RESOLUCIÓN de 28 de marzo de 2018, de la Dirección General de Tecnologías de la Información y las Comunicaciones, por la que se establecen los criterios de estandarización tecnológica y las políticas de uso correcto del puesto de trabajo normalizado de los usuarios TIC en la Administración de la Generalitat y de sus organismos autónomos. [2018/3769]
(DOGV núm. 8279 de 23.04.2018) Ref. Base Datos 003961/2018
-
Análisis jurídico
Fecha de entrada en vigor: 24.04.2018 Esta disposición está afectada por: Afectada por: -
Análisis documental
Origen disposición: Conselleria de Hacienda y Modelo Económico Grupo Temático: 000
El Reglamento orgánico y funcional de la Conselleria de Hacienda y Modelo Económico (Decreto 176/2016, de 25 de noviembre, del Consell) atribuye a la Dirección General de Tecnologías de la Información y las Comunicaciones, DGTIC en lo sucesivo, las competencias de modernización, seguridad informática, planificación, coordinación, autorización y control de las tecnologías de la información, las telecomunicaciones y comunicaciones corporativas y la teleadministración de la Generalitat.
Como consecuencia de las regulaciones básicas estatales o de los desarrollos normativos propios, existen políticas para la protección de datos de carácter personal, para el uso seguro de medios tecnológicos en la Administración de la Generalitat, todo ello dentro del Esquema Nacional de Seguridad. Los estándares de los archivos (documentos, audios, vídeos, etc) se han desarrollado dentro del Esquema Nacional de Interoperabilidad. Por último, existe también una linea de uso preferente del software libre derivada del mandato de una moción de Les Corts en 2016 en ese sentido.
El control de todas estas políticas sectoriales de seguridad, interoperabilidad y promoción de software libre así como de sus regulaciones específicas debe materializarse y confluye necesariamente en la normalización del uso de las medios tecnológicos puestos a disposición de los usuarios de las tecnologías de la información y las comunicaciones de la Generalitat y de sus organismos autónomos, usuarios TIC en los sucesivo. Es responsabilidad de esta Dirección General la estandarización de medios tecnológicos de trabajo, su homologación y la creación de documentos y normas que los recojan y divulguen, dándoles además el carácter de obligado cumplimiento.
Por ello, parece conveniente y necesario recoger en una resolución específica del Puesto de Trabajo Normalizado todas las tareas de control y seguimiento de los equipos y los productos software instalados en ellos, la responsabilidad de los usuarios y los avances en el establecimiento de algunas lineas básicas de una política de buenas prácticas exigible a dichos usuarios de los medios tecnológicos de uso corporativo.
Dado que los elementos materiales o equipos y los productos software instalados en ellos habrán de evolucionar para adaptarse a nuevas necesidades, la resolución prevé los correspondientes anexos técnicos publicados y actualizados en el portal de la DGTIC www.dgtic.gva.es.
Por todo ello, resuelvo:
Primero. Objeto y ámbito de la resolución
La presente resolución tiene por objeto la definición del Puesto de Trabajo Normalizado como la integración de los elementos materiales de los equipos asignados a cada usuario, de los elementos software instalados que se muestran en el escritorio corporativo (herramientas, aplicaciones, accesos a documentación, etc.), así como las políticas que rigen el uso adecuado, seguro y correcto del puesto de trabajo informático para las finalidades administrativas y corporativas de la Generalitat.
También es objeto de esta resolución la determinación de dichos elementos integrantes del Puesto de Trabajo Normalizado y de las políticas aplicables a un uso correcto del mismo.
El ámbito de aplicación de la presente norma es la Administración de la Generalitat y sus organismos autónomos. Se excluye a la Conselleria de Sanidad Universal y Salud Pública, de conformidad con el Decreto 37/ 2017, de 10 de marzo, del Consell, por la que se aprueba su Reglamento orgánico y funcional.
Segundo. Elementos que integran los equipos del Puesto de Trabajo Normalizado
El Puesto de Trabajo Normalizado se crea para satisfacer las necesidades de equipos y servicios tecnológicos que demandan las unidades administrativas para sus usuarios TIC y la DGTIC lo instala como puesto de trabajo informático compuesto de los siguientes elementos:
1. Una CPU.
2. Una pantalla de visualización.
3. Un teclado.
4. Un dispositivo señalador: ratón, trackball, tableta, etc.
5. Un sistema operativo.
6. Un paquete ofimático estándar.
7. Unas aplicaciones homologadas y autorizadas por la DGTIC necesarias para el tratamiento de la información bajo su competencia.
