usuarias del correo corporativo utilicen eficientemente el servicio con el fin de evitar perjuicios alresto de personas usuarias.

10 BCC, proviene de las siglas en inglés Blind Carbon Copy (Copia de Carbón Invisible). Su función es ocultar los destinatarios en los mensajes de correoelectrónico. A diferencia de las direcciones en el campo To: (Para:) o el campo CC: de las siglas Carbón Copy (Copia de Carbón), las direcciones en elcampo BCC: no pueden ser vistas por otras personas usuarias. También se conoce como CCO de las siglas Copia de Carbón Oculta.11 Capítulo 7. USO Y CREACIÓN DE CONTRASEÑAS de este documento.

Página 23 de 56





Se considera incumplimiento de las condiciones y normas de uso del correo electrónico en la Consejería, los supuestossiguientes:

• Difundir contenidos de carácter racista, xenófobo, pornográfico, sexista, de apología del terrorismo, o atentarcontra los derechos humanos, o actuar en perjuicio de los derechos a la intimidad, al honor, a la propia imagen ocontra la dignidad de las personas.

• Enviar información que cause cualquier tipo de molestia a otras personas usuarias, incluida la informacióndifamatoria de cualquier tipo, ya sea contra entidades o personas.

• Enviar información considerada confidencial por parte de la Consejería.

• Difundir mensajes de correo electrónico sin identificar plenamente a su remitente.

• Difundir mensajes comerciales o propagandísticos sin autorización expresa.

• Enviar información que viole la normativa vigente, especialmente los derechos de propiedad intelectual, y losderechos recogidos en el Reglamento General de Protección de Datos, en adelante RGPD.

• Reenviar correos encadenados o participar en esquemas piramidales o actividades similares.

• Cualquier otra actividad que suponga:

◦ Congestionar la red de comunicaciones o los sistemas informáticos de la Consejería mediante el envío deinformación o programas concebidos para tal fin.

◦ La destrucción, modificación o apropiación indebida de la información de otras personas usuarias.


◦ El uso y obtención de cuentas ajenas.

• No está permitido el uso y acceso a los recursos, así como a los datos confidenciales, que pone la Consejería adisposición de la persona usuaria mientras está prestando servicio en la Consejería una vez finalizado el propósitoy/o relación con la misma.


• Las personas usuarias del servicio de correo electrónico corporativo a través de medios propiedad de la Consejeríatendrán acceso libre y permanente al mismo durante el tiempo de vinculación con la Consejería, salvo en loshorarios que sean programados para tareas de mantenimiento o actualización.

• El uso del servicio de correo electrónico corporativo a través de medios de la Consejería implica el conocimiento yplena aceptación de las advertencias legales y condiciones vigentes en cada momento en que las personasusuarias accedan a las mismas y que se especifican en este documento.


Página 24 de 56





Cuando se demuestre un uso incorrecto o no aceptable del correo corporativo a través de los medios dispuestos por laConsejería con respecto a lo especificado en este documento, o bien cuando se detecten envíos masivos o cualquier otraactividad abusiva que pudiera perjudicar el correcto funcionamiento del servicio de correo, o cuando se reciba un aviso deincidencia de los organismos CCN-CERT y/o AndalucíaCERT, el Servicio de Informática de la SGT de la Consejería puedeproceder, dependiendo de la gravedad y reiteración del incidente, a aplicar una de estas medidas:

• Suspensión temporal del buzón de correo de la persona usuaria

Esta medida se tomará cuando se produzca la violación de los términos de esta normativa de forma premeditada o cuandose esté causando una degradación en los recursos de la Junta de Andalucía o implique a la Consejería en algún tipo deresponsabilidad que conlleve perjuicio para sus personas usuarias. La acción a tomar y la duración de la misma dependeránde la incidencia, si bien, como medida de precaución se procederá a deshabilitar la cuenta de la persona usuaria, nopermitiendo el acceso al correo corporativo.

• Suspensión indefinida de las credenciales de la persona usuaria

Esta medida se aplicará cuando se incurra en infracciones de especial gravedad o en una reiterada violación de lascondiciones de este documento, después de los correspondientes avisos por el cauce adecuado. En todos los casos elservicio podrá restablecerse cuando se considere que las medidas adoptadas por el responsable de la cuenta de correogaranticen un uso responsable y aceptable en el futuro.

• Exención de responsabilidades de la Consejería por el contenido de los mensajes de correo

La Consejería no se hace responsable del contenido de los mensajes enviados por las personas usuarias a través decualquiera de las formas de utilización del correo corporativo. En cualquier caso, la Consejería se compromete a actuar condiligencia para evitar cualquier uso indebido del servicio.

Página 25 de 56




7 USO Y CREACIÓN DE CONTRASEÑAS

El objetivo de la presente norma es regular la creación de contraseñas robustas y el uso de las mismas, especialmente,cuando éste sea el mecanismo de autenticación usado para el acceso a sistemas de información, datos o servicios de laConsejería.



• La correcta creación, custodia y renovación de las contraseñas que se utilicen como mecanismo de autenticacióna sistemas de información de la Consejería.

• Atender las recomendaciones que se establezcan para la creación de contraseñas:

◦ Crear contraseñas que al menos tengan ocho caracteres y que combinen mayúsculas, minúsculas, dígitos eincluso caracteres especiales (@, _ , -, +, &).

◦ No utilizar palabras o términos existentes en ningún idioma, ni nombres de personas famosas, localizaciones,clubs deportivos, etc., para que la contraseña sea menos vulnerable a ataques de fuerza bruta12.

◦ Evitar que las contraseñas tengan caracteres idénticos consecutivos.

◦ Al renovar las contraseñas, no utilizar contraseñas ya utilizadas.

◦ No utilizar información como el nombre de la persona usuaria de la cuenta, fechas de cumpleaños, nombresde hijos, cónyuges, mascotas, etc. Tampoco una serie de caracteres dispuestos de forma adyacente en elteclado (qwerty...) o siguiendo un orden alfabético o numérico (123456..., abcde..., etc.)

• En cuanto a la custodia de las contraseñas:

◦ No almacenar contraseñas en lugares públicos o al alcance de otras personas.

◦ No compartir la contraseña por correo electrónico, ni por teléfono.

◦ Hacer un uso correcto de las contraseñas siendo éstas de uso personal e intransferible. La persona usuariaes responsable de cualquier uso ilícito de dichas credenciales y de las consecuencias que del uso indebido dela misma se puedan derivar.

◦ No utilizar la misma contraseña para distintos servicios web o dispositivos.

◦ Cuanto más sensible, confidencial o protegida sea la información con la que se trabaja, más recomendablees el robustecimiento de las contraseñas y el aumento de la frecuencia de cambio de las mismas.

◦ Pedir al CAU la renovación de la contraseña en los siguientes casos:

▪ Olvido de la contraseña.

▪ Contraseña comprometida o conocida por terceros por motivos de trabajo o mantenimiento.

12 Los ataques de fuerza bruta son aquellos ataques que prueban cada una de las palabras que figuran en un diccionario y/o palabras de uso común.

Página 26 de 56




▪ Contraseña bloqueada tras superar el número máximo de intentos fallidos.

Como norma general, el cambio de contraseña por una contraseña provisional (de un solo uso) será realizado por personaltécnico del CAU, que comunicará esta contraseña a la persona usuaria sin intermediarios. Las contraseñas proporcionadaspor el CAU, tras la petición de cambio de contraseña de un equipo y/o aplicaciones, son consideradas contraseñas“provisionales”. Por ello, la persona usuaria deberá proceder a sustituir la contraseña “provisional” por una contraseñapersonal que cumpla con los requisitos indicados en el apartado anterior. La personas usuaria deberá realizar este cambiodurante el primer inicio de sesión en su puesto de persona usuaria.

◦ Ninguna persona usuaria está autorizada a acceder a los sistemas de información y servicios de la Consejeríautilizando credenciales de otras personas usuarias.

7.2 Uso aceptable

Las personas usuarias utilizarán sus contraseñas para labores acordes al desempeño de sus funciones.


Se considera uso no aceptable de las contraseñas, cuando este sea el mecanismo de autenticación usado para el acceso adeterminados sistemas o servicios de la Consejería:

• Ceder o notificar las contraseñas propias o ajenas a otras personas usuarias o terceros.



• Las personas usuarias de la Consejería tendrán acceso libre y permanente a los sistemas de información yservicios a los que está autorizado mediante sus identificadores y contraseñas, durante el tiempo de vinculacióncon la Consejería y/o al servicio, unidad funcional, etc. donde sea necesario el acceso a dichos sistemas deinformación y servicios para el desempeño de sus funciones, salvo en los horarios que sean programados paratareas de mantenimiento o actualización.

• El uso de los sistemas de información y servicios de la Consejería mediante sus identificadores y contraseñasimplica el conocimiento y plena aceptación de las advertencias legales y condiciones vigentes en cada momentoen que las personas usuarias accedan a las mismas y que se especifican en este documento.


