El Consejo de Cuentas es un órgano de control externo, dependiente de las Cortes de Castilla y León, encargado de fiscalizar la gestión económica, financiera y contable del sector público de la Comunidad.

En los informes sobre el análisis de la seguridad informática de los tres ayuntamientos que acaba de entregar al Parlamento autonómico, el Consejo de Cuentas aconseja a sus responsables municipales la puesta en marcha de una “estrategia de seguridad informática a largo plazo”, con el objetivo de que “pongan en práctica una gobernanza de tecnologías de la información adecuada”. 

En esos trabajos, este órgano de control externo apunta a estos consistorios al “impulso de actuaciones tendentes a solventar incumplimientos normativos y corregir deficiencias técnicas”. 

Tras una primera serie publicada el pasado año correspondiente a siete ayuntamientos de tamaño intermedio (entre 10.000 y 20.000 habitantes), se abordan ahora las capitales de provincia de la Comunidad, pensando en el impacto que esta materia puede tener en la vida de los ciudadanos.

Junto a estos tres informes hechos públicos este martes, el Consejo de Cuentas está elaborando actualmente los correspondientes a los ayuntamientos de León, Salamanca y Valladolid.

Controles de ciberseguridad

Se trata de una auditoría operativa cuyo objetivo principal ha sido “verificar el funcionamiento de los controles básicos de ciberseguridad implantados por la entidad fiscalizada y, en función de los resultados, proponer recomendaciones de mejora”.

Así, se han analizado las actuaciones, medidas y procedimientos adoptados para la efectiva implantación de los controles básicos de ciberseguridad, así como el grado de efectividad alcanzado por estos controles.

Los ayuntamientos objeto de esta fiscalización cuentan con tamaño “suficiente para disponer de una estructura de tecnologías de la información y de las comunicaciones de cierta complejidad”, sufriendo una “transformación digital que debe cumplir unos requisitos mínimos de seguridad en sus sistemas de información, al ser estos el soporte de los procesos básicos de gestión que los ayuntamientos llevan a cabo, incluyendo algunos tan relevantes como la gestión contable y presupuestaria, la recaudación de tributos o la gestión del padrón municipal”.

12 recomendaciones

Así, el Consejo de Cuentas realiza 12 recomendaciones al Ayuntamiento de Ávila, ocho al de Burgos y 11 al de Palencia. Entre ellas, con carácter general, el alcalde “debería promover un compromiso firme por parte del pleno del ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo, que establezca una gobernanza de tecnologías de la información adecuada”.

Por su parte, el concejal competente en la materia debería “impulsar actuaciones para solventar los incumplimientos normativos y las deficiencias de carácter técnico que se han constatado durante la revisión de los controles”.

Para esta tarea, organismos como el Centro Criptológico Nacional, la Federación Española de Municipios y Provincias o la Agencia Española de Protección de Datos publican guías detalladas que ofrecen modelos completos para la adaptación de los ayuntamientos de características similares que pueden ser tomadas como referencia para facilitar el proceso.

Asimismo, debería “impulsar la adecuada dotación de las plazas contempladas en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información”.

Planificación a largo plazo

Igualmente, debería “impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte del fabricante”.

A todo ello se suma el “impulso de la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de administración de acuerdo con lo especificado en el Esquema Nacional de Seguridad”.

Finalmente, el responsable de seguridad que se determine en la política de seguridad debería “garantizar que existe una documentación suficiente del entorno de tecnologías de la información del ayuntamiento para asegurar que el conocimiento sobre los sistemas de información está disponible con independencia de las personas que formen el servicio. Además, debería valorar, juntamente con el responsable del sistema, el empleo de herramientas automatizadas para la detección de vulnerabilidades”.