Política de uso aceptable de los sistemas de Información del Sector Público

Orden HGS/82/2025, de 18 de diciembre, por la que se aprueba la Política de uso aceptable de los sistemas de Información del Sector Público de la Comunidad Autónoma de La Rioja (BOR de 22 de diciembre de 2025). Texto completo.

ORDEN HGS/82/2025, DE 18 DE DICIEMBRE, POR LA QUE SE APRUEBA LA POLÍTICA DE USO ACEPTABLE DE LOS SISTEMAS DE INFORMACIÓN DEL SECTOR PÚBLICO DE LA COMUNIDAD AUTÓNOMA DE LA RIOJA

El Gobierno de La Rioja, como parte de su compromiso con la excelencia en la prestación de servicios públicos, reconoce que la tecnología es una pieza clave para garantizar la eficiencia administrativa, la seguridad de la información y la calidad de los servicios prestados a la ciudadanía. Sin embargo, el avance de las amenazas cibernéticas, la creciente dependencia de los sistemas tecnológicos y la necesidad de proteger datos sensibles hacen imprescindible contar con una normativa clara, actualizada y adaptada a los retos del entorno digital para regular el uso de los sistemas y medios digitales que se utilizan en la administración.

El uso de los recursos tecnológicos de la Administración, desde las infraestructuras más críticas hasta los dispositivos personales autorizados, no solo debe estar alineado con los principios éticos y legales, sino que también debe proteger la confidencialidad, integridad y disponibilidad de la información manejada. Esto cobra especial relevancia ante riesgos como el ransomware, el phishing avanzado o las amenazas persistentes avanzadas (APT), que representan un desafío constante para la seguridad de los sistemas y datos públicos.

Para garantizar un uso seguro y responsable de las Tecnologías de la Información y la Comunicación (TIC), esta política establece unas normas que responden tanto a las necesidades operativas como a la constante evolución de las amenazas digitales.

Este marco normativo se inspira en el modelo de seguridad avanzada de Zero Trust ('Confianza Cero') que se basa en el principio básico de no confiar sino verificar, por defecto.

El Gobierno de La Rioja, en su compromiso con la transparencia y la confianza ciudadana, revisa y actualiza periódicamente sus políticas relacionadas con la seguridad de la información y la gestión de los riesgos para adaptarse a los cambios normativos y tecnológicos. Así, el Decreto 25/2025, de 6 de mayo , por el que se aprueba la política de seguridad de la información del sector público de la comunidad autónoma de La Rioja incorpora las últimas disposiciones legales y mejores prácticas en ciberseguridad y protección de datos para garantizar un uso ético y seguro de los medios tecnológicos con los que cuenta la administración.

Este Decreto también faculta al titular de la consejería con competencias en materia de tecnologías de la información a dictar cuantas disposiciones exija la aplicación y ejecución de la política de seguridad de la información.

En su virtud, el Consejero de Hacienda Gobernanza Pública, Sociedad Digital y Portavocía del Gobierno acuerda aprobar la siguiente,

ORDEN

Artículo único.

Se aprueba la Política de Uso Aceptable de los sistemas de Información, de la Administración de la Comunidad Autónoma de La Rioja, cuyo texto se incluye a continuación.

Disposición adicional primera. Deber de colaboración.

Todos los órganos y unidades administrativas de la Administración de la Comunidad Autónoma de La Rioja deberán colaborar en las acciones de implementación de esta política.

Disposición adicional segunda. Relación con terceros.

Los contratos o convenios que se suscriban a partir de la entrada en vigor de esta Orden deberán contener una cláusula en la que se establezca la obligación de cumplir esta política, que deberá aplicar a toda la cadena de suministro y el sistema de verificación de su cumplimiento, como se concreta en los apartados 11 y 14 de la Política de Seguridad de la Información del Sector Público de la Comunidad Autónoma de La Rioja, aprobada mediante Decreto 25/2025, de 6 de mayo .

Disposición derogatoria única. Derogación normativa.

La presente Orden deroga toda norma de igual o inferior rango en todo lo que la contradiga, incluyendo la política de uso aceptable anterior vigente hasta el momento.

Disposición final primera. Entrada en vigor.