Página 27 de 56





Cuando se demuestre un uso no aceptable de las credenciales y contraseñas para la autenticación en sistemas deinformación y servicios de la Consejería con respecto a lo especificado en este documento, el Servicio de Informática de laSGT de la Consejería procederá, dependiendo de la gravedad y reiteración del incidente, a aplicar una de estas medidas:

• Suspensión temporal de las credenciales (identificador y contraseña) de la persona usuaria.

Esta medida se tomará cuando se produzca la violación de los términos de este documento de forma premeditadao cuando se está causando una suplantación de identidad que implique a la Consejería en algún tipo deresponsabilidad que conlleve perjuicio para sus personas usuarias. La acción a tomar y la duración de la mismadependerán de la incidencia, si bien, como medida de precaución se procederá a deshabilitar dichas credenciales.

• Suspensión indefinida de las credenciales de la persona usuaria.

Esta medida se aplicará cuando se incurra en infracciones de especial gravedad o en una reiterada violación de lascondiciones de este documento, después de los correspondientes avisos por el cauce adecuado. En todos loscasos, el servicio podrá restablecerse cuando se considere que las medidas adoptadas por el responsable de lascredenciales garantice un uso responsable y aceptable en el futuro.

• Exención de responsabilidades de la Consejería.

La Consejería no se hace responsable del uso no aceptable de contraseñas por parte de personas usuarias. Encualquier caso, la Consejería se compromete a actuar con diligencia para evitar cualquier uso indebido delservicio.

Página 28 de 56




8 USO DE ORDENADORES PORTÁTILES

La presente normativa tiene por objeto establecer las normas de uso de los equipos portátiles de la Consejería, con especialatención a las mismas cuando dichos equipos se utilicen fuera de las instalaciones de la Consejería y no puedanbeneficiarse de la misma protección física y lógica.

Se considera ordenador portátil de la Consejería a todo equipo o dispositivo proporcionado por la Consejería a una personausuaria para el desempeño de sus funciones y que consta de las siguientes características básicas:

• Se puede mover o transportar con relativa facilidad.

• Es capaz de realizar la mayor parte de las tareas que realizan los ordenadores de escritorio, y con similaresprestaciones.

• Su peso y tamaño es reducido con respecto a los ordenadores de escritorio.

• Tiene la capacidad de operar por un período determinado sin estar conectados a una red eléctrica por medio debaterías recargables.


Es responsabilidad de la SGT de la Consejería:

• Eestablecer los requisitos y las condiciones específicas a cumplir por el personal que forma parte de laConsejería, para que se le asigne un ordenador portátil como puesto de trabajo TIC móvil. En todos los casos, lapropiedad de los ordenadores portátiles es de la Consejería, y podrán ser retirados si se verifica un usoinadecuado.


• Proporcionar los ordenadores portátiles necesarios a las personas usuarias de la Consejería adscritos a losServicios Centrales de la Consejería para el desempeño de sus funciones, definiendo un procedimiento desolicitud y asignación de ordenadores portátiles para ello.

• Establecer un sistema de protección perimetral (cortafuegos) en el equipo que minimice la visibilidad exterior.

• Instalar, mantener y actualizar el software de antivirus para la detección y eliminación de cualquier tipo desoftware malicioso.

• Controlar el acceso a la red de comunicaciones de la Consejería cuando el portátil se conecte desde fuera de lasinstalaciones de la misma mediante Red Privada Virtual (VPN).

• Atender y resolver las peticiones o incidencias relacionadas con el uso de los ordenadores portátiles de laspersonas usuarias a través del CAU.

• Mantener un inventario a través del CAU de todos los ordenadores móviles proporcionados a las personas usuariaspara el desempeño de sus funciones.

• Configurar el acceso a la BIOS de los ordenadores portátiles mediante contraseña.

Página 29 de 56






• Hacer un uso responsable de los ordenadores portátiles corporativos cedidos por la Consejería.

• Mantener los elementos de seguridad operativos, las aplicaciones instaladas en el equipo y el estado y uso delmismo.

• Evitar que el equipo contenga claves de acceso remoto a la Consejería capaces de habilitar un acceso a otrosequipos de la Consejería u otros de naturaleza análoga.

• Proteger adecuadamente los accesos (credenciales y contraseña) de los servicios corporativos de la Consejería yJunta de Andalucía a los que tienen acceso desde el ordenador portátil corporativo.

• No almacenar información corporativa que no sea estrictamente necesaria para el desarrollo del trabajo conautorización expresa del responsable de los tratamientos.

• Notificar al CAU cualquier alteración en el estado de funcionamiento del equipo que pueda afectar a la seguridad oinformación del mismo, infecciones por virus, pérdidas o robos.

• Devolver el ordenador portátil a la Consejería a través del CAU, una vez finalizado el plazo de asignación delportátil, cuando se produzca un cambio de destino de la persona usuaria, cause baja definitiva o jubilación.

• Tomar las siguientes medidas de precaución en relación al riesgo manifiesto de pérdida o robo de portátiles:

◦ Vigilancia permanente. Las personas usuarias vigilarán los equipos portátiles que le sean asignados, loscuales deben estar vigilados y bajo control para evitar extravíos o hurtos que comprometan la informaciónalmacenada en ellos o que pueda extraerse de ellos. En los desplazamientos en medios de transporte, talescomo avión, ferrocarril, autobús, barco, etc., este tipo de equipamiento no debe facturarse y deberá viajarsiempre con la persona usuaria.

◦ Evitar el acceso no autorizado. El trabajo en lugares públicos debe realizarse con la mayor cautela yprecaución, evitando conexiones a redes wifi abiertas o conexiones inalámbricas en general, de forma que seimpida que personas no autorizadas puedan ver o escuchar información.

◦ Transporte seguro. Los equipos portátiles corporativos que salgan de las instalaciones de la Consejería sedeben transportar de manera segura, evitando proporcionar información sobre el contenido en los mismos yutilizando, en su caso, maletines que eviten el acceso no autorizado.

◦ Mantenimiento de los equipos. Los equipos portátiles corporativos se mantendrán de acuerdo a lasespecificaciones técnicas de uso, almacenamiento, transporte, etc., proporcionadas por el fabricante. Enparticular, se evitará su uso en condiciones de temperatura o humedad inadecuadas, o en entornos que lodesaconsejen como puedan ser mesas con alimentos y líquidos, entornos no adecuados, etc.

◦ Datos personales. Cuando un portátil contenga información corporativa y/o datos personales protegidospor las normativas vigentes en materia de protección de datos, la persona usuaria responsable de dichoportátil observará rigurosamente la normativa de intercambio de información y uso de soportes de laConsejería.

Página 30 de 56




8.3 Uso aceptable

• Las personas usuarias utilizarán los ordenadores portátiles para usos compatibles con las funciones que lescompeten.

• Las personas usuarias cuidarán el estado de los ordenadores portátiles que les sean facilitados.


Se considerará uso no aceptable de los portátiles por parte de las personas usuarias cualquier uso de los ordenadoresportátiles con fines distintos a los autorizados.

No está permitida:

• La alteración ni modificación de los ordenadores portátiles suministrados.

• La instalación de aplicaciones informáticas sin la correspondiente licencia o no adecuándose a la legislaciónvigente.

• La instalación o visualización de contenidos ofensivos, violentos, amenazadores, obscenos o, en general, aquellosque agredan la dignidad de las personas.

• La instalación y/o utilización de programas o contenidos que vulneren la legislación vigente en materia dePropiedad Intelectual. Este comportamiento estará sometido a las previsiones disciplinarias, administrativas, civileso penales descritas en las leyes.


Las personas usuarias deberán contactar con el Centro de Atención a las Personas Usuarias para cualquier labor dereparación, instalación o mantenimiento del ordenador portátil asignado.


• Las personas usuarias de los ordenadores portátiles de la Consejería tendrán acceso libre y permanente, duranteel tiempo de que la Consejería estime conveniente y en los términos descritos en la presente normativa.

• El uso de los ordenadores portátiles de la Consejería implica el conocimiento y plena aceptación de lasadvertencias legales y condiciones vigentes en cada momento en que las personas usuarias accedan a lasmismas y que se especifican en este documento.

• Cualquier persona usuaria que incumpla alguno de los términos especificados en este documento deberá asumirlas responsabilidades derivadas de la utilización incorrecta de la infraestructura de Redes de Comunicaciones dela Consejería.

Página 31 de 56





• Todas las personas usuarias son responsables de cumplir con las directrices de protección de equipos portátilescorporativos, dispuestas a través de esta normativa y del resto de normativas referenciadas.

• Cualquier persona que administre o use un equipo informático portátil propiedad de la Consejería es responsablede mantener correctamente instalados y actualizados los sistemas de protección del equipo, como requisito parael acceso a la Red Informática de la Consejería, ya sea desde la propia red de la Consejería o accediendo desderedes externas.

