DOG 82 del 5/5/2026 - RESOLUCIÓN de 23 de abril de 2026 por la que se ordena la publicación del Acuerdo del Pleno de 22 de abril de 2026 por el que se establecen las normas para el uso seguro y adecuado de los sistemas de información y recursos TIC de la institución.

III. Otras disposiciones

Consejo de Cuentas de Galicia

RESOLUCIÓN de 23 de abril de 2026 por la que se ordena la publicación del Acuerdo del Pleno de 22 de abril de 2026 por el que se establecen las normas para el uso seguro y adecuado de los sistemas de información y recursos TIC de la institución.

En cumplimiento del Acuerdo de 22 de abril de 2026, del Pleno del Consejo de Cuentas, por el que se establecen las normas para el uso seguro y adecuado de los sistemas de información y recursos TIC de la institución, resuelvo publicar en el Diario Oficial de Galicia su texto completo.

Santiago de Compostela, 23 de abril de 2026

Juan Carlos Aladro Fernández
Consejero mayor del Consejo de Cuentas de Galicia

ANEXO

Acuerdo de 22 de abril de 2026, del Pleno del Consejo de Cuentas de Galicia, por el que se establecen las normas para el uso seguro y adecuado de los sistemas de información y recursos TIC de la institución

Exposición de motivos.

El 10 de julio de 2015 el Pleno del Consejo de Cuentas de Galicia aprobó la política de seguridad de la información (PSI). El artículo 14 de la PSI define la estructura normativa y sus niveles. En el segundo nivel se incluyen la propia PSI y las disposiciones generales en materia de seguridad aplicables al Consejo de Cuentas de Galicia. En su letra b) recoge el segundo nivel con el siguiente texto: «b) Según nivel normativo: constituido por las resoluciones en materia de seguridad que se definan en cada ámbito organizativo de aplicación específico. Las resoluciones, que comprenderán los procedimientos, las normas, las instrucciones técnicas de seguridad y recomendaciones de seguridad, serán de obligado cumplimiento. Sus cuerpos documentales, debidamente aprobados por el Pleno, deberán estar disponibles para su consulta general en la red interna de información del Consejo de Cuentas de Galicia».

El mismo artículo establece la obligación del personal del Consejo de conocer y cumplir todas las «directrices generales, normas y procedimientos de seguridad de la información que puedan afectar a sus funciones» y la obligación del Consejo de mantener este marco normativo a disposición del personal y «de aquellos otros organismos, públicos o privados que formen parte del ámbito de aplicación de la PSI».

Más adelante, el artículo 16, en su punto 2, en relación con los terceros que puedan relacionarse con el Consejo de Cuentas, dispone que, cuando el Consejo de Cuentas preste servicios o ceda información a terceros, estos se harán partícipes de esta PSI y de la normativa de seguridad que cumpla los citados servicios e información. En consecuencia, quedarán sujetos a las obligaciones establecidas en dicha normativa y podrán desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán procedimientos específicos de informe y resolución de incidentes y se garantizará que el personal de los terceros esté concienciado adecuadamente en materia de seguridad.

En desarrollo de lo dispuesto en los citados artículos, dentro del segundo nivel normativo de los establecidos en la letra b) del artículo 14 de la PSI, se aprueban las presentes directrices generales, para posibilitar garantizar la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información tratada, minimizar riesgos derivados del uso indebido o negligente de los recursos TIC, promover buenas prácticas en el manejo de la información, sistemas corporativos e instalaciones y establecer un marco de actuación que complemente la política de seguridad de la información del Consejo de Cuentas.

Dada la materia que se regula habrá de tenerse en cuenta en la aplicación de esta norma las disposiciones vigentes en materia de protección de datos personales, e implantación del Esquema Nacional de Seguridad, entre ellas el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de datos personales (RGPD), la Ley orgánica de protección de datos de carácter personal (LOPD) y normativa de desarrollo, el Real decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS) y el ya citado acuerdo que recoge la norma fundamental del Consejo de Cuentas de Galicia en esta materia el Acuerdo del Pleno de 10 de julio de 2015, por el que se aprueba la Política de seguridad de la Información del Consejo de Cuentas de Galicia.

