INDICE

Objetivo

Ámbito de aplicación

Vigencia

Revisión y Evaluación

Referencias

Utilización del puesto de trabajo digital

Normas generales

Normas específicas para el almacenamiento de la Información

Normas específicas para equipos portátiles y móviles

Copias de seguridad

Borrado seguro y destrucción de soportes de almacenamiento

Impresoras en red, fotocopiadoras, escáneres y faxes

Cuidado y protección de la documentación en papel

Pizarras y rotafolios.

Protección de la propiedad intelectual

Normas para trabajar fuera de las instalaciones

Uso eficiente de equipos y recursos informáticos

Instalación y configuración de hardware o software

Identificación y autenticación

Normas de creación y uso de contraseñas robustas

Requisitos para el usuario

Requisitos para el administrador del sistema (sistema de verificación de contraseñas):

Acceso a los sistemas de información y a los datos tratados

Acceso y permanencia de terceros en los edificios, instalaciones y dependencias de la
Administración de la Comunidad Autónoma de La Rioja para acceder a un sistema de
información.

Confidencialidad de la información y Protección de datos de carácter personal

Uso del correo electrónico corporativo

Acceso a Internet y otras herramientas de colaboración.

Normas generales

Categorización de las páginas WEB

Catálogo de ficheros de acceso restringido

Distribución de usuarios

Asignación de usuarios a nivel de acceso

Uso abusivo de servicios y sistemas de la Administración de la Comunidad Autónoma de La

Rioja

Monitorización y aplicación de esta normativa

Conocimiento, aceptación y cumplimiento de esta norma

Glosario de términos.

Anexo I - Categorías de páginas WEB.

Anexo II -Extensiones de ficheros de acceso restringido.

Objetivo

Conforme a lo dispuesto en el Real Decreto 3/2010, de 8 de enero, por el que se regula el

Esquema Nacional de Seguridad (ENS, en adelante), este documento contiene la Normativa
General de Utilización de los Recursos y Sistemas de Información de la Administración de la
Comunidad Autónoma de La Rioja, gestionados o bajo la responsabilidad de la Administración
de la Comunidad Autónoma de La Rioja, señalando asimismo los compromisos que adquieren
sus usuarios respecto a su seguridad y buen uso.

La presente Normativa General de Utilización de los Recursos y Sistemas de Información de la

Administración de la Comunidad Autónoma de La Rioja deberá ser complementada, en su caso
y en la medida oportuna, con la aplicación de las medidas de seguridad previstas en el Anexo II
del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad
(ENS).

Los Sistemas de Información constituyen elementos básicos para el desarrollo de las misiones
encomendadas a la Administración de la Comunidad Autónoma de La Rioja, por lo que los
usuarios deben utilizar estos recursos de manera que se preserven en todo momento las
dimensiones de la seguridad sobre las informaciones manejadas y los servicios prestados:
disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad.

La utilización de recursos tecnológicos para el tratamiento de la información tiene una doble

finalidad para la Administración de la Comunidad Autónoma de La Rioja: facilitar y agilizar la
tramitación de procedimientos administrativos, mediante el uso de herramientas informáticas
y aplicaciones de gestión, y proporcionar información completa, homogénea, actualizada y
fiable.

La utilización de equipamiento informático y de comunicaciones es actualmente una necesidad

en cualquier organización del sector público. Estos medios y recursos se ponen a disposición
de los usuarios como instrumentos de trabajo para el desempeño de su actividad profesional,
razón por la cual compete a la Administración de la Comunidad Autónoma de La Rioja
determinar las normas, condiciones y responsabilidades bajo las cuales se deben utilizar tales
recursos tecnológicos.

Por tanto, la presente Normativa General de Utilización de los Recursos y Sistemas de

Información de la Administración de la Comunidad Autónoma de La Rioja tiene como objetivo
establecer normas encaminadas a alcanzar la mayor eficacia y seguridad en su uso.

Este documento se considera de uso interno de la Administración de la Comunidad Autónoma

de La Rioja y, por consiguiente, no podrá ser divulgado salvo autorización de la Dirección
General competente en TIC.

Ámbito de aplicación

La presente Norma es de aplicación a todo el ámbito de actuación de la Administración de la

Comunidad Autónoma de La Rioja y de cualquier entidad que use sus sistemas o recursos. En
concreto, el ámbito de aplicación es de aplicación a:

La Administración General de La Rioja

Los Organismos Públicos adscritos a la Administración General

Otros entes del sector público de La Rioja que usen recursos del Gobierno de La Rioja:
fundaciones, consorcios, etc.

Los contenidos de esta norma traen causa de las directrices de carácter más general definidas
en la Política de Seguridad de la Información de la Administración de la Comunidad Autónoma
de La Rioja.

La presente normativa contempla la información y datos tratados por medios electrónicos. Así
mismo incluye normas sobre restricciones y condiciones para documentos en papel que
contengan información extraída de los sistemas de administración electrónica gestionados por
la Administración de la Comunidad Autónoma de La Rioja en el ejercicio de sus competencias.
En el ámbito de la presente normativa, se entiende por usuario cualquier persona externa o
interna que de manera permanente o eventual utilice o posea acceso a los Sistemas de
Información de la Administración de la Comunidad Autónoma de La Rioja.

Vigencia

La presente Normativa General de Utilización de los Recursos y Sistemas de Información ha

sido aprobada por el Comité de Seguridad de la Información de la Administración de la
Comunidad Autónoma de La Rioja, estableciendo de esta forma las directrices generales para
el uso adecuado de los recursos de tratamiento de información que la Dirección General
competente en TIC pone a disposición de sus usuarios para el ejercicio de sus funciones y que,
correlativamente, asumen las obligaciones descritas, comprometiéndose a cumplir con lo
dispuesto en los siguientes epígrafes.

Cualquier modificación posterior entrará en vigor inmediatamente después de su publicación

por parte de la Dirección General competente en TIC.

Las versiones anteriores que hayan podido distribuirse constituyen borradores que se han
desarrollado temporalmente, por lo que su vigencia queda anulada por la última versión de
esta Normativa.

Revisión y Evaluación

La aplicación de esta Normativa corresponde a la Dirección General competente en TIC, que es

competente para:

Interpretar las dudas que puedan surgir en su aplicación.

Proceder a su revisión, cuando sea necesario para actualizar su contenido o cuando se

cumplan los plazos máximos establecidos para ello.

Verificar su efectividad.

Anualmente (o con menor periodicidad, si existen circunstancias que así lo aconsejen), la

Dirección General competente en TIC revisará la presente Normativa, que se someterá, de
haber modificaciones, a la aprobación del Comité de Seguridad de la Información de la
Administración de la Comunidad Autónoma de La Rioja.

La revisión se orientará tanto a la identificación de oportunidades de mejora en la gestión de la

seguridad de la información, como a la adaptación a los cambios habidos en el marco legal,
infraestructura tecnológica, organización general, etc.
Será el Responsable de Seguridad la persona encargada de la custodia y divulgación de la
versión aprobada de este documento.

Referencias

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en
el ámbito de la Administración Electrónica.

Política de Seguridad de la Administración de la Comunidad Autónoma de La Rioja.

Guía de Seguridad de las TIC CCN-STIC 821 - Apéndice I Normativa general de utilización de los
recursos y sistemas de información - NG00.

Guía de Seguridad de las TIC CCN-STIC-821 - Apéndice II: Normas de uso del acceso a Internet -
NP10

Guía de Seguridad de las TIC CCN-STIC-821 - Apéndice III: Normas de uso del correo electrónico
(e-mail) - NP20

Guía de Seguridad de las TIC CCN-STIC-821 - Apéndice IV: Normas para trabajar fuera de las
instalaciones - NP30

Guía de Seguridad de las TIC CCN-STIC-821 - Apéndice V: Norma de creación y uso de

contraseñas – NP40

Utilización del puesto de trabajo digital

La Administración de la Comunidad Autónoma de La Rioja facilitará a los usuarios que así lo

precisen los equipos informáticos y dispositivos de comunicaciones, tanto fijos como móviles,
necesarios para el desarrollo de su actividad profesional.

Los datos, dispositivos, programas y servicios informáticos que la Administración de la

Comunidad Autónoma de La Rioja pone a disposición de los usuarios deben utilizarse para el
desarrollo de las funciones encomendadas, es decir, para fines profesionales. No está
permitido el uso de los recursos para fines distintos a los autorizados.

En general, el puesto de trabajo digital será el recurso informático que permitirá el acceso de
los usuarios a los Sistemas de Información y servicios informáticos de la Administración de la
Comunidad Autónoma de La Rioja, constituyendo un elemento muy importante en la cadena
de seguridad de los sistemas de información, razón por la que es necesario adoptar una serie
de precauciones y establecer normas para su adecuada utilización.
Este epígrafe concierne específicamente a todos los puestos de trabajo digitales facilitados y
configurados por la Administración de la Comunidad Autónoma de La Rioja para su utilización
por parte de los usuarios, incluyendo equipos de sobremesa, portátiles y dispositivos móviles
con capacidades de acceso a los Sistemas de Información de la organización.

Normas generales

La Dirección General competente en TIC se encargará de asignar los puestos de trabajo

digitales y de mantener un inventario actualizado de los mismos.

A cada nuevo usuario que se incorpore a la organización y así lo precise, la Dirección General
competente en TIC le facilitará el puesto de trabajo digital necesario para el desempeño de sus
competencias profesionales.

Los puestos de trabajo digitales deberán utilizarse únicamente para fines institucionales y
como herramienta de apoyo a las competencias profesionales de los usuarios autorizados.

No está permitido alterar, sin la debida autorización, cualquiera de los componentes físicos o
lógicos de los equipos de trabajo digitales, salvo autorización expresa de la Dirección General
competente en TIC. En todo caso, estas operaciones sólo podrán realizarse por el personal de
soporte técnico autorizado. Si el usuario detecta la ausencia o presencia de cables y accesorios
extraños dará cuenta al Centro de Atención a Usuarios, gestionado por la Dirección General
competente en TIC (en adelante CAU)

Los usuarios deberán facilitar al personal de soporte técnico el acceso a sus equipos para
labores de reparación, instalación o mantenimiento. Este acceso se limitará únicamente a las
acciones necesarias para el mantenimiento o la resolución de problemas que pudieran
encontrarse en el uso del puesto de trabajo digital, y finalizará una vez completado el
mantenimiento o resueltos los problemas.