Página 32 de 56




9 USO DE TELÉFONOS MÓVILES, TABLETAS Y SMARTPHONES

La presente normativa tiene por objeto establecer las normas de uso de los teléfonos móviles, tabletas y smartphone de laConsejería, con especial atención a las mismas cuando dichos equipos se utilicen fuera de las instalaciones de la Consejeríay no puedan beneficiarse de la misma protección física y lógica.

Se considera teléfono móvil a todo teléfono portátil cedido por la Consejería a personas usuarias que pueda hacer y/o recibirllamadas a través de una portadora de radiofrecuencia, mientras que dichas personas usuarias se estén moviendo dentro deun área de servicio telefónico proporcionado por los servicios de telefonía móvil de la Red Corporativa de Junta de Andalucía.

Se considera tableta a toda computadora portátil cedida por la Consejería, de mayor tamaño que un teléfono inteligente,integrada en una pantalla táctil con la que se interactúa primariamente con los dedos o un estilete (pasivo o activo), sinnecesidad de teclado físico ni ratón.

Se considera teléfono inteligente o smartphone a todo teléfono móvil cedido por la Consejería que además combine loselementos de una tableta, teniendo mayor capacidad de almacenar datos, realizar actividades y conectividad que unteléfono convencional.



• Establecer los requisitos y las condiciones específicas a cumplir por el personal que forma parte de la Consejería,para que se le asigne un teléfono móvil, tableta o smartphone. En todos los casos, la propiedad de los mismos esde la Consejería, y podrán ser retirados si se verifica un uso inadecuado.


• Proporcionar los teléfonos móviles, tabletas o smartphones al personal que forma parte de la Consejería para eldesempeño de sus funciones, definiendo un procedimiento de solicitud y asignación de teléfonos móviles, tabletaso smartphones corporativos.

• Establecer medidas y sistemas de protección adicionales a los que incorporan de fábrica los teléfonos móviles,tabletas y smartphones que mejoren la seguridad de los mismos, especialmente el cifrado mediante contraseñasde acceso o a nivel de arranque.

• Mantener un inventario a través del CAU de todos los teléfonos móviles, tabletas y smartphones proporcionados alpersonal de la Consejería para el desempeño de sus funciones.

• Atender y resolver las peticiones o incidencias relacionadas con el uso de los teléfonos móviles, tabletas ysmartphones del personal de la Consejería a través del CAU.

• Establecer medidas que permitan comprobar de manera periódica si se está aplicando o no la normativa cadateléfono móvil, tableta o smartphone de la Consejería, garantizando que esta normativa es conocida por laspersonas usuarias.

• Establecer y adoptar cuando lo considere conveniente soluciones de Gestión de Dispositivos Móviles (MDM-MobileDevice Management) que permitan gestionar (bloquear, controlar, cifrar y forzar políticas) de manera centralizadaen los teléfonos móviles, tabletas y smartphones de la Consejería. En ese caso, se tendrán en cuenta estasrecomendaciones:

Página 33 de 56




◦ La utilización de soluciones MDM para seguimientos en profundidad del dispositivo debe quedar restringida acausas justificadas, ya que puede implicar la violación de la privacidad de personas usuarias.

◦ En caso de robo, los datos obtenidos mediante soluciones MDM deben ser puestos a disposición de lasautoridades competentes. En ningún caso se intentará recuperar los terminales robados.

◦ Establecer y adoptar cuando lo considere conveniente una política de copias de seguridad de los contenidosde los teléfonos móviles, tabletas y smartphones. En ese caso, dichas copias deberían ser almacenadas enrepositorios gestionados por la Consejería, aplicándose las medidas necesarias para proteger la privacidad delas personas usuarias.

◦ Comunicar a la persona usuaria si el teléfono móvil, tableta o smartphone dispone o no de software delocalización. En caso de que el teléfono móvil, tableta o smartphone vaya a estar geolocalizado, la personausuaria deberá firmar un documento aceptando esta condición.



• Hacer un uso responsable de los teléfonos móviles, tabletas o smartphones cedidos por la Consejería.

• Conectar el teléfono móvil, tableta o smartphone únicamente a la Red Corporativa de la Junta de Andalucía, ya seaen servicio 3G/4G, sistemas de cableado, redes inalámbricas de la Junta de Andalucía o acceso remoto seguro.

• No modificar la instalación o configuración de los elementos de seguridad operativos, las aplicaciones instaladas yel estado y uso de los mismos.

• Evitar que los teléfonos móviles, tabletas o smartphones contengan claves de acceso remoto a la Consejeríacapaces de habilitar un acceso a otros equipos de la Consejería u otros de naturaleza análoga.

• Proteger adecuadamente los códigos PIN de los teléfonos móviles, tabletas y smartphones.

• No almacenar información corporativa que no sea estrictamente necesaria para el desarrollo del trabajo.

• Proteger los accesos (credenciales y contraseña) de los servicios corporativos de la Consejería y Junta deAndalucía a los que tienen acceso desde los teléfonos móviles, tabletas o smartphones.

• Notificar al CAU cualquier alteración en el estado de funcionamiento los teléfonos móviles, tabletas o smartphones.que pueda afectar a la seguridad o información de los mismos, infecciones por virus, pérdidas o robos.

• Devolver el teléfono móvil, tableta o smartphone. a la Consejería, a través del CAU, una vez finalizado el plazo deasignación del mismo, cuando se produzca un cambio de destino de la persona usuaria, cause baja definitiva ojubilación.

• Tomar las siguientes medidas de precaución en relación al riesgo manifiesto de pérdida o robo de los teléfonosmóviles, tabletas o smartphones:

◦ Vigilancia permanente. Las personas usuarias vigilarán los teléfonos móviles, tabletas o smartphones que lesean asignados, los cuales deben estar vigilados y bajo control para evitar extravíos o hurtos quecomprometan la información almacenada en ellos o que pueda extraerse de ellos. En los desplazamientos enmedios de transporte, tales como avión, ferrocarril, autobús, barco, etc., este tipo de equipamiento no debefacturarse y deberá viajar siempre con la persona usuaria.

Página 34 de 56




◦ Evitar el acceso no autorizado. El trabajo en lugares públicos debe realizarse con la mayor cautela yprecaución, evitando conexiones a redes wifi abiertas o conexiones inalámbricas en general, de forma quepersonas no autorizadas puedan ver, escuchar o fotografiar información.

◦ Transporte seguro. Los teléfonos móviles, tabletas o smartphones que salgan de las instalaciones de laConsejería deben ser transportados de manera segura.

◦ Mantenimiento de los equipos. Los teléfonos móviles, tabletas o smartphones se mantendrán de acuerdo alas especificaciones técnicas de uso, almacenamiento, transporte, etc., proporcionadas por el fabricante. Enparticular, se evitará su uso en condiciones de temperatura o humedad inadecuadas, o en entornos que lodesaconsejen como puedan ser mesas con alimentos y líquidos, entornos no adecuados, etc.

• Cuando un teléfono móvil, tableta o smartphone contenga información corporativa y/o datos personales protegidospor las normativas vigentes en materia de protección de datos, la persona usuaria responsable del mismoobservará rigurosamente la normativa de intercambio de información y uso de soportes de la Consejería.

9.3 Uso aceptable

• Las personas usuarias de la Consejería utilizarán los teléfonos móviles, tabletas o smartphones únicamente parausos compatibles con las funciones que les competen.

• Las personas usuarias de la Consejería cuidarán el estado de los teléfonos móviles, tabletas o smartphones queles sean facilitados.

• Las personas usuarias deberán contactar con el Centro de Atención a las Personas Usuarias para las labores dereparación, instalación o mantenimiento de los teléfonos móviles, tabletas o smartphones.


Se considerará uso no aceptable de los teléfonos móviles, tabletas o smartphones por parte de las personas usuariascualquier uso de los mismos con fines distintos a los autorizados.

Además, no están permitidos los siguientes usos:

• Conexión de los teléfonos móviles, tabletas o smartphones a redes ajenas a la Red Corporativa de la Junta deAndalucía.

• Alteración o modificación de los teléfonos móviles, tabletas o smartphones suministrados.

• Instalación de aplicaciones informáticas sin su adecuada licencia, o que vulneren la legislación vigente.

• Instalación o visualización de contenidos ofensivos, violentos, amenazadores, obscenos o, en general, aquellosque agredan la dignidad de las personas.

• Instalación y/o utilización de programas o contenidos que vulneren la legislación vigente en materia de propiedadintelectual.

• No está permitido el uso y acceso de los recursos, así como de los datos confidenciales, que pone la Consejería adisposición de la persona usuaria mientras está prestando servicio en la Consejería una vez finalizado el propósitoy/o relación con la misma.

Página 35 de 56





• Las personas usuarias de los teléfonos móviles, tabletas o smartphones de la Consejería tendrán acceso libre ypermanente durante el tiempo que la Consejería estime conveniente y en los términos de la presente normativa.