8. Unos servicios finalistas y el acceso a los mismos necesarios para el tratamiento de la información bajo su competencia, para el mantenimiento del propio Puesto de Trabajo Normalizado y para asegurar la seguridad del mismo.
Los puestos de trabajo informáticos que pueden operar como Puesto de Trabajo Normalizado son los siguientes:
1. El ordenador de sobremesa en cualquiera de los formatos homologados por la DGTIC.
2. El ordenador portátil o convertible en cualquiera de los formatos homologados por la DGTIC.
3. La tableta en cualquiera de los formatos homologados por la DGTIC.
4. Otros puestos de trabajo informáticos que la DGTIC declare como homologados para su uso como Puesto de Trabajo Normalizado.
Tercero. Elementos software instalados en el Puesto de Trabajo Normalizado
El Puesto de Trabajo Normalizado requiere de una serie de productos software para su operatividad, tanto software básico, sistema operativo y herramientas complementarias, como otros componentes necesarios para el acceso a la red corporativa y para la interacción con los aplicativos de los sistemas de información de la Administración de la Generalitat y de sus organismos autónomos.
La DGTIC mantendrá en su portal www.dgtic.gva.es una lista actualizada y fechada de elementos software estándares para el Puesto de Trabajo Normalizado que estará sujeta a revisiones periódicas. Se adjunta la versión a fecha de entrada en vigor de esta resolución en el anexo I, «Elementos software estándares para el Puesto de Trabajo Normalizado».
Para conocer las versiones de cada software que forman parte del Puesto de Trabajo Normalizado, se tendrá en cuenta el plan de versiones o «release plan» en los portales web de cada producto, aceptándose en el Puesto de Trabajo Normalizado la versión actual con soporte en cada momento, la versión futura para pruebas y diagnósticos (solo en Puesto de Trabajo Normalizado de pruebas) y la versión anterior para facilitar la adaptación de otras aplicaciones más complejas a las versiones actuales.
Excepcionalmente, y previa autorización por parte de la DGTIC, se permitirá la existencia de un software en versiones no actualizadas, siempre y cuando no afecte a la arquitectura del Puesto de Trabajo Normalizado en su versión actual en lo que se refiere a la interacción con otras aplicaciones o herramientas.
Cuarto. El almacenamiento de los documentos de trabajo
Los usuarios TIC de un Puesto de Trabajo Normalizado deben almacenar todos los documentos de trabajo en los recursos compartidos destinados a este propósito por la DGTIC y no tienen permitido almacenarlos en dispositivos o soportes ajenos a la red corporativa, así como extraer copias de los mismos en cualquier soporte. Dichos recursos tienen la finalidad de restringir el acceso a los documentos, preservar la confidencialidad, auditar los accesos y ayudar y promocionar el trabajo colaborativo. Además, estos recursos son los únicos a los que se les proporciona copia de respaldo por lo que, ante cualquier incidencia que afecte a un documento de forma accidental, podrá recuperarse de manera autónoma o podrá solicitarse su recuperación.
Los nombres de los documentos y las carpetas deben ser explicativos de su contenido pero eficientes en su extensión dado que la ruta completa del archivo no puede superar los 256 caracteres.
No está permitido almacenar información privada de ninguna clase en los recursos compartidos, ni en las unidades de red, ni en las unidades locales, ni en ningún otro medio o soporte de la Generalitat.
Cuando se editan documentos se recomienda guardar cambios cada cierto tiempo para evitar la pérdida de esta información en caso de surgir cualquier problema técnico.
La estructura de recursos compartidos esta claramente definida en el dominio GENERALITAT. En este, se dispone de zonas en las que el propietario de los recursos puede establecer la estructura de directorios y a quien le da permisos para acceder a sus recursos.
Quinto. El escritorio corporativo del Puesto de Trabajo Normalizado
Se define el escritorio corporativo como aquel en el que se muestran a los usuarios las herramientas y los accesos necesarios para el desarrollo de su trabajo y está formado por una imagen de fondo que sigue las normas de identidad corporativa, una barra de tareas o acciones, una serie de iconos, una tipografía, una resolución de pantalla predeterminada, un esquema de colores, un diseño de menú de inicio y un cuadro de información del Puesto de Trabajo Normalizado y del usuario.
El escritorio corporativo es de obligada implantación en todos los Puestos de Trabajo Normalizados y responde a criterios de ergonomía común y de imagen corporativa, como la interfaz necesaria entre el usuario de las TIC y los sistemas de información de la Administración de la Generalitat.
