Auditoría de los controles básicos de ciberseguridad de los mayores ayuntamientos de la Comunitat Valenciana. Ejercicios 2019 y 2020
Los sistemas de información analizados están en riesgo frente a las amenazas de ciberseguridad.
València, 21 de julio de 2020.- Tras auditar un total de 120 controles básicos en los quince mayores ayuntamientos de la Comunitat Valenciana, del informe global elaborado por la Sindicatura de Comptes de la Comunitat Valenciana se desprende que ininguno de ellos alcanza el índice de madurez de los controles básicos de ciberseguridad del 80% requerido por el ente fiscalizador. Es decir: solo se puede considerar la obtención de un “aprobado” en ciberseguridad si se alcanza la línea verde en el siguiente gráfico:
BAJO ÍNDICE DE MADUREZ DE LOS CBCS
En general, el nivel de cumplimiento con la normativa relacionada con la seguridad de la información es bastante insatisfactorio
La revisión del cumplimiento de legalidad en materia relacionada con la ciberseguridad ha puesto de manifiesto que existen incumplimientos generalizados de esa normativa, siendo el índice medio de cumplimiento del CBCS 8 del 44,2%. Los máximos órganos de dirección de los ayuntamientos tienen la responsabilidad de garantizar un nivel adecuado de cumplimiento de las normas legales y deben impulsar las medidas necesarias para subsanar la deficiente situación existente.
Todos los ayuntamientos deben adoptar medidas para mejorar su ciberseguridad
De un total de 120 controles básicos revisados en los quince ayuntamientos, solo cuatro controles alcanzan el nivel de madurez N3 establecido como objetivo en el ENS. En el siguiente gráfico se muestra de forma resumida los niveles de madurez observados para los ocho controles básicos en el conjunto de los quince ayuntamientos, y el índice de madurez (IM) medio de cada CBCS observado en ellos.
SITUACIÓN DE LOS NIVELES DE MADUREZ EN LOS QUINCE AYUNTAMIENTOS AUDITADOS
Mantener una ciberhigiene adecuada y un sólido sistema de protección frente a las ciberamenazas es más necesario que nunca
La situación provocada por la epidemia de COVID-19 ha mostrado con absoluta claridad la total dependencia de los sistemas de información y las comunicaciones que existe actualmente en la gestión pública, lo que hace que las administraciones públicas sean más vulnerables que nunca frente a los ciberataques y ha puesto de relieve que mantener una adecuada ciberhigiene y un sólido sistema de protección frente a aquellos es de vital importancia.
No existe coste cero en materia de seguridad de la información
Es necesario un mayor compromiso y concienciación de los órganos de gobierno de los ayuntamientos con la seguridad de los sistemas de información y las comunicaciones, lo que inevitablemente conlleva una mayor inversión económica y en recursos humanos cualificados.
En la fase final de discusión de los borradores de informe con los distintos responsables, nos han manifestado, en general, su voluntad de subsanar las deficiencias de control observadas. En algunos casos las han subsanado antes de la emisión del informe. En el Programa Anual de Actuación de 2020 está expresamente previsto realizar un informe de “Seguimiento de las 11 auditorías de los controles básicos de ciberseguridad cuyo trabajo de campo se ha realizado en 2019 (una vez transcurrido un año desde su finalización)”. Razonablemente este seguimiento tendrá continuidad con los cuatro ayuntamientos auditados en 2020.
Para ver el informe completo, haga clic aquí.
NOTA
Este resumen pretende ayudar a la comprensión de los resultados de nuestro Informe y facilitar la labor a los lectores y a los medios de comunicación. Recomendamos su lectura para conocer el verdadero alcance del trabajo realizado.