• El uso de los teléfonos móviles, tabletas o smartphones de la Consejería implica el conocimiento y plenaaceptación de las advertencias legales y condiciones vigentes en cada momento en que las personas usuariasaccedan a las mismas y que se especifican en este documento.

• Cualquier persona usuaria que incumpla alguno de los términos especificados en este documento deberá asumirlas responsabilidades derivadas de la utilización incorrecta de los teléfonos móviles, tabletas o smartphones.


• Todas las personas usuarias de la Consejería son responsables de cumplir con las directrices de protección de losteléfonos móviles, tabletas o smartphones dispuestas a través de esta normativa y del resto de normativasreferenciadas.

• Cualquier persona que administre o use teléfonos móviles, tabletas o smartphones propiedad de la Consejería esresponsable de mantener correctamente instalados y actualizados los sistemas de protección instalados por laConsejería.

Página 36 de 56




10 USO DE IMPRESORAS Y ESCÁNERES

La presente normativa tiene por objeto establecer las normas de uso de las impresoras y escáneres de la Consejería.

Se considera impresora a todo dispositivo periférico de ordenador o dispositivo conectado en red alámbrica o inalámbrica,que permita reproducir cualquier documento compuesto por texto, imágenes y/o gráficos almacenados en un formatoelectrónico, imprimiéndolos en medios físicos, normalmente en papel, utilizando cartuchos de tinta, tóner o tecnología láser.

Se considera escáner a todo dispositivo periférico de ordenador o dispositivo en red alámbrica o inalámbrica, que permita lacaptura de imágenes de papel, libros, negativos o diapositivas y convertirlo a fichero en formato digital.

Se considera impresora multifunción a toda impresora que además pueda realizar como mínimo las funciones de unescáner, pudiendo disponer en numerosos casos de las siguientes funciones adicionales: fax, lector de tarjetas de memoria,disco duro, etc.

10.1Responsabilidad del Servicio


• Establecer los requisitos y las condiciones específicas a cumplir por las personas usuarias en la asignación deimpresoras y escáneres de la Consejería.


• Proporcionar los servicios de impresión y escaneo adecuados a las personas usuarias para el desempeño de susfunciones, definiendo un procedimiento de asignación de dichos servicios.

• Establecer un sistema de protección perimetral (cortafuegos) que minimice la visibilidad exterior de las impresorasy escáneres de la Consejería. En el caso de que por razones de mantenimiento o contabilidad de estos serviciossea necesaria la conexión desde redes ajenas a la red de la Consejería, ésta conexión debe contar con losmecanismos de seguridad adecuados para asegurar la seguridad TIC en todas las dimensiones:

• Disponibilidad

• Autenticidad

• Integridad

• Confidencialidad

• Trazabilidad

• Privacidad de los datos personales

• Establecer los mecanismos de seguridad adecuados para el uso seguro de dichos servicios evitandoespecialmente el uso de los mismos para provocar incidentes de seguridad TIC, tales como:

◦ Robo de datos confidenciales, redirigiendo la información que se envía a la impresora a otro lugar.

◦ Robo de datos confidenciales de los documentos «olvidados» en la impresora.

Página 37 de 56




◦ Escaneo y envío anónimo por correo electrónico de documentos confidenciales.

◦ Acceso como punto de entrada a la red de la Consejería para realizar ataques por infección o intrusión en lared.

◦ Ataque de denegación de servicios a otros equipos, redes o sistemas de información también accesibles porred.

• Atender y resolver las peticiones o incidencias relacionadas con el uso de los servicios de impresión y escaneo porparte de las personas usuarias a través del CAU.

• Mantener un inventario actualizado a través del CAU de todas las impresoras y escáneres.

• Cuidar que las cuentas de administración de impresoras y escáneres no mantengan contraseñas de fábrica.

• Gestionar servidores de colas de impresión que gestione, configure y audite adecuadamente las impresoras yescáneres de la Consejería.

• Proporcionar servicios de impresión segura, protegiendo mediante autenticación con credenciales o PIN laimpresión de los documentos, para impedir la pérdida de documentos impresos con información confidencial y/odatos personales.

• Asegurar que el acceso a la interfaz de configuración web de la impresora se hará de forma cifrada (https),únicamente por personal autorizado e identificado.

• Desactivar los puertos de comunicaciones y servicios web que no sean necesarios o no se estén utilizando, comoel puerto USB, servidor FTP, correo electrónico, fax, etc.

• Tener actualizado el firmware para evitar posibles vulnerabilidades de seguridad detectadas; si la impresora oescáner no dispone de soporte, debe ser sustituir por otra más segura o desconectarla de la red de la Consejería.

• Habilitar el cifrado de las comunicaciones con los equipos clientes para proteger el envío de documentaciónconfidencial o datos de carácter personal.

• Extremar las precauciones en la configuración de la conexión wifi para proteger el acceso inalámbrico.

• Habilitar el cifrado del contenido de sus discos duros internos para proteger la información almacenada en ellos, yproceder a realizar un borrado seguro del mismo cuando se sustituya o deseche el dispositivo o su disco duro dealmacenamiento.

• Si el servicio de gestión y/o mantenimiento fuera un servicio subcontratado, la empresa licitadora deberá asumiresta normativa de uso de impresoras y escáneres.



• Hacer un uso responsable de las impresoras y escáneres de la Consejería.

• No imprimir ni escanear información corporativa que no sea estrictamente necesaria para el desarrollo de lasfunciones asignadas por el puesto de trabajo. En el caso de imprimir o escanear datos personales, hacerlo solocon el fin descrito en el registro de tratamiento de dichos datos personales.

Página 38 de 56




• Notificar al CAU cualquier alteración observada o funcionamiento anómalo de las impresoras y escáneres quepuedan afectar a la seguridad o información de los mismos, incluyendo pérdidas o robos.

10.3 Uso aceptable

Las personas usuarias utilizarán las impresoras y escáneres para usos compatibles con las funciones que les competen.


Se considerará uso no aceptable de la impresoras y escáneres:

• Cualquier uso que tenga fines distintos a los autorizados a cada persona usuaria.

• La alteración o modificación de los recursos.


Las personas usuarias deberán contactar con el Centro de Atención a las Personas Usuarias para cualquier labor dereparación, instalación o mantenimiento de estos recursos asignados.


• Las personas usuarias de las impresoras y escáneres de la Consejería tendrán acceso libre y permanente, duranteel tiempo de que la Consejería estime conveniente y en los términos descritos en la presente normativa.

• El uso de las impresoras y escáneres de la Consejería implica el conocimiento y plena aceptación de lasadvertencias legales y condiciones vigentes en cada momento en que las personas usuarias accedan a lasmismas y que se especifican en este documento.

• Cualquier persona usuaria que incumpla alguno de los términos especificados en este documento deberá asumirlas responsabilidades derivadas de la utilización incorrecta de estos recursos.


• Cualquier persona usuaria que administre o use impresoras o escáneres que sean propiedad de la Consejería esresponsable de mantener correctamente instalados y actualizados los sistemas de protección y la configuraciónestablecida de los mismos.

Página 39 de 56




11 USO DE COPIAS DE SEGURIDAD

Los datos y la información de la Consejería deben estar protegidos frente a posibles pérdidas o daños. Es necesariodisponer de normas adecuadas para la realización de copias de seguridad de la información que garanticen la recuperaciónde la misma.

El objetivo del presente documento es definir las directrices para garantizar el respaldo, la protección y la disponibilidad dela información corporativa, contenga o no datos personales, para restaurarlos en caso de pérdida o daño de los datosoriginales.

Como norma general se aplicarán las medidas de seguridad necesarias que permitan el almacenamiento y recuperación delos datos atendiendo al nivel de seguridad de la información y los servicios prestados, y la categoría de los sistemas de laConsejería que resulten de la aplicación de las previsiones contempladas en los Anexos I y II del Real Decreto 3/2010, de 8de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en adelanteENS, modificado por el RD 951/2015 de 23 de Octubre.



• Proporcionar los medios para la realización de copias de seguridad o respaldo que permitan recuperar informacióno datos perdidos, de manera accidental o intencionadamente, con una antigüedad determinada, y que esténrelacionados con:

◦ Información de trabajo de la Consejería, independientemente de si está en un sistema de información o encarpetas compartidas en red.

◦ Aplicaciones en explotación, incluyendo los sistemas operativos.

◦ Datos de configuración, servicios, aplicaciones, equipos, u otros de naturaleza análoga.

◦ Claves utilizadas para preservar la confidencialidad de la información.

• Incorporar las medidas de seguridad adecuadas para que las copias de respaldo mantengan el mismo nivel deseguridad que los datos originales en lo que se refiere a disponibilidad, integridad, confidencialidad, autenticidad, yprivacidad. En particular, se considerará la conveniencia o necesidad de que las copias de seguridad estén cifradaspara garantizar la confidencialidad.

