APRUEBA NORMA TECNICA PARA LA ADOPCION DE MEDIDAS DESTINADAS A MINIMIZAR LOS EFECTOS PERJUDICIALES DE LOS MENSAJES ELECTRONICOS MASIVOS NO SOLICITADOS RECIBIDOS EN LAS CASILLAS ELECTRONICAS DE LOS ORGANOS DE LA ADMINISTRACION DEL ESTADO Y DE SUS FUNCIONARIOS
    Núm. 93.- Santiago, 9 de mayo de 2006.- Vistos: Lo dispuesto en el artículo 32º Nº 6 de la Constitución Política de la República; la ley Nº 19.799, sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha firma; el DS Nº 181 de 2002, del Ministerio de Economía, Fomento y Reconstrucción, que aprobó el reglamento de la ley Nº 19.799; y lo dispuesto en la resolución Nº 520, de 1996, de la Contraloría General de la República.

    Considerando:

    1) Que, el artículo 47 del decreto supremo Nº 181, de 2002, del Ministerio de Economía, Fomento y Reconstrucción, reglamento de la ley Nº19.799, creó Comité de Normas para el Documento Electrónico.
    2) Que el Comité, en cumplimiento de su mandato, estableció como una de sus tareas específicas, la elaboración de una norma técnica para los órganos de la Administración del Estado, que determinará las directrices esenciales para la adopción de medidas destinadas a minimizar la recepción de mensajes electrónicos masivos no deseados en las casillas electrónicas de dichos órganos y en las asignadas a sus funcionarios.
    3) Que, dicha norma es de suma relevancia y necesidad, atendido que los referidos mensajes electrónicos, junto con recargar innecesariamente los sistemas informáticos institucionales, pueden ser causa de virus, códigos malignos, hoax y, en general, de cualquier tipo de información que puede poner en peligro la integridad y subsistencia de la documentación electrónica de Gobierno.
    4) Que, asimismo, la adopción de las medidas destinadas a minimizar la recepción de mensajes electrónicos no deseados contribuirá al aumento de la eficiencia y a la reducción de los costos operacionales de los órganos de la Administración del Estado.
    5) Que, para los efectos de elaborar la norma técnica mencionada, la Secretaría Técnica del Comité creó un grupo de trabajo ad hoc, en el que participaron representantes de los miembros del Comité de Normas para el Documento Electrónico, del Ministerio del Interior, de la Contraloría General de la República, del Servicio de Impuestos Internos, del Centro de Estudios de Derecho Informático de la Universidad de Chile, de Orion 2000, de Microsoft, de la Asociación de Proveedores de Internet y de la Asociación de Medios en Internet, y que fue asesorado técnicamente por el Laboratorio de Criptografía Aplicada y Seguridad (CASLab) de la Facultad de Ciencias Físicas y Matemáticas, de la Universidad de Chile.
    6) Que el trabajo de elaboración de la norma se realizó conforme a la política gubernamental orientada a la incorporación de las Tecnologías de la Información y Comunicaciones en los órganos de la Administración del Estado, para mejorar los servicios e información ofrecidos a los ciudadanos, aumentar la eficiencia y la eficacia de la gestión pública, e incrementar sustantivamente la transparencia del sector público y la participación de los ciudadanos.
    7) Que la labor desarrollada se concretó en la norma técnica que se aprueba en este acto, que busca la obtención de los siguientes objetivos en torno al manejo adecuado de los mensajes electrónicos masivos no solicitados por parte de los órganos de la Administración del Estado:
    a) Fijar recomendaciones y garantizar estándares mínimos sobre el adecuado manejo de los mensajes electrónicos, de manera de mitigar los efectos perjudiciales de los mensajes masivos no solicitados enviados a las casillas electrónicas de los órganos de la Administración del Estado y a las asignadas a sus funcionarios.
    b) Fijar recomendaciones que propendan al aseguramiento de la integridad y subsistencia de la documentación electrónica de los órganos de la Administración del Estado.
    c) Fijar recomendaciones tendientes a evitar que la recepción de mensajes electrónicos masivos no solicitados recargue innecesariamente los sistemas informáticos de los órganos de la Administración del Estado.
    d) Facilitar a las personas su relación con los órganos de la Administración del Estado, mediante el uso de mensajes electrónicos de manera segura y confiable,
    Decreto:

    Artículo primero: Apruébase la siguiente norma técnica para los órganos de la Administración del Estado sobre adopción de medidas destinadas a minimizar los efectos perjudiciales de los mensajes electrónicos masivos no solicitados recibidos en las casillas electrónicas de dichas reparticiones y en las asignadas a sus funcionarios.

