9 May 2023 Informes

Informe de síntesi de les auditories de ciberseguretat dels quinze majors ajuntaments i de les tres diputacions de la Comunitat Valenciana. Exercici 2021

València 9 de maig de 2023.- La Sindicatura de Comptes va realitzar en 2019 i 2020 auditories sobre la situació dels congrols bàsics de ciberseguretat (CBCS) en els quinze majors ajuntaments de la Comunitat Valenciana. Posteriorment, en 2021 i 2022 va elaborar treballs de seguiment de la situació dels CBCS en eixos ajuntaments. Alhora, en 2021 s'emeteren informes d'auditoria dels CBCS de les tres diputacions.

Després de la publicació de díhuit informes individuals en el nostre lloc web, la Sindicatura ha realitzat un informe de síntesi que ofereix una visió de conjunt, en el qual es destaquen les principals conclusions i observacions realitzades en els informes individuals.

Tots aquests informes s'han realitzat en sintonia amb els plans estratègics de la Sindicatura i atés l'escenari actual, en el qual  totes les administracions públiques desenvolupen les seues activitats en entorns d’administració electrònica cada vegada més avançats tecnològicament, el funcionament dels quals es basa en interconnexions per mitjà de xarxes complexes. Una realitat que origina un fort augment dels riscos provinents del ciberespai. 

Conclusions

Encara que els ajuntaments han realitzat progressos des de l'anterior auditoria de la Sindicatura i han atés parcialment algunes de les recomanacions que se'ls efectuaren, l’índex de maduresa mitjà dels CBCS només arriba al 52,4% (44,1% en 2019/2020), que continua sent insuficient i ha de millorar per a aconseguir el 80% exigit per l’ENS.

Respecte a les tres diputacions, l’índex de maduresa mitjà dels CBCS arriba al 61,6%, que tampoc compleix l’objectiu establit en l’ENS.

En el gràfic següent es pot observar de manera visual l’índex de maduresa mitjà dels CBCS de les diferents entitats i la seua evolució des de l’auditoria anterior en el cas dels ajuntaments.




En el gràfic següent es pot observar de manera visual la situació de l’índex de maduresa mitjà per a cada una de les diferents entitats auditades i la seua evolució des de l’auditoria anterior en el cas dels ajuntaments.




Encara que la majoria dels ajuntaments ha millorat el compliment de la normativa relacionada amb la seguretat de la informació, la nostra revisió ha posat de manifest que el grau de compliment és, en general, deficient, i que hi ha incompliments significatius generalitzats.

Els auditors han avaluat, a més, l’estat de la seua governança de la ciberseguretat, entesa aquesta com el conjunt de responsabilitats i activitats dutes a terme pels òrgans de govern de les entitats per a proporcionar una direcció estratègica en matèria de ciberseguretat i garantir que s’aconseguisquen els objectius, que el risc es gestione adequadament i que els recursos de l’entitat s’utilitzen de manera responsable.

Els resultats del treball mostren que les entitats, en general, no tenen establida una adequada governança de la ciberseguretat, tal com exigeixen tant la normativa com un sistema de control intern ben establit. Les organitzacions requereixen el compromís i implicació dels seus òrgans superiors. L’alta direcció té la responsabilitat d’establir una adequada governança de la ciberseguretat.

Aquest lideratge ha de fer-se efectiu per mitjà de la participació activa dels òrgans superiors en la gestió de les TIC i en la gestió de riscos, en l’aprovació de polítiques, normatives i procediments de seguretat de la informació, establint plans estratègics, vetlant pel correcte funcionament dels òrgans i rols designats en matèria de seguretat, dotant de recursos materials i humans i impulsant la implantació de controls sobre els sistemes d’informació i les comunicacions. Únicament d’aquesta manera podrà establir-se amb èxit un sistema eficaç de gestió continuada de seguretat de la informació.

El grau d’atenció a les recomanacions de la Sindicatura  ha sigut molt baix en alguns ajuntaments. Set dels quinze ajuntaments auditats no han atés completament cap de les recomanacions que se'ls realitzaren. En contraposició, huit entitats han atés, almenys parcialment, la majoria de les recomanacions efectuades.

Recomanacions

La Sindicatura ha reformulat les recomanacions d’acord amb la situació observada, amb el propòsit de contribuir a esmenar les deficiències observades i millorar els procediments de gestió en les organitzacions. Entre les recomanacions realitzades amb major freqüència es troben: aprovar formalment procediments que descriguen les accions i controls implantats, l’establiment de solucions per a monitorar i detectar comportaments anòmals en les xarxes corporatives, el desplegament d’eines per a gestionar vulnerabilitats, restringir l’accés de dispositius físics no autoritzats a la xarxa corporativa o actualitzar els sistemes obsolets.


Per a vore l'informe complet, feu clic ací: Informe de síntesi de les auditories de ciberseguretat dels quinze majors ajuntaments i de les tres diputacions de la Comunitat Valenciana.Exercici 2021


NOTA

Aquest resum pretén ajudar a comprendre els resultats del nostre informe i facilitar la tasca als lectors i als mitjans de comunicació. Recomanem la lectura de l’informe complet per a conéixer el veritable abast del treball realitzat.