La presente Orden entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de La Rioja.

POLÍTICA DE USO ACEPTABLE DE LOS SISTEMAS DE INFORMACIÓN CORPORATIVOS

1. Introducción y objetivos.

La presente Política de Uso Aceptable tiene desarrolla la Política de Seguridad de la información del Sector Público de la Comunidad Autónoma de La Rioja y establece los objetivos, directrices, principios fundamentales y normas de conducta para el uso ético, seguro, eficiente y responsable de los sistemas de información utilizados por empleados públicos al servicio de la Administración de la Comunidad Autónoma de La Rioja y por personal externo que acceda a dichos sistemas de información.

Esta normativa busca garantizar:

i. La protección de los activos tecnológicos y la información manejada.

ii. El cumplimiento de las obligaciones legales en materia de protección de datos y ciberseguridad.

iii. El desarrollo de una cultura de trabajo basada en el comportamiento ético y responsable.

iv. La promoción de un entorno de trabajo ético, eficiente y orientado al servicio público.

2. Principios rectores.

Los principios rectores que guían esta política para proporcionar un marco que guíe la aplicación, revisión y mejora constante de la seguridad en el uso de los sistemas de información dentro de la organización son:

i. Confidencialidad: La información debe ser accesible únicamente para usuarios autorizados.

ii. Integridad: La información debe mantenerse precisa, completa y protegida frente a alteraciones no autorizadas.

iii. Disponibilidad: Los sistemas y recursos deben estar operativos cuando se necesiten.

iv. Eficiencia: Los recursos tecnológicos deben ser utilizados racionalmente, evitando gastos o consumos innecesarios.

v. Responsabilidad: Los usuarios deben actuar con profesionalidad y diligencia en el uso de los sistemas y asumir la responsabilidad derivada del uso adecuado y seguro de los recursos informáticos.

vi. Auditoría y trazabilidad: Todas las actividades deben ser registradas para garantizar su seguimiento y verificación.

vii. Prevención: Se priorizarán las medidas preventivas frente a las reactivas, con el objetivo de minimizar incidentes o interrupciones de servicio.

viii. Mejora continua: Se revisará periódicamente las medidas implementadas y se adaptarán al contexto tecnológico y a las nuevas amenazas.

3. Bases de desarrollo de la política.

Para alcanzar los principios rectores mencionados, esta política se asienta en las siguientes bases de desarrollo:

i. Seguridad Integral: Todo acceso, recurso o actividad debe estar protegido mediante controles adecuados, garantizando la resistencia frente a amenazas internas y externas. Esto incluye la aplicación de arquitecturas basadas en Acceso a la red y a los sistemas basado en confianza cero en la que la norma fundamental es 'nunca confiar, siempre verificar'.

ii. Control Activo: Los sistemas y recursos corporativos estarán sujetos a mecanismos de supervisión y registro continuo para asegurar su uso adecuado y prevenir incidentes de seguridad.

iii. Acceso Basado en Necesidad: El acceso a la información y recursos será limitado al mínimo necesario para desempeñar las funciones asignadas. Esta base refuerza el principio de menor privilegio y minimiza los riesgos de acceso indebido.

iv. Confidencialidad Activa: La protección de datos sensibles y confidenciales será prioritaria, aplicando cifrado y otras medidas técnicas que aseguren su resguardo frente a accesos no autorizados.

v. Adaptabilidad Tecnológica: Las medidas de seguridad deben evolucionar constantemente para adaptarse a nuevas tecnologías y amenazas emergentes, garantizando la relevancia y eficacia de las soluciones implementadas.

vi. Eficiencia Sostenible: Los recursos tecnológicos deben usarse de manera racional, promoviendo la sostenibilidad y reduciendo el impacto ambiental.

4. Ámbito de aplicación.

Esta política aplica a:

i. Los usuarios que utilicen sistemas y recursos informáticos gestionados por la Administración de la Comunidad Autónoma de La Rioja, incluyendo:

a) Autoridades y empleados públicos.

b) Contratistas, colaboradores y terceros con acceso temporal.

ii. Los equipos, dispositivos, redes y servicios corporativos, tanto dentro como fuera de las instalaciones o centros de trabajo de la organización.

