Informe de seguimiento de las recomendaciones realizadas en el informe de auditoría de los controles básicos de ciberseguridad del Ayuntamiento de Torrevieja del año 2019
València, 2 de novembre de 2022.- La transformación digital que están experimentando todas las Administraciones públicas y su interconexión a través de complejas redes informáticas las expone de forma cada vez más intensa a amenazas provenientes del ciberespacio. Esto origina un incremento de los riesgos asociados a los sistemas de información que sustentan los servicios públicos y, por tanto, a la información que manejan. De hecho, las entidades locales han sido uno de los objetivos más afectados por las recientes oleadas de ciberataques.
Atendiendo a esta realidad, y en sintonía con su actual plan estratégico, la Sindicatura de Comptes ha realizado un trabajo de seguimiento de los controles básicos de ciberseguridad (CBCS) del Ayuntamiento de Torrevieja respecto a la situación mostrada en la auditoría del año 2019.
Conclusiones
Apenas se han realizado progresos para mejorar la ciberseguridad desde nuestra anterior auditoría y no se han atendido debidamente nuestras recomendaciones para ello. Por lo tanto, el índice de madurez general de los controles básicos de ciberseguridad muestra un valor del 31,8% (31,3% en 2019), por lo que el nivel de efectividad en los controles analizados continúa siendo muy deficiente y refleja un nivel de riesgo inaceptable para una entidad pública de la importancia del Ayuntamiento de Torrevieja.
Aunque existen iniciativas puestas en marcha en 2022, la entidad debe adoptar medidas urgentes para reconducir la situación y deben implantarse mejoras para alcanzar los niveles exigidos por el Esquema Nacional de Seguridad para la protección de los sistemas de información, cuyo objetivo está en alcanzar un 80% en el índice de madurez general.
El Ayuntamiento de Torrevieja no tiene establecida una estructura de gobernanza de la ciberseguridad, tal como exige la normativa y un adecuado sistema de control interno. Esta situación debe ser prontamente subsanada y, aunque hemos constatado iniciativas por parte de la corporación para reconducir la situación y mejorar su compromiso con la seguridad de la información y la administración electrónica, los órganos superiores del Ayuntamiento, como responsables del sistema de control, deben reforzar de forma decidida el apoyo en forma de recursos humanos y presupuestarios dedicados a la seguridad de la información.
Asimismo, nuestra revisión también ha puesto de manifiesto un grado de cumplimiento muy deficiente en cuanto a la adecuación a las normas legales relacionadas con la seguridad de la información. El informe señala diversos aspectos sobre los que se debe actuar para su pronta subsanación. En relación con la protección de datos personales, el Ayuntamiento debe finalizar la elaboración del registro de actividades de tratamiento y publicar dicho registro.
Recomendaciones
También hemos realizado una serie de recomendaciones con el propósito de contribuir a subsanar las deficiencias observadas y mejorar los procedimientos de gestión de la ciberseguridad del Ayuntamiento. Entre ellas aconsejamos realizar una gestión unificada de parches de seguridad sobre todos los sistemas de la entidad mediante la herramienta disponible, formalizar un procedimiento unificado para gestión de usuarios con privilegios de administración y finalizar el proceso de renovación para actualizar todos los sistemas que se encuentran fuera del período de soporte.
Para ver el informe completo, haga clic aquí: Informe de seguimiento de las recomendaciones realizadas en el informe de auditoría de los controles básicos de ciberseguridad del Ayuntamiento de Torrevieja del año 2019
NOTA
Este resumen pretende ayudar a la comprensión de los resultados de nuestro informe y facilitar la labor a los lectores y a los medios de comunicación. Recomendamos su lectura para conocer el verdadero alcance del trabajo realizado.
