El Consejo de Cuentas constata que el Ayuntamiento de Segovia avanza en ciberseguridad, pero anota deficiencias e incumplimientos
- El órgano de control divulga hoy el séptimo informe sobre esta materia de capitales de provincia. El Ayuntamiento de Segovia alcanza un nivel 2 de madurez, que se corresponde con un índice de cumplimiento global del 56%
- El Consejo anota 11 recomendaciones y subraya que el ayuntamiento debe seguir avanzando en la adaptación de los sistemas de información y en la implementación de las medidas definidas en el nuevo Esquema Nacional de Seguridad (ENS)
El Consejo de Cuentas divulga hoy el informe relativo al análisis de seguridad informática del Ayuntamiento de Segovia, el séptimo trabajo de análisis de los controles básicos de ciberseguridad de las capitales de provincia, después de los referidos a Ávila, Burgos, Palencia, León, Salamanca y Valladolid.
Valorando la situación del ayuntamiento al inicio de los trabajos de campo, de acuerdo con las evidencias aportadas, y teniendo en cuenta que la fiscalización alcanza a la situación existente en 2024, "el Consejo de Cuentas deja constancia de la voluntad y trabajo del consistorio en la mejora y desarrollo de un ámbito tan específico y complejo como es la seguridad informática", y realiza 11 recomendaciones a la institución local.
Entre estas, que debería impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias técnicas constatadas durante la revisión de los controles. Para esta tarea, organismos como el Centro Criptológico Nacional, la Federación Española de Municipios y Provincias o la Agencia Española de Protección de Datos publican guías detalladas que ofrecen modelos completos para la adaptación de los ayuntamientos de características similares que pueden ser tomadas como referencia.
La capital segoviana está trabajando en la adaptación al nuevo Esquema Nacional de Seguridad (ENS) de 2022, siguiendo el plan de adecuación elaborado. Dicho plan se está desarrollando, partiendo de la certificación de la conformidad con el ENS obtenida en 2023, así como otros aspectos tales como la gestión y monitorización por parte de un Centro de Operaciones en Seguridad o la utilización de un sistema de gestión de información y eventos de seguridad.
Conforme con ello, a juicio del Consejo "es necesario que esta administración local continúe avanzando en la adaptación de los sistemas de información y en la implementación de las medidas definidas en el nuevo ENS".
Dada la importancia adquirida por la administración electrónica, es fundamental que las entidades locales, especialmente las de mayor tamaño, tengan un adecuado sistema de seguridad para evitar riesgos de pérdida de datos o de imposibilidad de prestación de servicios en el caso de ataque informático.
En esta línea, con relación al presupuesto de 2022, el importe de los créditos definitivos del presupuesto de gastos del Ayuntamiento de Segovia se elevó a 88,6 millones de euros, con unas previsiones definitivas de ingresos de 88,6 millones.
Así, la entidad cuenta con tamaño suficiente para disponer de una estructura de tecnologías de la información y de las comunicaciones de cierta complejidad. Ha debido adaptarse necesariamente al uso de las nuevas tecnologías por la generalización de su uso como herramienta de trabajo y también por la digitalización creciente impuesta por la normativa.
Las recomendaciones del Consejo, al igual que todas las contenidas en los informes realizados desde 2021, persiguen promover un cambio positivo y que las entidades locales avancen en esta materia. Son fundamentales para servir de guía y acicate a los ayuntamientos auditados, pudiendo servir de "efecto espejo", esto es, ser tomadas como punto de partida por otras entidades que quieran mejorar su seguridad informática.
El Consejo de Cuentas analizó las actuaciones, medidas y procedimientos adoptados para la efectiva implantación de 8 controles básicos de ciberseguridad, así como el grado de efectividad alcanzado por estos controles (identificación y remediación de vulnerabilidades, copias de seguridad, inventario y control de software, cumplimiento normativo o registro de actividad de los usuarios, entre ellos).
Los 8 controles básicos de seguridad CBCS derivan de la guía práctica aprobada en 2018 por la Asociación de Órganos de Control Externo autonómicos ASOCEX, siendo el Consejo de Cuentas uno de los primeros en programar este tipo de auditorías.
Así, se considera que la actividad organizativa de los controles debe alcanzar como mínimo el nivel 3 de madurez, que implica "un proceso bien definido y estandarizado". Ello equivale en la evaluación global de los controles de ciberseguridad a un índice de cumplimiento del 80%. Pues bien, en el caso del Ayuntamiento de Segovia alcanza un nivel 2 de madurez, que se corresponde con un índice de cumplimiento global del 56%.
Recomendaciones del Consejo de Cuentas. Por parte del Pleno del ayuntamiento se debería asumir y promover un compromiso firme con el cumplimiento de la normativa, elaborando una estrategia a largo plazo, que establezca una gobernanza de Tecnologías de la Información adecuada.
Específicamente, sobre el entorno tecnológico, la entidad debería impulsar la adecuada dotación de las plazas contempladas en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información.
Por su parte, el responsable de seguridad debe garantizar que existe una documentación suficiente del entorno tecnológico del ayuntamiento para asegurar que el conocimiento de los sistemas de información está disponible con independencia de las personas que formen el servicio.
Sobre el inventario y control de activos y el uso controlado de privilegios administrativos, el consistorio debería impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte del fabricante.
Sobre el proceso continuo de identificación y corrección de vulnerabilidades, el responsable de seguridad debe participar juntamente con el responsable del sistema, en las decisiones que conllevan el empleo de herramientas automatizadas.
Además, el ayuntamiento debería impulsar la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de administración de acuerdo con lo especificado en el ENS.
En cuanto al cumplimiento normativo, el Pleno debe seguir liderando las actuaciones ya iniciadas en lo que se refiere a dotar a la entidad de una declaración de aplicabilidad, de acuerdo con lo especificado en el ENS. También, se debería requerir al delegado de protección de datos que supervise el cumplimiento del Reglamento General de Protección de Datos.
Además, el Pleno debería aprobar una normativa que garantice que el registro de actividad de los usuarios se realiza de acuerdo con el ENS, en concreto con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral.
Finalmente, la Intervención municipal debería realizar la auditoría anual de sistemas del registro contable de facturas. Para facilitar su cumplimiento, la Intervención General de la Administración del Estado, publicó una guía marco que contiene una serie de orientaciones a efectos de su realización.
El Consejo de Cuentas inició las auditorías de ciberseguridad en 2021, publicando las correspondientes a siete ayuntamientos de tamaño intermedio. Desde 2022 aborda la situación de la ciberseguridad en las capitales de provincia de la Comunidad pensando en el impacto que esta materia puede tener en la vida de los ciudadanos.
Además, en el ejercicio de sus funciones, el Consejo debe poder confiar en los datos contenidos en los sistemas de las entidades fiscalizadas como único soporte existente de la información económico y financiera, para lo que es necesario que haya controles eficientes de ciberseguridad, siendo los contemplados en este tipo de fiscalizaciones los más básicos.
