ACUERDO No. 047 CG - 2010 EL CONTRALOR GENERAL DEL ESTADO CONSIDERANDO: Que, el inciso tercero del artículo 204, de la Constitución de la República del Ecuador establece que la Contraloría General del Estado tiene personalidad jurídica y autonomía administrativa, financiera, presupuestaria y organizativa; Que, mediante Acuerdo 010-CG de 14 de mayo de 2003, se expidió el Reglamento para Uso del Servicio de Internet Corporativo de la Contraloría General del Estado; Que es necesario actualizar la normativa jurídica para la regulación, provisión, utilización y control de los recursos informáticos y de telecomunicaciones en la Contraloría General del Estado, aplicables a todas las unidades administrativas; y, En ejercicio de las facultades que le confieren los artículos 212, numeral 3 de la Constitución de la República del Ecuador, 31, numeral 23 y 95 de la Ley Orgánica de la Contraloría General del Estado, ACUERDA: Expedir el siguiente Reglamento para Uso y Control de los Recursos Informáticos y de Telecomunicaciones de la Contraloría General del Estado Art. 1.- Propósito Establecer las políticas, directrices y procedimientos que regulen la utilización y el control de las actividades y recursos informáticos relacionados con la tecnología de información y telecomunicaciones en la Contraloría General de Estado. Regular la utilización tanto del hardware como del software existentes en la institución, así como las condiciones generales, prohibiciones y mecanismos de control en el uso de los referidos medios tecnológicos. Art. 2.- Utilización de los equipos informáticos (hardware) Condiciones generales de utilización Todos los equipos informáticos que la Contraloría General del Estado pone a disposición de sus servidoras y servidores son propiedad de esta institución, y su utilización queda limitada Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 1
única y exclusivamente para fines institucionales. Por tanto, el Organismo Técnico de Control tiene potestad sobre la utilización de tales equipos, el contenido de los programas informáticos y de los servicios que se prestan a través de éstos. Las servidoras y servidores que utilicen los equipos informáticos son responsables de su custodia, adecuada conservación y de su utilización, de acuerdo con lo establecido en este reglamento, así como observar en lo que corresponda a lo dispuesto en el Reglamento General Sustitutivo para el Manejo y Administración de Bienes del Sector Público. Cualquier duda sobre la utilización de los equipos informáticos, deberá ser resuelta por la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC), previa consulta de la servidora o servidor, siendo esta unidad administrativa la única autorizada para realizar chequeos, revisiones, reparaciones o mejoras de carácter preventivo o correctivo de los bienes informáticos, en caso de averías o anomalías en su funcionamiento y la responsable por la administración del componente tecnológico en la institución. Prohibiciones Generales Las servidoras y servidores de la Contraloría General del Estado, no pueden realizar las siguientes actividades: 1. Utilizar los equipos informáticos para cuestiones personales, ajenas a la prestación laboral, inclusive si se lleva a cabo fuera del horario laboral y/o de las instalaciones de la institución. 2. Retirar de la institución los equipos informáticos sin la autorización expresa y por escrito de la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC) y sin conocimiento del custodio de los activos fijos de la unidad administrativa. Para el caso de las computadoras portátiles y equipos móviles entregados para las actividades diarias a las servidoras y servidores, los custodios de cada unidad deberán mantener actualizadas las actas de entrega recepción de estos equipos, en las cuales conste la autorización respectiva para la salida de los mismos. 3. Instalar o cambiar en los equipos informáticos, dispositivos externos o internos, accesorios, modems, etc., que no formaron parte original de los mismos y que no sean de propiedad de la Contraloría General del Estado, sin la autorización escrita de la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC). Se exceptúan los dispositivos de almacenamiento portátil de uso común. 4. Dejar encendido el computador al finalizar la jornada laboral o cuando el funcionario se ausente de su puesto de trabajo por un tiempo superior a 2 horas; en caso de que, por necesidad institucional, se requiera dejar encendido algún equipo, se notificará al director de la unidad para su autorización. 5. Operar otros computadores a los que no esté asignada la servidora o servidor para obtener archivos y cualquier otra información almacenada en los mismos o en la red informática de la Contraloría General del Estado, sin la autorización del responsable del computador o director de la unidad, esta autorización puede ser escrita o por medio de los procedimientos establecidos por la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC). Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 2