El fondo corporativo tiene la finalidad de mantener la identidad corporativa de manera homogénea y coherente entre todo el equipamiento propiedad de la Administración de la Generalitat. Además, dicho fondo es el definido para el Puesto de Trabajo Normalizado por la DGTIC en colaboración con la Dirección General de Relaciones Informativas y Promoción Institucional, bajo los estándares de identidad corporativa.
La resolución de pantalla vendrá predeterminada, salvo en los casos en que la DGTIC autorice alternativas para el mejor uso de alguna aplicación preexistente, a través del procedimiento que se establezca desde la DGTIC. Para aplicaciones de desarrollo posterior a esta Resolución sobre el Puesto de Trabajo Normalizado, estas deberán contemplar estos estándares.
En el fondo del escritorio corporativo y en su parte inferior derecha, aparecerá siempre la información relativa al Puesto de Trabajo Normalizado, esta información podrá ser solicitada por los técnicos de la DGTIC en caso de incidencia, motivo por el cual no se puede modificar ni eliminar.
Se excepciona el caso de informe del Servicio de Prevención de Riesgos Laborables en la línea de modificación del escritorio por motivos de salud o ergonomía personalizada, en cuyo caso se activará el procedimiento para la modificación del mismo para la o las personas afectadas.
Sexto. Políticas de uso exigibles a los usuarios del Puesto de Trabajo Normalizado
1. Políticas de uso seguro del Puesto de Trabajo Normalizado
1.1. Con carácter general, la DGTIC proporcionará a los usuarios TIC de la Generalitat una cuenta personal y una contraseña, o cualquier otro procedimiento de acceso por características biométricas, para validarse en el Puesto de Trabajo Normalizado asignado. Dicha cuenta será personal e intransferible, debiendo el usuario custodiar convenientemente su identificación de acceso, siendo responsable de toda la actividad relacionada con el uso de su acceso personal autorizado, y en ningún caso se suministrará a terceras personas. El incumplimiento del deber de custodia de la cuenta supone una vulneración grave en la seguridad de los recursos TIC y por ello se podría incurrir en responsabilidad.
La DGTIC mantendrá actualizada la documentación que refleja la política de contraseñas de las cuentas de usuario que debe regir el acceso al Puesto de Trabajo Normalizado de los usuarios TIC y la publicará en su portal www.dgtic.gva.es con detalle de su fecha de aprobación. Se adjunta en el Anexo II la documentación al respecto que rige en la actualidad.
En relación con el Puesto de Trabajo Normalizado y con carácter general se seguirán las siguientes indicaciones:
a) No se permite alterar la configuración del software ni del sistema operativo de los Puestos de Trabajo Normalizados, ni desinstalar o instalar aplicaciones, aunque sean de software libre o gratuito, salvo a los técnicos autorizados para ello por la DGTIC.
b) Todo software privativo debe tener su licencia legal asociada, al corriente de pago y custodiada por la DGTIC.
c) No se permite la alteración de la configuración física de los Puestos de Trabajo Normalizados, ni de su «firmware», ni conectar ningún dispositivo a iniciativa del usuario, así como variar la ubicación del mismo, salvo a los técnicos autorizados para ello por la DGTIC. El equipamiento informático no es propiedad del usuario, es un elemento de la plaza laboral que ocupa y pertenece a la Administración de la Generalitat.
d) No se permite almacenar información cuyo tratamiento sea responsabilidad de la Administración de la Generalitat en modo local o dispositivos externos conectados a los Puestos de Trabajo Normalizados, deben emplearse los recursos descritos en primer párrafo del punto Cuarto de esta Resolución o las aplicaciones diseñadas para ello por la Generalitat.
e) Los equipos informáticos no están destinados al uso personal del usuario.
f) Al conectarse un dispositivo de almacenamiento externo previamente autorizado por la DGTIC, se tendrá la precaución de realizar un escaneo con el antivirus sobre dicha unidad para prevenir una posible infección de los sistemas informáticos.
g) Es obligatorio bloquear la sesión del usuario en el supuesto de ausentarse temporalmente del lugar de trabajo, a fin de evitar accesos de otras personas al equipo informático.
h) Al terminar la jornada laboral el usuario TIC deberá apagar completamente el Puesto de Trabajo Normalizado y todos sus periféricos conectados o relacionados con él.
En cualquier caso y en la medida de lo posible la DGTIC se asegurará del cumplimiento de estas medidas con los medios tecnológicos a su alcance.