Si el personal de soporte técnico detectase cualquier anomalía que indicara una utilización de
los recursos contraria a la presente norma, lo pondrá en conocimiento del CAU, que tomará las
oportunas medidas correctoras y dará traslado de la incidencia a la Dirección General
competente en TIC por medio de la apertura de una incidencia de seguridad a través del CAU.

Los usuarios deberán notificar al CAU a la mayor brevedad posible, cualquier comportamiento
anómalo que indique una utilización de los recursos contraria a la presente norma en su
puesto digital, especialmente cuando existan sospechas de que se haya producido algún
incidente de seguridad en el mismo.

La dirección General competente en TIC deberá mantener actualizados los parches de

seguridad de todos los programas que tengan instalados en los ordenadores personales de la
organización, prestando especial atención a la correcta actualización, configuración y
funcionamiento de los programas antivirus.

Los usuarios son responsables del correcto uso del puesto de trabajo digital, no sólo del que
tuviesen asignado sino también de aquellos puestos de trabajo que usen en zonas comunes.
El usuario debe hacer un uso responsable del puesto de trabajo digital para evitar las
amenazas provocadas por malware, virus y troyanos que requieren la participación de los
usuarios para propagarse, ya sea a través de soportes, mensajes de correo electrónico, etc. Es
imprescindible, por tanto, vigilar el uso responsable de los equipos para reducir este riesgo.

El usuario será responsable de toda la información extraída fuera de la organización a través

de dispositivos, soportes o redes, etc., que le hayan sido asignados. Es imprescindible un uso
responsable de los mismos, especialmente cuando se trate información sensible, confidencial
o protegida.

El cese de actividad de cualquier usuario debe ser comunicado de forma inmediata al CAU al
objeto de que le sean retirados los recursos informáticos que le hubieren sido asignados para
el desempeño de sus funciones.

Cuando se modifiquen las circunstancias profesionales (término de una tarea, cese en el cargo,
etc.) que originaron la entrega de un recurso del puesto de trabajo digital, el usuario lo
devolverá a la Dirección General competente en TIC, al objeto de proceder al borrado seguro
de la información almacenada y restaurar el equipo a su estado original para que pueda ser
asignado a un nuevo usuario.

Normas específicas para el almacenamiento de la Información

La Dirección General competente en TIC pone a disposición de los usuarios de aplicaciones,

servicios y sistemas de la Administración de la Comunidad Autónoma de La Rioja unidades de
almacenamiento en red o sistemas de trabajo colaborativo, que deben usarse para el
almacenamiento o transmisión de la información.

No se utilizarán soportes de almacenamiento externo, salvo autorización expresa de la

Dirección General competente en TIC.

Con carácter general, la información almacenada de forma local en los ordenadores personales
de los usuarios no será objeto de salvaguarda mediante ningún procedimiento corporativo de
copia de seguridad. Por tanto, no debe almacenarse información de forma local salvo que se
trate de información temporal o información sincronizada con sistemas de colaboración y
almacenamiento corporativos.

La información necesaria para el desarrollo de la actividad profesional se almacenará en los

sistemas de colaboración y almacenamiento corporativos en los que sí se realizan
procedimientos corporativos de salvaguardadas periódicas.

Debe tenerse en cuenta que tales unidades corporativas son un recurso limitado y compartido
por todos los usuarios, por lo que sólo deberá salvaguardarse en ellas la información que se
considere estrictamente necesaria.

No está permitido almacenar información privada, de cualquier naturaleza, en los recursos de

almacenamiento colaborativos, compartidos o locales, salvo autorización previa de la Dirección
General competente en TIC.

Normas específicas para equipos portátiles y móviles

Los equipos portátiles y móviles estarán bajo la custodia del usuario que los utilice o del
responsable de la Dirección General competente en TIC. Ambos deberán adoptar las medidas
necesarias para evitar daños o sustracción, así como el acceso a ellos por parte de personas no
autorizadas.

La sustracción de estos equipos se ha de poner inmediatamente en conocimiento del CAU para

la adopción de las medidas que correspondan y a efectos de baja en el inventario.

Los equipos portátiles y móviles deberán utilizarse únicamente para fines institucionales y
autorizados, especialmente cuando se usen fuera de las instalaciones de la Administración de
la Comunidad Autónoma de La Rioja.

Los usuarios de estos equipos se responsabilizarán de que no serán usados por terceras
personas ajenas a la Administración de la Comunidad Autónoma de La Rioja o no autorizadas
para ello.

En general, los equipos portátiles no deberán conectarse directamente a redes externas no

confiables (redes compartidas en sitios públicos). La Administración de la Comunidad
Autónoma de La Rioja puede proporcionar accesos remotos autorizados y configurados por la
Dirección General competente en TIC a través de tarjetas móviles para perfiles que requieran
movilidad. Cuando éste sea el caso, deberán realizar de forma obligatoria dicha conexión
cuando requieran el acceso a Internet desde dichos equipos. En casos debidamente
justificados y previamente autorizados por la Dirección General competente en TIC se podrá
hacer uso de conexiones alternativas, observando estrictas medidas de seguridad en cuanto a
la navegación en Internet y al resto de los preceptos de la presente Normativa General que
resulten de aplicación.

Los usuarios de equipos portátiles deberán realizar conexiones periódicas a la red corporativa
al menos trimestralmente, según las instrucciones proporcionadas por la Dirección General
competente en TIC, para permitir la actualización de aplicaciones, sistema operativo, firmas de
antivirus y demás medidas de seguridad.

Cuando la tipología de la información tratada así lo requiera, los ordenadores portátiles

afectados deberán tener cifrado el disco duro, disponer de software que garantice un arranque
seguro, así como mecanismos de auditoría capaces de crear un registro por cada fichero
extraído del sistema por cualquier medio (red, dispositivos extraíbles, impresoras, etc.).

Copias de seguridad

Mantener copias de seguridad es una cautela esencial de protección de la información.

De forma periódica, la Dirección General competente en TIC realiza copias de seguridad, tanto
completas como incrementales, de los sistemas que almacenan información de la
Administración de la Comunidad Autónoma de La Rioja.

La información almacenada en las copias de seguridad podrá ser recuperada en caso de que se
produzca algún incidente. Para recuperar esta información el usuario habrá de dirigirse al CAU
y abrir una incidencia de seguridad relativa a la copia de seguridad.
Borrado seguro y destrucción de soportes de almacenamiento

El inventario de equipos contendrá un inventario actualizado de los soportes de copias de

seguridad. La Dirección General competente en TIC será la unidad encargada de gestionar
dicho inventario.

Los soportes de almacenamiento, que, por obsolescencia o degradación, pierdan su utilidad, y

contengan información sensible, confidencial o protegida, se darán de baja en el inventario y
deberán ser destruidos de forma segura para evitar accesos ulteriores a dicha información. La
destrucción se realizará según los procedimientos establecidos por la Dirección General
competente en TIC.

Los soportes de almacenamiento, que, se reutilizan y contengan información sensible,

confidencial o protegida, deberán ser borrados de forma segura para evitar accesos ulteriores
a dicha información.

Impresoras en red, fotocopiadoras, escáneres y faxes

Deberán utilizarse las impresoras en red y las fotocopiadoras corporativas. Excepcionalmente,

podrán instalarse impresoras locales, gestionadas por un puesto de trabajo de usuario.

Cuando un usuario imprima documentación con información confidencial, deberá realizarlo de

forma segura para evitar que terceras personas puedan acceder a la misma. Las impresoras en
red y fotocopiadoras corporativas permitirán imprimir de forma segura mediante el uso de una
contraseña que tendrá que ser introducida en la impresora antes de la impresión. Se realizará
un Plan de adecuación para revisar que exista al menos una impresora que permita esta
característica en los centros de trabajo.

Conviene no olvidar tomar los originales de la fotocopiadora o escáner, una vez finalizado el
proceso de copia. Si un usuario encontrase documentación sensible, confidencial o protegida
abandonada en una fotocopiadora o impresora, deberá intentar localizar a su propietario para
que éste la recoja inmediatamente. Caso de desconocer a su propietario o no localizarlo, serán
eliminados en las máquinas destructoras de la Administración de la Comunidad Autónoma de
La Rioja, de forma que no sea recuperable la información que pudieran contener.

Cuidado y protección de la documentación en papel

Por razones ecológicas y de seguridad, antes de imprimir documentos, el usuario debe

asegurarse de que es absolutamente necesario hacerlo.

La documentación en papel que contenga datos sensibles, confidenciales o protegidos, debe

ser especialmente resguardada, de forma que sólo tenga acceso a ella el personal autorizado y
ser custodiada en armarios bajo llave.

Cuando concluya la vida útil de los documentos en papel con información sensible,
confidencial o protegida que no formen parte de un expediente, deberán ser eliminados en las
máquinas destructoras de la Administración de la Comunidad Autónoma de La Rioja, de forma
que no sea recuperable la información que pudieran contener.
Pizarras y rotafolios.

Antes de abandonar las salas o permitir que alguien ajeno entre, se limpiarán adecuadamente
las pizarras y rotafolios de las salas de reuniones o despachos, cuidando que no quede ningún
tipo de información sensible o que pudiera ser reutilizada.

Protección de la propiedad intelectual

Está estrictamente prohibida la ejecución de programas informáticos en los Sistemas de

Información de la Administración de la Comunidad Autónoma de La Rioja sin la
correspondiente licencia de uso.

Los programas informáticos propiedad de la Administración de la Comunidad Autónoma de La

Rioja o licenciados a la Administración de la Comunidad Autónoma de La Rioja están
protegidos por la vigente legislación sobre Propiedad Intelectual y, por tanto, está
estrictamente prohibida su reproducción, modificación, cesión, transformación o
comunicación, salvo que los términos del licenciamiento lo permitan y con la autorización
previa de la Dirección General competente en TIC.

