Sociedad

El Consejo de Cuentas recomienda una estrategia de seguridad informática a los ayuntamientos de Ávila, Burgos y Palencia

El órgano de control externo entrega los informes en las Cortes de Castilla y León

El presidente del Consejo de Cuentas de Castilla y León, Mario Amilivia
El presidente del Consejo de Cuentas de Castilla y León, Mario AmiliviaicalIcal

El Consejo de Cuentas de Castilla y León recomienda a los ayuntamientos de Ávila, Burgos y Palencia la puesta en marcha de una estrategia de seguridad informática a largo plazo con el fin de que pongan en práctica una gobernanza de tecnologías de la información adecuada.

Así lo concluye el órgano de control externo en los informes sobre el análisis de la seguridad informática de los tres ayuntamientos que acaba de entregar al Parlamento autonómico y en los que apunta al impulso de actuaciones tendentes a solventar incumplimientos normativos y corregir deficiencias técnicas.

Tras una primera serie publicada el pasado año correspondiente a siete ayuntamientos de tamaño intermedio (población entre 10.000 y 20.000 habitantes), se abordan ahora las capitales de provincia de la Comunidad y actualmente el Consejo está elaborando los referentes a los ayuntamientos de León, Salamanca y Valladolid.

Se trata de una auditoría operativa cuyo objetivo principal es verificar el funcionamiento de los controles básicos de ciberseguridad implantados por la entidad fiscalizada y, en función de los resultados, proponer recomendaciones de mejora. Así, se han analizado las actuaciones, medidas y procedimientos adoptados para la efectiva implantación de los controles básicos de ciberseguridad, así como el grado de efectividad alcanzado por estos controles.

El Consejo de Cuentas realiza 12 recomendaciones al Ayuntamiento de Ávila, 8 al de Burgos y 11 al de Palencia. Entre ellas, con carácter general, el alcalde debería promover un compromiso firme por parte del pleno del ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo, que establezca una gobernanza de tecnologías de la información adecuada.

Por su parte, el concejal competente en la materia debería impulsar actuaciones para solventar los incumplimientos normativos y las deficiencias de carácter técnico que se han constatado durante la revisión de los controles.

Para esta tarea, organismos como el Centro Criptológico Nacional, la Federación Española de Municipios y Provincias o la Agencia Española de Protección de Datos publican guías detalladas que ofrecen modelos completos para la adaptación de los ayuntamientos de características similares que pueden ser tomadas como referencia para facilitar el proceso.

Asimismo, debería impulsar la adecuada dotación de las plazas contempladas en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información.

Además, debería impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte del fabricante.

También debería impulsar la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de administración de acuerdo con lo especificado en el Esquema Nacional de Seguridad.

Finalmente, el responsable de seguridad que se determine en la política de seguridad debería garantizar que existe una documentación suficiente del entorno de tecnologías de la información del ayuntamiento para asegurar que el conocimiento sobre los sistemas de información está disponible con independencia de las personas que formen el servicio. Además, debería valorar juntamente con el responsable del sistema, el empleo de herramientas automatizadas para la detección de vulnerabilidades.