Art. 3.- Utilización de la red de datos lan - wan 3.1 Condiciones generales La infraestructura de red se encuentra compuesta por los siguientes recursos: todos los medios alámbricos e inalámbricos, equipos centrales, acceso, distribución y acceso telefónico, switches, routers, equipos de comunicación, entre otros. Se entiende como usuario de red a toda servidora o servidor de la institución que emplee alguno de los recursos mencionados anteriormente, para el cumplimiento de sus actividades dentro del Organismo Técnico de Control. La infraestructura de red tiene como objetivo proveer servicios para el desarrollo y ejecución de las actividades informáticas de las servidoras y servidores de la institución. Es responsabilidad de todo usuario de red hacer un correcto uso y cuidado de la infraestructura que emplee para realizar sus actividades. Todas las servidoras y servidores que deseen acceder a la red deberán contar con la aprobación a través de los procedimientos establecidos por la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC), o sus delegados en las diferentes oficinas a nivel nacional. Con la aprobación, las servidoras o servidores podrán acceder a la red y a los servicios autorizados, para lo cual se les entregará un nombre de usuario y contraseña única para su uso, que serán de su exclusiva responsabilidad. 3.2 Actividades no permitidas 1. Conectarse a la red con equipos que no sean propiedad de la institución, sin la autorización establecida en los mecanismos que defina la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC). 2. Dañar de manera intencionada los componentes de la red alámbrica e inalámbrica que se encuentran localizados en las dependencias. 3. A excepción de los administradores de la red, seguridad informática y/o los funcionarios autorizados en la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC), o sus delegados en las diferentes oficinas a nivel nacional, que por cuestiones inherentes a su trabajo requieran hacer uso de este tipo de herramientas con la debida autorización de sus superiores, son actividades no permitidas: Realizar análisis del flujo de información que pasa por la red (decodificación de paquetes, utilización de programas de captura de tramas o sniffers, etc), así como detección de vulnerabilidades de la red y/o equipo de cómputo (barrido de puertos). Instalar cuaquier tipo de dispositivos o software que sirva como servidor masivo; como lo son servidores de correo, web, transferencia de archivos, DHCP, tunneling, P2P, proxy o similares. Conectar cualquier tipo de equipos de comunicación (modems, hub, switch, ruteador o punto de acceso inalámbrico, etc.) para enlazar instalaciones no autorizadas. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 3
4. Cualquier otra actividad detectada por la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC) que se considere perjudicial para la realización de las actividades del resto de las servidoras y servidores usuarios en la red. Art. 4.- Utilización de los programas y de los archivos informáticos (software) 4.1 Condiciones generales de utilización Todos los programas, archivos y documentos incluidos en los sistemas y equipos informáticos de la Contraloría General del Estado, deben utilizarse con fines exclusivamente institucionales y relacionados con el desempeño de las actividades de sus servidoras y servidores y no podrán ser utilizados para uso personal, privado o comercial. La Contraloría General del Estado tiene potestad exclusiva respecto de la información institucional almacenada en los equipos informáticos asignados al personal, reservándose el derecho de ejercer los controles que estime pertinentes. Si por cuestiones estrictamente institucionales, fuera necesaria la instalación de algún programa o aplicación informática distinta a las disponibles para las servidoras y servidores de la Contraloría General del Estado, el interesado deberá solicitar a la Dirección de Tecnología de Información y Comunicaciones (DTIC), para que gestione las autorizaciones correspondientes y, de ser el caso, proceda a la instalación del programa o aplicación requerida. Las servidoras o servidores que en su trabajo utilicen archivos o aplicaciones que contengan información reservada o restringida, adoptarán las medidas necesarias para evitar que puedan tener acceso a dicha información personas no autorizadas. A este respecto, la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC), establecerá las restricciones para estos casos. 