Los programas informáticos propiedad de la Administración de la Comunidad Autónoma de La

Rioja o licenciados a la Administración de la Comunidad Autónoma de La Rioja estarán en los
repositorios corporativos de control de versiones que permiten el control y registro de
accesos, modificaciones y bajas por el personal autorizado.

Análogamente, está estrictamente no permitido el uso, reproducción, cesión, transformación o

comunicación pública de cualquier otro tipo de obra protegida por derechos de Propiedad
Intelectual, sin la debida autorización del propietario.

Normas para trabajar fuera de las instalaciones

El trabajo fuera de las instalaciones de la Administración de la Comunidad Autónoma de La

Rioja comprende tanto el teletrabajo habitual y permanente de los usuarios desplazados,
como el trabajo ocasional, usando, en ambos casos, dispositivos de computación y
comunicación (usualmente: ordenador portátil, tablet, teléfono móvil, etc.). Este modo de
trabajo comprende también las conexiones remotas realizadas para mantenimiento y
administración de sistemas o desde Congresos o sesiones de formación, alojamientos o,
incluso, llamadas telefónicas de contenido profesional que sean realizadas o atendidas en
áreas públicas.

El trabajo fuera de las instalaciones de la Administración de la Comunidad Autónoma de La

Rioja conlleva el riesgo de trabajar en lugares desprotegidos, esto es, sin las barreras de
seguridad físicas y lógicas implementadas en sus instalaciones. Fuera de este perímetro de
seguridad aumentan las vulnerabilidades y la probabilidad de materialización de las amenazas,
lo que hace necesario adoptar medidas de seguridad adicionales extendiendo el perímetro de
seguridad.
Se incluyen seguidamente un conjunto de normas de obligado cumplimiento, que tienen como
objetivo el reducir el riesgo al máximo posible cuando se trabaja fuera de las instalaciones de
la Administración de la Comunidad Autónoma de La Rioja:

Uso personal y profesional. Los dispositivos móviles de computación y comunicación asignados

al usuario de la Administración de la Comunidad Autónoma de La Rioja, son para su uso
exclusivo y solamente pueden ser utilizados para fines profesionales. No pueden prestarse a
terceros salvo autorización expresa de la Dirección General competente en TIC, que incluirá en
todo caso la definición de las condiciones de uso.

Necesidad de Autorización. La salida fuera de las dependencias de la Administración de la

Comunidad Autónoma de La Rioja de documentación, equipos y dispositivos informáticos y de
comunicaciones precisa autorización previa de la Consejería responsable. Asimismo, es
necesaria la correspondiente autorización para utilizar equipos personales del usuario en el
tratamiento de la información de la organización o en el acceso a recursos o sistemas de
información de la Administración de la Comunidad Autónoma de La Rioja.

Copias de seguridad. Regularmente, debe realizarse copia de seguridad de la información

contenida en los dispositivos móviles. Análogamente, es necesario adoptar las medidas
adecuadas para la protección de dichas copias.

Uso de los canales de comunicación establecidos. La transmisión de información y el acceso

remoto se realizará únicamente a través de los canales establecidos, siguiendo los
procedimientos y requisitos definidos para ello y adoptando las siguientes precauciones:

En caso de utilizar contraseñas en la autenticación, estas deben ser contraseñas robustas.

Se debe cerrar siempre la sesión al terminar el trabajo.

Cifrar la información sensible, confidencial o protegida que vaya a ser transmitida a través de
correo electrónico o cualquier otro canal que no proporcione la confidencialidad adecuada.

Vigilancia permanente. La documentación y los dispositivos móviles deben estar vigilados y

bajo control para evitar extravíos o hurtos que comprometan la información almacenada en
ellos o que pueda extraerse de ellos. En los desplazamientos en avión, este tipo de
equipamiento no debe facturarse y deberá viajar siempre con el usuario.

Evitar el acceso no autorizado. El trabajo en lugares públicos debe realizarse con la mayor
cautela y precaución, evitando que personas no autorizadas vean o escuchen información
interna a la organización.

En relación con el acceso remoto (vía web), deben adoptarse las siguientes cautelas:

Los navegadores utilizados para el acceso vía web deben estar permanentemente actualizados
a su última versión, al menos en cuanto a parches de seguridad, así como correctamente
configurados.
Una vez finalizada la sesión web, es obligatoria la desconexión con el servidor mediante un
proceso que elimine la posibilidad de reutilización de la sesión cerrada.

Desactivar las características de recordar contraseñas en el navegador.

Activar la opción de borrado automático al cierre del navegador, de la información sensible

registrada por el mismo: histórico de navegación, descargas, formularios, caché, cookies,
contraseñas, sesiones autenticadas, etc.

Salvo autorización expresa, está prohibida la instalación de addons para el navegador.

Transporte seguro. La documentación y equipos que salgan de las instalaciones de la

Administración de la Comunidad Autónoma de La Rioja se deberán transportar de manera
segura, evitando proporcionar información sobre el contenido en los mismos y utilizando, en
su caso, maletines de seguridad que eviten el acceso no autorizado.

Utilización de candados. Es obligatorio el uso de candados y/o cables de seguridad para los
dispositivos de computación que deban permanecer desatendidos fuera de las instalaciones de
la Administración de la Comunidad Autónoma de La Rioja. Estos elementos de seguridad será
proporcionados por la Dirección General competente en TIC conforme al modelo de los
dispositivos que deban protegerse.

Mantenimiento de los equipos. Los equipos se mantendrán de acuerdo con las

especificaciones técnicas de uso, almacenamiento, transporte, etc., proporcionadas por el
fabricante. En particular, se evitará su uso en condiciones de temperatura o humedad
inadecuadas, o en entornos que lo desaconsejen (mesas con alimentos y líquidos, entornos
sucios, etc.).

Revisión periódica de los equipos. Al menos, dos veces al año, para verificar la ausencia de
software dañino.

Normativa interna. Durante la actividad profesional fuera de las instalaciones de la

Administración de la Comunidad Autónoma de La Rioja se seguirán las normas, procedimientos
y recomendaciones internas existentes, atendiendo de manera especial a las siguientes:

Las contraseñas deberán ser robustas y renovarse periódicamente o cuando se sospeche que
pueden estar comprometidas.

El almacenamiento de la información en soportes electrónicos (CDs, DVDs, memorias USB,

etc.), debe caracterizarse por no ser accesible para usuarios no autorizados. Para ello, es
necesario aplicar claves de acceso o algoritmos de cifrado cuando la naturaleza de la
información así lo aconseje.

No desactivar las herramientas de seguridad habilitadas en los dispositivos móviles

(ordenadores portátiles, móviles, tablets, etc.) y comprobar que se mantienen actualizadas.

No descargar ni instalar contenidos no autorizados en los equipos (tonos de teléfono,

aplicaciones para tablets o móviles, etc.).

Uso eficiente de equipos y recursos informáticos

Dentro de las medidas de austeridad y reducción del gasto de la Administración de la
Comunidad Autónoma de La Rioja, se promueven las siguientes acciones para un uso más
eficiente de los medios tecnológicos puestos a disposición de los usuarios.

Bloquear/Apagar el PC (y la impresora local, en su caso), al finalizar la jornada laboral. Esta

medida obedece tanto a razones de seguridad como de eficiencia energética.

Imprimir únicamente aquellos documentos que sean estrictamente necesarios. La impresión

se hará, preferiblemente, a doble cara y evitando, siempre que sea posible, la impresión en
color.

Se optará por usar las impresoras en red antes que las locales.

Puesto que los recursos de almacenamiento en red son limitados y compartidos entre todos
los usuarios, es preciso hacer un uso responsable de los mismos y almacenar únicamente
aquella información que sea estrictamente necesaria.

Instalación y configuración de hardware o software

Únicamente el personal autorizado por la Dirección General competente en TIC podrá

distribuir, instalar o desinstalar software y hardware, o modificar la configuración de
cualquiera de los equipos, especialmente en aquellos aspectos que puedan repercutir en la
seguridad de los Sistemas de Información de la Administración de la Comunidad Autónoma de
La Rioja. Cuando se precise instalar dispositivos no provistos por la Administración de la
Comunidad Autónoma de La Rioja deberá solicitarse autorización previa a la Dirección General
competente en TIC.

Excepción a esta norma serán aquellas herramientas de uso común incluidas en el portal de
software de la Administración de la Comunidad Autónoma de La Rioja, descargables a través
de la intranet desde los servidores internos de la Administración de la Comunidad Autónoma
de La Rioja.

Todo usuario podrá solicitar la inclusión de una aplicación en dicho Portal de software para su
estudio por parte de la Dirección General competente en TIC.

No se podrán eliminar o deshabilitar las aplicaciones informáticas instaladas por la Dirección

General competente en TIC, especialmente aquellas relacionadas con la seguridad. En caso de
que surjan problemas por compatibilidad con otras aplicaciones o de otra índole deberá
informarse al CAU para resolver estos problemas.

Identificación y autenticación

Los usuarios dispondrán de un identificador único para cada uno de los directorios autorizados
en los que estén dados de alta y para el acceso a los Sistemas de Información de la
Administración de la Comunidad Autónoma de La Rioja, y son responsables de la custodia de
los mismos y de toda actividad relacionada con el uso de su acceso autorizado. El código de
usuario es único para cada persona en la organización, intransferible e independiente del
puesto de trabajo digital desde el que se realiza el acceso. Aquellos sistemas de información no
integrados con este identificador único se detallarán en un Plan de adecuación de directorio
para su progresiva integración.

Cada sistema de información debe especificar a través del Sistema de Gestión de Identidades
(en adelante SGDI) los directorios que admite para basar al menos alguno de los siguientes
aspectos de la seguridad: identificación, autenticación, acceso y autorización. Llamaremos a
éstos directorios autorizados.

Debe procurarse que el número de directorios autorizados por el sistema de información sea
el mínimo posible con el fin de simplificar la gestión.

En el caso de que haya más de un directorio autorizado deberá especificarse cuál de ellos
actúa como directorio principal. Generalmente el directorio principal es en el que se dan de
alta, baja o modificación los usuarios, pudiendo haber procesos de sincronización con el resto
de directorios autorizados.

