Informe de auditoría de los controles básicos de ciberseguridad de la Diputación de Castellón. Ejercicio 2021

València, 25 de enero de 2022.- La Sindicatura de Comptes ha realizado una auditoría de los controles básicos de ciberseguridad (CBCS) de la Diputación de Castellón. Un trabajo en sintonía con su plan estratégico y que atiende a la realidad de la transformación digital que están experimentando todas las administraciones públicas y su interconexión a través de complejas redes informáticas, un hecho que las expone de forma cada vez más intensa a amenazas provenientes del ciberespacio. Esto origina un incremento de los riesgos asociados a los sistemas de información que sustentan los servicios públicos y, por tanto, a la información que manejan. De hecho, las entidades locales han sido uno de los objetivos más afectados por las recientes oleadas de ciberataques.

El informe de la auditoría presenta una serie de conclusiones, que se resumen a continuación:

1. El índice de madurez general de los CBCS muestra un valor del 63,7%, pero todavía debe mejorar para alcanzar el objetivo del 80%. No se han identificado deficiencias graves de control y todos los CBCS analizados alcanzan un nivel de madurez N2, pero existen claras posibilidades de mejora para alcanzar los niveles exigidos por el ENS para la protección de los sistemas de información. Para subsanar las principales deficiencias detectadas se han realizado las pertinentes recomendaciones.
2. Hemos podido verificar que la Diputación tiene establecida una aceptable gobernanza de la ciberseguridad. Los órganos superiores de la Diputación, como responsables del sistema de control, deben reforzar el actual nivel de compromiso y apoyo en forma de recursos humanos y presupuestarios dedicados a la seguridad de la información.
3. La revisión del cumplimiento de legalidad en materia relacionada con la seguridad de la información ha puesto de manifiesto un nivel razonable de adecuación a las normas legales. No obstante, el informe señala varios aspectos pendientes de mejora sobre los que se debe actuar para su pronta subsanación. Respecto del Esquema Nacional de Seguridad, la Diputación debe solventar las no conformidades identificadas en la auditoría de cumplimiento realizada, de forma que le permita obtener la certificación de conformidad y el distintivo correspondiente para su publicación en la sede electrónica.

A su vez, la Sindicatura realiza una serie de recomendaciones con el propósito de contribuir a la subsanación de las deficiencias observadas y a la mejora de los procedimientos de gestión de la ciberseguridad de la Diputación, entre las que figuran: 

1. Actualizar y mejorar los procedimientos de seguridad existente para todos los controles analizados.
2. Implantar soluciones que permitan restringir el acceso de dispositivos físicos no autorizados a la red

            corporativa (CBCS 1).     

1. Elaborar y aprobar un plan anual de mantenimiento y un catálogo de aplicaciones autorizadas (CBCS 2).
2. Ejecutar pruebas periódicas de recuperación de copias de seguridad (CBCS 7).

Para ver el informe completo, haga clic aquí. 

NOTA

Este resumen pretende ayudar a la comprensión de los resultados de nuestro informe y facilitar la labor a los lectores y a los medios de comunicación. Recomendamos su lectura para conocer el verdadero alcance del trabajo realizado.