• Incorporar las medidas necesarias en cuanto a la custodia y el transporte de las copias de respaldo.

• Incorporar las medidas necesarias para la verificación y comprobación de las copias de respaldo, en particular elestado de los soportes y los registros de logs de las copias de seguridad

• Realizar pruebas13 periódicas de restauración de las copias realizadas, de forma que se garantice la integridad delas mismas.

• Definir los periodos de retención de la información en función de la naturaleza de la misma y del ordenamientojurídico vigente en cada momento, pudiendo ser asesorados por la Unidad de Seguridad TIC y el GabineteJurídico.

13 La información del ámbito de aplicación del ENS, almacenada en un medio informático durante un período prolongado de tiempo, deberá ser verificadaal menos una vez al año, para asegurar que la información es recuperable.

Página 40 de 56







• Eliminar o destruir los soportes dedicados para la copia según el punto 12 de esta normativa, “uso de soportes deinformación”.

Es responsabilidad del Centro de Atención a Personas Usuarias, dependiendo del Servicio de Informática de la SGT de laConsejería:

• Atender y resolver las peticiones de recuperación de información por parte de las personas usuarias.

• Mantener un inventario actualizado de todas las copias de respaldo.



• Hacer un uso responsable en cuanto a las peticiones de recuperación de información a través de las copias derespaldo.

• Asegurarse de que los espacios o directorios habilitados en su puesto de trabajo TIC para la realización de copiasde respaldo de puesto de persona usuaria, solo alberguen información necesaria para el desarrollo de susfunciones en el puesto de trabajo.

11.3 Respaldo de sistemas de información

• Para garantizar la continuidad de los servicios, todos los datos almacenados en los servidores y dispositivos dealmacenamiento de los SSII corporativos que gestiona la Consejería se deben copiar de manera regular. De estaforma, se establecen los mecanismos necesarios para garantizar la continuidad de los servicios en caso depérdida de datos.

• Todos los datos del ámbito de aplicación del ENS a la Consejería serán periódicamente respaldados en soportesde backup.

• Los Responsables de la Información y los Responsables de Servicio, asesorados por el Responsable del Sistema yla Unidad de Seguridad TIC, establecerán los ciclos de copia más adecuados para cada tipo de información.

• Las copias de respaldo deben abarcar todos los datos necesarios para recuperar el servicio en caso de corrupcióno pérdida de datos.

• Las copias de seguridad estarán guardadas en un lugar seguro con medidas de seguridad físicas, de forma que elpersonal no autorizado no tenga acceso. Deben estar identificadas y etiquetadas con la información útil que seconsidere necesaria.

• Siempre debe existir una copia adicional almacenada en un armario ignífugo o procedimiento alternativo comomedida de recuperación ante desastres y, dependiendo del nivel de seguridad de la información y los serviciosprestados, se debe mantener un segundo juego de copias offsite, en otro edificio y en armario ignífugo.

• El traslado de los volúmenes de las copias se debe realizar conforme a la Normativa de uso de soportes deinformación, p unto 12 de esta normativa.

Página 41 de 56




• Se debe definir un procedimiento de recuperación de las copias de seguridad, de forma que incluya las pautaspara los diferentes sistemas operativos.

• Cuando la información que manejan los sistemas de información contengan datos personales protegidos por elRGPD se aplicarán las medidas adecuadas dependiendo de si son sensibles o no dichos datos personales.

• Cada sistema de información dispondrá de un procedimiento de copias de respaldo que incluirá, al menos, estoselementos:

◦ Nivel de seguridad de la información.

◦ Periodicidad de las copias de respaldo acorde al tipo de dato o servicio.

◦ Ventana de backup más adecuada.

◦ Periodos de retención de las copias.

◦ Ubicación de los soportes de respaldo.

◦ Procedimiento de pruebas de restauración

◦ Procedimientos de recuperación de la información.

◦ Procedimientos de restauración de los servicios y verificación de la integridad de la información respaldada.

◦ Procedimientos de inventario y gestión de soportes para backup.

◦ Procedimiento de revisión de logs de copias de seguridad.

11.4 Tipos de copia de respaldo

En función del tipo de información, como parte de la estrategia de copias de seguridad, se podrán utilizar los siguientes tiposde copias de respaldo:

• Copia completa o FULL: copia completa de todos los datos principales, ficheros y bases de datos.

◦ Requiere mayor espacio de almacenamiento y ventana de backup.

◦ Ofrece la seguridad de tener una imagen de los datos en el momento de la copia.

• Copia incremental: copia de los datos modificados desde la anterior copia completa o incremental.

◦ Siempre se debe partir de una copia total o completa inicial.

◦ Si se realiza con frecuencia, el proceso no consumirá un tiempo excesivo, debido al bajo volumen de datos acopiar.

◦ La restauración completa es lenta: se requiere recuperar una copia completa y todas las incrementalesrealizadas hasta el momento en el cual se quiera restaurar el sistema.

• Copia diferencial: copia de los datos que hayan sido modificados respecto a una copia completa anterior.

◦ Requiere menor espacio de almacenamiento y ventana de backup.

Página 42 de 56




◦ Se ejecutará con mayor rapidez en función de la frecuencia con que se realice.

◦ La restauración suele ser más rápida que la incremental, ya que basta con recuperar una copia completa yuna copia diferencial.


• Cada Responsable de Información de la Consejería dentro de su ámbito, velará por el cumplimiento de estanormativa y revisará su correcto cumplimiento, asegurándose de la existencia de un procedimiento de copias derespaldo y recuperación y su implantación efectiva.

Página 43 de 56




12 USO DE SOPORTES DE INFORMACIÓN

El objetivo de esta normativa es regular, en función del medio utilizado, el uso de soportes de información14 para preservarla información que contenga en todas sus dimensiones, especialmente si es información reservada, confidencial o contienedatos de carácter personal protegidos por el RGPD.

Esta normativa alcanza a soportes de todo tipo, con independencia de que:

• Contengan o no datos personales.

• Su uso sea para almacenar, custodiar o intercambiar información en tránsito de la Consejería.

• Sean soportes físicos, servicios electrónicos o información en papel.

Y detallando las medidas de seguridad mínimas a contemplar, especialmente:

• El control permanente del medio en el que está la información a lo largo de su ciclo de vida.

• El control del acceso a la información contenida como garantía para preservar su confidencialidad e integridad.

12.1 Responsabilidad de los Responsables de Información

Según la Política de Seguridad TIC de la Consejería, los Responsables de la Información tendrán la condición deResponsables del Tratamiento respecto a los tratamientos de datos de carácter personal sobre los que determinen sus finesy medios, salvo que las normas aplicables sobre asignación de atribuciones en materia de protección de datos disponganotra cosa15.

• Gestionar el uso y el control de los soportes con información corporativa que contenga información de la que searesponsable.

• Definir y controlar un inventario de los soportes físicos con información corporativa de la Consejería que contengadatos confidenciales y/o datos de carácter personal. Dicho inventario de soportes debe permitir las siguientesfuncionalidades:

◦ Seguimiento de los soportes que se encuentran operativos o en funcionamiento.

◦ Personas autorizadas para acceder a dicho soporte.

◦ Información contenida en dichos soportes y su clasificación en función del grado de criticidad para el negocio(ENS).

• A tal efecto, se recomienda a los Responsables de Información y/o Responsables de Tratamientos de DatosPersonales que el inventario de los soportes físicos contenga al menos la siguiente información:

◦ Código del soporte.

14 Guía de Seguridad CCN-STIC 804. ESQUEMA NACIONAL DE SEGURIDAD. GUÍA DE IMPLANTACIÓN. Punto 5.5. [MP.SI] PROTECCIÓN DE LOSSOPORTES DE INFORMACIÓN. Los soportes de información considerados son los siguientes: discos de los servidores y equipos de puestos de trabajo,discos removibles, PDAs, disquetes, cintas, CDs, DVDs, discos USB, tarjetas de memoria y tarjetas inteligentes, almacenamientos internos de impresoras,material impreso en papel u otro material, otros medios de almacenamiento de información con capacidad de que la información pueda ser recuperada deformar automática o manual.

15 Art. 23.2 de la Política de Seguridad TIC de la Consejería.

Página 44 de 56








◦ Tipo de soporte físico utilizado.

◦ Fecha de alta/baja.

◦ Tipo de información que contiene.

◦ Clasificación en función del grado de criticidad para el negocio.

◦ Responsable del soporte.

◦ Personas autorizadas para acceder al soporte.

◦ Estado: activo/baja/extraviado/averiado.

◦ Observaciones.

• Definir y controlar el correcto etiquetado de los soportes, en los siguientes términos:

◦ Debe existir un procedimiento16 para etiquetar todos los soportes, tanto lo que permanecen dentro de loslocales de la Consejería como los que salen fuera de sus dependencias.

◦ Los soportes que contengan información corporativa o datos personales se deben etiquetar17 utilizandocódigos que, sin revelar el contenido del soporte, permitan identificar el nivel de clasificación más alto de lainformación contenida.