Los usuarios no deben revelar o entregar, bajo ningún concepto, sus credenciales de acceso o
tarjeta criptográfica a otra persona, ni mantenerlas por escrito a la vista o al alcance de
terceros.

Los usuarios deben acceder únicamente utilizando los métodos de autenticación autorizados a
través de SGDI para ese sistema de información.

Se utilizará autentificación de doble factor para el acceso a servicios en la nube. Mediante un

Plan de adecuación doble factor se proporcionará progresivamente a los usuarios medios para
utilizar el doble factor.

Los sistemas de información deberán usar el sistema de single sign-on corporativo (CAS) que
mediante integración con SGDI mostrará los métodos de autenticación permitidos para cada
sistema de información. Aquellos sistemas de información no integrados se detallarán en un
Plan de adecuación single sign-on para su progresiva integración con el CAS.

Los usuarios no deben utilizar ningún acceso autorizado de otro usuario salvo delegación de
acceso, aunque dispongan de la autorización de su titular. En casos de delegación de acceso el
titular del acceso debe autorizar previamente a los usuarios con funciones delegadas.

Si un usuario tiene sospechas de que sus credenciales están siendo utilizadas por otra persona,
debe comunicar inmediatamente al CAU una incidencia de seguridad relativa a la gestión de
usuarios/claves.

Si, en un momento dado, un usuario recibiera una llamada telefónica solicitándole

credenciales de acceso (por ej. su nombre de usuario y contraseña), nunca facilitará dichos
datos y procederá a comunicar este hecho al CAU. de forma inmediata, mediante una
incidencia de seguridad relativa a la gestión de usuarios/claves.

Normas de creación y uso de contraseñas robustas

Las contraseñas junto con el identificador único son el medio de acceso al puesto de trabajo
digital y a los sistemas y servicios que precisan de contraseñas como medio de autenticación.

Requisitos para el usuario

Es necesario que las contraseñas que se utilicen como mecanismo de autenticación sean
robustas, es decir: difícilmente vulnerables.

Como norma general, las contraseñas deben ser fáciles de recordar y de introducir, aunque
difíciles de adivinar y de descubrir por fuerza bruta (prueba exhaustiva de todas las
posibilidades). Se hace necesario, por tanto, encontrar una solución de compromiso entre la
robustez de la contraseña y la facilidad con la que puede recordarse.

Las contraseñas, cuando son elegidas por el usuario, unos requisitos mínimos de fortaleza
frente a ataques que serán establecidos por la Dirección General competente en TIC a través
de las herramientas de los correspondientes directorios autorizados. Con carácter general se
considera que una contraseña es segura si cumple los requisitos siguientes:

Deben tener una longitud mínima. Cuanto mayor es la longitud y la diversidad de caracteres
utilizados (mayúsculas, minúsculas, números y caracteres especiales) más dificil es obtenerla
probando todas las combinaciones posibles. Concretamente, el número de combinaciones
posibles es igual al número de caracteres posibles utilizados para crearla elevado a la longitud
de la contraseña.

Pueden utilizar la concatenación de varias palabras para construir contraseñas largas

(passphrases) cuya deducción, automática o no, no sea simple. Por ejemplo:
"elefanteneumáticocarpeta", incluso contemplando la presencia de espacios en blanco. Por
ejemplo: "cocina televisor ventana". También pueden utilizarse frases cortas sin sentido, tales
como "blue pigs do not piss", "los tontos huelen amarillo", "los de aquí son cortos de nariz",
"azulín, azulado, esta contraseña me la he inventado".

No deben estar compuestas de datos propios que otra persona pueda adivinar u obtener
fácilmente (nombre, apellidos, fecha de nacimiento, número de teléfono, etc.), ni ser frases
famosas o refranes, ni ser estrofas de canciones o frases impactantes de películas o de obras
de literatura.

No deben ser iguales a ninguna de las últimas contraseñas usadas, ni estar formada por una
concatenación de ellas.

No debe utilizarse la misma contraseña para distintos servicios o en el acceso a distintos

dispositivos.

La contraseña debe sustituirse inmediatamente por otra si existe evidencia de que hubiera
sido comprometida.

El usuario deberá realizar una petición de cambio de contraseña al CAU cuando se produzca
alguna de las situaciones siguientes: olvido de la contraseña o bloqueo del acceso a través de
contraseña tras 3 intentos fallidos. El CAU le proporcionará, sin intermediarios, una contraseña
de un solo uso que el usuario procederá a sustituir por una contraseña personal que cumpla
con los requisitos indicados.

Es especialmente importante mantener el carácter secreto de la contraseña. Por tanto, No se

permite apuntar las contraseñas en papel o bajo otro procedimiento o contenedor no seguro.

No se debe entregar ni comunicar a nadie. En caso de haber tenido necesidad de hacerlo, el

usuario deberá proceder a cambiarla de forma inmediata.

Las contraseñas se cambiarán con una cierta periodicidad. La Dirección General competente en
TIC establecerá la periodicidad de cambio de contraseñas en función de la complejidad mínima
requerida. Por defecto, será al menos anual.

Requisitos para el administrador del sistema (sistema de verificación de contraseñas):

A continuación se indican los requisitos que debe cumplir el sistema de verificación de

contraseñas utilizado en los sistemas de información del Gobierno de La Rioja:

No debe impedir el reconocimiento de contraseñas que sean conformes a los requisitos

mínimos de fortaleza establecidos por la Dirección General competente en TIC, teniendo en
cuenta que podría aceptarse el espacio en blanco, los caracteres imprimibles ASCII y UNICODE
[ISO/ISC 10646] con la cautela en este último caso de que cada código UNICODE debe
computarse como un único carácter.

No debe ofrecer al usuario mecanismos para recordar su contraseña, (tales como: “¿Cómo se
llamaba tu primera mascota?”, etc.)

Debería comparar la nueva contraseña del usuario con una “lista negra” de contraseñas
inaceptables, por ser ampliamente usadas, deducibles o haber estado comprometidas, entre
ellas: contraseñas obtenidas de previas violaciones de seguridad, palabras de diccionarios, uso
de caracteres repetitivos (“aaaaaa”) o secuenciales (“1234abcd”), palabras relacionadas con el
contexto, tales como el nombre del organismo, del servicio, el user-id del usuario y cualquiera
de sus derivados. En estos casos, el sistema de verificación debería rechazar la contraseña e
instar al usuario al generar una nueva contraseña.

Deberá limitar el número de intentos de acceso sin éxito.

Debería permitir al usuario la función de “pegar” (paste), lo que facilitaría el uso de gestores de
contraseñas.

Aunque por defecto se oculte, debe permitir al usuario ver el contenido de su contraseña,
dándole la oportunidad de visualizar los caracteres si considera que está en un entorno
confiable.

Debe usar algoritmos de cifrado autorizados, así como un canal protegido cuando requiera una
contraseña del usuario.
Debe memorizar las contraseñas de los usuarios utilizando procedimientos seguros, de forma
que las haga resistentes a ataques offline.

El administrador de seguridad ejecutará un programa de descifrado de contraseñas antes de

las 24 horas desde el establecimiento de la contraseña, anulando las contraseñas que no
superen dicha prueba.

Para las contraseñas que no superen el programa de descifrado de contraseñas puede

aplicarse un mecanismo en dos fases: en las primeras 24h, si el usuario accede al sistema, se le
obligará a modificar su contraseña.

Pasadas las 24h, la contraseña se anula y el usuario habrá de pasar por un proceso completo
de autenticación.

Debe exigir el cambio de contraseña una vez según la periodicidad establecida.

Acceso a los sistemas de información y a los datos tratados

Conforme al Esquema Nacional de Seguridad, las Informaciones, Servicios o Sistemas de

información gestionadas por la Administración de la Comunidad Autónoma de La Rioja deben
tener asignado un responsable, que será el encargado de autorizar, conceder, alterar o anular
el acceso a los mismos.

El alta y la baja de los usuarios se realizarán según el procedimiento de gestión de altas bajas y
cambios de los derechos de acceso a las diferentes informaciones, servicios y sistemas de
información a los que tenga acceso.

Para acceder a los Sistemas de información es necesario tener asignada previamente una
cuenta de usuario y estar dado de alta en directorios autorizados que son gestionados por el
SGDI corporativo proporcionado por la Dirección General competente en TIC.

El SGDI gestionará la autorización del acceso y establecerá el perfil necesario con el que se
configuren las funcionalidades y privilegios disponibles en las aplicaciones según las
competencias de cada usuario, adoptando una política de asignación de privilegios mínimos
necesarios para la realización de las funciones encomendadas.

Los sistemas de información deben estar integrados con el SGDI. Aquellos sistemas de
información no integrados se detallarán en el Plan de adecuación SGDI para su progresiva
integración con el sistema de gestión de identidades corporativo.

Es responsabilidad del usuario hacer buen uso de su cuenta de usuario. La cuenta se podrá
desactivar por la Dirección General competente en TIC en caso de mala utilización.

Los usuarios tendrán autorizado el acceso únicamente a aquellas Informaciones, Servicios y

Sistemas de información que precisen para el desarrollo de sus funciones. Por tanto, Los
derechos de acceso a la información y a los Sistemas de Información que la tratan deberán
siempre otorgarse en base a los principios de mínimo privilegio posible y necesidad de
conocer.
Cuando un usuario deje de atender el puesto de trabajo digital durante un cierto tiempo, es
necesario bloquear la sesión de usuario o activar el salvapantallas, para evitar que alguna
persona pueda acceder y hacer un mal uso de sus credenciales, pudiendo llegar a suplantarlo.
Adicionalmente el puesto de trabajo digital estará configurado para que tras un período de
inactividad se bloquee automáticamente.

El usuario deberá vigilar que no se produzca un acceso no autorizado a información

confidencial o protegida.

La Administración de la Comunidad Autónoma de La Rioja podrá habilitar Sistemas de

Información cuyo acceso y/o modificación de la información contenida quedarán registrados
en una Base de Datos, lo que permitirá su ulterior auditoría. Las modificaciones de los datos
deben realizarse sólo por parte de los usuarios autorizados y deberán estar siempre
respaldadas por un expediente administrativo que justifique los cambios o la carga de ficheros
de información suministrados y debidamente registrados en los registros de entrada/salida, de
acuerdo con los procedimientos establecidos.

