21 novembre 2022 Informes

Informe de seguiment de les recomanacions realitzades en l’informe d’auditoria dels controls bàsics de ciberseguretat de l’Ajuntament de Sant Vicent del Raspeig de l’any 2020

València, 21 de novembre de 2022.- La transformació digital que estan experimentant totes les administracions públiques i la seua interconnexió a través de complexes xarxes informàtiques les exposa de manera cada vegada més intensa a amenaces provinents del ciberespai. Això origina un increment dels riscos associats als sistemes d’informació que sustenten els serveis públics i, per tant, a la informació que manegen. De fet, les entitats locals han sigut un dels objectius més afectats per les onades recents de ciberatacs.

Atenent aquesta realitat, i en sintonia amb el seu pla estratètic actual, la Sindicatura de Comptes ha realitzat un treball de seguiment dels controls bàsics de ciberseguretat (CBCS) de l’Ajuntament de Sant Vicent del Raspeig respecte de la situació mostrada en l’auditoria de l’any 2020.

Conclusions

L’Ajuntament únicament ha atés de manera parcial algunes de les recomanacions del nostre informe anterior, i per això l’índex de maduresa general actual aconsegueix un 48,5% i només ha millorat lleument des del 42,3% valorat en l’auditoria de 2020. Per tant, l’índex de maduresa general dels controls bàsics de ciberseguretat actual és molt deficient i reflecteix un nivell de risc inacceptable, lluny del 80% requerit per l’ENS.


L’Ajuntament ha d’adoptar les mesures necessàries per a aconseguir els nivells exigits per l’Esquema Nacional de Seguretat per a la protecció dels sistemes d’informació, especialment en aquells controls que presenten deficiències significatives.

L'Ajuntament de Sant Vicent del Raspeig no té establida una adequada governança de la ciberseguretat, situació que ha de ser esmenada. Els òrgans de govern han d'aprovar normes i procediments en relació amb la seguretat de la informació aplicables a tota l'organització per igual i reforçar el suport en forma de recursos humans i pressupostaris dedicats a la seguretat de la informació.

Cal que el comité de seguretat de la informació, òrgan imprescindible per a coordinar aquesta seguretat en l'entitat, es reunisca regularment, a fi de conéixer l'estat de la seguretat de la informació de l'Ajuntament i prendre les decisions pertinents de manera oportuna. Els rols definits en la política corresponent de l'Ajuntament han de definir-se correctament i exercir les seues funcions de manera efectiva. A més, és necessària la implantació, en tots els nivells de l'Ajuntament, d'una cultura en matèria de ciberseguretat, impulsada per la direcció en forma de plans estratègics que definisquen objectius i mesures concretes, a més de la formació i conscienciació dels treballadors.

Així mateix, la nostra revisió també ha posat de manifest un grau de compliment molt deficient quant a l'adequació a les normes legals relacionades amb la seguretat de la informació. L'informe assenyala diversos aspectes sobre els quals s'ha d'actuar per a una ràpida esmena.

Recomanacions

També hem realitzat una sèrie de recomanacions amb el propòsit de contribuir a esmenar les deficiències observades i millorar els procediments de gestió de la ciberseguretat de l'Ajuntament, entre les quals, a més d'aprovar formalment procediments que descriguen les accions i controls implantats, recomanem la implantació de solucions per a restringir l'accés de dispositius físics no autoritzats a la xarxa corporativa, actualitzar els sistemes obsolets, l'ús d'una eina de gestió de vulnerabilitats, pedaços i actualitzacions per a tots els equips de l'entitat i aplicar seguretat per defecte a tots els sistemes i aplicacions crítiques de l'entitat.

 

Per a vore l'informe complet, feu clic ací: Informe de seguiment de les recomanacions realitzades en l’informe d’auditoria dels controls bàsics de ciberseguretat de l’Ajuntament de Sant Vicent del Raspeig de l’any 2020

 

NOTA

Aquest resum pretén ajudar a comprendre els resultats del nostre informe i facilitar la tasca als lectors i als mitjans de comunicació. Recomanem llegir-lo per a conéixer el veritable abast del treball realitzat.