Informe de seguimiento de las recomendaciones realizadas en el informe de auditoría de los controles básicos de ciberseguridad del Ayuntamiento de Paterna del año 2019
València, 17 de enero de 2023.- La transformación digital que están experimentando todas las Administraciones públicas y su interconexión a través de complejas redes informáticas las expone de forma cada vez más intensa a amenazas provenientes del ciberespacio. Esto origina un incremento de los riesgos asociados a los sistemas de información que sustentan los servicios públicos y, por tanto, a la información que manejan. De hecho, las entidades locales han sido uno de los objetivos más afectados por las recientes oleadas de ciberataques.
Atendiendo a esta realidad, y en sintonía con su actual plan estratégico, la Sindicatura de Comptes ha realizado un trabajo de seguimiento de los controles básicos de ciberseguridad (CBCS) del Ayuntamiento de Paterna respecto a la situación mostrada en la auditoría del año 2019.
Conclusiones
El Ayuntamiento ha realizado determinadas acciones desde nuestra anterior auditoría y se han atendido, aunque parcialmente, algunas de nuestras recomendaciones.
El índice de madurez general de los controles básicos de ciberseguridad, cuyo objetivo sería alcanzar un 80%, muestra un valor del 50,2%, que supone una escasa mejora respecto del 47,5% recogido en nuestra auditoría de 2019, por lo que el nivel de efectividad en los controles analizados sigue siendo insuficiente. El Ayuntamiento debe adoptar las medidas necesarias para alcanzar los niveles exigidos por el Esquema Nacional de Seguridad para la protección de los sistemas de información, especialmente en aquellos controles que presentan deficiencias significativas.
Existe cierto nivel de compromiso y concienciación con la seguridad por parte de los miembros del departamento TIC y de los órganos superiores; no obstante, diversas circunstancias indican que la gobernanza de la ciberseguridad no puede considerarse efectiva, situación que debe ser subsanada.
Es preciso que el comité de seguridad de la información, órgano imprescindible para su coordinación, se reúna regularmente con objeto de conocer el estado de la seguridad de la información del Ayuntamiento y tomar las decisiones pertinentes de forma oportuna. Además, los roles establecidos en la política de seguridad del Ayuntamiento deben definirse correctamente y ejercer sus funciones de manera efectiva.
Es necesaria la implantación de una cultura en materia de ciberseguridad que afecte a todos los niveles de la organización y que debe ser impulsada por la dirección en forma de planes estratégicos que definan objetivos y medidas concretas, incluyendo planes periódicos de formación y concienciación para los trabajadores.
Asimismo, nuestra revisión también ha puesto de manifiesto un grado muy deficiente de cumplimiento en cuanto a la adecuación a las normas legales relacionadas con la seguridad de la información, que ya fueron identificadas en nuestro trabajo de 2019 y no han sido corregidas. El informe señala los incumplimientos normativos sobre los que se debe actuar. A este respecto, el Ayuntamiento ha adjudicado en 2022 un contrato para subsanar dichos incumplimientos.
Recomendaciones
También hemos realizado una serie de recomendaciones con el propósito de contribuir a corregir las deficiencias observadas y mejorar los procedimientos de gestión de la ciberseguridad del Ayuntamiento. Entre ellas, además de actualizar los procedimientos de manera que describan las acciones y controles implantados, recomendamos la implantación de soluciones para restringir el acceso de dispositivos físicos no autorizados a la red corporativa, actualizar los sistemas obsoletos, el uso de una herramienta de gestión centralizada de vulnerabilidades, parches y actualizaciones y la aplicación de seguridad por defecto a todos los sistemas y aplicaciones críticas de la entidad.
Para ver el informe completo, haga clic aquí: Informe de seguimiento de las recomendaciones realizadas en el informe de auditoría de los controles básicos de ciberseguridad del Ayuntamiento de Paterna del año 2019
NOTA
Este resumen pretende ayudar a la comprensión de los resultados de nuestro informe y facilitar la labor a los lectores y a los medios de comunicación. Recomendamos la lectura del informe completo para conocer el verdadero alcance del trabajo realizado.
