Así lo ha puesto de relieve el presidente de este órgano de control externo autonómico, Mario Amilivia, durante su comparecencia ante la Comisión de Economía y Hacienda del Parlamento de Castilla y León, donde ha presentado las auditorías de seguridad informática de los consistorios, que recogen un total de 31 recomendaciones

En este sentido, ha reconocido que estos tres ayuntamientos “están avanzando en el refuerzo de sus políticas de ciberseguridad con la puesta en marcha de proyectos gracias a la financiación propiciada por los fondos europeos", al tiempo que plantea “deficiencias generalizadas” en esta materia. 

Se trata, ha dicho, de “proyectos que, además de permitir que las administraciones realicen un uso más eficiente de las nuevas tecnologías en favor de los ciudadanos, contribuyen decisivamente a hacer frente a las constantes amenazas y brechas de seguridad en internet".

Teniendo en cuenta que la finalidad de las auditorías realizadas a los tres ayuntamientos citados es promover un cambio positivo, desde este organismo se dejó transcurrir un cierto tiempo antes de su publicación para facilitar que las entidades “corrigieran las debilidades que se pusieron de manifiesto” en su momento.

Tras admitir que los ayuntamientos de Ávila, Burgos y Palencia han tenido que adaptarse necesariamente al uso de las nuevas tecnologías por la generalización de su uso como herramienta de trabajo y también por la digitalización creciente impuesta por la normativa, el presidente del Consejo de Cuentas destaca el hecho de que esta institución pueda confiar en los datos contenidos en los sistemas de las entidades fiscalizadas”.

Las 31 recomendaciones recogidas por el Consejo de Cuentas en las tres auditorías (12 al Ayuntamiento de Ávila; ocho al de Burgos y 11 al de Palencia), se han demostrado "fundamentales" a la hora de servir de guía y acicate a los consistorios auditados, pudiendo ser tomadas como punto de partida por otras entidades que quieran mejorar su seguridad informática.

Después de subrayar la “disponibilidad y colaboración” del personal encargado de las funciones de las nuevas tecnologías de la información, independientemente de las incidencias detectadas en los respectivos informes, Amilivia ha aclarado que “en ningún caso las conclusiones ponen en cuestión su capacidad o profesionalidad”, señalando que las conclusiones se dirigen a “problemas de diseño o de inversión en medios humanos y materiales".

Ocho controles básicos

Las auditorías han incluido 8 controles verificando, por un lado, si se gestionan activamente todos los dispositivos hardware de la red; el inventario y control de software autorizado y no autorizado; la disposición de un proceso para obtener información sobre nuevas vulnerabilidades, reduciendo así la ventana de oportunidad a los atacantes; y, por otro, el chequeo a la disposición de herramientas control, prevención y corrección del uso y configuración de privilegios administrativos en ordenadores, redes y aplicaciones; la configuración de seguridad de dispositivos; el análisis sobre registros de eventos que pueden ayudar a detectar, entender o recuperarse de un ataque; la verificación sobre la realización de copias de seguridad de la información crítica y, por último, el cumplimiento normativo.

Varias de las conclusiones se refieren a asuntos como la dotación de puestos relacionados con las TIC, la gestión de los equipos, la estructura y dimensión de los sistemas o las conexiones y plataformas. 

Respecto a la implantación de los controles básicos de ciberseguridad, los resultados reflejan “deficiencias generalizadas en la mayoría de los controles”, sin que ninguno de los tres ayuntamientos alcanzaran “un nivel de seguridad adecuado en el momento de realizarse la auditoría”. 

Los controles básicos de ciberseguridad definidos por la Asociación de Órganos de Control Externo Autonómicos se evalúan según el modelo de madurez de procesos, que establece 6 niveles, de cero a cinco.

De esta manera, se considera que la actividad organizativa de los controles debe alcanzar como mínimo el nivel 3 de madurez, que implica un proceso bien definido y estandarizado. Los ayuntamientos de Burgos y Palencia reflejan un nivel de madurez 2, quedándose el de Ávila en un nivel 1.