◦ Las personas usuarias han de estar capacitadas para entender el significado de las etiquetas, bien mediantesimple inspección, bien mediante el acceso a un repositorio que lo explique.

• Definir y controlar el registro de entrada y salida de información que identifique a los soportes y a las personasque van a transportar la información, en los siguientes términos:

◦ Se utilizarán los medios de protección criptográfica correspondientes al nivel de calificación de la informacióncontenida de mayor nivel y se protegerán las claves criptográficas durante todo su ciclo de vida.

◦ Los incidentes de seguridad TIC que se produzcan en soportes con información en tránsito deben sernotificados al CAU para que sean gestionados según el Procedimiento de Gestión de Incidentes de SeguridadTIC.

• Garantizar que se satisfacen los requisitos de seguridad mientras los datos están siendo desplazados de un lugar aotro:

◦ Si la información es relativa a servicios, corresponde al Responsable del Servicio con el que esté relacionada.

◦ Si se trata de información con datos de aplicación propia o ajena, corresponde al Responsable del Sistema.

◦ Si la información contiene datos de carácter personal, corresponde al responsable del tratamiento aplicar lasmedidas físicas/lógicas acordes al nivel de protección exigido por la normativa vigente de Protección deDatos.

• Asegurar que cuando los soportes sean manejados o tratados por personal ajeno a la Consejería, se observen lassiguientes normas:

◦ Debe existir un contrato firmado entre el Responsable de la Información y/o la empresa encargada deltratamiento y/o encargado del tratamiento en la que se autorice el tratamiento de la información. Dicha

16 Guía de Seguridad CCN-STIC 804. ESQUEMA NACIONAL DE SEGURIDAD. GUÍA DE IMPLANTACIÓN. Punto 5.5.1. [MP.SI.1] ETIQUETADO. Punto 34917 Guía de Seguridad CCN-STIC 804. ESQUEMA NACIONAL DE SEGURIDAD. GUÍA DE IMPLANTACIÓN. Punto 5.5.1. [MP.SI.1] ETIQUETADO. Punto 345

Página 45 de 56






autorización podrá establecerse para una persona usuaria ajena a la Consejería o para un perfil de personasusuarias ajenas a la Consejería y determinando un periodo de validez de la misma.

◦ En todo caso, el nivel de seguridad de los datos tratados deberá estar garantizado.

• Contemplar el resto de normas definidas en el punto 12 .4. “Eliminación de la información” que les afecte.



• Custodiar y gestionar aquellos soportes que se utilicen para realizar copias de seguridad, documentando todaoperación que se realice sobre dichos soportes: mantenimiento, reparación, sustitución, o cualesquiera otrasintervenciones que procedan.

12.3 Responsabilidad de las Personas Usuarias


• El uso aceptable de cualquier soporte asignado que contenga información de los sistemas de información de laConsejería, contengan o no datos personales.

• La adecuada custodia del soporte físico asignado que contenga información de los sistemas de información de laConsejería, en los siguientes términos:

◦ No dejar conectados los soportes a los equipos informáticos o sobre la mesa de trabajo cuando no seutilicen, para evitar el acceso de cualquier otra persona no autorizada.

◦ Respetar las exigencias de mantenimiento del fabricante, en especial, en lo referente a temperatura,humedad y otros agresores medioambientales.

◦ En el caso de pérdida de un soporte o de cualquier otro incidente ocurrido con la información almacenada enel mismo, comunicar inmediatamente al CAU.

◦ Conocer el significado de las etiquetas de cada soporte, mediante simple inspección, o mediante el acceso aun repositorio que lo explique.

• Como norma general, las personas usuarias se abstendrán de sacar al exterior cualquier información de lossistemas de información de la Consejería en cualquier soporte, comunicación electrónica o papel, salvoautorización expresa del Responsable de Información o persona designada por el Responsable de Informaciónpara tal efecto.

• Cuando se trate de sistemas de información categorizados con un nivel de impacto bajo o de datos personalesque no sean considerados sensibles por el RGPD, las operaciones con soportes serán autorizadas por elResponsable de la Información o persona en quien delegue para tal efecto.

• Los sistemas de información categorizados con nivel de criticidad medio y los datos personales sensibles,requerirán el cifrado de la información o la utilización de cualquier otro mecanismo que garantice que lainformación no será inteligible durante su remisión o transporte.

Página 46 de 56




• Todas las personas usuarias deben eliminar de forma segura la información corporativa contenida en ellos una vezfinalizada su función. Para ello pueden contar con la ayuda del CAU.


• Contemplar el resto de normas definidas en el punto 12 .4. “Eliminación de la información” que les afecte.

12.4 Control de acceso a los soportes

• El control de acceso a los soportes se regula mediante la “Normativa de control de acceso físico” a lasdependencias de la Consejería que disponen de Tecnologías de la Información y de las Comunicaciones ymediante el “Procedimiento de gestión de personas usuarias y acceso lógico”.

• El Procedimiento de autorizaciones de la Consejería regula la gestión de autorizaciones e identifica a losresponsables de la gestión de accesos.

• Si el soporte contiene datos de carácter personal, la autorización para su uso deberá ser otorgada por elresponsable del tratamiento de los datos personales que vayan a ser almacenados en el soporte o persona en laque delegue, que es además quien gestione el control de acceso mediante el registro habilitado a tal fin.

12.5 Servicios electrónicos para el intercambio de información

• Para la entrada/salida de información corporativa de los sistemas de información de la Consejería a través deredes de comunicación, especialmente si la información es reservada, confidencial o contiene datos de carácterpersonal, solo deben utilizarse los servicios electrónicos corporativos dispuestos por la Junta de Andalucía o por lapropia Consejería:

◦ Correo electrónico corporativo.

◦ Carpetas compartidas en infraestructuras TIC de la Consejería.

◦ Servicios de gestión documental y colaborativos, tanto de la Consejería como de la Junta de Andalucía (RedProfesional).

◦ Servicio corporativo de CONSIGNA (https://consigna.juntadeandalucia.es).

◦ Registro Único Corporativo (@ries).

◦ Sistema de notificación electrónicas (Notific@).

• Queda totalmente prohibida la utilización de soluciones ajenas a la Junta de Andalucía para este fin.

• Las personas usuarias pueden utilizar indistintamente una solución corporativa u otra para el almacén o elintercambio de información, teniendo en cuenta que existen límites en los tamaños de los ficheros o documentosa intercambiar.

• La autorización de intercambio de información entre emisores y receptores de información corporativa constará enlos acuerdos de servicio entre unidades administrativas de la Consejería, o en los contratos con las empresas

Página 47 de 56

https://consigna.juntadeandalucia.es/




prestatarias de servicios si son externos. Los logs de los servicios electrónicos corporativos harán las funciones deregistro de transferencias de información.

• Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a través de redes decomunicaciones deberán garantizar un nivel de seguridad equivalente al nivel correspondiente a los accesos enmodo local.

12.6 Cifrado de datos personales sensibles

• Si la información que manejan los sistemas de información de la Consejería contiene datos personales sensibles,el responsable del tratamiento de datos personales deberá adoptar las medidas necesarias para impedir cualquierrecuperación indebida de la información almacenada en los dispositivos o a través del intercambio de informaciónpor medios electrónicos.

• La información se cifrará tanto durante su almacenamiento como durante su transmisión.

• Solo estará en claro mientras se está haciendo uso de ella.

• Cuando la comunicación discurra por redes ajenas a las Consejería se emplearán redes privadas virtuales paraproteger la confidencialidad en las comunicaciones, utilizando algoritmos acreditados por el CCN-CERT.

Para el uso de criptografía en los soportes de información, se aplicarán mecanismos criptográficos que garanticen laconfidencialidad y la integridad de la información contenida y que estén acreditados por el CCN-CERT y, preferentemente,productos conformes a normas europeas o internacionales que estén certificados por entidades independientes dereconocida solvencia.

12.7Eliminación de la información

Toda persona usuaria vinculada a la Consejería estará obligada a seguir las siguientes normas en cuanto a la eliminación deinformación.

12.7.1 Eliminación de la información en soportes no electrónicos

La eliminación de la información de los soportes no electrónicos (papel y soportes magnéticos) debe ser realizada medianteprocesos de triturado siempre que sea posible. Se recomienda para ello trituradora en tiras o superficies de 2 mm.

12.7.2 Eliminación de la información para la reutilización de soportes electrónicos

• En caso de reutilizar un soporte electrónico para otra información, el borrado será proporcionado a la clasificaciónde la información que ha contenido. Se borrará el soporte utilizando productos certificados, siempre que seaposible, y siguiendo las recomendaciones de la Guía CCN-STIC-804 Medidas de implantación del ENS18.

• El responsable de la información borrada registrará la baja del soporte y el responsable de la nueva informaciónregistrará el alta con un nuevo código.

