«El Ayuntamiento de Béjar sigue precisando un importante impulso en seguridad informática»
- Según el informe sobre esta materia del Consejo de Cuentas de Castilla y León
Desde que en 2021 se realizasen las respectivas fiscalizaciones en materia de seguridad informática por el Consejo de Cuentas de Castilla y León, los ayuntamientos de Béjar y Ciudad Rodrigo, en la provincia de Salamanca, siguen precisando de un impulso importante para conseguir un nivel de seguridad adecuado y garantizar el cumplimiento de la normativa de aplicación.
Así lo ponen de manifiesto los informes de seguimiento de la aplicación de las recomendaciones que les fueron realizadas a ambas entidades a raíz de las auditorías de las que fueron objeto en 2021, en las que se revisaron los controles básicos de seguridad, detectándose, en ambos casos, una «situación muy vulnerable» frente a riesgos informáticos.
Las recomendaciones efectuadas hace 3 años precisaban en ambos casos para su implementación de «un impulso por parte de la Corporación». En esta línea, se ha revisado la aplicación efectiva de estas recomendaciones y, en concreto, «sí se han adoptado medidas para la aprobación de un plan estratégico en materia de tecnologías de la información que incluya planificación, dotación de recursos y plazos para la aprobación de las normativas en materia de seguridad obligatorias, la subsanación de las deficiencias de carácter técnico detectadas y la realización del proceso de certificación del Esquema Nacional de Seguridad (ENS)».
En ambos informes se actualiza el análisis de la situación en 2024 de los controles básicos de ciberseguridad en relación con la revisión realizada en 2021, comprobándose la implantación de las medidas que ya se recomendaron en el análisis anterior. Ambos trabajos están publicados en la página web de la Institución y serán presentados en las Cortes por el presidente del órgano autonómico de control externo, Mario Amilivia.
Los auditores han estudiado las actuaciones, medidas y procedimientos adoptados, en su caso, desde la anterior auditoría, de manera que permitan garantizar la efectiva implantación de los ocho controles básicos de ciberseguridad analizados, entre estos, el inventario y control de dispositivos, la identificación y corrección de vulnerabilidades o configuraciones seguras de software y hardware de los distintos dispositivos.
Y de resultas de ello, las conclusiones referidas a ambos ayuntamientos en los respectivos nuevos informes reflejan que estos siguen «careciendo de una estrategia de tecnologías de la información» y no han establecido «una gobernanza adecuada» que les permita «afrontar con garantías el proceso de dotar a sus sistemas de información de un nivel de seguridad suficiente».
En el caso de Béjar, las actuaciones realizadas para cumplir con las recomendaciones del Consejo de Cuentas se concretan en la creación de una plaza de técnico informático, aunque actualmente sin cubrir (sólo hay un responsable TIC contratado con carácter temporal); la adquisición de equipos y contratación de servicios que mejoran la seguridad de la red y la inclusión de cláusulas específicas en los contratos de servicios informáticos para cumplir determinadas medidas de seguridad.
A pesar de que con las medidas adoptadas en estos 3 años a fin de revertir la situación se ha mejorado su calificación global, estas «siguen siendo claramente insuficientes, siendo preciso un impulso importante para conseguir un nivel de seguridad adecuada y garantizar el cumplimiento de la normativa».
De otra parte, en línea con las recomendaciones, Ciudad Rodrigo adquirió equipamiento para la instalación centralizada de aplicaciones que proporciona la Diputación de Salamanca; realizó la mejora del proceso de copias de seguridad y contratación de un servicio de respaldo en la nube para copias de seguridad, así como el nombramiento del delegado de protección de datos.
En el caso del ayuntamiento mirobrigense, se mantiene la situación por la que «cuenta con apoyo específico en materia de administración electrónica, nóminas, padrón y gestión presupuestaria, a través del Centro Informático Provincial de Salamanca». Las actuaciones realizadas «son muy insuficientes» ya que «no suponen un compromiso firme con la seguridad informática, especialmente relevante en lo que se refiere a la faltad de aprobación de una política de seguridad como paso fundamental para iniciar el proceso de adaptación al ENS».
En el caso del Ayuntamiento de Béjar, el índice de cumplimiento global de ciberseguridad ha pasado del 5% (nivel L0 en 2021) al 20% (nivel L1) en 2024.
En el caso de Ciudad Rodrigo, el índice de cumplimiento global pasó del 5% al 8%. Los controles básicos de ciberseguridad definidos se evalúan según un modelo de madurez de procesos que establece 6 niveles (L0 a L5), considerándose que la actividad organizativa de los controles debe alcanzar como mínimo el nivel 3 de madurez (L3), que se corresponde con un índice de cumplimiento del 80%.
Ante estos nuevos resultados, el Consejo de Cuentas realiza 5 nuevas recomendaciones al consistorio bejarano, y 4 al de Ciudad Rodrigo a efectos de que alcancen «niveles de ciberseguridad adecuados».
La Conferencia de Presidentes de la Asociación de Órganos de Control Externo Autonómicos (Asocex) aprobó en noviembre de 2018 la guía práctica de fiscalización para la revisión de los controles básicos de ciberseguridad, basados en el Esquema Nacional de Seguridad (ENS), siendo el Consejo de Cuentas uno de los primeros en incluir este tipo de auditorías en su programación.
Así, en 2021 aprobó los informes de siete ayuntamientos de tamaño intermedio de la Comunidad, además de los de Béjar y Ciudad Rodrigo, los de Santa Marta de Tormes, en Salamanca; Villaquilambre, Astorga y La Bañeza, en León; y Benavente, en Zamora.
El tamaño de este tipo de municipios, que implica cierta complejidad de gestión, contrasta con las escasas dotaciones de recursos humanos y materiales dedicados a su área tecnológica. Aunque han debido adaptarse necesariamente al uso de las nuevas tecnologías.
