Informe de seguiment de les recomanacions realitzades en l’informe d’auditoria dels controls bàsics de ciberseguretat de l’Ajuntament de Gandia de l’any 2019

València, a 10 de maig de 2022.- La transformació digital que estan experimentant totes les administracions públiques i la seua interconnexió a través de complexes xarxes informàtiques les exposa d’una manera cada vegada més intensa a amenaces provinents del ciberespai. Això origina un increment dels riscos associats als sistemes d’informació que sustenten els serveis públics i, per tant, a la informació que manegen. De fet, las entitats locals han sigut un dels objectius més afectats per les recents onades de ciberatacs.

Atesa aquesta realitat, i en sintonia amb el seu pla estratègic actual, la Sindicatura de Comptes ha fet un treball de seguiment dels controls bàsics de ciberseguretat (CBCS) de l’Ajuntament de Gandia respecte a la situació mostrada en l’auditoria de l’any 2019.

Conclusions

Encara que s’han realitzat progressos des de la nostra auditoria anterior i s’han atés de manera parcial les nostres recomanacions, l’índex de maduresa general dels controls bàsics de ciberseguretat és encara insuficient i ha de millorar.

L’índex de maduresa general dels CBCS mostra un valor del 51,7%, per la qual cosa l’Ajuntament ha de prendre mesures per a reconduir la situació amb la finalitat d’aconseguir l’objectiu del 80%. A pesar de la millora experimentada des de l’índex de maduresa del 37,8% identificat en la nostra auditoria de 2019, el nivell d’efectivitat en els controls analitzats és insuficient i l’Ajuntament ha de continuar implantant millores per a aconseguir els nivells exigits per l’Esquema Nacional de Seguretat per a la protecció dels sistemes d’informació, especialment en els controls que presenten deficiències significatives.

Hem constatat que l’Ajuntament no té establida una adequada governança de la ciberseguretat. Els òrgans superiors de l’Ajuntament (alcalde i/o la Junta de Govern), com a responsables del sistema de control, han de reforçar el nivell actual de compromís i suport en forma de recursos humans i pressupostaris dedicats a la seguretat de la informació.

Així mateix, la nostra revisió ha posat de manifest un grau de compliment deficient de les normes legals relacionades amb la seguretat de la informació. L’informe assenyala diversos aspectes sobre els quals s’ha d’actuar per a una ràpida esmena. Respecte de l’Esquema Nacional de Seguretat, l’Ajuntament ha d’aprovar la política de seguretat de la informació (PSI) per mitjà de l’òrgan superior competent, efectuar la designació de les persones per als rols definits en la PSI i constituir els òrgans de govern de la seguretat allí descrits. En relació amb la protecció de dades personals, l’Ajuntament ha d’aplicar les mesures organitzatives i tècniques necessàries per a protegir les dades personals i planificar i executar auditories de compliment.

Recomanacions

També hem realitzat una sèrie de recomanacions amb el propòsit de contribuir a esmenar les deficiències observades i millorar els procediments de gestió de la ciberseguretat de l’Ajuntament, entre les quals aconsellem finalitzar i aprovar els procediments de seguretat en elaboració per als controls analitzats, inventariar els actius de l’entitat i impedir la connexió de dispositius no autoritzats a la xarxa corporativa, establir un procediment de gestió integral del programari que incloga, entre altres, l’actualització de tots els sistemes fora de suport, i aprovar i implantar un procediment de configuració segura o fortificació dels sistemes.

Per a veure l'informe complet, feu clic ací. 

NOTA

Aquest resum pretén ajudar a comprendre els resultats del nostre informe i facilitar la tasca als lectors i als mitjans de comunicació. Recomanem llegir-lo per a conéixer el veritable abast del treball realitzat.