En su virtud, el Pleno del Consejo de Cuentas de Galicia, en su sesión de 22 de abril de 2026,

ACUERDA:

Artículo 1. Objeto

El objeto de esta norma es establecer las pautas y responsabilidades que deben seguir todas las personas usuarias en la utilización de los recursos y sistemas de información del Consejo de Cuentas de Galicia, entre los que se incluyen sin carácter taxativo redes de comunicación, puestos de trabajo, dispositivos electrónicos, correo electrónico corporativo, aplicaciones e instalaciones físicas de la entidad.

Artículo 2. Ámbito de aplicación

La presente norma es de aplicación a todas las personas usuarias que tengan acceso a los sistemas de información, redes de comunicación y recursos informáticos del Consejo de Cuentas de Galicia con independencia de la naturaleza jurídica de su relación con el mismo.

Artículo 3. Definiciones

A efectos de esta norma, se entenderá por:

• Sistemas de información: conjunto de componentes que forman un todo destinado a obtener, procesar, registrar o distribuir información, independientemente del soporte en que esté almacenada.

• Redes de comunicaciones: infraestructuras de telecomunicación destinadas al transporte de la información entre sistemas.

• Recursos informáticos: cualquier parte componente de un sistema de información o red de comunicaciones.

• Aplicación informática: programa o conjunto de programas informáticos que tienen por objeto el tratamiento electrónico de la información.

• Soporte: cualquier medio físico utilizado para almacenar información.

• Monitorización: observación y registro de los accesos a la información o de los parámetros de las comunicaciones dentro de la legalidad vigente.

• Persona usuaria: toda persona física autorizada para la utilización de los sistemas de información, redes y dispositivos de comunicación del Consejo de Cuentas, sean o no empleados públicos, y con independencia de la naturaleza jurídica de su relación con el Consejo de Cuentas.

• Personal técnico: personal que legalmente desempeña funciones de administración, soporte y mantenimiento de los sistemas de información y equipamiento TIC, con independencia de la naturaleza jurídica de su relación con el Consejo de Cuentas.

Artículo 4. Uso del equipamiento

El uso del equipamiento del Consejo de Cuentas se realizará de acuerdo con las siguientes prescripciones:

a) El equipamiento solo se utilizará para los fines profesionales asignados.

b) La persona usuaria será la responsable de la custodia y buen uso del equipamiento entregado.

c) Las actualizaciones de software, antivirus y mecanismos de seguridad establecidos en el equipamiento no se deberán desactivar ni modificar.

d) No se accederá físicamente al interior del equipamiento, salvo por el personal de soporte técnico.

e) No se conectarán dispositivos externos sin autorización.

f) Los dispositivos portátiles deberán guardarse en zonas seguras cuando no se utilicen.

g) Las personas usuarias bloquearán los equipos al ausentarse del puesto de trabajo.

h) Se facilitará el acceso del personal de soporte técnico para labores de mantenimiento, siguiendo sus instrucciones.

i) El equipamiento deberá ser devuelto la mayor brevedad posible cuando finalice su vinculación con el puesto.

j) La información almacenada en el equipamiento devuelto será custodiada y puesta a disposición del personal de soporte técnico que aplicará la normativa vigente en materia de borrado seguro.

Artículo 5. Uso de aplicaciones y redes

El uso de aplicaciones y redes informáticas se sujetará a las siguientes obligaciones:

a) Las aplicaciones solo se utilizarán para los fines profesionales asignados.

b) No se podrá utilizar software no corporativo sin autorización.

c) No se podrá instalar software adicional, salvo autorización, y deberá ser instalado por el personal de soporte técnico.

d) No se podrá utilizar el software corporativo fuera del ámbito del Consejo de Cuentas, sin la debida autorización.

e) No se podrá instalar o utilizar software que no disponga de la licencia correspondiente o que su utilización no se adecue a la legislación vigente.

f) No se conectarán los dispositivos corporativos a redes no autorizadas.

g) No se conectarán dispositivos personales a las redes corporativas del Consejo, salvo autorización expresa.

h) La monitorización del uso de sistemas y redes será ordinariamente automática afectando al uso de la red y con los únicos fines de seguridad y rendimiento de los sistemas, pudiendo realizarse de forma aleatoria con idénticos fines, respetando en ambos casos las normas de protección de datos.