Quedan excluidos del ámbito de aplicación los usuarios que accedan a las redes de cortesía ofrecidas al público en instalaciones oficiales.

5. Normas generales.

En general será la administración a través de la Dirección General Competente en TIC quien facilite los recursos necesarios para el desarrollo de la actividad profesional. Estos recursos o activos que la Administración pone a disposición de los usuarios deben utilizarse exclusivamente para el desarrollo de las funciones encomendadas, es decir, para fines profesionales. No está permitido el uso de los recursos para fines distintos a los autorizados.

A continuación, se detallan las normas de aplicación general.

i. No está permitida la alteración o el uso como administrador, sin la debida autorización, de cualquiera de los componentes físicos o lógicos de los equipos de trabajo digitales, salvo autorización expresa de la Dirección General competente en materia de TIC. En todo caso, estas operaciones sólo podrán realizarse por el personal de soporte técnico autorizado.

ii. Los usuarios deberán facilitar al personal de soporte técnico el acceso a sus equipos para labores de reparación, instalación o mantenimiento. Este acceso se limitará únicamente a las acciones necesarias para el mantenimiento o la resolución de problemas que pudieran encontrarse en el uso del puesto de trabajo digital, y finalizará una vez completado el mantenimiento o resueltos los problemas.

iii. Si el personal de soporte técnico detectase cualquier anomalía que pudiera indicar que existe una utilización de los recursos contraria a la presente Política, lo pondrá en conocimiento del responsable de seguridad, que tomará las oportunas medidas correctoras por medio de la apertura de una incidencia de seguridad.

iv. Los usuarios deberán notificar, a la mayor brevedad posible, cualquier comportamiento anómalo que indique una utilización de los recursos contraria a la presente Política especialmente cuando existan sospechas de que se haya producido algún incidente de seguridad en el mismo.

v. La dirección general competente en materia de TIC deberá mantener actualizados todos los programas instalados en los puestos de trabajo de la organización, prestando especial atención a la correcta actualización, configuración y funcionamiento de los sistemas de seguridad.

vi. Los usuarios son responsables del correcto uso del puesto de trabajo digital, no sólo del que tuviesen asignado sino también de aquellos puestos que usen en zonas comunes.

vii. El usuario deberá hacer un uso responsable del puesto de trabajo para evitar las amenazas provocadas por malware, virus y troyanos que requieren la participación de los usuarios para propagarse, ya sea a través de soportes, mensajes de correo electrónico, etc. Es imprescindible, por tanto, vigilar el uso responsable de los equipos para reducir este riesgo.

viii. El usuario será responsable de toda la información extraída fuera de la organización a través de dispositivos, soportes o redes, etc., que le hayan sido asignados. Es imprescindible un uso responsable de los mismos, especialmente cuando se trate información sensible, confidencial o protegida. La información deberá protegerse, de acuerdo con el nivel de clasificación que le corresponda, según la Ley 9/1968, de 5 de abril , sobre secretos oficiales y también de acuerdo con lo que establezca la regulación en materia de Protección de Datos Personales y la legislación sectorial aplicable.

ix. El cese de actividad de cualquier usuario debe ser comunicado de forma inmediata al CAU al objeto de que le sean retirados tanto los permisos como los recursos o activos informáticos que le hubieren sido asignados para el desempeño de sus funciones, conforme a lo establecido en el procedimiento operativo de seguridad.

x. Asimismo, cuando se modifiquen las circunstancias profesionales (término de una tarea, cese en el cargo, etc.) que originaron la entrega de un activo, el usuario lo devolverá a la Dirección General competente en materia de TIC, al objeto de proceder al borrado seguro de la información almacenada y recuperar el activo para que pueda ser asignado a un nuevo usuario.

xi. Queda prohibido el uso de sistemas de IA personales o no autorizados por el Gobierno de La Rioja para cualquier uso relacionado con el desempeño de las funciones de cualquier empleado público, asegurando así que los datos de la administración autonómica o de sus ciudadanos no sean usados para fines no relacionados con el servicio público.

6. Referencias Normativas.

Esta política se fundamenta en las siguientes disposiciones generales:

-Real Decreto 311/2022, de 3 de mayo , por el que se aprueba el Esquema Nacional de Seguridad (ENS).

-Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD )

-Ley Orgánica 3/2018, de 5 de diciembre , de Protección de Datos Personales y Garantía de los Derechos Digitales.

-Decreto 25/2025, de 6 de mayo , por el que se aprueba la Política de Seguridad del sector público de la Comunidad Autónoma de La Rioja.

7. Excepciones a la política de uso aceptable.

Cualquier excepción a los requisitos establecidos en esta política deberá estar debidamente justificada y documentada. Su gestión, incluyendo la solicitud, evaluación y aprobación, se regirá por el Procedimiento Operativo de Gestión de Excepciones disponible en la intranet corporativa.

8. Gestión y revisión de la Política.

La gestión de esta política corresponde a la dirección general competente en materia de TIC, que será responsable de:

i. Revisar periódicamente su contenido para adaptarlo a cambios normativos o tecnológicos.

ii. Proponer actualizaciones al Comité de Seguridad de la Información.

iii. Supervisar su cumplimiento y la efectividad de las medidas implementadas.

9. Desarrollo y Procedimientos Operativos.

La dirección general competente en materia de TIC podrá ampliar o completar esta Política de Uso Aceptable mediante la elaboración de Procedimientos Operativos de Seguridad (POS) o normas de uso específicas en función de la materia y del momento.

Estos procedimientos Operativos regularán el uso de determinados servicios que pudieran suponer un riesgo para la seguridad de la información.

Los Procedimientos Operativos de Seguridad serán publicados en la Intranet del Gobierno de La Rioja y serán también de obligado cumplimiento.

Estos Procedimientos Operativos de Seguridad incluirán, inicialmente:

i. Normas de uso de dispositivos móviles y teletrabajo.

ii. Procedimiento Operativo de Notificación y Respuesta ante incidentes de seguridad.

iii. Procedimiento Operativo de Gestión de Excepciones.

iv. Normas de almacenamiento y copia de seguridad de la información.

v. Normas de uso de dispositivos portátiles y móviles corporativos.

vi. Normas de uso de dispositivos personales.

vii. Normas para el trabajo fuera de la oficina.

viii. Normas de uso del correo electrónico.

ix. Procedimiento de gestión de identidades y accesos.

x. Política para la creación y gestión de contraseñas seguras.

xi. Procedimiento de gestión de terceros.

xii. Normas para el uso de tecnologías de alto riesgo o alto impacto.

10. Control y consecuencia del mal uso de los medios tecnológicos.

Cada usuario es responsable del equipamiento que la Administración le ha confiado para el desarrollo de sus funciones. Cualquier daño ocasionado por el uso, conservación o traslado inadecuado de los recursos, será atribuible al usuario.

Los usuarios deberán colaborar con los administradores de los sistemas en cualquier investigación que se haga sobre el uso de los recursos, aportando la información que se les requiera.

La Administración podrá establecer, por razones específicas de seguridad, medidas de control adicionales y podrá comprobar, mediante los mecanismos formales y técnicos que estime oportunos, la correcta utilización por parte de los usuarios de todos los sistemas de información, recursos y redes de comunicación puestos a su disposición para el desempeño de sus funciones. Estos controles y revisiones se realizarán respetando los principios y requisitos de seguridad y protección de datos, preservando las garantías del derecho a la intimidad del usuario y la seguridad de las comunicaciones.

Sin perjuicio de las posibles responsabilidades penales en que se pudiera incurrir, en caso de que fuera necesario, corresponderá al órgano competente la adopción de medidas disciplinarias contra los usuarios infractores de esta normativa.

11. Responsabilidad específica del personal especializado en tecnologías de la información y las comunicaciones.

El personal que realiza funciones en materia de tecnologías de la información y las comunicaciones ejecutará esta política siguiendo los principios básicos de deontología profesional, respetando los derechos de los usuarios y el secreto profesional.

12. Control y supervisión.

Si el personal de soporte técnico detectase cualquier anomalía que indicara una utilización de los recursos contraria a la presente norma, lo pondrá en conocimiento de sus responsables, que tomarán las oportunas medidas correctoras y, si fuera necesario, dará traslado de la incidencia a los superiores jerárquicos del usuario.

Comentarios