El Consejo de Cuentas recomienda una estrategia de seguridad informática a largo plazo para el ayuntamiento de Palencia
Una recomendación que también se extiende a los ayuntamientos de Ávila y Burgos
:quality(70):focal(1173x365:1183x375)/cloudfront-eu-central-1.images.arcpublishing.com/prisaradio/XCWCWZB6PFB4DAGT4Y7E5XSUXI.JPG)
El Consejo de Cuentas recomienda una estrategia de seguridad informática a largo plazo para los ayuntamientos de Ávila, Burgos y Palencia / Consejo de Cuentas
Palencia
El Consejo de Cuentas de Castilla y León recomienda a los ayuntamientos de Ávila, Burgos y Palencia la puesta en marcha de una estrategia de seguridad informática a largo plazo con el fin de que pongan en práctica una gobernanza de tecnologías de la información adecuada.
Así lo concluye el órgano de control externo en los informes sobre el análisis de la seguridad informática de los tres ayuntamientos que acaba de entregar al Parlamento autonómico y en los que apunta al impulso de actuaciones tendentes a solventar incumplimientos normativos y corregir deficiencias técnicas.
La Conferencia de Presidentes de la Asociación de Órganos de Control Externo Autonómicos (Asocex), de la que forma parte el Consejo, aprobó en 2018 la guía práctica de fiscalización para la revisión de los controles básicos de ciberseguridad, siendo el órgano castellano y leonés uno de los primeros en programar este tipo de auditorías.
Tras una primera serie publicada el pasado año correspondiente a siete ayuntamientos de tamaño intermedio (población entre 10.000 y 20.000 habitantes), se abordan ahora las capitales de provincia de la Comunidad, pensando en el impacto que esta materia puede tener en la vida de los ciudadanos. Además de los tres informes que hoy se divulgan, actualmente el Consejo está elaborando los referentes a los ayuntamientos de León, Salamanca y Valladolid.
Se trata de una auditoría operativa cuyo objetivo principal es verificar el funcionamiento de los controles básicos de ciberseguridad implantados por la entidad fiscalizada y, en función de los resultados, proponer recomendaciones de mejora. Así, se han analizado las actuaciones, medidas y procedimientos adoptados para la efectiva implantación de los controles básicos de ciberseguridad, así como el grado de efectividad alcanzado por estos controles.
Dada la importancia adquirida por la administración electrónica, es fundamental que las entidades locales, especialmente las de mayor tamaño, tengan un adecuado sistema de seguridad para evitar riesgos de pérdida de datos o de imposibilidad de prestación de servicios en el caso de ataque informático.
Los ayuntamientos objeto de esta fiscalización cuentan con tamaño suficiente para disponer de una estructura de tecnologías de la información y de las comunicaciones de cierta complejidad. Han tenido que adaptarse necesariamente al uso de las nuevas tecnologías por la generalización de su uso como herramienta de trabajo y también por la digitalización creciente impuesta por la normativa.
En definitiva, han sufrido una transformación digital que debe cumplir unos requisitos mínimos de seguridad en sus sistemas de información, al ser estos el soporte de los procesos básicos de gestión que los ayuntamientos llevan a cabo, incluyendo algunos tan relevantes como la gestión contable y presupuestaria, la recaudación de tributos o la gestión del padrón municipal.
En el ejercicio de su función fiscalizadora, el Consejo de Cuentas debe poder confiar en los datos contenidos en los sistemas de las entidades fiscalizadas, como único soporte existente de la información económica y financiera, y para ello es necesario que existan unos controles eficientes de ciberseguridad, siendo los que se detallan en el alcance de esta fiscalización, los más básicos.
Teniendo en cuenta que la finalidad de estos informes de auditoría es promover un cambio positivo, antes de su publicación se deja transcurrir un cierto tiempo para facilitar que las entidades corrijan las debilidades puestas de manifiesto. En este sentido, las recomendaciones son fundamentales a la hora de servir de guía y acicate a los ayuntamientos auditados, y pueden ser tomadas como punto de partida por otras entidades que quieran mejorar su seguridad informática. Por parte de los entes fiscalizados se ha obtenido una recepción muy positiva a lo largo de la ejecución de los trabajos, con la aplicación inmediata de mejoras.
Los controles básicos de ciberseguridad definidos por Asocex se evalúan según el modelo de madurez de procesos, que define seis niveles. Los órganos de control externo autonómicos consideran que la actividad organizativa de los controles debe alcanzar como mínimo el nivel 3 de madurez, que implica un proceso bien definido y estandarizado. Sobre dicho nivel se calcula el índice de cumplimiento que servirá de referencia para la evaluación global de los controles de ciberseguridad. El índice mínimo de madurez se considera que es el 80%.
El Consejo de Cuentas realiza 12 recomendaciones al Ayuntamiento de Ávila, 8 al de Burgos y 11 al de Palencia
Entre ellas, con carácter general, el alcalde debería promover un compromiso firme por parte del pleno del ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo, que establezca una gobernanza de tecnologías de la información adecuada.
Por su parte, el concejal competente en la materia debería impulsar actuaciones para solventar los incumplimientos normativos y las deficiencias de carácter técnico que se han constatado durante la revisión de los controles.
Para esta tarea, organismos como el Centro Criptológico Nacional, la Federación Española de Municipios y Provincias o la Agencia Española de Protección de Datos publican guías detalladas que ofrecen modelos completos para la adaptación de los ayuntamientos de características similares que pueden ser tomadas como referencia para facilitar el proceso.
Asimismo, debería impulsar la adecuada dotación de las plazas contempladas en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información.
Además, debería impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte del fabricante.
También debería impulsar la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de administración de acuerdo con lo especificado en el Esquema Nacional de Seguridad.
Finalmente, el responsable de seguridad que se determine en la política de seguridad debería garantizar que existe una documentación suficiente del entorno de tecnologías de la información del ayuntamiento para asegurar que el conocimiento sobre los sistemas de información está disponible con independencia de las personas que formen el servicio. Además, debería valorar juntamente con el responsable del sistema, el empleo de herramientas automatizadas para la detección de vulnerabilidades.