4.2 Actividades no permitidas 1. Instalar en los equipos informáticos software o contenido cuya utilización sea ilegal o no autorizada, que puedan dañar los sistemas o afectar a los intereses de la Contraloría General del Estado. Por software o contenido ilegal se entiende cualquier aplicación informática, archivo, imagen, documento, protector de pantalla o programa cuya licencia de uso no sea de propiedad o que se tenga los derechos de uso a nombre de la Contraloría General del Estado. 2. Instalar cualquier tipo de juego en el computador. 3. Utilizar y almacenar en el disco duro de las computadoras o unidades de red asignadas a los usuarios, documentos ajenos a la actividad institucional y, especialmente, archivos que contengan material considerado de distracción u ocio. 4. Instalar, enviar o utilizar aplicaciones informáticas, archivos, imágenes, documentos o programas que tengan un contenido ofensivo, inapropiado, pornográfico, erótico o discriminatorio por razones de género, etnia, opción sexual, discapacidad o cualquier otra circunstancia personal o social, así como instalar, utilizar y visualizar protectores de pantallas, fotos, vídeos, animaciones y/o cualquier otro medio de reproducción o visualización cuyo contenido pueda ser considerado como elemento de acoso o intimidación en el trabajo. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 4
5. Acceder sin autorización a archivos o bases de datos que contengan información confidencial o reservada, así como disponer y manipular dicha información. 6. La instalación de cualquier tipo de software, sea éste de licencia libre, gratuita o propietaria, conlleva riesgos de seguridad para los equipos institucionales. Por tal razón, la Dirección de Tecnología de Información y Comunicaciones (DTIC), se reserva el derecho de evaluar y autorizar la instalación de todo software. Art. 5.- Navegación en la red de internet 5.1 Criterios generales Las servidoras y servidores de la Contraloría General del Estado que tengan acceso a la red de internet, podrán realizar conexiones a través de la referida red para fines estrictamente institucionales, a fin de obtener el mayor aprovechamiento de los recursos informáticos. Por excepción se podrá utilizar internet para fines personales, siempre que dicho uso sea corto y que la servidora o servidor deba realizar algún tipo de gestión por este medio, para evitar que se ausente de su lugar de trabajo, tales como trámites bancarios, IESS, SRI, etc., consultas relacionadas con las actividades que realiza en la Contraloría General del Estado. La Contraloría General del Estado tiene potestad exclusiva respecto a la utilización y administración del servicio de internet institucional; en consecuencia, sus servidoras y servidores deberán justificar los accesos realizados a este servicio, si así lo requiere la institución. Con el fin de proteger los equipos informáticos contra todo tipo de amenazas, la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC), definirá una única plataforma institucional de componentes de seguridad, la cual será implementada en cada uno de los equipos informáticos de la institución. El uso del servicio de internet podrá ser monitoreado y auditado cuando fuere necesario o por disposición o solicitud de las autoridades competentes. La Dirección de Tecnología de Información y Comunicaciones (DTIC) definirá e implantará métodos, técnicas y herramientas para establecer los mecanismos de seguridad necesarios para brindar protección a los servicios que se prestan o a los que se accedan mediante el internet. 5.2 Condiciones de utilización de la conexión a internet Actividades no permitidas 1. Acceder a páginas web, cuyo contenido sea ofensivo, inapropiado, pornográfico, erótico o discriminatorio por razones de género, etnia, opción sexual, discapacidad o cualquier otra circunstancia personal o social. Uso de proxys anónimos, enmascaramiento o cualquier técnica de desvío u ocultamiento de navegación. La Contraloría General del Estado se reserva la facultad de implementar los mecanismos técnicos necesarios para impedir el acceso a los contenidos señalados anteriormente. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 5