1.2. Además de las normas de uso del punto anterior con carácter general, en el uso de los dispositivos portables se está sometido las obligaciones siguientes:
a) No se almacenará información sensible o confidencial en este tipo de dispositivos, y en caso de ser absolutamente necesario, deberá ser protegida mediante herramientas de cifrado previa solicitud a la DGTIC. No obstante, aquellos dispositivos que lo permitan y siguiendo lo dispuesto por la Orden 19/2013, de 3 de diciembre, de la Conselleria de Hacienda y Administración Pública, por la que se establecen las normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat, tendrán todos sus elementos de almacenamiento cifrados.
b) Este tipo de dispositivos estará bajo la custodia del usuario TIC que los utilice. No se dejará el Puesto de Trabajo Normalizado desatendido o abandonado en lugares donde pueda ser sustraído.
c) La pérdida o robo de cualquier dispositivo de este tipo deberá notificarse de inmediato al responsable correspondiente y este a la DGTIC.
d) Los usuarios TIC de estos equipos se responsabilizarán de que no serán usados por terceras personas ajenas a la Generalitat o no autorizadas para ello.
e) Se proporcionará acceso remoto a recursos internos de la Generalitat solo en los casos que esté debidamente justificado y además se siga el procedimiento aprobado a tal efecto por la DGTIC.
1.3. Además de lo previsto en el apartado 1. con carácter general, los dispositivos de almacenamiento externo proporcionados por la Generalitat serán los únicos autorizados, serán conformes a las normas de seguridad de esta, y serán destinados a un uso exclusivamente profesional, como herramienta de transporte de ficheros y nunca como herramienta de almacenamiento.
a) No está permitido el almacenamiento de información sensible o confidencial en este tipo de soporte. En caso de ser estrictamente necesario almacenar este tipo de información clasificada, deberá tener la autorización del responsable del fichero en el caso de datos personales, y debe ser protegida mediante herramientas de cifrado previa solicitud a la DGTIC.
b) Este tipo de dispositivos estará bajo la custodia del usuario TIC que los utilice. No se dejará el dispositivo de almacenamiento externo desatendido o abandonado en lugares donde pueda ser sustraído.
c) La pérdida o robo del dispositivo de almacenamiento externo deberá notificarse de inmediato al responsable correspondiente y este a la DGTIC.
2. Políticas de tratamiento de la Información
De conformidad con la legislación vigente, no está permitido el tratamiento de datos de carácter personal sin que previamente haya sido autorizado por el órgano responsable del fichero en la forma reglamentariamente prevista ni podrán usarse para finalidades distintas de aquellas para las que los datos hubieran sido obtenidos.
Está prohibido utilizar, copiar, extraer o trasmitir información contenida en el sistema informático, para uso privado o para cualquier otro distinto del servicio público al que está destinada.
3. Políticas de buenas prácticas del usuario TIC
3.1. En el uso del Puesto de Trabajo Normalizado los usuarios TIC han de respetar el ordenamiento jurídico aplicable y los derechos reconocidos en la Constitución española. Por ello, no es correcta, y puede derivar en responsabilidad del usuario del Puesto de Trabajo Normalizado, la utilización del Puesto de Trabajo Normalizado para una, alguna o todas las finalidades siguientes:
a) Incurrir en actividades ilícitas o ilegales de cualquier tipo y, particularmente, difundir contenidos de carácter racista, xenófobo, pornográfico, sexista, de apología del terrorismo, que atentan contra los derechos humanos o que actúan en perjuicio de los derechos a la intimidad, al honor, a la propia imagen o contra la dignidad de las personas.
b) Difundir contenidos contrarios a los principios enunciados en el ordenamiento jurídico.
c) Difundir afirmaciones o referencias falsas, incorrectas o inexactas sobre la Administración de la Generalitat, sus centros, departamentos y servicios, así como las actividades que desarrolla.
d) Congestionar intencionadamente la red corporativa de la Generalitat o interferir en su funcionamiento.
e) Establecer mecanismos o sistemas que permiten aprovechamientos indebidos de los recursos de red proporcionados por la Generalitat por terceros, como revenderlos o reutilizarlos para finalidades privadas, lucrativas o delictivas, entre otras.
f) Dañar los sistemas físicos y lógicos de la Administración de la Generalitat, introducir o difundir en la red virus informáticos y realizar cualquiera otro tipo de actividad que sea susceptible de provocar daños en la Administración de la Generalitat, a sus miembros, proveedores o terceras personas.
g) Tratar datos personales contenidos en ficheros que no sean responsabilidad de la Administración de la Generalitat.
h) Recoger datos personales, tanto de manera directa cómo intermediando tratamientos invisibles, excepto aquellas que estén directamente relacionadas con las funciones propias de la Administración de la Generalitat, o realizar cualquier tratamiento de datos personales que no sean titularidad de la Administración de la Generalitat y para el que no haya sido previamente autorizado.
i) Publicar o difundir datos, documentos o archivos que afectan a terceras personas o que estén sujetas en derechos de privacidad o propiedad intelectual o cualesquier otros derechos o intereses legítimos, sin el consentimiento expreso de las personas afectadas o del titular de los derechos.
j) Hacer uso de los recursos TIC con fines comerciales.
k) Enviar comunicaciones con finalidades comerciales o correo masivo no solicitado con finalidades publicitarias (SPAM) desde las cuentas de correo electrónico de la Generalitat.
l) Vulnerar los derechos de propiedad intelectual o industrial de terceros.