 
NORMA TECNICA. PROCESAMIENTO Y MANEJO DE MENSAJES
      ELECTRONICOS MASIVOS NO DESEADOS
    Artículo 1º.- La presente norma técnica establece las condiciones mínimas que deben cumplir los órganos de la Administración del Estado para el procesamiento y manejo de los mensajes electrónicos recibidos en sus infraestructuras de comunicaciones, y las demás cuya aplicación se recomienda.
    Las exigencias y recomendaciones previstas en esta norma tienen por finalidad minimizar, a través del establecimiento e implementación de medidas de seguridad adecuadas, los efectos perjudiciales de los mensajes electrónicos masivos no solicitados, enviados a las casillas electrónicas de los órganos de la Administración del Estado y las asignadas a sus funcionarios, garantizando de esa forma, la integridad, permanencia, disponibilidad y acceso de la documentación electrónica de dichos órganos, y facilitando, además, las comunicaciones electrónicas seguras y confiables entre los órganos de la Administración del Estado, así como entre éstos y los ciudadanos.
    La presente norma se aplica a los mensajes electrónicos recibidos por los órganos de la Administración del Estado y por sus funcionarios, en las infraestructuras electrónicas institucionales.
    Artículo 2º.- Cada órgano de la Administración del Estado deberá adoptar las siguientes medidas de carácter general, sin perjuicio de lo dispuesto en el inciso final de este artículo:

a)  Identificar y evaluar los riesgos y costos asociados a la recepción de mensajes electrónicos masivos no deseados, esto es, que no digan relación con el ámbito de competencia del respectivo órgano de la Administración del Estado.
b)  Desarrollar, documentar y difundir políticas de uso, almacenamiento, acceso y distribución de mensajes electrónicos y de los sistemas informáticos utilizados en su procesamiento.
c)  Diseñar, documentar e implementar los procesos y procedimientos necesarios para poner en práctica las políticas a que se refiere la letra anterior.
d)  Monitorear el cumplimiento de los procedimientos establecidos y revisarlos, de manera de reducir los costos asociados a la recepción de mensajes electrónicos masivos no deseados que no guarden relación con el ámbito de competencia del Servicio de que se trate.
e)  Capacitar a los usuarios para operar la
    infraestructura de comunicaciones de acuerdo con las exigencias establecidas.
f)  Definir y documentar los roles y responsabilidades de las unidades organizacionales e individuos involucrados en cada uno de los aspectos mencionados en las letras anteriores.

    La adopción e implementación de las medidas señaladas en este artículo quedará sujeta a las consideraciones presupuestarias de cada Servicio.
    En caso que, atendido el presupuesto disponible, los costos involucrados sean muy elevados, el respectivo Jefe del Servicio deberá dictar una resolución fundada que explicíte las causas que le impiden adoptar todas o algunas de las citadas medidas, señalando el plazo propuesto para su adopción e implementación de éstas. Dicha resolución deberá ser puesta en conocimiento de la Secretaría Ejecutiva del Comité de Normas para el Documento Electrónico, dentro del décimo día siguiente a su dictación.
    Artículo 3º.- En la infraestructura de comunicaciones que utilice cada uno de los órganos de la Administración del Estado deberán instalarse el o los sistemas informáticos adecuados para filtrar los mensajes electrónicos a que se refiere esta norma, entrantes a su servidor o servidores de correo. En ningún caso la aplicación de estos sistemas podrá conculcar o vulnerar los derechos que la Constitución garantiza a todas las personas, por lo que en su diseño y operación deberán adoptarse las medidas y protecciones que aseguren el pleno respeto de aquellos.
    Artículo 4º.- Los órganos de la Administración del Estado deben proteger los servidores de correo para evitar un uso indebido de los mismos que pudiera causar detrimento de sus rendimientos o incapacidad de uso por parte de sus legítimos usuarios, situaciones que podrían afectar la fluida comunicación entre los órganos del Estado, así como entre éstos y los ciudadanos.
    Artículo 5º.- Los órganos de la Administración del Estado deberán solicitar a las entidades privadas o públicas que les provean servicios de acceso a Internet, por sí o a través de terceros, lo siguiente:

a)  Que se cautele la correcta instalación y funcionamiento de los servidores de correo de sus clientes, para evitar open relay.
b)  Que se ofrezca un punto de contacto para comunicarse con el encargado de seguridad informática del órgano de la Administración del Estado respectivo.
c)  Que se monitoree, al menos semanalmente, la red bajo su responsabilidad, debiendo alertar al encargado de seguridad informática de la red responsable para que solucione problemas, en su caso.
d)  Que se pone a disposición de sus clientes, en sus respectivos sitios web, las condiciones particulares de uso del servicio de correo electrónico que presta.
    Artículo 6º.- Los órganos de la Administración del Estado deberán, salvo circunstancias calificadas, evitar que las casillas electrónicas institucionales sean difundidas a través de su sitio web, construir directorios o índices de usuarios, y suministrar casillas electrónicas personales compartidas.
    Cuando fuese necesario difundir las casillas institucionales, los órganos de la Administración del Estado deberán optar por la inclusión de una imagen con la dirección electrónica, el ofuscamiento de ésta, o su despliegue mediante la ejecución de un script por parte de quien la requiera.
    Artículo 7º.- Los sistemas de procesamiento de mensajes electrónicos que el órgano de la Administración el Estado ponga a disposición de sus usuarios deben entregar facilidades para su filtrado con una configuración que garantice un nivel de protección adecuado, con especial consideración respecto de la inviolabilidad de las comunicaciones electrónicas.
    Artículo 8º.- Con la finalidad de asegurar un adecuado funcionamiento de las herramientas de filtrado, deberá realizarse mantenimiento y monitoreo de las mismas al menos cada 6 meses. Dichas acciones incluirán la actualización de la infraestructura de comunicaciones y de los sistemas de filtrado; la sintonización de filtros de acuerdo a las condiciones del sistema; la generación de estadísticas que permitan evaluar la eficacia de los filtros y sistemas de las herramientas de filtrado; la evaluación de nuevas herramientas que puedan tener un mejor desempeño que las existentes, de acuerdo a las condiciones, necesidades y requerimientos locales; y las demás que el administrador de correo determine.
    Artículo 9º.- Los órganos del Estado deberán instruir a sus funcionarios acerca de la adecuada utilización de las casillas institucionales que se les asignen para el cumplimiento de su funciones, propendiendo a que sean utilizadas exclusivamente para fines relacionados con las competencias propias del respectivo órgano. La utilización de dichas casillas para comunicaciones personales o privadas quedará prohibida cuando así lo ordene expresamente la respectiva autoridad o jefe superior de servicio, caso en que se autorizará a los funcionarios para habilitar y acceder a una casilla personal desde el terminal o equipo computacional que tengan asignado en la institución.
    Producido el cese en sus funciones de un usuario, se deberá configurar su servidor de correo para los efectos de rechazar automáticamente los mensajes electrónicos dirigidos a la casilla institucional personal que haya estado asignada a dicho usuario, debiendo informarse acerca de los motivos que determinan tal rechazo, y poniéndose a disposición de quienes hayan enviado dichos mensajes, una o más casillas electrónicas alternativas a las cuales dirigirse en caso de resultar necesario.
    Artículo segundo: El Ministerio del Interior, por intermedio del Subcomité de Gestión de Seguridad y Confidencialidad del Documento Electrónico, creado por el decreto supremo Nº 83 de 2004, del Ministerio Secretaría General de la Presidencia, deberá poner a disposición del Comité de Normas para el Documento Electrónico, dentro del plazo de 120 días contado desde la fecha de publicación en el Diario Oficial del presente decreto, una "Guía Modelo de Protección de Casillas Electrónicas", en que se establecerán los detalles técnicos asociados a la regulación mencionada en los artículos precedentes.
    Asimismo, deberá poner a disposición de los órganos de la Administración del Estado, recomendaciones de soluciones tecnológicas que permitan la implementación de las herramientas de filtrado objeto de esta norma.
    Artículo tercero: Los Subsecretarios y Jefes de Servicio de los órganos de la Administración del Estado deberán velar por el establecimiento y la adopción de una Guía de Protección de Casillas Electrónicas al interior de sus respectivas reparticiones, dentro del plazo de un año, contado desde la fecha de publicación del presente decreto. Los organismos del Estado deberán individualizar públicamente a los responsables de su implementación, aplicación y control, no pudiendo recaer en el mismo funcionario la implementación y aplicación, y el control de la misma.

    Artículo cuarto: A petición de parte o de oficio, y con el objeto de sugerir al Presidente de la República la actualización de la norma técnica fijada por este decreto, el Comité de Normas para el Documento Electrónico podrá iniciar un procedimiento de normalización en que se tengan en consideración los planteamientos del sector público, privado y de las Universidades.

    Anótese, tómese razón y publíquese. MICHELLE BACHELET JERIA, Presidenta de la República.- Paulina Veloso Valenzuela, Ministra Secretaría General de la Presidencia.- Andrés Zaldívar Larraín, Ministro del Interior.
    Lo que transcribo a Ud. para su conocimiento.- Saluda atte. a Ud., Carlos Carmona Santander, Subsecretario General de la Presidencia Subrogante.