Accesibilidad | Intranet | Valencià

Inicio > Informes > Informe de síntesis de las auditorías de ciberseguridad de los quince mayores ayuntamientos y de las tres diputaciones de la Comunitat Valenciana. Ejercicio 2021

9 mayo 2023 Informes

Informe de síntesis de las auditorías de ciberseguridad de los quince mayores ayuntamientos y de las tres diputaciones de la Comunitat Valenciana. Ejercicio 2021

València, 9 de mayo de 2023.- La Sindicatura de Comptes realizó en 2019 y 2020 auditorías sobre la situación de los controles básicos de ciberseguridad (CBCS) en los quince mayores ayuntamientos de la Comunitat Valenciana. Posteriormente, en 2021 y 2022 elaboró trabajos de seguimiento de la situación de los CBCS en esos ayuntamientos. A su vez, en 2021 se emitieron informes de auditoría de los CBCS de las tres diputaciones.

Tras la publicación de dieciocho informes individuales en nuestra página web, la Sindicatura ha realizado el informe de síntesis que hoy se publica y que ofrece una visión de conjunto, en el que se destacan las principales conclusiones y observaciones realizadas en los informes individuales.

Todos estos informes sobre ciberseguridad se han realizado en sintonía con sus planes estratégicos y atendiendo al escenario actual, en el que todas las Administraciones públicas desarrollan sus actividades en entornos de administración electrónica cada vez más avanzados tecnológicamente, cuyo funcionamiento se apoya en interconexiones mediante redes complejas. Una realidad que origina un fuerte aumento de los riesgos provenientes del ciberespacio.

Conclusiones

Aunque los ayuntamientos han realizado progresos desde la anterior auditoría de la Sindicatura y han atendido parcialmente algunas de las recomendaciones que se les efectuaron, el índice de madurez medio de los CBCS solo alcanza el 52,4% (44,1% en 2019/2020), que sigue siendo insuficiente y debe mejorar para alcanzar el 80% exigido por el ENS.

Respecto a las trs diputaciones, el índice de madurez medio de los CBCS alcanza el 61,6%, que tampoco cumple el objetivo establecido en el ENS.

En el siguiente gráfico puede observarse de forma visual el índice de madurez medio de los CBCS de las distintas entidades y su evolución desde la anterior auditoría en el caso de los ayuntamientos.

En el siguiente gráfico puede observarse de forma visual la situación del índice de madurez medio para cada una de las distintas entidades auditadas y su evolución desde la anterior auditoría en el caso de los ayuntamientos.

Aunque la mayoría de los ayuntamientos ha mejorado el cumplimiento de la normativa relacionada con la seguridad de la información, la revisión de la Sindicatura ha puesto de manifiesto que el grado de cumplimiento es, en general, deficiente, existiendo incumplimientos significativos generalizados.

Los auditores han evaluado, además, el estado de su gobernanza de la ciberseguridad, entendida esta como el conjunto de responsabilidades y actividades llevadas a cabo por los órganos de gobierno de las entidades para proporcionar una dirección estratégica en materia de ciberseguridad, garantizando así que se logren los objetivos, que el riesgo se gestione adecuadamente y que los recursos de la entidad sean utilizados de manera responsable.

Los resultados del trabajo muestran que las entidades, en general, no tienen establecida una adecuada gobernanza de la ciberseguridad, tal como exigen tanto la normativa como un sistema de control interno bien establecido. Las organizaciones requieren el compromiso e implicación de sus órganos superiores. La alta dirección tiene la responsabilidad de establecer una adecuada gobernanza de la ciberseguridad.

Este liderazgo debe hacerse efectivo mediante la participación activa de los órganos superiores en la gestión de las TIC y en la gestión de riesgos, en la aprobación de políticas, normativas y procedimientos de seguridad de la información, estableciendo planes estratégicos, velando por el correcto funcionamiento de los órganos y roles designados en materia de seguridad, dotando de recursos materiales y humanos e impulsando la implantación de controles sobre los sistemas de información y las comunicaciones. Únicamente de esta manera podrá establecerse con éxito un sistema eficaz de gestión continuada de seguridad de la información.

El grado de atención a las recomendaciones de la Sindicatura ha sido muy bajo en algunos ayuntamientos. Siete de los quince ayuntamientos auditados no han atendido completamente a ninguna de las recomendaciones que se les realizaron. En contraposición, ocho entidades han atendido, al menos parcialmente, la mayoría de las recomendaciones efectuadas.

Recomendaciones

La Sindicatura ha reformulado las recomendaciones de acuerdo con la situación observada, con el propósito de contribuir a subsanar las deficiencias observadas y mejorar los procedimientos de gestión en las organizaciones. Entre las recomendaciones realizadas con mayor frecuencia se encuentran: aprobar formalmente procedimientos que describan las acciones y controles implantados, el establecimiento de soluciones para monitorizar y detectar comportamientos anómalos en las redes corporativas, el despliegue de herramientas para gestionar vulnerabilidades, restringir el acceso de dispositivos físicos no autorizados a la red corporativa o actualizar los sistemas obsoletos.

Para ver el informe completo, haga clic aquí: Informe de síntesis de las auditorías de ciberseguridad de los quince mayores ayuntamientos y de las tres diputaciones de la Comunitat Valenciana. Ejercicio 2021

NOTA

Este resumen pretende ayudar a la comprensión de los resultados de nuestro informe y facilitar la labor a los lectores y a los medios de comunicación. Recomendamos la lectura del informe completo para conocer el verdadero alcance del trabajo realizado.

AVISO DE COOKIES: Este sitio web hace uso de cookies con la finalidad de recopilar datos estadísticos anónimos de uso de la web, así como la mejora del funcionamiento y personalización de la experiencia de navegación del usuario. Aceptar Más información