3.2. En relación con la responsabilidad del usuario TIC en el acceso a internet:
El usuario TIC se atendrá a la siguientes normas de uso:
a) La utilización de internet debe limitarse a la obtención de información relacionada con el trabajo que se desempeña como empleado o empleada pública al servicio de la Administración de la Generalitat y sus organismos autónomos o a la ejecución de aplicaciones corporativas desarrolladas o habilitadas para tal fin.
b) En particular, no está permitido el acceso a páginas web de contenido ofensivo, inapropiado, pornográfico o discriminatorio por razones de género, etnia, opción sexual, discapacidad o cualquier otra circunstancia personal o social, excepto para funciones de detección y persecución del delito, que requerirá de autorización expresa por parte de la DGTIC.
c) No se permite la descarga desde internet de cualquier clase de programas, aplicaciones, documentos o archivos.
4. Políticas de uso de los certificados digitales en el Puesto de Trabajo Normalizado
Los certificados digitales son siempre personales y es responsabilidad del usuario la solicitud, instalación, custodia y revocación de los mismos.
Se tendrá presente en todas las actuaciones que los certificados digitales se deberán instalar siempre con nivel alto de seguridad, para que se solicite la contraseña de uso cada vez que sea necesario utilizarlo. Si el certificado digital viene en tarjeta de firma electrónica, esta no se debe dejar olvidada en los lectores de tarjeta, ya sea en teclado o independientes, y deberá permanecer siempre bajo custodia del titular del certificado digital.
No se debe facilitar, bajo ningún concepto, el código de acceso del certificado digital.
En prevención de que pueda darse un borrado de datos en el Puesto de Trabajo Normalizado o una avería que supusiese la pérdida del certificado, se recomienda realizar una copia de seguridad para evitar solicitar de nuevo su certificado digital.
En caso de que un servicio, una aplicación o un tercero, solicite el archivo del certificado en formato «.pfx», no debe ser facilitado bajo ningún concepto, dado que este formato contiene la clave privada del certificado y puede permitir la suplantación.
5. Políticas de actualización continua del Puesto de Trabajo Normalizado
Los departamentos de personal de la Administración de la Generalitat y de sus organismos autónomos y las unidades administrativas, cuando se trata de personas que desarrollan tareas contratadas, están obligados a comunicar las variaciones de estado cuando un Puesto de Trabajo Normalizado deje de estar asignado a un usuario TIC por cambio de adscripción o terminación de tareas.
A partir de dicha comunicación, la DGTIC procederá a la anulación del Puesto de Trabajo Normalizado creado para el usuario cesante, lo cual incluye los medios e instalaciones tecnológicos que se le hubieran asignado, para dejar libres los equipos para nuevo uso. También se incluyen las claves, certificados instalados y las cuentas de correo corporativas.
Los cambios simples de ubicación en departamentos o edificios también deben ser comunicados por los departamentos de personal o por las unidades administrativas que los autoricen con la misma finalidad de control y actualización permanente de los recursos TIC dispuestos por parte de la DGTIC.
Séptimo. Obligado cumplimiento y responsabilidad del usuario del Puesto de Trabajo Normalizado
Todo lo que se prevé en esta Resolución en cuanto al Puesto de Trabajo Normalizado es de obligado cumplimiento para los usuarios TIC de la Generalitat y sus organismos autónomos en el ámbito de competencias de esta Dirección General.
Por ello, al acceder al equipo para el inicio de una sesión en un Puesto de Trabajo Normalizado, y como primera imagen emergente, se mostrará un resumen de lo previsto en esta Resolución para su lectura y aceptación por el usuario. La aceptación tácita y, por tanto, la responsabilidad del usuario se considera implícita al iniciar su trabajo en la sesión.
