Informe de auditoría de los controles básicos de ciberseguridad de la Diputación de Alicante. Ejercicio 2021
València, 25 de noviembre de 2021.- La Sindicatura de Comptes ha realizado una auditoría de los controles básicos de ciberseguridad (CBCS) de la Diputación de Alicante, en sintonía con su actual plan estratégico y atendiendo a la realidad de la transformación digital que están experimentando todas las administraciones públicas y su interconexión a través de complejas redes informáticas. Un hecho que las expone de forma cada vez más intensa a amenazas provenientes del ciberespacio y origina un incremento de los riesgos asociados a los sistemas de información que sustentan los servicios públicos y, por tanto, a la información que manejan. En este sentido, las entidades locales han sido uno de los objetivos más afectados por las recientes oleadas de ciberataques.
La Sindicatura ha emitido en su informe de auditoría una serie de conclusiones y recomendaciones que se resumen a continuación.
Conclusiones
El índice de madurez general de los CBCS muestra un valor del 70,2%, que está cercano al objetivo del 80%, aunque todavía debe mejorar. En cuatro de los ocho CBCS analizados existe un índice de cumplimiento del 100%, pero hay otros en los que existen claras posibilidades de mejora para alcanzar los niveles exigidos por el ENS para la protección de los sistemas de información. Para subsanar las principales deficiencias detectadas se han realizado las pertinentes recomendaciones.
Hemos podido verificar que la Diputación de Alicante tiene establecida una adecuada gobernanza de la ciberseguridad. Los órganos superiores de la Diputación, como responsables del sistema de control, deben mantener el actual nivel de compromiso y apoyo en forma de recursos humanos y presupuestarios dedicados a la seguridad de la información.
La revisión del cumplimiento de legalidad en materia relacionada con la seguridad de la información ha puesto de manifiesto un nivel razonable de adecuación a las normas legales. No obstante, el informe señala varios aspectos pendientes de mejora sobre los que se debe actuar para su pronta subsanación. En materia de protección de datos personales deben finalizarse las evaluaciones de impacto de los riesgos detectados de nivel alto, que estaban en curso en el momento de la auditoría, y respecto del Esquema Nacional de Seguridad debe solventar las no conformidades identificadas en la auditoría de cumplimiento realizada, de forma que le permita obtener la certificación de conformidad y el distintivo correspondiente para su publicación en la sede electrónica.
Recomendaciones
También hemos realizado una serie de recomendaciones con el propósito de contribuir a la subsanación de las deficiencias observadas y a la mejora de los procedimientos de gestión de la ciberseguridad de la Diputación. Entre ellas aconsejamos actualizar y completar el procedimiento de seguridad existente para la identificación y remediación de vulnerabilidades (CBCS 3) y el procedimiento de configuración segura de los sistemas, de manera que considere la seguridad por defecto y el criterio de mínima funcionalidad (CBCS 5). También recomendamos que se apruebe formalmente un procedimiento para el tratamiento de los registros de auditoría de la actividad de los usuarios (CBCS 6) y que se actualice y complete el procedimiento de copias de seguridad (CBCS 7).
Para ver el informe completo, haga clic aquí.
NOTA
Este resumen pretende ayudar a la comprensión de los resultados de nuestro informe y facilitar la labor a los lectores y a los medios de comunicación. Recomendamos su lectura para conocer el verdadero alcance del trabajo realizado.
