Informe de seguimiento de las recomendaciones realizadas en el informe de auditoría de los controles básicos de ciberseguridad del Ayuntamiento de Gandia del año 2019
València, 10 de mayo de 2022.- La transformación digital que están experimentando todas las Administraciones públicas y su interconexión a través de complejas redes informáticas las expone de forma cada vez más intensa a amenazas provenientes del ciberespacio. Esto origina un incremento de los riesgos asociados a los sistemas de información que sustentan los servicios públicos y, por tanto, a la información que manejan. De hecho, las entidades locales han sido uno de los objetivos más afectados por las recientes oleadas de ciberataques.
Atendiendo a esta realidad, y en sintonía con su actual plan estratégico, la Sindicatura de Comptes ha realizado un trabajo de seguimiento de los controles básicos de ciberseguridad (CBCS) del Ayuntamiento de Gandia respecto a la situación mostrada en la auditoría del año 2019.
Conclusiones
Aunque se han realizado progresos desde nuestra anterior auditoría y se han atendido de forma parcial nuestras recomendaciones, el índice de madurez general de los controles básicos de ciberseguridad es todavía insuficiente y debe mejorar.
El índice de madurez general de los CBCS muestra un valor del 51,7%, por lo que el Ayuntamiento debe adoptar medidas para reconducir la situación con el fin de alcanzar el objetivo del 80%. A pesar de la mejora experimentada desde el índice de madurez del 37,8% identificado en nuestra auditoría de 2019, el nivel de efectividad en los controles analizados es insuficiente y el Ayuntamiento debe continuar implantando mejoras para alcanzar los niveles exigidos por el Esquema Nacional de Seguridad para la protección de los sistemas de información, especialmente en aquellos controles que presentan deficiencias significativas.
Hemos constatado que el Ayuntamiento no tiene establecida una adecuada gobernanza de la ciberseguridad. Los órganos superiores del Ayuntamiento (alcalde y/o la Junta de Gobierno), como responsables del sistema de control, deben reforzar el actual nivel de compromiso y apoyo en forma de recursos humanos y presupuestarios dedicados a la seguridad de la información.
Asimismo, nuestra revisión ha puesto de manifiesto un grado de cumplimiento deficiente de las normas legales relacionadas con la seguridad de la información. El informe señala diversos aspectos sobre los que se debe actuar para su pronta subsanación. Respecto del Esquema Nacional de Seguridad, el Ayuntamiento debe aprobar la política de seguridad de la información (PSI) por el órgano superior competente, realizar la designación de las personas para los roles definidos en la PSI y constituir los órganos de gobierno de la seguridad allí descritos. En relación con la protección de datos personales, el Ayuntamiento debe aplicar las medidas organizativas y técnicas necesarias para proteger los datos personales y planificar y ejecutar auditorías de cumplimiento.
Recomendaciones
También hemos realizado una serie de recomendaciones con el propósito de contribuir a subsanar las deficiencias observadas y mejorar los procedimientos de gestión de la ciberseguridad del Ayuntamiento. Entre ellas aconsejamos finalizar y aprobar los procedimientos de seguridad en elaboración para los controles analizados, inventariar los activos de la entidad e impedir la conexión de dispositivos no autorizados a la red corporativa, establecer un procedimiento de gestión integral del software que incluya, entre otros, la actualización de todos los sistemas fuera de soporte, y aprobar e implantar un procedimiento de configuración segura o bastionado de los sistemas.
Para ver el informe completo, haga clic aquí.
NOTA
Este resumen pretende ayudar a la comprensión de los resultados de nuestro informe y facilitar la labor a los lectores y a los medios de comunicación. Recomendamos su lectura para conocer el verdadero alcance del trabajo realizado.
