• Su índice de cumplimiento global es del 79%, la mejor calificación de las registradas hasta la fecha tras los informes relativos a Ávila, Burgos, Palencia y Valladolid
  • El Consejo recomienda, entre otras cuestiones, que el Ayuntamiento de Salamanca ponga en marcha una estrategia sobre gobernanza de tecnologías de la información adecuada, así como una planificación de necesidades de renovación tecnológica

El Ayuntamiento de Salamanca logra la mejor calificación en ciberseguridad de las capitales de provincia auditadas hasta ahora por el Consejo de Cuentas de Castilla y León. Así lo remarca el informe sobre el análisis de la seguridad informática implantada por la entidad local que ha realizado el Consejo, el quinto de estas características efectuado hasta la fecha a las capitales de provincia de la Comunidad, y que tendrá su continuidad con el de la capital leonesa, actualmente en elaboración.

El Consejo lo da a conocer hoy después de ser entregado en las Cortes de Castilla y León. Tras las auditorías realizadas en 2021 a siete ayuntamientos de tamaño intermedio, desde el pasado año se abordan las relativas a las nueve capitales de provincia de la Comunidad

La situación global de los controles básicos de ciberseguridad del Ayuntamiento de Salamanca anota un índice de cumplimiento del 79%, la mejor calificación de las registradas en las auditorías realizadas hasta la fecha. Un porcentaje que sitúa a la entidad local a un solo punto del nivel 3 de madurez, que implica "un proceso bien definido y estandarizado". Sobre dicho nivel se calcula el índice de cumplimiento que servirá de referencia para la evaluación global de los controles de ciberseguridad. El índice mínimo de madurez se considera que es el 80%.

Los controles básicos de ciberseguridad definidos en este tipo de auditorías, en las que el Consejo de Cuentas se ha colocado a la vanguardia en el contexto autonómico, se evalúan según el modelo de madurez de procesos, que establece seis niveles. Los órganos de control externo autonómicos, el Consejo de Cuentas entre ellos, consideran que la actividad organizativa de los controles debe alcanzar como mínimo el nivel 3 de madurez.

Una trabajadora con su portátilUna trabajadora con su portátil

En el caso concreto de la auditoría del Ayuntamiento de Salamanca se ha verificado el funcionamiento de los controles básicos de ciberseguridad implantados por el Consistorio, el grado de efectividad de estos, aportándose también datos fundamentales sobre el grado de protección y de la capacidad para que la entidad pueda continuar con la actividad en caso de un ataque, así como propuestas de mejora.

A la hora de calibrar la puntuación y el índice de cumplimiento por controles básicos de ciberseguridad el Consejo de Cuentas chequeó distintos apartados como el inventario y control de dispositivos físicos; el de software autorizado y no autorizado; el proceso continuo de identificación y remediación de vulnerabilidades; el uso controlado de privilegios administrativos; configuraciones seguras de los distintos dispositivos de la entidad local; el registro de la actividad de los usuarios, las copias de seguridad de datos y sistemas, y el cumplimiento normativo.

En función de los resultados, y sin perjuicio de la calificación del indicador de cumplimiento de ciberseguridad, el informe recoge las distintas recomendaciones de mejora en esta materia.

Dada la importancia que ha adquirido la administración electrónica, es fundamental que los ayuntamientos, especialmente los de mayor tamaño, tengan un adecuado sistema de seguridad a fin de estar protegidos ante riesgos de pérdida de datos o de imposibilidad de prestación de servicios en caso de ataques.

Los ayuntamientos objeto de estas auditorías -en este caso el de la capital charra- han sufrido una transformación digital que debe cumplir unos requisitos mínimos de seguridad en sus sistemas de información, especialmente ante procesos tan relevantes como la gestión contable y presupuestaria, recaudación de tributos o la gestión del padrón municipal.

Este informe, al igual que los anteriores, busca promover un cambio positivo. Por ello, antes de su publicación se ha dejado transcurrir un cierto plazo de tiempo para facilitar que se hayan podido corregir las debilidades puestas de manifiesto. Las recomendaciones del Consejo están sirviendo de acicate a los ayuntamientos y pueden servir de estímulo para otras entidades que quieran mejorar su seguridad informática.

Recomendaciones. El Consejo de Cuentas realiza 5 recomendaciones al Ayuntamiento de Salamanca. Entre ellas, en línea con las recomendaciones ya realizadas a los ayuntamientos de Ávila, Burgos, Palencia y Valladolid, con carácter general, el alcalde debería impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias de carácter técnico que se han constatado durante la revisión de los controles.

Para esta tarea, organismos como el Centro Criptológico Nacional, la Federación Española de Municipios y Provincias o la Agencia Española de Protección de Datos publican guías detalladas que ofrecen modelos completos para la adaptación de los ayuntamientos de características similares que pueden ser tomadas como referencia para facilitar el proceso.

Además, el alcalde debería promover un compromiso firme por parte del pleno del Ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo, que establezca una gobernanza de tecnologías de la información adecuada.

Con carácter más específico, se recomienda al Ayuntamiento de Salamanca la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte del fabricante, asegurando una dotación presupuestaria adecuada.

Además, el alcalde debería impulsar la inclusión sistemática en la contratación de los de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de administración de acuerdo con el Esquema Nacional de Seguridad.

Finalmente, el Pleno del Ayuntamiento debe seguir liderando las actuaciones ya iniciadas en lo que se refiere a dotar a la entidad de una adecuada política de seguridad y una estructura del departamento de tecnologías de Ia información acorde y que permita cumplir el principio de "seguridad como responsabilidad diferenciada", de acuerdo con el Esquema Nacional de Seguridad.

Consejo de Cuentas de Castilla y León