Si por motivos estrictamente profesionales o por necesidad institucional, fuere preciso el acceso hacia algún contenido bloqueado, el funcionario deberá solicitar autorización a través de los procedimientos establecidos por la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC). El hecho de que la Contraloría General del Estado no haya bloqueado el acceso a una determinada página web o contenido anteriormente definido, no implica que el acceso a la misma esté autorizado. Si durante el proceso de búsqueda de una determinada dirección o información a través de la red de internet, se accede por desconocimiento o por error, a una dirección cuyo contenido resulte contrario a lo dispuesto en el presente reglamento, el funcionario deberá abandonar dicha dirección inmediatamente e informar a la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC), para su filtrado. De no producirse el abandono inmediato de la página, se considerará que la conexión ha sido intencional. 2. Acceder a sistemas de mensajería instantánea (chats). Para fines institucionales, la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC), pondrá a disposición de las servidoras y servidores un sistema de mensajería instantánea local para uso exclusivo de la institución. 3. Descargar desde la red de internet cualquier clase de programa, documentos o archivos que no provengan de páginas oficiales y/o relacionadas con la actividad profesional que se encuentre realizando la servidora o servidor en la institución. 4. Dejar abiertos aplicativos o conexiones al internet al levantarse de su puesto de trabajo. A efectos de evitar que otras personas puedan llevar a cabo un acceso indebido a la red de internet desde su computador, el funcionario deberá cerrar las conexiones a internet que tuviera vigentes, así como el explorador de internet y bloquear el computador. La Contraloría General del Estado no considerará como argumento de justificación que el acceso a la red de internet haya sido realizado por otra persona desde el computador del funcionario a cargo, mientras éste se encontraba ausente de su puesto de trabajo, si ha incumplido con la obligación de cerrar las conexiones de internet, el explorador de internet y bloquear el computador. 5. Utilizar la conexión a internet para el desempeño de cualquier actividad por cuenta propia o ajena de la servidora o servidor, distinta a la que en función de su cargo ejerce en la Contraloría General del Estado. Art. 6.- Uso del correo electrónico o e-mail 6.1 Criterios generales El correo electrónico institucional o e-mail a través de una dirección individual, constituye una herramienta de trabajo facilitada por la Contraloría General del Estado a las servidoras y servidores a fin de optimizar el ejercicio de las funciones que tienen encomendadas. Como consecuencia de lo anterior, se dotará de una dirección individual de correo electrónico (email) a las servidoras y servidores; es facultad del Organismo Técnico de Control, a través de la Dirección de Tecnología de Información y Comunicaciones, la organización, control y salvaguarda del mismo con libertad absoluta para decidir sus condiciones. Con la finalidad de poder identificar en cualquier momento la identidad del emisor de los correos electrónicos enviados desde la red de la Contraloría General del Estado, se crearán únicamente direcciones de correo electrónico institucional genéricas para el envío de Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 6
mensajes a las diferentes unidades administrativas, previo procedimiento establecido por la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC). Cada servidora o servidor será responsable de que su dirección de correo electrónico sea utilizada con apego a las disposiciones del presente reglamento. El correo electrónico institucional será utilizado con fines relacionados con las funciones que desempeñan las servidoras y servidores en la entidad, por lo que el uso del mismo no podrá generar ninguna expectativa de privacidad o secreto en sus contenidos. Por parte de la Dirección de Tecnología de Información y Comunicaciones, se asegurará el cumplimiento de lo previsto en la Ley y Reglamento de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos y se actuará de acuerdo a las disposiciones de este reglamento. 6.2. Uso personal del correo electrónico institucional 1. Las servidoras y servidores de la Contraloría General del Estado podrán utilizar el correo electrónico institucional para fines personales, siempre que dicho uso sea excepcional y existan situaciones razonables que justifiquen su utilización. 2. En caso de detectarse un inapropiado uso de este servicio, la Contraloría General del Estado podrá requerir en cualquier momento a la servidora o servidor que justifique debidamente las razones de dicha utilización. Si las causas alegadas no reúnen los requisitos razonables se considerará que el uso del correo electrónico institucional ha sido incorrecto y se procederá a sancionar de acuerdo a lo que se establece en este reglamento. 