18 Documento del CCN-CERT disponible en el siguiente enlace: https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/505-ccn-stic-804-medidas-de-implantancion-del-ens.html

Página 48 de 56


https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/505-ccn-stic-804-medidas-de-implantancion-del-ens.html

https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/505-ccn-stic-804-medidas-de-implantancion-del-ens.html




• Se recomienda el proceso de borrado físico (formateo físico de volúmenes, dispositivos, etc.) con las herramientasadecuadas cuando se pretendan reutilizar soportes que todavía se encuentren en buen estado. El CAU podráauxiliar a las personas usuarias en esta labor.

12.7.3 Eliminación de la información y destrucción de los soportes de información

• En caso que se detecte la necesidad de destrucción del soporte extraíble (por avería, porque el soporte no permitaun borrado seguro o por mandato legal) la persona usuaria debe avisar al responsable de la informacióncorrespondiente.

• El responsable de la información debe registrar la baja del soporte y proceder a su destrucción segura siguiendolas directrices de la GUÍA DE SEGURIDAD (CCN-STIC-804) ENS. Guía de implantación , con el fin de evitar unposible acceso indebido a la información contenida. Se recomiendan los siguientes procedimientos de destruccióndeclarados en el punto 5.5.5. “[MP.SI.5] Borrado y destrucción” de dicha Guía:

Medio Procedimiento

Papel o microfilm Destruir Trituradora en tiras o cuadrados 2 mm

Móviles, tabletas, PDAs, smartphones

Borrar manualmente • Agenda• Mensajes• Llamadas• Restaurar a la configuración de fábrica

Routers Borrar manualmente • Tablas de encaminamiento• Registros de actividad• Cuentas de administración• Restaurar a la configuración de fábrica

Impresoras y faxes Borrar manualmente Restaurar a la configuración de fábrica

Discos duros, discos regrabables, memorias USB, etc.

Reescribir Reescribir 3 veces: con ceros, con unos, condatos aleatorios

Discos de solo lectura Destruir Trituradora: 5 mm

Discos virtuales cifrados Destruir Destruir las claves

• En caso de obsolescencia, el responsable de la información procederá a la destrucción del soporte y anotará subaja.

• Se recomienda el proceso de desmagnetización o de destrucción física (mejor aún si además es destruccióncertificada) antes de desechar el soporte de almacenamiento.

• De igual manera, se debe eliminar la información que pueda residir en otros tipos de dispositivos (teléfonosmóviles, impresoras, GPS, memorias, tarjetas).

Página 49 de 56

https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/505-ccn-stic-804-medidas-de-implantancion-del-ens/file.html

https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/505-ccn-stic-804-medidas-de-implantancion-del-ens/file.html




12.8 Consideraciones especiales para pizarras y flipcharts

• Las pizarras y flipcharts también son considerados por el ENS19 soportes de información.

• Las personas usuarias de la Consejería que utilicen dichos soportes, o en su caso las personas que convocaronlas reuniones donde se utilizaron esos soportes, son los responsables de limpiar adecuadamente las pizarras yflipcharts de las salas de reuniones o despachos, cuidando que no quede ningún tipo de información sensible oque pudiera ser reutilizada.


• Las personas usuarias de los soportes tendrán acceso libre y permanente, durante el tiempo de que la Consejeríaestime conveniente y en los términos descritos en la presente normativa.

• El uso de dichos soportes de la Consejería implica el conocimiento y plena aceptación de las advertencias legalesy condiciones vigentes en cada momento en que las personas usuarias accedan a las mismas y que seespecifican en este documento.

• Cualquier persona usuaria que incumpla alguno de los términos especificados en este documento deberá asumirlas responsabilidades derivadas de la utilización incorrecta de los mismos.


• Los Responsables de Información, Responsables de Servicios, y Responsables de Sistemas velarán por elcumplimiento de la normativa y revisarán su correcta implantación.

• El Responsable de Información adoptará las medidas necesarias para que el personal conozca de una formacomprensible las normas de seguridad que afecten al desarrollo de sus funciones y las consecuencias en caso deincumplimiento.

19 En la Guía CCN-STIC 821 APÉNDICE I: NORMATIVA GENERAL DE UTILIZACIÓN DE LOS RECURSOS Y SISTEMAS DE INFORMACIÓN DE LA ENTIDADNG00, en el punto 6.12, se detalla las normas de uso generales de pizarras y flipcharts con respecto a la seguridad.

Página 50 de 56

https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/530-ccn-stic-821-normas-de-seguridad-en-el-ens-anexo-i/file.html

https://www.ccn-cert.cni.es/series-ccn-stic/800-guia-esquema-nacional-de-seguridad/530-ccn-stic-821-normas-de-seguridad-en-el-ens-anexo-i/file.html




13 ANEXO A: ACRÓNIMOS Y GLOSARIO DE TÉRMINOS

ACUERDO DE NIVEL DE SERVICIO

En la Consejería un acuerdo de nivel de servicio o ANS (en inglés Service Level Agreement o SLA), es un acuerdo escritoentre un proveedor de servicio y la Consejería con objeto de fijar el nivel acordado para la calidad de dicho servicio. El ANSes una herramienta que ayuda a ambas partes a llegar a un consenso en términos del nivel de calidad del servicio, enaspectos tales como tiempo de respuesta, disponibilidad horaria, documentación disponible, personal asignado al servicio,etc.

AndalucíaCERT

Es el centro experto para la gestión de la seguridad TIC de la Junta de Andalucía.

ANTIVIRUS

Programa informático que analiza continuamente todos los parámetros lógicos del sistema operativo en busca de alguna delas amenazas conocidas en su base de datos. Es importante tener siempre actualizada la base de datos del antivirus.Dependiendo de cada antivirus y de su configuración, éste actuará avisando, poniendo en cuarentena la amenaza oeliminándola dependiendo del nivel de riesgo que genere la amenaza.

BACKUP

Palabra inglesa utilizada habitualmente para hacer referencia a la copia de seguridad o copia de respaldo en tecnologías dela información. Es la copia de datos que se realiza con el fin de disponer de un medio para recuperarlos en caso de pérdidaparcial o total. A esta definición se podría agregar la condición FULL, (completo en inglés), de esta forma BACKUP FULL sedenominaría a una copia de seguridad completa.

BCC

BCC, proviene de las siglas en inglés Blind Carbon Copy (Copia de Carbón Invisible). Su función es ocultar los destinatariosen los mensajes de correo electrónico. A diferencia de las direcciones en el campo To: (Para:) o el campo CC: de las siglasCarbón Copy (Copia de Carbón), las direcciones en el campo BCC: no pueden ser vistas por otras personas usuarias.También se conoce como CCO de las siglas Copia de Carbón Oculta.

BIOS

Basic Input/Output System. El sistema básico de entrada-salida es un estándar de facto que define la interfaz de firmwarepara ordenadores personales. El firmware del BIOS es instalado en todo ordenador personal y es el primer programa que seejecuta cuando se enciende la computadora. El propósito fundamental del BIOS es iniciar y probar el hardware del sistema ycargar un gestor de arranque o un sistema operativo desde un dispositivo de almacenamiento de datos.

CAU

Centro de Atención a Personas Usuarias de la Consejería.

CCN

Centro Criptológico Nacional. Organismo responsable de coordinar la acción de los diferentes organismos de laAdministración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las Tecnologías de la Informaciónen ese ámbito, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administraciónespecialista en este campo.

CCN-CERT

Página 51 de 56




Es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN, adscritoal Centro Nacional de Inteligencia, CNI. Tiene responsabilidad en ciberataques sobre sistemas de las AdministracionesPúblicas.

COMITÉ DE SEGURIDAD TIC DE LA CONSEJERÍA

El Comité de Seguridad de las Tecnologías de la Información y Comunicaciones, en adelante Comité de Seguridad TICdefinido en Artículo 6, 7 y 8 de la Política de Seguridad TIC de la Consejería.

CONSEJERÍA

Consejería de la Presidencia, Administración Pública e Interior de la Junta de Andalucía.

CORREO ELECTRÓNICO CORPORATIVO

Correo electrónico corporativo de la Junta de Andalucía cuyos términos generales de uso se encuentran descritos en elsiguiente enlace (https://correo.juntadeandalucia.es/ayuda/).

CORTAFUEGOS

Del inglés “firewall”, es una parte de un sistema o una red que está diseñada para permitir, limitar, cifrar, descifrar, el tráficoentre distintas redes sobre la base de un conjunto de políticas de seguridad.

CPAI

Consejería de la Presidencia, Administración Pública e Interior de la Junta de Andalucía.