Artículo 6. Protección de la información

Toda la información existente en los recursos informáticos del Consejo de Cuentas de Galicia es propiedad y responsabilidad de esta institución. Su uso, acceso, creación, modificación o supresión se realizará de acuerdo con la normativa vigente en esta materia, incluyendo la relativa a la protección de datos de carácter personal y el archivo y conservación de la documentación.

En particular se tendrán en cuenta las siguientes obligaciones:

a) Toda la información se deberá tratar con confidencialidad y se usará exclusivamente para las tareas encomendadas.

b) Se deberá garantizar que la información sensible no quede expuesta ni accesible a personas ajenas.

c) Se deberá conocer y respetar la normativa vigente en materia de protección de datos personales y seguridad de la información y archivo.

d) La información se deberá almacenar preferentemente en los sistemas corporativos de red.

e) El acceso a la información estará limitado a las personas autorizadas.

f) Las autorizaciones de acceso a la información serán personales e intransferibles.

g) Las contraseñas deberán ser seguras, quedando prohibida su difusión.

Artículo 7. Deber de informar sobre incidencias

Las personas usuarias estarán obligadas a notificar cualquier suceso, situación anómala o sospechosa relacionada con la información, con los datos personales o con los sistemas de información del Consejo de Cuentas a los superiores, al Servicio de informática (informatica@ccontasgalicia.es) o al delegado de protección de datos (dpd@ccontasgalicia.es), para su gestión y resolución.

En concreto, las personas usuarias deberán realizar una notificación cuando se encuentren en alguna de las siguientes situaciones:

a) Pérdida o sustracción de algún dispositivo informático del Consejo.

b) Sospechas de compromiso del dispositivo o los servicios que emplea.

c) Sospechas de comportamiento no usual en los sistemas o redes, como actividad sospechosa o cambios no autorizados.

d) Anomalías en el uso del acceso a internet.

e) Incidentes de correo electrónico, así como correos sospechosos recibidos de fuentes no fiables que incluyan ficheros o enlaces anexos, los cuales no deben ejecutarse y generan dudas de fiabilidad.

f) Sospechas de utilización de sus credenciales por otra persona.

g) Solicitud de credenciales por parte de otro personal del Consejo del Contas.

h) Sospechas que se está comprometiendo la información tratada, especialmente en el caso de incorporar datos personales o confidenciales.

La persona usuaria deberá proporcionar toda la información relativa al incidente que le sea solicitada a través de los canales de comunicación habilitados y atender las indicaciones recibidas orientadas a la resolución del incidente.

Artículo 8. Inspección

El Comité de Seguridad de la Información del Consejo de Cuentas podrá revisar el estado y el uso de los equipos, dispositivos y redes de comunicación, por razones de seguridad y calidad del servicio, para verificar su correcto funcionamiento y el cumplimiento de las medidas de seguridad vigentes.

El Comité de Seguridad de la Información del Consejo de Cuentas velará por el cumplimiento de la presente normativa e informará al Pleno de los incumplimientos o deficiencias de seguridad observados, con objeto de que se tomen las medidas oportunas. Estas medidas podrán incluir el bloqueo o suspensión temporal para aquellas cuentas, sistemas de información o de comunicaciones en los que se detecte que realizan o pueden realizar acciones dañinas. El servicio se restablecerá cuando la causa de su degradación sea emendada.

Artículo 9. Concienciación

El Comité de Seguridad de la Información promoverá de forma periódica la formación y la concienciación de las personas usuarias sobre buenas prácticas, riesgos de seguridad y procedimientos internos de seguridad de la información.

Artículo 10. Consecuencias del incumplimiento

El incumplimiento de lo dispuesto en la presente norma podrá dar lugar la responsabilidad administrativa o penal, que será depurada después del correspondiente procedimiento, de acuerdo con la normativa aplicable al caso concreto, incluyendo las posibles responsabilidades económicas por daños o perjuicios al Consejo de Cuentas de Galicia, o a terceros legalmente protegidos.

Disposición adicional única. Revisión

De acuerdo con lo dispuesto en la política de seguridad de la información del Consejo de Cuentas de Galicia, corresponde al Comité de Seguridad de la Información proceder a su revisión, anualmente con carácter ordinario, y con carácter extraordinario cuando fuese preciso para el cumplimiento de sus fines, o para la adaptación a variaciones normativas de aplicación en la materia.

Disposición final única

El presente acuerdo entrará en vigor el día siguiente al de su publicación.