En aquellos enunciados de esta resolución que inciden en aspectos de prohibiciones o limitaciones en el uso del Puesto de Trabajo Normalizado, es de aplicación el Régimen Sancionador General para el personal propio. En cuanto a incidencias de los usuarios TIC en los procesos de desarrollos contratados con empresas adjudicatarias, se estará a lo que prevean en cuanto a responsabilidad de estas en el correspondiente pliego de contratación.
En los supuestos de incidentes referidos a los datos personales, la propiedad intelectual, la seguridad informática y otros aspectos regulados por otras disposiciones legales distintas a la presente resolución, el régimen sancionador será el correspondiente a esas disposiciones normativas.
Octavo. Publicación y efectividad de la resolución
La presente Resolución entrará en vigor el día siguiente al de su publicación en el Diari Oficial de la Generalitat Valenciana.
València, 28 de marzo de 2018. El director general de Tecnologías de la Información y las Comunicaciones: Pedro Agustín Pernias Peco.
ANEXO I
Elementos software estándares para
el Puesto de Trabajo Normalizado
Versión de fecha 5 de marzo de 2018
El presente anexo se distribuye en 3 tablas que representan los tres componentes básicos del Puesto de Trabajo Normalizado en cuanto a software: sistemas operativos, software básico y remediaciones.
Remediaciones
En cuanto a software las remediaciones se dividen en dos categorías principales: Sistema Operativo y Tecnología.
Sistemas Operativos
Nombre del software Código PTN Versión Fin de vida
Lliurex Administración PTN ELC32 15.05, 32bits 2018
Microsoft Windows PTN EPC32 7 Pro SP1, 32bits 2019
Microsoft Windows PTN EPC32 10 E3/Pro, 32bits 2030
Tecnología
Nombre software Versión en
PTN EPC Versión en
PTN ELC Tipo Fin de Vida
Java 1.4.2_19 Tecnología ACABADO
Java 1.5.22 Tecnología ACABADO
Java 1.6.45 Tecnología ACABADO
Java 1.7.71 Tecnología ACABADO
.NET 4.5 Mono 4.2 Tecnología ACABADO
Glosario
PTN ELC: se trata del Puesto de Trabajo Normalizado con Escritorio Libre Corporativo, es decir, basado el sistema operativo de desarrollo propio de la Generalitat «Lliurex Admin» basado en Linux.
PTN EPC: se trata del Puesto de Trabajo Normalizado con Escritorio Propietario Corporativo, es decir, basado en el sistema operativo Microsoft Windows.
Remediaciones: Se trata de software y/o configuraciones instaladas de manera excepcional que permiten la ejecución de aplicaciones necesarias para los usuarios pero que no se han podido actualizar todavía y no podrían funcionar sin esas remediaciones.
Fin de vida: si no ha acabado, se trata del año en el que finaliza el soporte del producto por parte del fabricante o del desarrollador.
Tipo: el tipo de software se corresponde con la clasificación siguiente:
Tipo Descripción
Ofimática Software para generar y editar documentos.
Internet Software para mostrar páginas web o realizar otras tareas que requieran el acceso a internet.
Utilidad Visores de documentos, compresores, impresoras virtuales, traductores, agendas, etc.
Infraestructura Software de utilidad, gestión, control y seguridad de la DGTIC: antivirus, clientes de gestión, clientes de acceso, servidores de acceso, etc.
Multimedia Software para visionar o crear contenido multimedia: fotos, vídeos y audio.
Tecnología Plugins de navegadores, frameworks, librerías. Middleware en general.
Mensajería Software para leer y crear correo, videoconferencia y voz ip, mensajes instantáneos, etc.
ANEXO II
Política de contraseñas en la Administración de la GV
1. Introducción
El Decreto 66/2012, de 27 de abril, del Consell, por el que se establece la política de seguridad de la información de la Generalitat, en su artículo 14 especifica que la política se desarrollará en un conjunto de documentos cuyo objetivo es facilitar que el tratamiento de información se realice de acuerdo con los objetivos y principios expuestos en la misma. Que estos documentos estarán agrupados en tres colecciones: normas, procedimientos y guías de buenas prácticas; que las normas proporcionarán un primer nivel de concreción, cada una de ellas estará dirigida a un determinado tipo de actividad; los procedimientos describirán la secuencia concreta de pasos para completar una tarea; y las guías de buenas prácticas ofrecerán recomendaciones sobre cómo actuar en situaciones específicas. Que las normas y los procedimientos tendrán carácter obligatorio, debiendo justificarse las posibles excepciones.
La Orden 19/2013, de 3 de diciembre, de la Conselleria de Hacienda y Administración Pública, por la que se establece las normas sobre el uso seguro de medios tecnológicos en la Administración de la Generalitat, en su artículo 7.4 establece que los usuarios deben utilizar contraseñas seguras de acuerdo con la política de contraseñas definida por el órgano con competencias en materia de tecnologías de la información.