DIRECTIVA NIS

Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas agarantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

DNS

Domain Name System. Sistema de nombres de dominio es un sistema de nomenclatura jerárquico descentralizado paradispositivos conectados a redes IP como Internet o una red privada. Este sistema asocia información variada con nombre dedominio asignado a cada uno de los participantes. Su función más importante es "traducir" nombres inteligibles para laspersonas en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizary direccionar estos equipos en una red de cualquier tamaño.

eIDAS

El Reglamento eIDAS, Reglamento (UE) Nº 910/2014, es una de las acciones de la Comisión Europea para alcanzar elmercado único digital y nace con un doble objetivo:

• Asegurar que todos los ciudadanos de la Unión Europea pueden acceder a los servicios públicos de cualquierEstado de la Unión utilizando su DNI electrónico.

• Crear un mercado interior para los servicios de confianza, otorgándoles la misma legalidad que a los procesostradicionales basados en papel.

Se trata por tanto de un reglamento que establece unos estándares legales y de seguridad para los servicios deidentificación electrónica y los servicios de confianza. En el artículo 3, apartado 16 del Reglamento eIDAS se definen losservicios de confianza del siguiente modo: “«servicio de confianza», el servicio electrónico prestado habitualmente a cambiode una remuneración, consistente en:

Página 52 de 56



https://correo.juntadeandalucia.es/ayuda/





a) la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos,servicios de entrega electrónica certificada y certificados relativos a estos servicios, o

b) la creación, verificación y validación de certificados para la autenticación de sitios web, o

c) la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios”

ENS

Esquema Nacional de Seguridad. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional deSeguridad en el ámbito de la Administración Electrónica, y su modificación en el Real Decreto 951/2015, de 23 de octubre,de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en elámbito de la Administración Electrónica.

ESCÁNER

Dispositivo periférico de ordenador o dispositivo en red alámbrica o inalámbrica, que permite la introducción de imágenes depapel, libros, negativos o diapositivas, y convertirlo a fichero en formato digital.

IMPRESORA

Dispositivo periférico de ordenador o dispositivo en red alámbrica o inalámbrica, que permite producir una gamapermanente de textos o gráficos de documentos almacenados en un formato electrónico, imprimiéndolos en medios físicos,normalmente en papel, utilizando cartuchos de tinta, tóner o tecnología láser.

IMPRESORA MULTIFUNCIÓN

Impresora que además pueda realizar como mínimo las funciones de un escáner, pudiendo disponer en numerosos casosde las siguientes funciones adicionales: fax, lector de tarjeta de memoria, disco duro, etc.

LDAP

Lightweight Directory Access Protocol (en español Protocolo Ligero/Simplificado de Acceso a Directorios). Protocolo a nivelde aplicación que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en unentorno de red.

LOPDPygdd

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

MDM

Mobile device management (MDM, en español «gestión de dispositivos móviles») es un tipo de software que permiteasegurar, monitorizar y administrar dispositivos móviles sin importar el operador de telefonía o proveedor de servicios. Lamayoría de las MDM permiten instalar aplicaciones, localizar y rastrear equipos, sincronizar archivos, reportar datos yacceder a dispositivos, todo esto de manera remota.

OFFSITE

En el ámbito de las Tecnologías de la Información y las Comunicaciones, la palabra inglesa offsite hace referencia a lalocalización alternativa al lugar de producción primario (Centro de Proceso de Datos principal o de producción), en la que sealmacenan copias de seguridad y documentación vitales para su uso durante la recuperación de un desastre que impliquepérdida total o parcial de datos en los Sistema de Información.

PERSONAS USUARIAS DE LA CONSEJERÍA

Página 53 de 56







Son personas que están recibiendo directamente servicios facilitados por la Consejería, ya sean personal de la Consejería oformen parte de alguna licitación o convenio, tanto en Servicios Centrales como en las Delegaciones de Gobierno en elámbito de las competencias correspondientes a esta Consejería, pero exceptuando a los entes instrumentales dependientesde la Consejería, tal como dicta la política de la seguridad de las Tecnologías de la Información y Telecomunicaciones deesta Consejería.

POLÍTICA DE SEGURIDAD TIC DE LA CONSEJERÍA

Orden de 30 de agosto de 2018, por la que se establece la política de la seguridad de las tecnologías de la información ytelecomunicaciones así como el marco organizativo y tecnológico en el ámbito de la Consejería. BOJA 171/2018.

RESPONSABLE DE LA INFORMACIÓN

Descrito en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito dela Administración Electrónica.

RESPONSABLE DE SEGURIDAD

Descrito en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito dela Administración Electrónica y en el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de lastecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y el Decreto 70/2017, de6 de junio, por el que se modifica el citado Decreto 1/2011, de 11 de enero.

RESPONSABLE DEL SERVICIO


RESPONSABLE DEL SISTEMA


RGPD

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de laspersonas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que sederoga la Directiva 95/46/CE (Reglamento general de protección de datos).

SERVICIO 3G/4G

En telecomunicaciones, 4G es la sigla utilizada para referirse a la cuarta generación de tecnologías de telefonía móvil. Es lasucesora de las tecnologías 2G y 3G, y precede a la próxima generación, la 5G.

SERVICIO DE APLICACIÓN TIC A TRANSPARENCIA, GOBIERNO ABIERTO Y PORTAL.

Servicio administrativo con gestión diferenciada dependiente de la Viceconsejería de la Consejería, que se encarga de lagestión de las competencias que se refieren a la dirección, impulso y gestión de política digital en lo concerniente a lasnuevas tecnologías aplicadas al gobierno abierto, transparencia y portal de la Junta de Andalucía.

SERVICIO DE INFORMÁTICA DE LA SGT

Servicio administrativo dependiente de la SGT de la Consejería que asume la gestión de las infraestructuras TICs con elobjetivo de que todos los servicios pertenecientes a esta Consejería desarrollen sus funciones mediante el uso de las nuevastecnologías.

Página 54 de 56






https://juntadeandalucia.es/boja/2011/11/d2.pdf







SGT

Secretaría General Técnica.

SI / SSII

Sistema de información / Sistemas de Información.

SPAM

Correo basura. Hacen referencia a los mensajes de correo electrónico no solicitados, no deseados o con remitente noconocido (correo anónimo), habitualmente de tipo publicitario, generalmente son enviados en grandes cantidades (inclusomasivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denominaspamming.

TABLETA DE LA CONSEJERÍA

Computadora portátil cedida por la Consejería a personas usuarias para desarrollar funciones relacionadas con su puesto detrabajo. Es de mayor tamaño que un teléfono inteligente (smartphone), y tiene integrada una pantalla táctil con la que seinteractúa primariamente con los dedos o un estilete (pasivo o activo), sin necesidad de teclado físico ni ratón.

TELÉFONO INTELIGENTE O SMARTPHONE DE LA CONSEJERÍA

Teléfono móvil propiedad de la Consejería que combina los elementos de una tablet, teniendo mayor capacidad dealmacenar datos, realizar actividades y conectividad que un teléfono móvil convencional.

TELÉFONO MÓVIL DE LA CONSEJERÍA

Teléfono portátil cedido por la Consejería a personas usuarias que puedan hacer y/o recibir llamadas a través de unaportadora de radiofrecuencia, mientras que dichas personas usuarias se estén moviendo dentro de un área de serviciotelefónico proporcionado por los servicios de telefonía móvil de la Red Corporativa de Junta de Andalucía.

TIC

Tecnología de la Información y Comunicaciones.

UE

Unión Europea.

UNIDAD DE SEGURIDAD TIC

Unidad definida en el artículo 11 de la Política de Seguridad TIC de la Consejería: “La Consejería de acuerdo con loestablecido en el artículo 11 del Decreto 1/2011, de 11 de enero, contará con una Unidad de Seguridad TIC, garantizando elprincipio de función diferenciada recogido en el artículo 5.j) de dicho Decreto, que ejerza las funciones de Responsabilidadde Seguridad TIC de la Consejería, debiendo ser designada la persona responsable de la citada Unidad entre personalfuncionario al servicio de la Consejería por el Comité de Seguridad TIC de la misma”.

USO ACEPTABLE

Uso permitido con respecto a los recursos y a los sistemas de información de la Consejería.

USO NO ACEPTABLE

Uso no permitido con respecto a los recursos y a los sistemas de información de la Consejería.

Página 55 de 56





VPN

Virtual Private Network (Red Privada Virtual) es una tecnología de red de computadoras que permite una extensión segura dela red de área local (LAN) sobre una red pública o no controlada como Internet. Permite que los ordenadores que usan estatecnología envíen y reciban datos sobre redes públicas con toda la funcionalidad, seguridad y políticas de gestión de una redprivada.

WPA2

Sistema para proteger las redes inalámbricas (Wi-Fi); creado para corregir las deficiencias del sistema previo en el nuevoestándar 802.11i. WPA2 es la versión certificada del estándar 802.11i. El estándar 802.11i fue ratificado en junio de 2004.

La Wi-Fi Alliance llama a la versión de clave pre-compartida WPA-Personal y WPA2-Personal y a la versión con autenticación802.1x/EAP como WPA-Enterprise y WPA2-Enterprise.

Página 56 de 56

normativa de uso de los recursos y de los sistemas de

Documents