El Consejo aprueba en La Bañeza los primeros 5 informes que analizan la seguridad informática de los ayuntamientos de Castilla y León
- El pleno de la institución se ha celebrado hoy por primera vez en este ayuntamiento leonés para dar luz verde a los informes sobre Béjar, Benavente, Ciudad Rodrigo, La Bañeza y Villaquilambre
- El Consejo de Cuentas es uno de los primeros órganos de control externo autonómicos en realizar este tipo de auditoría
El Pleno del Consejo de Cuentas se ha reunido hoy en el Ayuntamiento de La Bañeza para la aprobación de los cinco primeros informes sobre la seguridad informática en una serie inicial de diez ayuntamientos de Castilla y León incluida en el Plan Anual de Fiscalizaciones 2021.
El Pleno del órgano de control externo que preside Mario Amilivia, y que integran los consejeros Emilio Melero, Miguel Jiménez y el secretario, se ha celebrado en la ciudad de La Bañeza por primera vez, ya que al tratarse de una de las entidades locales objeto de esta primera serie de fiscalizaciones el Consejo ha querido acercar al nivel municipal, el más próximo a los ciudadanos, el trabajo realizado y sus principales recomendaciones.
El Consejo fue recibido a las 11 de la mañana por el alcalde, Javier Carrera, y otros representantes municipales, para iniciar la reunión media hora después en el propio Consistorio.
En concreto, han sido aprobadas para su remisión al Parlamento autonómico las auditorías referidas a Béjar, Benavente, Ciudad Rodrigo, La Bañeza, y Villaquilambre. Continúan en elaboración las relativas a las tres capitales de provincia incluidas en esta primera serie, Ávila, Burgos y Palencia, así como las referentes a Astorga y Santa Marta de Tormes.
La Conferencia de Presidentes de la Asociación de Órganos de Control Externo Autonómicos (Asocex) aprobó en noviembre de 2018 la guía práctica de fiscalización para la revisión de los controles básicos de ciberseguridad, siendo el Consejo de Cuentas uno de los primeros en incluir este tipo de auditorías en su programación.
Se trata de una auditoría operativa cuyo objetivo principal es verificar el funcionamiento de los controles básicos de ciberseguridad implantados por las diferentes entidades fiscalizadas. Así, se han analizado las actuaciones, medidas y procedimientos adoptados para la efectiva implantación de dichos controles, así como el grado de efectividad alcanzado.
Complementariamente, las auditorías realizadas también proporcionan a los entes fiscalizados información relevante sobre su capacidad para continuar con la actividad en caso de padecer un ataque, así como propuestas sobre posibles acciones de mejora.
El desarrollo de la administración electrónica para facilitar servicios a los ciudadanos por parte de las administraciones públicas, debe ir acompañado de las medidas de seguridad necesarias para proteger los datos. La transformación digital de los ayuntamientos tiene que cumplir unos requisitos mínimos de seguridad en sus sistemas de información, al ser estos el soporte de procesos tan relevantes como la gestión contable y presupuestaria, la recaudación de tributos o el padrón municipal.
El tamaño de los municipios que han sido objeto de los informes implica cierta complejidad de gestión, que contrasta con las escasas dotaciones de recursos humanos y materiales dedicados a su área tecnológica.
Además, el Consejo de Cuentas debe poder confiar en los datos contenidos en los sistemas de la entidad fiscalizada, como único soporte de la información económica y financiera. Para que un sistema de información sea fiable, es necesario, aunque no suficiente, que existan controles eficientes de ciberseguridad, siendo los que se detallan en el alcance de esta fiscalización los más básicos.
A cada ayuntamiento se le ha transmitido con carácter confidencial la situación detallada de los controles de seguridad auditados, con la debida prevención de la importancia de salvaguardar esa información. Los 5 informes calificados hoy en la ciudad de La Bañeza serán remitidos a las Cortes, dándose por parte del Consejo de Cuentas un plazo suficiente antes de que sea publicado el resumen de las conclusiones, para que los ayuntamientos puedan adoptar antes las medidas necesarias para reforzar sus mecanismos de control en materia de ciberseguridad.
Por otra parte, se les ha transmitido durante la elaboración de las auditorías, con carácter general, una serie de recomendaciones básicas para cualquier administración pública.
Entre otras recomendaciones, los ayuntamientos deben impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias de carácter técnico que se han constatado durante la revisión de los controles.
Para esta tarea, organismos como el Centro Criptológico nacional, la Federación Española de Municipios y Provincias o la Agencia Española de Protección de Datos publican guías detalladas que ofrecen modelos completos para la adaptación de los ayuntamientos de características similares que pueden ser tomadas como referencia para facilitar el proceso.
Además, los alcaldes deben promover un compromiso firme por parte del pleno de los respectivos ayuntamientos con el cumplimiento de la normativa, elaborando una estrategia a largo plazo, que establezca una gobernanza de tecnologías de la Información adecuada que contemple las siguientes iniciativas:
- Dotar de recursos al departamento de tecnologías de la información para solventar aquellos aspectos técnicos que precisan mejoras.
- Aprobar una política de seguridad que defina claramente las responsabilidades sobre la seguridad de los servicios que ofrece y la información que maneja, permitiendo dar continuidad al esfuerzo de adaptación necesario para el cumplimiento normativo.
- Específicamente, se debe culminar el proceso mediante la realización de auditorías o autoevaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su realización conjunta con las relativas a protección de datos personales.
Un aspecto básico que permite comenzar a estructurar y documentar el proceso de seguridad informática es el nombramiento por parte de los alcaldes de los respectivos ayuntamientos de los responsables de la información, del servicio y de la seguridad. El responsable de seguridad debería elaborar y elevar a su aprobación formal el procedimiento a seguir con detalle del alcance, tareas a realizar, responsabilidades, y registros o documentación que se genere.
Datos sobre el Ayuntamiento de La Bañeza
Por otra parte, el presidente del Consejo de Cuentas ha aportado algunos de los datos fundamentales sobre la información contable remitida por este ayuntamiento leonés. Así, ha valorado su situación económico-financiera conforme a los datos actualizados sobre las cuentas rendidas en el periodo 2016-2019, con una buena evolución tanto del resultado presupuestario de los últimos ejercicios (371.040 euros en el de 2019); como del remanente de tesorería para gastos generales 2,1 millones y de la propia evolución de la deuda municipal, que se ha logrado reducir un 57% desde el año 2016, concretamente de 4,4 a 1,9 millones de euros.
Anotó también el presidente del órgano de control externo que el ayuntamiento viene cumpliendo anualmente con la obligación de la rendición de cuentas, especialmente en el caso de las últimas, condicionadas por la complicada situación de la pandemia y su impacto en todas las administraciones.
El Consistorio bañezano ha cumplido también este año en plazo con la obligación de remitir anualmente la relación de contratos del ejercicio anterior (2020), habiendo asimismo remitido las correspondientes a los ejercicios 2018 y 2019, que tenía pendientes.