3. El uso de esta herramienta institucional para fines personales, deberá efectuarse en el menor tiempo posible y procurando ser realizado fuera del horario laboral. 6.3 Condiciones de utilización del correo electrónico institucional En la utilización del correo electrónico institucional, a las servidoras y servidores de la Contraloría, no les está permitido lo siguiente: 1. Interceptar y/o utilizar el correo electrónico de otros usuarios así como falsificar mensajes de correo electrónico, ya sea sobre su contenido o manipulando las cabeceras para ocultar la identidad del usuario remitente. 2. Enviar a través del correo electrónico información confidencial no autorizada de la institución. 3. Enviar mensajes que incluyan contenidos publicitarios, comerciales o propagandísticos. Para el caso de las cuentas de correo genéricas de las unidades administrativas que requieran enviar este tipo de contenidos, deberán seguir los procedimientos establecidos por la Dirección de Tecnología de Información y Comunicaciones (DTIC). 4. Enviar mensajes o imágenes de carácter ofensivo, inapropiado, pornográfico, erótico o discriminatorio por razones de género, etnia, opción sexual, discapacidad o cualquier otra circunstancia personal o social, en los que se haga apología del delito y/o cuyo contenido sea atentatorio contra los derechos humanos. 5. Utilizar la red para promover el acoso sexual, juegos de azar, sorteos, subastas, descargas de video o audio y cualquier otro material no relacionado con la actividad institucional. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 7
6. Enviar mensajes masivos o con ficheros adjuntos de gran tamaño, así como propagar cartas encadenadas y participar en esquemas piramidales, cadenas o actividades similares. 7. Revisar permanentemente cuentas de correo personal utilizando para ello los equipos informáticos de la Contraloría General del Estado, en especial en horarios de oficina. 8. Recopilar o proveer los listados de correos institucionales a terceros o para beneficio personal. En el uso del correo electrónico institucional se considerarán las siguientes reglas: 1. Extremar la diligencia y precaución necesarias para evitar la entrada de virus y/o amenazas, como consecuencia de la utilización de archivos de procedencia prohibida. En este sentido las computadoras de la institución deberán utilizar un sistema de detección de amenazas único para toda la institución, cuya definición, provisión y control le compete a la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC). 2. Evitar el almacenamiento excesivo de correos, en particular aquellos que lleven adjuntos documentos extensos, para no sobrecargar al sistema informático encargado del servicio de correo electrónico, la Contraloría General del Estado se reserva el derecho de establecer cuotas de espacio disponible para cada cuenta de correo, pudiendo restringirse de forma automática el envío y/o recepción de mensajes si el límite establecido se supera. Asimismo, la Contraloría General del Estado se reserva el derecho de establecer un límite de tamaño para los mensajes individuales procesados, pudiendo anularse la entrega o recepción de aquellos que superen éste. Los funcionarios podrán utilizar el almacenamiento disponible en sus máquinas para recopilar datos (archivos.pst) si así lo requieren. 3. Abstenerse de enviar correos electrónicos que generen cadenas y congestionen el servicio de correo y la red de datos, distribución de archivos gráficos (jpg, gif, pps, mov, mpg, mp3, mp4, entre otros), que no tengan relación con las actividades inherentes a sus funciones en la Contraloría General del Estado. 4. En el caso de envío de correo masivo autorizado, deberá utilizarse el horario previamente acordado con la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado, (DTIC), con el fin de no afectar al correcto servicio de correo. Tal horario podrá ser revisado por la Dirección de Tecnología de Información y Comunicaciones, dependiendo de las necesidades de servicio. 5. Cada usuario de correo electrónico es responsable de depurar su buzón frecuentemente. Art. 7.- Gestión de contraseñas (passwords) Para acceder a los sistemas informáticos de la Contraloría General del Estado será preciso contar con una clave de acceso que conste de un nombre de usuario y una palabra de paso, también conocida con el nombre de contraseña o password. La palabra de paso o contraseña tiene una vigencia y características establecidas por la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC); cuando la vigencia de la misma caduque, el sistema pedirá automáticamente al usuario que proceda a sustituirla por una nueva. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 8
