Informe d’auditoria dels controls bàsics de ciberseguretat de la Diputació d’Alacant. Exercici 2021

València, 25 de novembre de 2021.- La Sindicatura de Comptes ha realitzat una auditoria dels controls bàsics de ciberseguretat (CBCS) de la Diputació d'Alacant, en sintonia amb el seu pla estratègic actual i atenent a la realitat de la transformació digital que estan experimentant totes les administracions públiques i la seua interconnexió a través de complexes xarxes informàtiques. Un fet que les exposa d’una manera cada vegada més intensa a amenaces provinents del ciberespai i origina un increment dels riscos associats als sistemes d’informació que sustenten els serveis públics i, per tant, a la informació que fan servir. En aquest sentit, les entitats locals han sigut un dels objectius més afectats per les recents onades de ciberatacs.

La Sindicatura ha emés en el seu informe d'auditoria una sèrie de conclusions i recomanacions que resumim a continuació.

Conclusions

L’índex de maduresa general dels CBCS mostra un valor del 70,2%, que està prop de l’objectiu del 80%, tot i que encara ha de millorar. En quatre dels huit CBCS analitzats hi ha un índex de compliment del 100%, però n’hi ha altres en què existeixen clares possibilitats de millora per a aconseguir els nivells exigits per l’ENS per a la protecció dels sistemes d’informació. Per a esmenar les principals deficiències detectades s’han realitzat les recomanacions pertinents.

Hem pogut verificar que la Diputació d’Alacant té establida una adequada governança de la ciberseguretat. Els òrgans superiors de la Diputació, com a responsables del sistema de control, han de mantindre el nivell de compromís i suport actual en forma de recursos humans i pressupostaris dedicats a la seguretat de la informació.

La revisió del compliment de legalitat en matèria relacionada amb la seguretat de la informació ha posat de manifest un nivell raonable d’adequació a les normes legals. No obstant això, l’informe assenyala diversos aspectes pendents de millora sobre els quals s’ha d’actuar per a una ràpida esmena. En matèria de protecció de dades personals s’han de finalitzar les avaluacions d’impacte dels riscos detectats de nivell alt, que estaven en curs en el moment de l’auditoria, i respecte de l’Esquema Nacional de Seguretat cal esmenar les no conformitats identificades en l’auditoria de compliment realitzada, de manera que li permeta obtindre la certificació de conformitat i el distintiu corresponent per a la seua publicació en la seu electrònica.

Reconamacions

També hem realitzat una sèrie de recomanacions amb el propòsit de contribuir a l’esmena de les deficiències observades i a la millora dels procediments de gestió de la ciberseguretat de la Diputació, entre les quals aconsellem actualitzar i completar el procediment de seguretat existent per a la identificació i solució de vulnerabilitats (CBCS 3) i el procediment de configuració segura dels sistemes, de manera que considere la seguretat per defecte i el criteri de mínima funcionalitat (CBCS 5). També recomanem que s’aprove formalment un procediment per al tractament dels registres d’auditoria de l’activitat dels usuaris (CBCS 6) i que s’actualitze i es complete el procediment de còpies de seguretat (CBCS7).

Per a vore l'informe complet, feu clic ací.  

NOTA

Aquest resum pretén ajudar a comprendre els resultats del nostre informe i facilitar la tasca als lectors i als mitjans de comunicació. Recomanem llegir-lo per a conéixer el veritable abast del treball realitzat.