Salvo al personal autorizado de la Dirección General competente en TIC, se prohíbe realizar

cualquier tipo de actualización en Bases de Datos corporativas, masiva o puntual, desde fuera
de las aplicaciones de la Administración de la Comunidad Autónoma de La Rioja sin la
autorización previa de la Dirección General competente en TIC.

Acceso y permanencia de terceros en los edificios, instalaciones y dependencias de la

Administración de la Comunidad Autónoma de La Rioja para acceder a un sistema de
información.

Los terceros ajenos a la Administración de la Comunidad Autónoma de La Rioja que,

eventualmente, permanecieran en sus edificios, instalaciones o dependencias, deberán
observar las siguientes normas:

El personal ajeno a la Administración de la Comunidad Autónoma de La Rioja que

temporalmente deba acceder a los Sistemas de Información de la Administración de la
Comunidad Autónoma de La Rioja, deberá hacerlo siempre bajo la supervisión de algún
miembro acreditado de la Administración de la Comunidad Autónoma de La Rioja (enlace) y
previa autorización de la Dirección General competente en TIC.

Cualquier incidencia que surja antes o en el transcurso del acceso a la Administración de la

Comunidad Autónoma de La Rioja deberá ponerlo en conocimiento de su enlace. La función
del enlace será dar asesoramiento, atender consultas o necesidades, transmitir instrucciones,
ponerle al corriente de sus cometidos, objetivos, etc.

Para los accesos de terceros a los sistemas de información de la Administración de la

Comunidad Autónoma de La Rioja se les crearán usuarios temporales que serán desactivados
una vez concluido su trabajo en la Administración de la Comunidad Autónoma de La Rioja.
Tales usuarios, en lo que les sea de aplicación, deberán cumplir puntualmente la presente
Normativa General, así como el resto de normativa de seguridad de la Administración de la
Comunidad Autónoma de La Rioja, especialmente en lo referente a los apartados de salida y
confidencialidad de la información.

Para acceder a los edificios, instalaciones o dependencias de la Administración de la

Comunidad Autónoma de La Rioja deberá estar en posesión de la correspondiente
documentación de identificación personal admitida en Derecho (DNI., pasaporte, etc.),
debiendo estar incluido en la relación nominal proporcionada previamente por la empresa a la
que perteneciere. La primera vez que acceda físicamente deberá identificarse al personal de
Control de Acceso y solicitar la presencia de la persona responsable de la Administración de la
Comunidad Autónoma de La Rioja que constituirá su enlace durante su estancia en él.

La acreditación personal que se le proporcione en el Control de Acceso deberá portarse en

lugar visible en todo momento, debiendo ser entregada a la salida.

Una vez en el interior de los edificios, dependencias o instalaciones de la Administración de la

Comunidad Autónoma de La Rioja, los terceros sólo tendrán autorización para permanecer en
el puesto de trabajo que les haya sido asignado y en las zonas de uso común (aseos, comedor,
zona de máquinas de cafetería, etc.).

Asimismo, deberán tener autorización del enlace cuando tengan necesidad de realizar
desplazamientos entre distintos departamentos de la Administración de la Comunidad
Autónoma de La Rioja.

Los terceros atendrán siempre los requerimientos que le hiciere el personal de control y
seguridad de los edificios, instalaciones o dependencias a los que tuvieren acceso.

Cada dependencia física con requisitos concretos de seguridad deberá disponer de su propia
gestión de Control de Acceso y presencia en sus dependencias.

Confidencialidad de la información y Protección de datos de carácter personal

Como medida de protección de la información propia, confiada o tratada por la Administración

de la Comunidad Autónoma de La Rioja, no está permitido el alojamiento o envío al exterior de
información, electrónicamente, mediante soportes informáticos o por cualquier otro medio,
que no hubiere sido previamente autorizada por el Responsable de la información, por tanto
los usuarios deben abstenerse de comunicar, divulgar, distribuir o poner en conocimiento o al
alcance de terceros (externos o internos no autorizados) dicha información, salvo autorización
expresa por el Responsable de la información.

La salida de datos sensibles, confidenciales o protegidos, requerirá su cifrado o la utilización de

cualquier otro mecanismo que garantice que la información no será inteligible durante su
remisión o transporte. Adicionalmente, si la información en cuestión contiene datos de
carácter personal, se actuará conforme a lo dispuesto en la normativa vigente en materia de
Protección de Datos.
Todo el personal de la organización o ajeno a la misma que, por razón de su actividad
profesional, hubiera tenido acceso a información gestionada por la Administración de la
Comunidad Autónoma de La Rioja (tal como datos personales, documentos, metodologías,
claves, análisis, programas, etc.) deberán mantener sobre ella, por tiempo indefinido, una
absoluta reserva.

En el caso de entrar en conocimiento de información que no sea de libre difusión, en cualquier

tipo de soporte, deberá entenderse que dicho conocimiento es estrictamente temporal
mientras dure la función encomendada, con la obligación de secreto o reserva indefinidas y sin
que ello le confiera derecho alguno de posesión, titularidad o copia del mismo. Asimismo, se
deberán devolver los soportes de información utilizados inmediatamente después de la
finalización de las tareas que hubieren originado su uso.

Se evitará almacenar información sensible, confidencial o protegida en medios desatendidos

(tales como, soportes de almacenamiento externo, listados, etc.) o dejar visible tal información
en la misma pantalla del ordenador

Los datos de la Administración de la Comunidad Autónoma de La Rioja que tienen el carácter

de datos protegidos en caso de existir serán determinados por el responsable de la
información y, serán estos responsables quienes definirán las cautelas a observar para éstos
conforme a las medidas establecidas según el Esquema Nacional de Seguridad.

Uso del correo electrónico corporativo

El correo electrónico corporativo es una herramienta de mensajería electrónica centralizada,

puesta a disposición de los usuarios de la Administración de la Comunidad Autónoma de La
Rioja, para el envío y recepción de correos electrónicos mediante el uso de cuentas de correo
corporativas. Se trata de un recurso compartido por todos los usuarios de la organización, por
lo que un uso indebido del mismo repercute de manera directa en el servicio ofrecido a todos.
La Administración de la Comunidad Autónoma de La Rioja velará por el buen uso del correo
electrónico coorporativo, tanto desde el punto de vista de la eficiencia y productividad del
personal, como desde los riesgos de seguridad asociados a su uso. Por ello, se han de
contemplar las siguientes normas para su uso seguro:

Todos los usuarios que lo precisen para el desempeño de las funciones encomendadas en su
actividad profesional dispondrán de una cuenta de correo electrónico para el envío y recepción
de mensajes internos y externos a la organización, no se permite el uso privado del mismo. La
dirección electrónica personal del usuario acompañará a éste durante su vida laboral y será
intransferible. Cuando un usuario finalice su relación funcionarial o laboral con la
Administración se procederá a la cancelación de su buzón de correo electrónico.

Únicamente podrán utilizarse las herramientas y programas de correo electrónico

suministrados, instalados y configurados por la Administración de la Comunidad Autónoma de
La Rioja.
Si el usuario detectara cualquier tipo de anomalía como por ejemplo un correo que contiene
un virus o código malicioso o la recepción de correos no deseados (spam), debe notificarlo al
CAU sin reenviarlo ni abrirlo para evitar su posible propagación a fin de configurar
adecuadamente las medidas de seguridad oportunas. La notificación al CAU se realizará con la
apertura de una incidencia de seguridad relativo a la gestión de virus/Malware.

Se deberá prestar especial atención a los ficheros adjuntos en los correos recibidos. No deben
abrirse ni ejecutarse ficheros de fuentes no fiables, puesto que podrían contener virus o código
malicioso. En caso de duda sobre la confiabilidad de los mismos, se deberá notificar esta
circunstancia al CAU. No deben ejecutarse los archivos adjuntos recibidos sin analizarlos
previamente con la herramienta corporativa contra código malicioso. Gran parte del código
malicioso suele insertarse en ficheros adjuntos, ya sea en forma de ejecutables (.exe, por
ejemplo) o en forma de macros de aplicaciones (Word, Excel, etc.). Aun cuando un mensaje no
deseado hubiera traspasado el filtro contra spam, no debe abrirse. Es conveniente borrar los
correos sospechosos o, al menos, situarlos (sin abrir) en una zona de cuarentena. Estos
mensajes tienen una alta probabilidad de incluir o contener malware y de ocasionar pérdidas
de información, que pueden llegar a ser muy cuantiosas e irreparables.

Está terminantemente no permitido suplantar la identidad de un usuario de internet, correo

electrónico o cualquier otra herramienta colaborativa. Cualquier sospecha o suplantación
deberá notificarse al CAU.

Salvo en el caso de delegación, no está permitida la cesión de uso de las cuentas de correo a
otro usuario.

Para verificación y monitorización, los datos de conexión y tráfico se guardarán en un registro

durante el tiempo que establezca la normativa vigente en cada supuesto. En ningún caso esta
retención de datos afectará al secreto de las comunicaciones.

Debe controlarse la difusión de las cuentas de correo facilitándola sólo en los casos necesarios.
En particular, no debe difundirse la cuenta de correo del usuario en listas de distribución,
foros, servicios de noticias, etc., que no sean consecuencia de la actividad profesional del
usuario. La difusión de cuentas de correo que pueda comprometer la imagen o la reputación
de la Administración de la Comunidad Autónoma de La Rioja será responsabilidad exclusiva del
usuario.

Deben revisarse los destinatarios antes de enviar un mensaje y asegurarse que los reenvíos de
mensajes previamente recibidos se transmitan únicamente a los destinatarios apropiados. El
envío de información a destinatarios erróneos puede suponer una brecha en la
confidencialidad de la información. Cuando se responde a un mensaje es importante revisar las
direcciones que aparecen en el campo Con Copia (CC). Además, deben borrarse todas las
direcciones que pudieran aparecer en el correo enviado con anterioridad y que aparezcan
reflejadas en el nuevo correo reenviado o respondido.