El nombre de usuario y la palabra de paso (contraseña), son secretos, personales e intransferibles; queda terminantemente prohibida la compartición o divulgación a otras personas de las claves de acceso por cualquier medio. En caso de que la servidora o servidor descubra que otra persona es conocedora de alguna de sus claves de acceso, deberá cambiar su clave por medio de los procedimientos establecidos por de la Dirección de Tecnología de Información y Comunicaciones (DTIC). Las contraseñas no deberán ser obvias; a este respecto, no se debe utilizar nombres del usuario ni de familiares o palabras derivadas de los mismos; tampoco se debe usar números relacionados con el usuario como fechas especiales o el código de funcionario; queda expresamente prohibida la utilización sucesiva de la misma palabra, únicamente modificando un número o letra al final o al principio cuando el sistema pide el cambio de contraseña. La Dirección de Tecnología de Información y Comunicaciones establecerá los mecanismos necesarios para forzar los cambios de contraseña de forma periódica. Las servidoras y servidores que utilicen computadores compartidos, pondrán especial atención en el cumplimiento de las previsiones establecidas en este artículo. Art. 8.- Mecanismos de control de los recursos informáticos y de telecomunicacones 8.1 Criterios generales Todos los recursos informáticos y de telecomunicaciones (equipos tecnológicos, servicios y herramientas informáticas) de propiedad de la Contraloría General del Estado puestas a disposición de las servidoras y servidores, deben ser utilizados con fines exclusivamente institucionales y relacionados con las funciones que desempeñan. La institución se reserva el derecho de comprobar, cuando lo estime conveniente, si su utilización se ajusta a dicha finalidad y a lo previsto en este reglamento. 8.2 Tipos de controles Control permanente De manera permanente, sólo el personal autorizado por la Dirección de Tecnología de Información y Comunicaciones (DTIC), con herramientas de monitoreo y seguridad, podrá revisar y verificar, a través de la red interna institucional, los programas instalados y servicios puestos a disposición de las servidoras y servidores de la institución, precautelando la privacidad, integridad y confidencialidad de la información y enmarcándose dentro de las actividades propias que son de competencia de la Dirección de Tecnología de Información y Comunicaciones (DTIC). Control a través del acceso físico a los equipos informáticos Sin perjuicio de que resulte innecesario, el control por parte de la Contraloría General del Estado podrá ser realizado a través del acceso físico a los equipos informáticos de sus servidoras y servidores, sobre la base de las pruebas obtenidas de eventuales usos indebidos en la aplicación del numeral 8.2 Control permanente. Dicho acceso podrá realizarse únicamente si la autoridad lo considera oportuno, en función de las circunstancias concurrentes, siempre observando los derechos de legitimidad, privacidad y confidencialidad del usuario, de acuerdo al siguiente procedimiento: Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 9
1. Se hará en presencia de la servidora o servidor al que esté asignado el equipo informático que vaya a ser objeto de revisión y dentro de la jornada de trabajo. Si la servidora o servidor se niega a estar presente durante la revisión de su equipo, se hará constar esta circunstancia en el acta que se levante. 2. En la acción de control, se evitará la presencia de otras servidoras o servidores de la Contraloría General del Estado. Para el efecto, podrá trasladarse el equipo informático que vaya a ser revisado a una sala o despacho donde pueda garantizarse su privacidad. 3. Por parte de la Contraloría General del Estado, estará presente un representante designado por la máxima autoridad. Asimismo, la entidad podrá contar con el apoyo y asesoramiento de uno o varios profesionales en materia informática, así como de un abogado de la institución. Si se considera conveniente, podrá requerirse la presencia de dos funcionarios, que actuarán en calidad de testigos. 4. El acceso al equipo informático será llevado a cabo por un profesional en materia informática que designe la Contraloría General del Estado. 5. La servidora o servidor usuario del equipo informático, deberá proporcionar todas las claves de acceso necesarias. Si se negare a facilitarlas, se hará constar esta situación en el acta correspondiente y, en tal caso, podrán adoptarse las medidas técnicoinformáticas necesarias que permitan el acceso al equipo y a los diferentes programas. 