Informe de seguimiento de las recomendaciones realizadas en el informe de auditoría de los controles básicos de ciberseguridad del Ayuntamiento de València del año 2019
València, 29 de desembre de 2022.- La transformación digital que están experimentando todas las Administraciones públicas y su interconexión a través de complejas redes informáticas las expone de forma cada vez más intensa a amenazas provenientes del ciberespacio. Esto origina un incremento de los riesgos asociados a los sistemas de información que sustentan los servicios públicos y, por tanto, a la información que manejan. De hecho, las entidades locales han sido uno de los objetivos más afectados por las recientes oleadas de ciberataques.
Atendiendo a esta realidad, y en sintonía con su actual plan estratégico, la Sindicatura de Comptes ha realizado un trabajo de seguimiento de los controles básicos de ciberseguridad (CBCS) del Ayuntamiento de València respecto a la situación mostrada en la auditoría del año 2019.
Conclusiones y recomendaciones
Aunque se han realizado progresos desde nuestra anterior auditoría y nuestras recomendaciones se han atendido parcialmente, el índice de madurez general de los controles básicos de ciberseguridad muestra un valor del 58,2% (47,5% en 2019), por lo que el nivel de efectividad en los controles analizados continúa siendo insuficiente y debe mejorar para alcanzar los niveles exigidos por el Esquema Nacional de Seguridad para la protección de los sistemas de información, especialmente en aquellos controles que presentan deficiencias significativas.
El Ayuntamiento tiene en marcha un conjunto de proyectos que, si se ejecutan y gestionan adecuadamente, contribuirán a mejorar sustancialmente los niveles de ciberseguridad de sus sistemas de información, aspecto crítico dado su tamaño y complejidad.
El Ayuntamiento de València tiene establecida una aceptable gobernanza de la ciberseguridad, pero tiene pendiente de constituir el comité de seguridad de la información.
Los órganos superiores del Ayuntamiento deben mantener el actual nivel de compromiso y apoyo a la seguridad de la información, con objeto de garantizar el desarrollo efectivo de los proyectos en curso, mejorar los niveles de madurez de los controles y solventar las deficiencias identificadas.
Asimismo, nuestra revisión también ha puesto de manifiesto que el grado de cumplimiento en cuanto a la adecuación a las normas legales relacionadas con la seguridad de la información ha mejorado, pero siguen existiendo incumplimientos que deben subsanarse. El informe señala diversos aspectos sobre los que se debe actuar para su pronta subsanación. En relación con el Esquema Nacional de Seguridad, el Ayuntamiento debe actualizar y aprobar la política de seguridad para que se adapte a las nuevas circunstancias técnicas y organizativas, incluyendo la regulación de los roles de seguridad y el comité de seguridad.
También hemos realizado una serie de recomendaciones con el propósito de contribuir a subsanar las deficiencias observadas y mejorar los procedimientos de gestión de la ciberseguridad del Ayuntamiento. Entre ellas aconsejamos formalizar un procedimiento unificado para gestión de usuarios con privilegios de administración, finalizar la implantación de las soluciones adquiridas para restringir el acceso de dispositivos físicos no autorizados a la red corporativa y finalizar las actuaciones iniciadas y planificadas para actualizar todos los sistemas que se encuentran fuera del periodo de soporte.
Para ver el informe completo, haga clic aquí: Informe de seguimiento de las recomendaciones realizadas en el informe de auditoría de los controles básicos de ciberseguridad del Ayuntamiento de València del año 2019
NOTA
Este resumen pretende ayudar a la comprensión de los resultados de nuestro informe y facilitar la labor a los lectores y a los medios de comunicación. Recomendamos leer el informe completo para conocer el verdadero alcance del trabajo realizado.