En general, salvo a usuarios autorizados, no está permitido el envío o reenvío de correos de

forma masiva y por tanto el sistema de correo limitará el máximo número de destinatarios a
los que se puede enviar un mensaje. La difusión de mensajes a grupos de usuarios se realizará
preferentemente mediante canales de difusión (de suscripción voluntaria u obligatoria) o a
través de herramientas de colaboración de grupos de trabajo.

Para el envío de mensajes a un grupo de usuarios deberá utilizarse el campo de Copia Oculta
(CCO o BCC), evitando dar a conocer las direcciones de terceras personas a todos los
receptores del mensaje.

No está permitido el envío de mensajes en cadena. Las alarmas de virus y las cadenas de
mensajes son, en muchas ocasiones, correos simulados, que pretenden saturar los servidores y
la red. En caso de recibir un mensaje en cadena alertando de un virus, se debe notificar la
incidencia al CAU.

Asegurar la identidad del remitente antes de abrir un mensaje. No deben responderse correos
no solicitados y de origen desconocido. La mayor parte de los generadores de mensajes de
spam (correo electrónico masivo no solicitado) se envían a direcciones de correo electrónico
aleatoriamente generadas, esperando que las respuestas obtenidas confirmen la existencia de
direcciones de cuentas reales. Además de ello, en ocasiones tienen el aspecto de mensajes
legítimos e, incluso, pueden contener información relativa a la Administración de la
Comunidad Autónoma de La Rioja. En cualquier caso, nunca debe responderse a los mismos
pues en caso de hacerlo el correo se incluirá en listas de SPAM.

Los mensajes que contengan información sensible, confidencial o protegida deben de

intercambiarse a través de la aplicación corporativa de Baliza electrónica (ABC) que permite
identificar fehacientemente al remitente y destinatarios, así como firmar en su caso la
información transmitida, estado protegida y cifrada la transmisión de información.

No utilizar el correo electrónico como espacio de almacenamiento. La capacidad de espacio en

los servidores de correo de Gobierno la Administración de la Comunidad Autónoma de La Rioja
es limitada y obliga a limitar el tamaño máximo del buzón y el tamaño máximo de los ficheros
adjuntos a un correo electrónico que será de 25 MB. Cuando una cuenta se satura puede ser
que se restrinjan por parte del servidor los privilegios de envío y/o recepción de mensajes o
que se realice un borrado, más o menos selectivo, de los mensajes almacenados. Por todo ello,
se recomienda conservar únicamente los mensajes imprescindibles. Como alternativa deben
usarse las herramientas adecuadas para la compartición de la información. En caso de ser
necesario enviar ficheros voluminosos y/o que contengan información sensible, confidencial o
protegida deberá utilizarse la herramienta de Envio de ficheros pesados
https://www.larioja.org/empleados/es/envio-ficheros).

Debe evitarse un uso ineficiente del envío de mensajes, evitando el envío de mensajes
innecesarios, agrupando los envíos a múltiples destinatarios en un mismo mensaje y evitando
la incorporación de firmas escaneadas, imágenes y fondos como formato habitual de los
correos que incrementan innecesariamente el tamaño y volumen de los mismos.

Debe vigilarse el tamaño del correo con frecuencia eliminando mensajes innecesarios. Los
buzones de correo se configuran con un tamaño para almacenamiento limitado (300 MB
iniciales). El sistema de correo está configurado para avisar cuando se está próximo al límite de
su capacidad, tras el cual no se permitirá enviar y recibir correos.
No está permitido el envío de correos electrónicos con contenido inadecuado, ilegal, ofensivo,
difamatorio, inapropiado o discriminatorio por razón de sexo, raza, edad, discapacidad, que
contengan programas informáticos (software) sin licencia, que vulneren los derechos de
propiedad intelectual de los mismos, de alerta de virus falsos o difusión de virus reales y
código malicioso, o cualquier otro tipo de contenidos que puedan perjudicar a los usuarios,
identidad e imagen corporativa y a los propios sistemas de información de la organización.

En caso de utilizar el acceso remoto (vía web) al correo electrónico desde equipo diferente al
del puesto de trabajo digital habitual deberán seguirse las Normas para trabajar fuera de las
instalaciones.

Acceso a Internet y otras herramientas de colaboración.

El acceso corporativo a Internet es un recurso centralizado que la Administración de la

Comunidad Autónoma de La Rioja pone a disposición de los usuarios, como herramienta
necesaria para el acceso a contenidos y recursos de Internet y como apoyo al desempeño de
su actividad profesional. La Administración de la Comunidad Autónoma de La Rioja velará por
el buen uso del acceso a Internet, tanto desde el punto de vista de la eficiencia y productividad
del personal, como desde los riesgos de seguridad asociados a su uso. Por ello, se han de
contemplar las siguientes normas para su uso seguro:

Normas generales

El acceso a Internet de los usuarios será proporcionado por la Dirección General competente
en TIC, en función de la actividad profesional del usuario o solicitante, determinándose el nivel
de acceso requerido en cada caso.

Las conexiones que se realicen a Internet deben obedecer a fines profesionales, teniendo
siempre en cuenta que se están utilizando recursos informáticos restringidos y escasos. El
acceso a Internet para fines personales debe limitarse y, de ser absolutamente necesario, sólo
debe utilizarse un tiempo razonable, que no interfiera en el rendimiento profesional ni en la
eficiencia de los recursos informáticos corporativos.

Sólo se podrá acceder a Internet mediante los navegadores suministrados y configurados por
la Dirección General competente en TIC en el puesto de trabajo digital del usuario. No podrá
alterarse la configuración de los mismos o instalar complementos no autorizados, ni utilizar
navegadores alternativos, sin la debida autorización de la Dirección General competente en
TIC.

Deberá notificarse a través de la apertura de una incidencia de seguridad relativa a la gestión

de acceso a Internet al CAU cualquier anomalía detectada en el uso del acceso a Internet, así
como la sospecha de posibles problemas o incidentes de seguridad relacionados con dicho
acceso.

No está permitido visitar páginas de contenido poco ético, ofensivo o ilegal, ni a páginas cuyo
contenido pueda resultar ofensivo o atentar contra la dignidad humana.
Debe evitarse visitar páginas no fiables o sospechosas de contener código malicioso, con el fin
de disminuir el riesgo de incidentes de seguridad.

Debe tenerse cuidado con la información que se publica en Internet. No se debe proporcionar
información sobre la organización en foros, chats, etc., ya que podría ser utilizada de forma
fraudulenta. En este sentido, está prohibido difundir sin autorización cualquier tipo de
información no pública sobre el funcionamiento interno de la Administración de la Comunidad
Autónoma de La Rioja, sus recursos, estructura, etc.

Deben observarse las restricciones legales que sean de aplicación respecto a cualquier
información a la que se accede por Internet. Antes de utilizar una información obtenida de
Internet, los usuarios deberán comprobar en qué medida se halla sujeta a los derechos
derivados de la Propiedad Intelectual o Industrial.

Sólo deben realizarse descargas desde Internet si se tiene autorización. Las descargas
indiscriminadas o sin autorización son uno de los orígenes más usuales de infección por código
malicioso. Aunque la Administración de la Comunidad Autónoma de La Rioja decida no limitar
técnicamente la capacidad para descargar archivos de audio o vídeo, los usuarios deberán
tener en consideración que la descarga de estos archivos puede ir en detrimento del
rendimiento de los recursos informáticos y, por ello, limitarán su descarga y reproducción al
ámbito estrictamente profesional.

No deben realizarse descargas de archivos muy voluminosos, especialmente en horarios

coincidentes con la atención al público, salvo autorización expresa. No está permitida la
utilización de aplicaciones o herramientas (especialmente, el uso de programas de intercambio
de información, P2P) para la descarga masiva de archivos, programas u otro tipo de contenido
(música, películas, etc.) que no esté expresamente autorizada por la Dirección General
competente en TIC.

Asegurar la autenticidad de la página visitada. Cuando se vayan a realizar intercambios de

información o transacciones es importante asegurar que la página que se visita es realmente la
que dice ser. Es recomendable acceder a las páginas escribiendo y comprobando la dirección
en la barra de direcciones del navegador y no a través de vínculos externos. Muchas
suplantaciones de páginas Web muestran una página que es virtualmente idéntica a la página
conocida por el usuario, incluso evidenciando un falso nombre en la barra de direcciones.
Cuando la página web se encuentre autenticada mediante certificado digital, el usuario
verificará su autenticidad.

Comprobar la seguridad de la conexión. En la transmisión de información sensible, confidencial

o protegida es importante asegurar su cifrado. Una manera de asegurar la confidencialidad es
comprobar que se utiliza protocolo HTTPS en la comunicación en vez del protocolo estándar
http (examinando la barra de direcciones). También debería aparecer un icono representando
un candado en la barra del navegador. A través de dicho candado se puede obtener
información sobre el certificado digital de identidad del sitio web visitado.

Cerrar las sesiones al terminar la conexión. Es muy conveniente cerrar las sesiones al terminar
la conexión o el intercambio de información, ya que en muchas ocasiones la conexión
permanece abierta por defecto y no es suficiente con cerrar el navegador. Esto puede hacer
que otros usuarios tengan acceso a las cuentas de los usuarios que no hubieren cerrado
correctamente las sesiones. La mayoría de los sitios web disponen de una opción de
“desconexión”, “logout” o similar que conviene utilizar.

La Dirección General competente en TIC debe mantener actualizados de forma automática el

navegador y las herramientas de seguridad (antivirus, cortafuegos, etc.) a las últimas versiones
estables, así como actualizar las firmas de virus con la mayor frecuencia posible. Los usuarios
deben informar al CAU en caso de que detecten que estos sistemas no se actualizan
correctamente.

Es recomendable eliminar la información privada de navegación de manera periódica usando

las herramientas disponibles en el navegador.. Los navegadores Web almacenan información
privada durante su utilización, tal como el historial de navegación, cookies aceptadas,
contraseñas, etc.; información a la que podría acceder un atacante que se hubiera introducido
en el sistema.