El Real decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en su anexo II sobre las medidas de seguridad, establece en su apartado 4.2.5 que los mecanismos de autenticación, se adecuarán al nivel del sistema accedido. En concreto, para los sistemas catalogados de nivel alto, no se admitirá el uso de claves concertadas y se exigirá el uso de certificados digitales en dispositivos físicos personalizados o biometría.
El Decreto 130/2012, de 24 de agosto, del Consell, por el que se establece la organización de la seguridad de la información de la Generalitat, en su artículo 11 establece que el Responsable de Seguridad de la Información tiene la responsabilidad de velar por la seguridad de la información y de los servicios prestados por los sistemas de información, de acuerdo a lo establecido en la Política de Seguridad de la Información, y entre sus funciones están las de elaborar y aprobar los procedimientos operativos y las guías de buenas prácticas de seguridad de la información. Y En su artículo 14 establece que los Administradores de la Seguridad del Sistema tienen la misión de la implementación, gestión y mantenimiento de las medidas de seguridad aplicables en el sistema de información, y entre sus funciones están las de asegurar que son aplicados los procedimientos aprobados para manejar los sistemas de información y los mecanismos y servicios de seguridad requeridos.
Se configura el presente documento como Política de Contraseñas en la Administración de la Generalitat, que tendrá carácter de obligatorio como procedimiento operativo. Se incorpora un apartado con recomendaciones sobre cómo actuar en situaciones específicas que tendrá a todos los efectos consideración de guía de buenas prácticas.
2. Objeto
El objetivo fundamental de este documento es establecer la Política de Contraseñas en la Administración de la Generalitat, lo que incluye unas directrices sobre la selección, uso y custodia de contraseñas, así como unas recomendaciones sobre cómo actuar en situaciones específicas.
3. Ámbito
El ámbito de esta política incluye a todos aquellos usuarios de las aplicaciones, servicios y recursos informáticos que tienen o son responsables de una cuenta (o cualquier otro tipo de acceso que requiera una contraseña) en cualquiera de los sistemas corporativos del ámbito definido el Decreto 130/2012, de 24 de agosto, del Consell, por el que se establece la organización de la seguridad de la información de la Generalitat.
4. Definiciones
Contraseña: Información de autenticación confidencial, usualmente compuesta por una cadena de caracteres.
Cuenta de usuario: Es aquella cuenta personal que da acceso a aplicación, recurso o servicio informático de la Generalitat (como por ejemplo cuenta del sistema operativo, cuenta de correo, cuenta de servicio web, etc).
Cuenta de administración: Es aquella cuenta que da acceso a aplicación, recurso o servicio informático con privilegios de administración (como por ejemplo root, administradores Windows, cuentas de administración de aplicaciones, etc).
Cuenta instrumental de aplicación: Es aquella cuenta genérica que se crea para interactuar entre aplicaciones o dispositivos.(Como por ejemplo cuenta definida en el servidor de aplicaciones para conectarse al SGBD).
5. Directrices
Todas las contraseñas de cuentas definidas en el apartado anterior que den acceso a sistemas de información de la Generalitat deberán seguir las directrices señaladas a continuación:
Siempre que sea técnicamente posible, los sistemas o aplicaciones se configurarán para forzar que se cumplan las directrices indicadas en este documento. En cualquier caso, persiste la obligación del usuario a cumplirlas.
Las cuentas de administración, deben tener contraseñas distintas entre ellas y diferentes del resto de cuentas mantenidas por dicho usuario.
Las contraseñas por defecto asociadas a los sistemas o aplicaciones deberán ser cambiadas antes de poner estos sistemas en producción.
Algunas aplicaciones, recursos o servicios informáticos en los que sea especialmente crítico mantener la seguridad de la contraseña podrán determinarse medidas más restrictivas de protección de la misma.
5.1. Morfología
Las contraseñas deberán cumplir con las especificaciones que se definen a continuación:
Deben tener una longitud mínima de 8 caracteres.
Deben incluir caracteres de al menos tres de las siguientes categorías: mayúsculas, minúsculas, números y caracteres no alfanuméricos, como signos de puntuación y símbolos.
No debe contener el nombre de la cuenta del usuario, el email, o partes del nombre del usuario.
No se puede repetir ninguna de las 5 contraseñas anteriores que se hayan usado.
5.2. Bloqueo
Se aplicará el sistema de bloqueo de acceso que se indica a continuación:
Cuando un usuario introduzca 5 veces seguidas una contraseña errónea, el acceso de ese usuario quedará bloqueado provisionalmente.
