Informe de seguimiento de las recomendaciones realizadas en el informe de auditoría de los controles básicos de ciberseguridad del Ayuntamiento de Elche del año 2019
València, 15 de septiembre de 2022.- La transformación digital que están experimentando todas las Administraciones públicas y su interconexión a través de complejas redes informáticas las expone de forma cada vez más intensa a amenazas provenientes del ciberespacio. Esto origina un incremento de los riesgos asociados a los sistemas de información que sustentan los servicios públicos y, por tanto, a la información que manejan. De hecho, las entidades locales han sido uno de los objetivos más afectados por las recientes oleadas de ciberataques.
Atendiendo a esta realidad, y en sintonía con su actual plan estratégico, la Sindicatura de Comptes ha realizado un trabajo de seguimiento de los controles básicos de ciberseguridad (CBCS) del Ayuntamiento de Elche respecto a la situación mostrada en la auditoría del año 2019.
Conclusiones
Aunque se han realizado progresos desde nuestra anterior auditoría y se han atendido parcialmente algunas de nuestras recomendaciones, el índice de madurez general de los controles básicos de ciberseguridad, cuyo objetivo sería alcanzar un 80 % , muestra un valor del 50,3% (40,7% en 2019), por lo que el nivel de efectividad en los controles analizados sigue siendo insuficiente y debe mejorar para alcanzar los niveles exigidos por el Esquema Nacional de Seguridad para la protección de los sistemas de información, especialmente en aquellos controles que presentan deficiencias significativas.
El Ayuntamiento de Elche no tiene establecida una adecuada gobernanza de la ciberseguridad, situación que debe ser subsanada. Los órganos de gobierno deben aprobar normas y procedimientos en relación con la seguridad de la información aplicables a toda la organización por igual. También es preciso que el comité de seguridad de la información, órgano imprescindible para coordinar la seguridad de la información en la entidad, se reúna regularmente, con objeto de conocer el estado de la seguridad de la información del Ayuntamiento y tomar las decisiones pertinentes de forma oportuna.
Asimismo, nuestra revisión también ha puesto de manifiesto un grado de cumplimiento muy deficiente en cuanto a la adecuación a las normas legales relacionadas con la seguridad de la información. El informe señala diversos aspectos sobre los que se debe actuar para su pronta subsanación.
Recomendaciones
También hemos realizado una serie de recomendaciones con el propósito de contribuir a subsanar las deficiencias observadas y mejorar los procedimientos de gestión de la ciberseguridad del Ayuntamiento. Entre ellas, aprobar formalmente un procedimiento unificado para la gestión del inventario y el control de activos físicos y de software que recoja el proceso actualmente implantado y se aplique a todos los sistemas de información del Ayuntamiento, aconsejamos finalizar la implantación de soluciones para restringir el acceso de dispositivos físicos no autorizados a la red corporativa, elaborar y aprobar formalmente un procedimiento para gestión de usuarios con privilegios de administración, y aprobar e implantar un procedimiento de configuración segura o bastionado de los sistemas que considere la seguridad por defecto y el criterio de mínima funcionalidad.
Para ver el informe completo, haga clic aquí: Informe de seguimiento de las recomendaciones realizadas en el informe de auditoría de los controles básicos de ciberseguridad del Ayuntamiento de Elche del año 2019
NOTA
Este resumen pretende ayudar a la comprensión de los resultados de nuestro informe y facilitar la labor a los lectores y a los medios de comunicación. Recomendamos su lectura para conocer el verdadero alcance del trabajo realizado.