Limitar y vigilar la ejecución de Scripts. Los scripts son un conjunto de instrucciones que
permiten la automatización de tareas. A pesar de que, en general, resultan útiles, pueden ser
usados para ejecutar código malicioso y, por tanto, es recomendable limitar o vigilar su
ejecución.

El acceso a Internet de los empleados de la Administración de la Comunidad Autónoma de La

Rioja se realizará atendiendo a los siguientes puertos autorizados: 80 (http), 443 (https). En el
caso de existir otros servicios que requieran puertos no estándar, se deberá comunicar a la
Dirección General competente en TIC para su estudio y autorización, en su caso.

Categorización de las páginas WEB

En el Anexo I se ofrecen las distintas categorías de páginas Web, con su descripción.

En función de las necesidades y competencias de la Administración de la Comunidad

Autónoma de La Rioja, se detallan los siguientes grupos de acceso a tales categorías:

1 No permitidos Anorexia – Bulimia, Azar, Chat (con intercambio de ficheros), Código

malicioso, Construcción de explosivos, Drogas, Encuentros, Juegos, Logos/Ringtones, Modelos,
Música, Pagar por navegar, Pornografía, Erotismo, Racismo, Rosa, Sectas, Servidores P2P,
Violencia, Listas negras.

2 No permitidas salvo autorizaciones especiales Anonimizadores, DNS Services,

Hackers, Servidores Mensajería Instantánea, VoIP, Spyware.

3 Permitidas Resto de categorías señaladas en el Anexo I.

Catálogo de ficheros de acceso restringido

Para minimizar los riesgos derivados de la descarga de ficheros, debe considerarse restringido
el acceso a los tipos de Ficheros especificados en el Anexo II.

Distribución de usuarios

Dentro de la Administración de la Comunidad Autónoma de La Rioja existen distintos niveles

de usuarios, atendiendo a:

Las categorías de los contenidos para los que tienen permiso de acceso.

Los tipos de ficheros que tienen permiso de descarga.

Limitación del tiempo de consulta.

Los usuarios se clasificarán en tres niveles de acceso, según la necesidad de utilización de

Internet de los mismos.

1 3 NO Sólo multimedia

2 3 NO Sólo multimedia

La lista blanca se creará de forma manual bajo demanda de los usuarios previa autorización de
la Dirección General competente en TIC.

La lista blanca será de contenido útil para los trabajadores.

(Quedan incluidas todas aquellas páginas categorizadas dentro de administraciones públicas)

3 3y2 NO Sólo multimedia Personal específicamente autorizado.

El nivel 1 tendrá acceso a páginas habituales sin restricción de tiempo y limitación de ficheros.
Sin permiso para descargas.

El nivel 2 tendrá acceso a páginas habituales sin restricción de tiempo y limitación de ficheros.
Descarga parcialmente permitida.

El nivel 3 tendrá acceso a más categorías que cualquier otro nivel. No se aplican restricciones
sobre ficheros, excepto a aquellos no recomendados por considerarse peligrosos.
Asignación de usuarios a nivel de acceso

La asignación a un determinado nivel puede venir dada por el nivel profesional del usuario, de
acuerdo con la siguiente tabla:

Para todo el personal de la Administración de la Comunidad Autónoma de La Rioja 1

Especiales: p. ej. Gabinete de prensa 2

Especiales: personal informático y/o de seguridad con responsabilidad en temas de Internet

3

Cierto tipo de personal (Consejeros, Secretarios Generales técnicos, Directores Generales, etc.)
podrán solicitar de forma motivada, el cambio de nivel de acceso a Internet de un usuario
mediante comunicación electrónica a Dirección General competente en TIC.

Uso abusivo de servicios y sistemas de la Administración de la Comunidad Autónoma de La

Rioja

Está terminantemente prohibida toda transmisión, distribución o almacenamiento de

cualquier material obsceno, difamatorio, amenazador o que constituya un atentado contra la
dignidad de las personas.

No se podrá acceder a los recursos informáticos y telemáticos de la Administración de la

Comunidad Autónoma de La Rioja para desarrollar actividades que persigan o tengan como
consecuencia lo relacionado a continuación, en cuyo caso, el Gobierno de La Rioja podrá
adoptar las medidas disciplinarias que considere oportunas, sin perjuicio de las acciones civiles
o penales a las que hubiere lugar:

El uso intensivo de recursos de proceso, memoria, almacenamiento o comunicaciones, para

usos no profesionales.

La degradación de los servicios.

Acceso a otras redes, con el propósito de violar su integridad o seguridad.

La destrucción o modificación no autorizada de la información, de manera premeditada.

La violación de la intimidad, del secreto de las comunicaciones y del derecho a la protección de

los datos personales.

El deterioro intencionado del trabajo de otras personas.

Dañar intencionadamente los recursos informáticos de la Administración de la Comunidad

Autónoma de La Rioja o de otras instituciones.
Realizar cualquier actividad de promoción de intereses personales.

Monitorización y aplicación de esta normativa

La Administración de la Comunidad Autónoma de La Rioja por motivos legales, de seguridad y

de calidad del servicio, y cumpliendo en todo momento los requisitos que al efecto establece
la legislación vigente:

Revisará periódicamente el estado de los equipos, el software instalado, los dispositivos y

redes de comunicaciones de su responsabilidad.

Monitorizará los accesos a la información contenida en sus sistemas.

Auditará la seguridad de las credenciales y aplicaciones.

Monitorizará los servicios de internet, correo electrónico y otras herramientas de

colaboración.

La Administración de la Comunidad Autónoma de La Rioja llevará a cabo esta actividad de

monitorización de manera proporcional al riesgo, con las cautelas legales pertinentes y las
señaladas en la jurisprudencia y con observancia de los derechos de los usuarios.

Los sistemas en los que se detecte un uso inadecuado o en los que no se cumplan los
requisitos mínimos de seguridad, podrán ser bloqueados o suspendidos temporalmente. El
servicio se restablecerá cuando la causa de su inseguridad o degradación desaparezca. La
Dirección General competente en TIC con la colaboración de las restantes unidades de la
Administración de la Comunidad Autónoma de La Rioja, velará por el cumplimiento de la
presente Normativa General e informará al Comité de Seguridad de la Información sobre los
incumplimientos o deficiencias de seguridad observados, al objeto de que se tomen las
medidas oportunas.

El sistema que proporciona el servicio de correo electrónico podrá, de forma automatizada,

rechazar, bloquear o eliminar parte del contenido de los mensajes enviados o recibidos en los
que se detecte algún problema de seguridad o de incumplimiento de la presente Normativa.
Se podrá insertar contenido adicional en los mensajes enviados con objeto de advertir a los
receptores de los mismos de los requisitos legales y de seguridad que deberán cumplir en
relación con dichos correos.

El sistema que proporciona el servicio de navegación podrá contar con filtros de acceso que
bloqueen el acceso a páginas web con contenidos inadecuados, programas lúdicos de descarga
masiva o páginas potencialmente inseguras o que contengan virus o código dañino.
Igualmente, el sistema podrá registrar y dejar traza de las páginas a las que se ha accedido, así
como del tiempo de acceso, volumen y tamaño de los archivos descargados. El sistema
permitirá el establecimiento de controles que posibiliten detectar y notificar a la Dirección
General competente en TIC sobre usos prolongados e indebidos del servicio.

Conocimiento, aceptación y cumplimiento de esta norma

Todos los usuarios están obligados a conocer y respetar las normas contenidas en la presente
política de uso aceptable. Se realizarán cursos sobre esta política para facilitar su conocimiento
por parte de los empleados públicos. Todo usuario sujeto a esta norma deberá realizar
obligatoriamente estos cursos y superar el test correspondiente el cual constituirá constancia
documental del conocimiento y aceptación de esta norma.

En el supuesto de que un usuario no observe alguno de los preceptos señalados en la presente

Norma, sin perjuicio de las acciones disciplinarias y administrativas que procedan y, en su caso,
las responsabilidades legales correspondientes, se podrá acordar la suspensión temporal o
definitiva del uso de los recursos informáticos asignados a tal usuario.

La Dirección General competente en TIC asegurará que todos los usuarios de los recursos
informáticos y/o Sistemas de Información de la Administración de la Comunidad Autónoma de
La Rioja tengan acceso permanente a esta norma durante el tiempo de desempeño de sus
funciones.

Glosario de términos.

Puesto de trabajo digital Recurso informático que permitirá el acceso de los usuarios a
los Sistemas de Información y servicios informáticos de la Administración de la Comunidad
Autónoma de La Rioja

UsuarioCualquier persona externa o interna que de manera permanente o eventual utilice o

posea acceso a los Sistemas de Información de la Administración de la Comunidad Autónoma
de La Rioja.

Directorio autorizado Directorio que contiene características de los usuarios que acceden a
los sistemas de información. Generalmente se utilizan para facilitar al menos alguno de los
siguientes aspectos de la seguridad: identificación, autenticación, acceso y autorización.

Delegación de acceso Autorización temporal de un usuario a otro usuario para el acceso a

alguno de los recursos a los que está autorizado.

CAS Sistema de unificación de sesiones de usuario. Permite conservar la sesión de usuario

compartiéndola con diferentes aplicaciones. Se conoce habitualmente como single sign-on.

SGDI Sistema de Gestión de Identidades corporativo, permite delegar la autorización de

acceso a los sistemas de información en función de diferentes aspectos como los directorios
autorizados, roles definidos, ámbito donde se autoriza el acceso, sistemas de autenticación
permitidos, etc.

Plan de adecuación Plan de actuación desarrollado por la Dirección General competente en

TIC para adaptar la infraestructura de sistemas de información a los requisitos de seguridad
establecidos por la normativa.

Anexo I - Categorías de páginas WEB.

Sector Público Páginas Web de entidades de carácter público (Administraciones Públicas o

sector Público Institucional), tales como Ministerios, Consejerías, Ayuntamientos, instituciones
de la Unión Europea y, en general, cualquier dirección que aporte información referente a
entidades de gobierno y administración de todo el mundo.

Anonimizadores Páginas Web a través de las cuáles se evita el conocimiento por parte
de terceros de las direcciones Web a las que se está accediendo.

