Auditoria dels controls bàsics de ciberseguretat dels majors ajuntaments de la Comunitat Valenciana. Exercicis 2019 i 2020
Els sistemes d’informació analitzats estan en risc davant de les amenaces de ciberseguretat.
València, 21 de juliol de 2020.- Després d'auditar un total de 120 controls bàsics en els quinze majors ajuntaments de la Comunitat Valenciana, de l'informe global realitzat per la Sindicatura de Comptes es despren que cap d'ells aconsegueix l’índex de maduresa del 80% requerit per l'ens fiscalitzador. És a dir: només es pot considerar l'obtenció d'un “aprovat” en ciberseguretat si s’arriba a la línia verda del gràfic següent:
BAIX ÍNDEX DE MADURESA DELS CBCS
En general, el nivell de compliment amb la normativa relacionada amb la seguretat de la informació és bastant insatisfactori
La revisió del compliment de legalitat en matèria relacionada amb la ciberseguretat ha posat de manifest que hi ha incompliments generalitzats d’aquesta normativa, amb un índex mitjà de compliment del CBCS 8 del 44,2%. Els màxims òrgans de direcció dels ajuntaments tenen la responsabilitat de garantir un nivell adequat de compliment de les normes legals i han d’impulsar les mesures necessàries per a esmenar la deficient situació existent.
Tots els ajuntaments han d'adoptar mesures per a millorar la seua ciberseguretat
D’un total de 120 controls bàsics revisats en els quinze ajuntaments, només quatre controls aconsegueixen el nivell de maduresa N3 establit com a objectiu en l’ENS. En el gràfic següent es mostren de forma resumida els nivells de maduresa observats per als huit controls bàsics en el conjunt dels quinze ajuntaments, i l’índex de maduresa (IM) mitjà de cada CBCS que s’hi ha observat.
SITUACIÓ DELS NIVELLS DE MADURESA EN ELS QUINZE AJUNTAMENTS AUDITATS
Mantindre una ciberhigiene adequada i un sòlid sistema de protecció davant de les ciberamenaces és més necessari que mai
La situació provocada per l’epidèmia de COVID-19 ha mostrat amb absoluta claredat la dependència total dels sistemes d’informació i les comunicacions que hi ha actualment en la gestió pública, i això fa que les administracions públiques siguen més vulnerables davant dels ciberatacs que mai i ha posat en relleu que mantindre una ciberhigiene adequada i un sòlid sistema de protecció davant d’aquells és de vital importància.
No existeix cost zero en matèria de seguretat de la informació
És necessari un major compromís i conscienciació dels òrgans de govern dels ajuntaments amb la seguretat dels sistemes d’informació i les comunicacions, la qual cosa comporta inevitablement una major inversió econòmica i en recursos humans qualificats.
En la fase final de discussió dels esborranys d’informe amb els diferents responsables ens han manifestat, en general, la seua voluntat d’esmenar les deficiències de control observades. En alguns casos les han esmenades abans de l’emissió de l’informe. En el Programa Anual d’Actuació de 2020 es preveu expressament realitzar un informe de “seguiment de les 11 auditories dels controls bàsics de ciberseguretat el treball de camp de les quals s’ha realitzat en 2019 (una vegada transcorregut un any des de la seua finalització)”. Raonablement, aquest seguiment tindrà continuïtat amb els quatre ajuntaments auditats en 2020.
Per a vore l'informe complet, feu clic ací.
NOTA
Aquest resum pretén ajudar a comprendre els resultats del nostre informe i facilitar la tasca als lectors i als mitjans de comunicació. Recomanem llegir-lo per a conéixer el veritable abast del treball realitzat.
