Se encuentran en elaboración los referentes a los ayuntamientos de León, Salamanca y Valladolid
VALLADOLID, 5 (EUROPA PRESS)
El Consejo de Cuentas de Castilla y León ha constatado proyectos en marcha en los ayuntamientos de Ávila, Burgos y Palencia que fortalecen sus políticas de ciberseguridad gracias a la financiación propiciada por los fondos europeos.
Así lo ha afirmado este lunes el presidente del Consejo de Cuentas, Mario Amilivia, en su comparecencia ante la Comisión de Economía y Hacienda del Parlamento autonómico para presentar los informes relativos al análisis de la seguridad informática de los citados ayuntamientos.
De ese análisis se desprende que los ayuntamientos de Ávila, Burgos y Palencia están avanzando en el refuerzo de sus políticas de ciberseguridad con la puesta en marcha de proyectos gracias a la financiación propiciada por los fondos europeos.
Proyectos que, para Amilivia, además de permitir que las administraciones realicen un uso “más eficiente” de las nuevas tecnologías en favor de los ciudadanos, es decir, progresando en transparencia, “contribuyen de manera decisiva a hacer frente a las constantes amenazas y brechas de seguridad en internet”.
Teniendo en cuenta que la finalidad de las auditorías realizadas a los tres ayuntamientos citados es promover un cambio positivo, el máximo responsable del Consejo de Cuentas ha explicado que se dejó transcurrir un cierto tiempo antes de su publicación para facilitar que las entidades corrigieran las debilidades que se pusieron de manifiesto.
En esta línea, Mario Amilivia ha afirmado que el Consejo de Cuentas es uno de los primeros órganos de control externo autonómicos en programar este tipo de auditorías.
Esto, ha continuado Amilivia, tras una primera serie publicada en 2021 sobre siete ayuntamientos de tamaño intermedio, se están abordando en la actualidad las capitales de provincia de Castilla y León atendiendo al impacto que esta materia puede tener en la vida de las personas.
Así, además de los tres informes presentados hoy, se encuentran en elaboración los referentes a los ayuntamientos de León, Salamanca y Valladolid.
ADMINISTRACIÓN ELECTRÓNICA
En este marco, el presidente del Consejo de Cuentas ha remarcado que dada la “importancia” adquirida por la administración electrónica, es “fundamental que las entidades locales, de forma especial las de mayor tamaño, tengan un adecuado sistema de seguridad para evitar riesgos de pérdida de datos o de imposibilidad de prestación de servicios en el caso de ataque informático”.
De esta manera, Amilivia ha señalado que ayuntamientos como Ávila, Burgos y Palencia han tenido que adaptarse necesariamente al uso de las nuevas tecnologías por la generalización de su uso como herramienta de trabajo y también por la digitalización creciente impuesta por la normativa.
Por otra parte, en el ejercicio de su función fiscalizadora, el Consejo de Cuentas debe poder confiar en los datos contenidos en los sistemas de las entidades fiscalizadas, lo que hace necesaria la existencia de controles eficientes de ciberseguridad, siendo los que se detallan en el alcance de estas tres fiscalizaciones referidas al ejercicio 2022 los más básicos.
Las 31 recomendaciones recogidas por el Consejo de Cuentas en las tres auditorías (doce al Ayuntamiento de Ávila; ocho al de Burgos y once al de Palencia) se han demostrado “fundamentales” a la hora de servir de guía y acicate a los consistorios auditados, pudiendo ser tomadas como punto de partida por otras entidades que quieran mejorar su seguridad informática.
Destaca, por ser común a los tres ayuntamientos, la necesidad de implicación de los máximos órganos directivos como único camino para obtener resultados efectivos, desterrando la idea de la seguridad como una responsabilidad del personal de tecnologías de la información exclusivamente.
CONTROLES BÁSICOS
Las auditorías se refieren a la verificación de las actuaciones, medidas y procedimientos adoptados para la implantación de los controles básicos de ciberseguridad y su grado de eficacia.
Así, se realizaron 8 controles verificando, por un lado, si se gestionan activamente todos los dispositivos hardware de la red; el inventario y control de software autorizado y no autorizado; la disposición de un proceso para obtener información sobre nuevas vulnerabilidades, reduciendo así la ventana de oportunidad a los atacantes.
Por otro, el chequeo a la disposición de herramientas control, prevención y corrección del uso y configuración de privilegios administrativos en ordenadores, redes y aplicaciones; la configuración de seguridad de dispositivos; el análisis sobre registros de eventos que pueden ayudar a detectar, entender o recuperarse de un ataque; la verificación sobre la realización de copias de seguridad de la información crítica y, por último, el cumplimiento normativo.
CONCLUSIONES
Varias de las conclusiones se refieren a asuntos como la dotación de puestos relacionados con las TIC, la gestión de los equipos, la estructura y dimensión de los sistemas o las conexiones y plataformas.
Con relación a la implantación de los controles básicos de ciberseguridad, los resultados reflejan deficiencias generalizadas en la mayoría de los controles, no alcanzando ninguno de los tres ayuntamientos un nivel de seguridad adecuado en el momento de realizarse la auditoría.
Los controles básicos de ciberseguridad definidos por la Asociación de Órganos de Control Externo Autonómicos se evalúan según el modelo de madurez de procesos, que establece seis niveles, de cero a cinco.
De esta manera, se considera que la actividad organizativa de los controles debe alcanzar como mínimo el nivel 3 de madurez, que implica un proceso bien definido y estandarizado. Los ayuntamientos de Burgos y Palencia reflejan un nivel de madurez 2, quedándose el de Ávila en un nivel 1.
Sobre dicho nivel se calcula el índice de cumplimiento que servirá de referencia para la evaluación global de los controles de ciberseguridad.
El índice mínimo de madurez se considera que es el 80 por ciento, pues bien, el ayuntamiento de Burgos alcanza un 67 por ciento, el de Palencia un 65 por ciento y el de Ávila un 43 por ciento.
De los controles revisados destaca como el mejor implantado en los tres ayuntamientos el número 7, que corresponde a las copias de seguridad, solo superado en el caso de Burgos por el control ocho, dedicado a aspectos normativos que, por contra, es el que peor resultado obtiene en los consistorios de Ávila y Palencia.
RECOMENDACIONES
En primer lugar, dos recomendaciones generales están dirigidas a los tres ayuntamientos, ya que el alcalde debería promover un compromiso firme por parte del pleno del ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo, que establezca una gobernanza de tecnologías de la información adecuada.
Del mismo modo, el Consejo de Cuentas plantea aprobar una política de seguridad que defina claramente las responsabilidades sobre la seguridad de los servicios que ofrece y la información que maneja, permitiendo dar continuidad al esfuerzo de adaptación necesario para el cumplimiento normativo.
Asimismo, recomienda dotar de recursos al departamento de Tecnología de la Información para solventar aquellos aspectos técnicos que precisan mejoras, no cubriendo las necesidades mediante personal sin vinculación laboral.
En último lugar, el Consejo de Cuentas propone que se debería culminar el proceso mediante la realización de auditorías o autoevaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su realización conjunta con las relativas a protección de datos personales.
- Te recomendamos -