Anorexia - Bulimia Páginas Web dedicadas a promover e incitar la anorexia y la bulimia.

Arte y cultura Páginas Web que aportan información relativa a las artes y las letras: museos,
escultura, fotografía, literatura, etc.

Azar Páginas Web desde donde poder acceder a casinos y bingos online. Se incluyen en esta
categoría páginas donde poder realizar todo tipo de apuestas.

Bancos y Entidades Financieras Entidades bancarias, Cajas de Ahorro, Compañías de

Seguros, etc. Banners Cuadros de propaganda o publicidad insertados en páginas Web.

Blogs Páginas gratuitas donde particulares publican en Internet, diarios, experiencias,

comentarios, ideas, etc.

Buscadores Páginas Web utilizadas para realizar búsquedas de contenidos en Internet

(google.com, yahoo.com, altavista.com, etc.).

Chat Páginas Web desde donde poder comunicarse con otros usuarios, en tiempo real.

Código dañino Software introducido intencionadamente en un sistema con propósito

malicioso o no autorizado.

Construcción de explosivos Páginas Web relativas a la fabricación y manipulación de

explosivos.

Compras Páginas Web a través de las cuales se pueden realizar compras de productos y
servicios varios.

Correo Web Páginas Web donde poder enviar y recibir correos electrónicos.

Deportes Páginas Web relativas a equipos e información deportiva.

DNS Services Categoría que abarca los casos de conexiones de equipos desde la red interna
a equipos de usuarios en Internet, vía http, a un puerto destino configurable y variable, con la
peculiaridad de que en el equipo de Internet se puede disponer de herramientas (tales como
Remotely Anywhere, por ejemplo) que permiten el control total del equipo de Internet al
usuario de la red interna y por tanto tener una vía de escape, ejecutando http, ftp, etc.

Drogas Páginas Web que incitan al consumo de drogas o facilitan contactos / lugares donde
poder adquirir estupefacientes. No se incluyen paginas informativas / preventivas sobre
drogas.

Economía Páginas Web con contenidos de bolsa, banca, inversiones financieras, seguros,
etc.
Educación Páginas Web de colegios, universidades, academias y cursos de formación en
general.

Empleo Páginas Web de ofertas y demandas de empleo. Se incluyentambién las Webs de

"head-hunters".

Encuentros Páginas Web a través de las cuales se puede conocer a otras personas: hacer
amigos, encontrar pareja, etc.

Entretenimiento Páginas Web de información de ocio: películas, obras de teatro, libros,

restaurantes, hobbies, etc. Contenidos, en general, sobre cómo emplear el tiempo libre,
excepto los contenidos que pertenecen a azar, deportes, juegos y viajes.

Foros Páginas Web de carácter temático donde se puede participar aportando opiniones
personales.

Guías y callejeros Páginas Web donde se incluyen callejeros de ciudades, información

acerca de direcciones, números de teléfono, etc.

Hackers Páginas Web donde poder encontrar software ilegal o procedimientos

asociados con su uso.

Hosting domains Páginas Web de empresas que alberga páginas Web, donde se pueden
adquirir dominios de Internet.

Info Páginas Web que en general aportan información útil, como situación del estado de las
carreteras, predicciones meteorológicas, etc.

Informática Páginas Web con información relativa a hardware, sofware, Internet, etc.

Juegos Páginas Web donde poder jugar "on-line" o descargar juegos deordenador. Jurídicas
Páginas Web que aportan información sobre temas legales.

Logos/Ringtones Imágenes o Canciones (melodías monofónicas o polifónicas) que son

descargadas por los usuarios de teléfonos móviles.

Modelos Páginas Web donde se encuentren fotografías de modelos, total o

parcialmente desnudos.

Música Páginas Web para adquirir o descargar música o donde poder encontrar información
relativa a cantantes y grupos musicales en general.

Pagar por navegar Páginas Web que permiten ganar dinero en la red recibiendo correos,
navegando por determinadas páginas, suscribiendo ofertas gratuitas, etc.

Páginas Personales Páginas creadas en hosting especializados para ello, y que no están
incluidas en otras categorías.

Pornografía Páginas web de contenido pornográfico u obsceno. Se incluye el acceso a los

chat donde se puede encontrar material de este tipo.
Erotismo Páginas web de contenido erótico. Se incluye el acceso a los chat donde se
puede encontrar material de este tipo.

Portales Son sitios Web en los que se puede encontrar una amplia gama de contenidos:
noticias, ocio, deportes, juegos, música, etc.

Prensa Periódicos o revistas on-line.

Racismo Páginas Web que abiertamente contengan contenidos de carácter xenófobo o

inciten a comportamientos racistas o intolerantes por razón de cultura, raza, religión,
ideología, etc.

Rosa Páginas Web con contenidos relativos a personajes famosos. Además de contenidos
como moda, perfumes, decoración, etc.

Salud Páginas Web en las que se puede encontrar información de carácter divulgativo (no
científico) acerca de enfermedades y sus remedios.

Sectas Páginas Web de sectas peligrosas. No se incluirán aquellas organizaciones que, por
legislación distinta entre países diferentes, sean consideradas sectas en unos países y
asociaciones religiosas de pleno derecho en otras.

Servidores P2P Sitios donde se registran estos programas para dar el servicio y las páginas
relacionadas con ellos.

Servidores Mensajería Instantánea Sitios donde se registran estos programas para dar el
servicio y las páginas relacionadas con ellos.

Sexualidad Información y artículos sobre sexo, educación sexual, tendencias sexuales, etc.,
que no contienen pornografía.

Spyware Páginas que contengan Spyware. Se considera Spyware al software que

recopila información de un ordenador y después transmite esta información a una entidad
externa sin el conocimiento o consentimiento del propietario del ordenador.

Telecomunicaciones Páginas Web que facilitan información acerca de temas de telefonía

fija, telefonía móvil, conexión a internet, etc.

Viajes Páginas Web de agencias de viajes, y aquellas con información turística acerca de
ciudades, plazas hoteleras y medios de transporte.

Violencia Páginas Web que abiertamente contengan contenidos de carácter violento,

inciten a la violencia o hagan apología de ella.

VoIP Voz sobre IP. Páginas desde las que se accede a aplicaciones que permiten la
transmisión de voz en vivo a través de Internet utilizando los protocolos TCP IP.

Anexo II -Extensiones de ficheros de acceso restringido.

Video (multimedia) ASF: Windows Media

 AVI: BSPlayer

BIK : RAD Video Tools

DIV : DivX Player

DIVX : DivX Player

DVD : PowerDVD

IVF : Indeo

M1V : (mpeg)

MOV : QuickTime

MOVIE : (mov)

MP2V : (mpeg)

MP4 : (MPEG-4)

MPA : (mpeg)

MPE : (mpeg)

MPEG : (mpeg)

MPG : (mpeg)

MPV2 : (mpeg)

QT : QuickTime

QTL : QuickTime

RPM : RealPlayer

SMK : RAD Video Tools

WM : Windows Media

WMV : Windows Media

WOB : PowerDVD

Audio (multimedia) AIF : Winamp

AIFC : Formato AIFF

AIFF : Winamp

AMF : Winamp
ASF : Windows Media

AU : Winamp

AUDIOCD : AudioCD

CDA : Winamp

CDDA : AIFF Audio

FAR : Winamp

IT : Winamp

ITZ : Winamp

LWV: Microsoft Linguistically

Enhanced Sound File

MID : Winamp

MIDI : Winamp

MIZ : Winamp

MP1 : Winamp

MP2 : Winamp

MP3 : Winamp

MTM : Winamp

OGG : Winamp

OGM : (Ogg)

OKT : Winamp

RA : Real Audio

RMI : Winamp

SND : Winamp

STM : Winamp

STZ : Winamp

ULT : Winamp

VOC: Winamp
 WAV: Winamp

WAX: Acceso directo de audio

de Windows Media

WM : Windows Media

WMA : Winamp

WMV : Windows Media

XM: Winamp

XMZ: Winamp

Imágenes disco MDS: Alcohol 120%

CCD: Alcohol 120% / CloneCD

CUE: Alcohol 120% / CDRWin

(+.BIN)

ISO: Alcohol 120% / Ahead

Nero

BTW: Alcohol 120%

CDI: Alcohol 120%

IMG: CloneCD (también de

diskette y dibujo)

NRA: Nero: CD audio

Ejecutables 386: Controlador de dispositivo virtual

BAT: Archivo por lotes MSDOS

BIN: Archivos binarios.

CAB: Aplicaciones comprimidas.

CFG: Configuraciones

CMD: Secuencia de comandos de Windows NT

COM: Aplicación MS-DOS

DLL: Librería, extensión de aplicación

DRV: Controlador de dispositivo

DSN: Nombre del origen de datos

DUN: Acceso telefónico de red

EXE: Aplicación

HT: HyperTerminal

INF: Información de instalación

INI: Opciones de configuración

INS: Configuración de comunicaciones de Internet

ISP: Configuración de comunicaciones de Internet

JOB: Objeto de tarea

KEY: Entradas de registro

MSC: Documento de la consola común de Microsoft

MSI: Paquete de Windows Installer

MSP: Revisión de Windows Installer

NFO: MSInfo

OCX: Control ActiveX

OTF: Fuente OpenType

PIF: Acceso directo a programa MS-DOS

PMA: Archivo del Monitor de sistema

PMC: Archivo del Monitor de sistema

PML: Archivo del Monitor de sistema

PMR: Archivo del Monitor de sistema

PMW: Archivo del Monitor de sistema

RDP: Conexión a Escritorio remoto

REG: Entradas de registro

SCF: Windows Explorer Command

SCT: Windows Script Component

 SYS: Archivo de sistema

VXD: Controlador de dispositivo virtual

WSC: Windows Script Component

WSF: Windows Script File

WSH: Windows Script Host Settings File

ZAP: Configuración de instalación de software

Streaming FLV : Flas Video

SPL : Shockwave Flash Object

SWF : Shockwave Flash Object

RAM : Streaming

Sin etiquetas

2 Comentarios

Icono del usuario: Anónimo

Anónimo

Ok

oct 28, 2021

Icono del usuario: Anónimo

Anónimo

De acuerdo