Se prodrán establecer mecanismos en los que el propio usuario pueda desbloquear su cuenta, siempre que pueda identificarse a través de un certificado digital válido.
No se establecerá ningún mecanismo de desbloqueo automático de cuentas, por el mero hecho de transcurrir un cierto lapso de tiempo.
5.3. Cambio
Se aplicará el sistema de cambio obligatorio de contraseña que se indica a continuación:
Las cuentas de usuario deberán cambiar la contraseña al menos cada 3 meses.
Las cuentas instrumentales de aplicación y las de administración se han de cambiar anualmente.
El sistema recordará al usuario que debe cambiar la contraseña 10 días antes de que caduque.
Si al terminar el plazo no se ha hecho el cambio, el sistema solicitará su cambio obligatoriamente.
No podrá cambiarse antes de dos días.
5.4. Entrega y custodia
La entrega de las contraseñas iniciales se realizará por medios que eviten la interceptación y que a su vez permitan verificar la identidad del receptor.
Las contraseñas iniciales serán generadas automáticamente con las características recomendadas en esta política, y se encontrarán en estado expirado, para obligar al usuario a cambiarla en el primer uso que hagan de la cuenta.
Para dar validez a su contraseña el usuario tendrá que hacer una aceptación expresa de esta política de contraseñas. Desde ese momento es responsabilidad del usuario mantener en secreto dicha clave.
No se debe compartir ni revelar las cuentas y contraseñas con nadie, todas las contraseñas deben ser tratadas como información sensible y confidencial, incluso aunque le hablen en nombre de la DGTI, o de un superior suyo en la organización.
El almacenamiento de las contraseñas en los sistemas de autenticación debe realizarse de manera cifrada para que se garantice la confidencialidad de la misma y que nadie, excepto el usuario tenga el control sobre ella.
No utilizar la característica de «Recordar Contraseña» existente en algunas aplicaciones.
Se establecerán auditorias sobre el cambio de contraseñas para detectar y controlar cualquier incidencia que pueda afectar al acceso de una cuenta.
5.5. Inactividad
Las cuentas de usuario se bloquearán tras una inactividad de 3 meses.
Para las cuentas de nueva creación, el periodo de inactividad será de 15 días.
6. Recomendaciones
6.1. Recomendaciones generales para la selección de contraseñas
La seguridad de la autenticación con contraseña se basa en la premisa de que la contraseña es lo suficientemente robusta para no ser descifrada fácilmente.
Una contraseña «robusta» (segura) es una cadena de caracteres que tiene las siguientes características:
Tiene una longitud mínima de 8 caracteres.
No se encuentra en el diccionario (español o extranjero).
No puede derivarse de información personal del usuario:
Fecha de nacimiento,
Dirección o teléfono,
DNI,
Nombres de familiares, animales, compañeros de trabajo, amigos o personajes de ficción.
No es de uso común, como por ejemplo:
Términos y marcas informáticos, comandos, compañías comerciales, hardware, software.
Patrones de letras o números, como aaabbb',' qwerty',' zxywvu', 123321,
Cualquiera de lo anterior escrito al revés.
Cualquiera de lo anterior precedido o seguido por un dígito, por ejemplo secreto1 o 1secreto'.
Se intentarán crear contraseñas que se puedan recordar fácilmente. Una sencilla forma de recordarla es crear una contraseña basada en una frase recordable con facilidad.
6.2. Recomendaciones para la protección de la contraseña
A continuación se presenta una lista de recomendaciones:
No debe utilizarse la misma contraseña que se utiliza para otras cuentas externas a la organización.
No revelar la contraseña en mensajes de correo electrónico ni a través de cualquier otro medio de comunicación electrónica. Si alguien le solicita la contraseña, refiérale a este documento.
Nunca escribir la contraseña en papel ni almacenarla en ficheros de ordenador sin cifrar o desprovisto de algún mecanismo de seguridad.
No revelar la contraseña en ningún cuestionario o formulario, independientemente de la confianza que inspire el mismo.
Ante la menor sospecha de que alguna de sus cuentas o sus contraseñas puedan haber sido comprometidas, debe tratar esto como un incidente de seguridad, comunicarlo por los cauces establecidos para ello y debería cambiar las contraseñas de todas sus cuentas.
Bajo ningún concepto, se solicita a los usuarios que introduzcan sus credenciales para «validación» en sitios de terceros ni en correos electrónicos, por lo que cualquier correo en el que se le solicite introducir este tipo de información será fraudulento.