Sobre dicho nivel se calcula el índice de cumplimiento que servirá de referencia para la evaluación global de los controles de ciberseguridad. El índice mínimo de madurez se considera que es el 80%. El ayuntamiento de Burgos alcanza un 67%, el de Palencia un 65% y el de Ávila un 43%.

De los controles revisados destaca como el mejor implantado en los tres ayuntamientos el número 7, que corresponde a las copias de seguridad, solo superado en el caso de Burgos por el control 8, dedicado a aspectos normativos que, por contra, es el que peor resultado obtiene en los consistorios de Ávila y Palencia.

Recomendaciones

Entre las recomendaciones, hay dos generales que están dirigidas a los tres ayuntamientos. El alcalde debería “promover un compromiso firme” por parte del pleno con el cumplimiento de la normativa, elaborando “una estrategia a largo plazo”, que establezca “una gobernanza de tecnologías de la información adecuada.

Todo ello, comenzando por "aprobar una política de seguridad que defina claramente las responsabilidades sobre la seguridad de los servicios que ofrece y la información que maneja, permitiendo dar continuidad al esfuerzo de adaptación necesario para el cumplimiento normativo: dotar de recursos al departamento de Tecnología de la Información para solventar aquellos aspectos técnicos que precisan mejoras, no cubriendo las necesidades mediante personal sin vinculación laboral; específicamente, se debería culminar el proceso mediante la realización de auditorías o autoevaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su realización conjunta con las relativas a protección de datos personales"; y por otro lado, “se deberían impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias de carácter técnico que se han constatado durante la revisión de los controles”. 

Consejos a Ávila y Palencia

Además, como recomendaciones generales, en los casos de los ayuntamientos de Ávila y Palencia, un aspecto básico para comenzar a estructurar y documentar el proceso de seguridad informática debería ser el nombramiento por parte del alcalde del responsable de la información, del responsable del servicio y del responsable de la seguridad. Con estos nombramientos y “el apoyo y concienciación política al más alto nivel” se podrá proceder al desarrollo de la estructura y procedimientos necesarios.

Finalmente, también en los ayuntamientos de Ávila y Palencia, el responsable de seguridad que se determine, en coordinación con el responsable del sistema para cada proceso de gestión de Tecnología de la Información, debería elaborar y elevar a su aprobación formal el procedimiento que describe cada proceso en concreto, detallando el alcance, tareas a realizar, responsabilidades, registros o documentación que se genere, así como cualquier otro aspecto relevante.

Acciones específicas

Ante esta situación, el Consejo de Cuentas recomienda una serie de acciones específicas para cada una de las áreas. Sobre el entorno tecnológico, "en los tres ayuntamientos, se debería impulsar la adecuada dotación de las plazas contempladas en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información".

También, "el responsable de seguridad que se determine debería garantizar que existe una documentación suficiente del entorno de tecnologías de la información del ayuntamiento para asegurar que el conocimiento sobre los sistemas de información está disponible con independencia de las personas que formen el servicio".

Sobre el inventario y control de activos (hardware y software) y el uso controlado de privilegios administrativos, "se debería impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte del fabricante, asegurando una dotación presupuestaria adecuada".

Acerca del proceso continuo de identificación y corrección de vulnerabilidades, "el concejal competente debería impulsar la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de administración de acuerdo con lo especificado en el Esquema Nacional de Seguridad". También "el edil debería valorar, junto con el responsable del sistema, el empleo de herramientas automatizadas para la detección de vulnerabilidades y la realización de pruebas que simulan ataques reales.

Sobre el cumplimiento normativo en materia de protección de datos, en el caso de los ayuntamientos de Ávila y Burgos, e"el pleno debe liderar la adopción de todas aquellas medidas aún no iniciadas y que están delimitadas como aspectos claves en la normativa sobre el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y en la de Protección de Datos Personales y garantía de los derechos digitales. Entre otras, el llevar a cabo una adecuada política de seguridad y una declaración de aplicabilidad.

Por último, en los ayuntamientos de Ávila y Palencia la Intervención Municipal debería realizar la auditoría anual de sistemas del registro contable de facturas. Para facilitar su cumplimiento, la Intervención General de la Administración del Estado, publicó una guía marco que contiene una serie de orientaciones a efectos de su realización.