6. Para la revisión de los equipos podrá accederse a cuantos archivos resulten necesarios a fin de verificar si la utilización del equipo ha sido o no correcta. Si alguno de los archivos que estén siendo objeto de revisión contiene información de carácter personal o privado, antes de acceder al mismo se obtendrá el consentimiento previo de la servidora o servidor afectado. Si fuere otorgado, se procederá a la apertura del archivo y a la revisión de su contenido. Si no proporcionase su consentimiento, se le preguntará acerca del contenido del archivo. En caso de que la información facilitada no sea considerada suficiente por la Contraloría General del Estado, se procederá a la apertura del archivo y a la revisión de su contenido. 7. Para efectos de obtener pruebas de la incorrecta utilización del equipo informático, los archivos y demás documentos que evidencien tal hecho podrán imprimir, copiar o digitalizar. 8. Los documentos que se impriman serán firmados por los presentes y quedarán bajo la custodia de la institución. Si la Contraloría General del Estado lo considera conveniente, podrá ordenar la realización de dos copias de seguridad del contenido del equipo informático que vaya a ser objeto de revisión. Una de las copias deberá ser depositada en un lugar donde se garantice su seguridad, integridad, confidencialidad, disponibilidad e intangibilidad y la otra será objeto de revisión por parte de la institución en las condiciones antes referidas. 9. En el acta que se levante se hará constar el número de documentos impresos y el funcionario responsable de su custodia. Cuando uno de los presentes se negare a firmar alguno de los documentos que se impriman, las razones del hecho se indicarán en el acta, misma que contendrá principalmente: a. Nombres, apellidos y cédula o pasaporte de las personas que actúan en la diligencia y la calidad en la que comparecen en el proceso de revisión. b. Motivo de la acción de control y actuaciones de comprobación que se realicen. c. Descripción del resultado de las actuaciones de comprobación realizadas. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 10
d. Detalle de cualquier incidencia habida durante el proceso de revisión y de los comentarios y opiniones que los asistentes crean oportuno referenciar. 10. Quienes actúen en estas diligencias deberán guardar absoluta reserva, firmando un acuerdo de confidencialidad, en relación con el contenido de los archivos de carácter privado o personal que se hayan visualizado. De comprobarse su inobservancia, serán objeto de sanciones disciplinarias. 8.3 Reglas especiales en cuanto a la revisión del correo electrónico El servicio de correo electrónico que la Contraloría General del Estado brinda a las servidoras y servidores, deberá ser usado principalmente para propósitos institucionales y no deberá comprometer la imagen institucional. La Contraloría General del Estado, a través de la Dirección de Tecnología de Información y Comunicaciones, DTIC, establecerá los mecanismos necesarios para que el sistema informático pueda detectar el número de correos y las direcciones electrónicas que se han remitido desde cada usuario, así como los recibidos por sus servidoras o servidores. Únicamente las unidades administrativas o personal autorizado por la Dirección de Tecnología de Información y Comunicaciones, DTIC, podrán realizar envíos de correos masivos, sean dentro o fuera de la institución. Con respecto a los correos que no contengan información institucional, la Contraloría General del Estado, a través del personal autorizado por la Dirección de Tecnología de Información y Comunicaciones, DTIC, tendrá total libertad para revisarlos cuando: 1. Existan indicios razonables y suficientes de que puedan estar cometiéndose infracciones que impliquen la determinación de responsabilidades por la indebida utilización del correo electrónico. 2. Se presuma razonablemente que mediante la utilización del correo electrónico, exista acoso u otro tipo de hostigamiento que pueda ocasionar perjuicios a servidoras, servidores, proveedores y personas vinculadas o externas a la Contraloría General del Estado. Las revisiones manuales de los correos electrónicos se llevarán a cabo únicamente según lo establecido en el numeral 8.2 Control a través del acceso físico a los equipos informáticos. Art. 9.- Confidencialidad de la información Durante su relación de trabajo con la Contraloría General del Estado, las servidoras y servidores tendrán acceso a información perteneciente a la institución y en general a la que pueda obtenerse de la red. Esta información, en toda su extensión y sea cual sea el soporte en la que se encuentre, es absolutamente confidencial y queda sometida expresamente al deber de reserva. Todas las servidoras y servidores que realicen intercambio de información confidencial o reservada por otros medios de comunicación, como son: voz, fax y video; deberán tomar las debidas precauciones para impedir que esta información sea escuchada o copiada por personas no autorizadas, no dejar mensajes confidenciales en contestadores automáticos y evitar el envío de documentos por fax o correos electrónicos a destinatarios equivocados. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 11
