17 gener 2023 Informes

Informe de seguiment de les recomanacions realitzades en l’informe d’auditoria dels controls bàsics de ciberseguretat de l’Ajuntament de Paterna de l’any 2019

València, 17 de gener de 2023.- La transformació digital que estan experimentant totes les administracions públiques i la seua interconnexió a través de complexes xarxes informàtiques les exposa de manera cada vegada més intensa a amenaces provinents del ciberespai. Això origina un increment dels riscos associats als sistemes d’informació que sustenten els serveis públics i, per tant, a la informació que manegen. De fet, les entitats locals han sigut un dels objectius més afectats per les onades recents de ciberatacs.

Atenent aquesta realitat, i en sintonia amb el seu pla estratègic actual, la Sindicatura de Comptes ha realitzat un treball de seguiment dels controls bàsics de ciberseguretat (CBCS) de l’Ajuntament de Paterna respecte de la situació mostrada en l’auditoria de l’any 2019.

Conclusions

L’Ajuntament ha realitzat determinades accions des de la nostra auditoria anterior i s’han atés, encara que parcialment, algunes de les nostres recomanacions.

L’índex de maduresa general dels controls bàsics de ciberseguretat, l’objectiu dels quals seria aconseguir un 80%, mostra un valor del 50,2%, que suposa una escassa millora respecte del 47,5% recollit en la nostra auditoria de 2019, per la qual cosa el nivell d’efectivitat en els controls analitzats continua sent insuficient. L’Ajuntament ha d’adoptar les mesures necessàries per a aconseguir els nivells exigits per l’Esquema Nacional de Seguretat per a la protecció dels sistemes d’informació, especialment en aquells controls que presenten deficiències significatives.


Hi ha un cert nivell de compromís i conscienciació amb la seguretat per part dels membres del departament TIC i dels òrgans superiors; no obstant això, diverses circumstàncies indiquen que la governança de la ciberseguretat no pot considerar-se efectiva, una situació que s’ha d’esmenar.

Cal que el comité de seguretat de la informació, òrgan imprescindible per a la seua coordinació, es reunisca regularment a fi de conéixer l’estat de la seguretat de la informació de l’Ajuntament i prendre les decisions pertinents de manera oportuna. A més, els rols establits en la política de seguretat de l’Ajuntament han de definir-se correctament i exercir les seues funcions de manera efectiva.

Es necessària la implantació d’una cultura en matèria de ciberseguretat que afecte tots els nivells de l’organització i que ha de ser impulsada per la direcció en forma de plans estratègics que definisquen objectius i mesures concretes, incloent-hi plans periòdics de formació i conscienciació per als treballadors.

Així mateix, la nostra revisió també ha posat de manifest un grau molt deficient de compliment quant a l’adequació a les normes legals relacionades amb la seguretat de la informació, que ja es van identificar en el nostre treball de 2019 i no s’han corregit. L’informe assenyala els incompliments normatius sobre els quals s’ha d’actuar. En aquest sentit, l’Ajuntament ha adjudicat en 2022 un contracte per a esmenar aquests incompliments.

Recomanacions

També hem realitzat una sèrie de recomanacions amb el propòsit de contribuir a corregir les deficiències observades i millorar els procediments de gestió de la ciberseguretat de l’Ajuntament, entre les quals, a més d’actualitzar els procediments de manera que descriguen les accions i controls implantats, recomanem la implantació de solucions per a restringir l’accés de dispositius físics no autoritzats a la xarxa corporativa, actualitzar els sistemes obsolets, l’ús d’una eina de gestió centralitzada de vulnerabilitats, pedaços i actualitzacions i l’aplicació de seguretat per defecte a tots els sistemas i aplicacions crítiques de l’entitat.


Per a vore l'informe complet, feu clic ací: Informe de seguiment de les recomanacions realitzades en l’informe d’auditoria dels controls bàsics de ciberseguretat de l’Ajuntament de Paterna de l’any 2019

 

NOTA

Aquest resum pretén ajudar a comprendre els resultats del nostre informe i facilitar la tasca als lectors i als mitjans de comunicació. Recomanem la lectura de l’informe complet per a conéixer el veritable abast del treball realitzat.