Por consiguiente, las servidoras y servidores de la Contraloría General del Estado no podrán, directa o indirectamente, utilizar, dar a conocer, divulgar, suministrar, copiar, reproducir o hacer disponible para uso personal (excepto en los casos en que ello sea necesario para el correcto cumplimiento de sus obligaciones), respecto de terceros o en provecho propio, cualquier información, documento, datos, procedimientos, métodos, formularios, modelos, listados relacionados con la prestación de su servicio, así como de otro secreto o información confidencial o de carácter interno y reservada y de organización de la Contraloría General del Estado. Los usuarios de los sistemas y recursos informáticos de la Contraloría General del Estado deberán guardar la máxima reserva y no divulgar, ni utilizar directamente o a través de terceras personas, naturales o jurídicas, los datos, documentos, metodologías, contraseñas, análisis, programas y demás información a la que tengan acceso en el desempeño de sus funciones, tanto en soporte físico como electrónico. Estas acciones serán respaldadas con la firma de un acuerdo de confidencialidad por parte del usuario. Art. 10.- Actualización de información La Dirección de Recursos Humanos proporcionará a la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC), en forma inmediata, las novedades con respecto a los cambios administrativos de las servidoras y servidores, cese de funciones o comisión de servicios así como del personal contratado, pasantes o personas que mantengan alguna relación con la entidad, para habilitar o deshabilitar los servicios tecnológicos disponibles. Cuando se pierda la relación con la institución, deberán devolverse a la entidad todas las herramientas informáticas (equipos, software y otros accesorios tecnológicos) puestas a su disposición en estado razonable de conservación, incluida la información de la clave de acceso al computador. Queda terminantemente prohibido borrar archivos y en general, cualquier otra información almacenada en las herramientas informáticas que tenga relación con la Contraloría General del Estado. Este será responsable de los daños y perjuicios que dicho borrado pueda ocasionar a la institución, de conformidad con las normas pertinentes del Reglamento General Sustitutivo para el Manejo y Administración de Bienes del Sector Público. Art. 11.- Régimen sancionador El incumplimiento de las obligaciones previstas en el presente reglamento, posibilitará la aplicación del régimen disciplinario. Igualmente, se tendrán en cuenta las disposiciones que sobre la materia prevé la Ley de Comercio Electrónico, Firmas y Mensajes de Datos y su Reglamento. Art. 12.- Adaptación y revisión del reglamento Corresponde a las Direcciones de Tecnología de Información y Comunicaciones y de Investigación Técnica, Normativa y de Desarrollo Administrativo de la Contraloría General del Estado, introducir en el presente reglamento, los cambios que se consideren necesarios, en función de la posible aparición de nuevas herramientas o técnicas informáticas o de identificación de actividades que deban ser reguladas. Para el efecto, las reformas que se introduzcan serán sometidas a consideración del Contralor General del Estado para su posterior aprobación. Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 12
Las normas y procedimientos que regirán el adecuado manejo de este reglamento serán desarrolladas por la Dirección de Tecnología de Información y Comunicaciones de la Contraloría General del Estado (DTIC) de acuerdo a la normativa vigente y puestos a disposición del personal oportunamente para su conocimiento. Art.13.- Derogatoria y vigencia Déjase sin efecto el Reglamento para uso del Servicio de Internet Corporativo de la Contraloría General del Estado y el formulario de utilización, expedido mediante Acuerdo 010-CG de 14 de mayo de 2003. El presente acuerdo entrará en vigencia a partir de la presente fecha. Dado, en el Despacho del Contralor General del Estado, en la ciudad de San Francisco de Quito, Distrito Metropolitano, a 12 de noviembre de 2010. Comuníquese: Doctor Eduardo Muñoz Vega CONTRALOR GENERAL DEL ESTADO, ENCARGADO Dirección de Investigación Técnica, Normativa y de Desarrollo Administrativo Página 13