El presidente del Consejo de Cuentas, Mario Amilivia, ha dado este lunes un toque de atención a los ayuntamientos y a la administración en general porque no terminan de asimilar” el papel “esencial” que juega la ciberseguridad.

"No es una ocurrencia sino una necesidad, y requiere estar contemplada en la política a través de un proceso continuo independientemente de los cambios políticos", decía el ex alcalde de León, en declaraciones recogidas por Ical, tras presentar en las Cortes regionales tres informes sobre el ‘Seguimiento de recomendaciones y actualización de la situación de seguridad informática’ de los ayuntamientos de Béjar y Ciudad Rodrigo (Salamanca) y Benavente (Zamora) durante la Comisión de Economía y Hacienda de las Cortes.

Amilivia aseguraba que las corporaciones locales “no creen prioritarias” las actuaciones en ciberseguridad frente a otro tipo de obras o actuaciones, lo que es un “gran error”, de ahí que incidiera en la “falta de voluntad y compromiso” de estas administraciones al no trasladar estas acciones al conjunto presupuestario.

En lo que respecta a los tres informes presentados, el Consejo de Cuentas constató que los ayuntamientos de Béjar, Ciudad Rodrigo y Benavente han dado “pasos importantes” en ciberseguridad, en especial el zamorano, al aprobar su Política de Seguridad. Aun así, los tres ayuntamientos deberían impulsar su adecuación al Esquema Nacional de Seguridad, así como asegurar la dotación de recursos materiales y humanos imprescindibles para lograr un nivel de seguridad adecuado.

"Hay margen de mejora por parte de los tres ayuntamientos en un asunto, como es la seguridad informática, que es un proceso continuo y fundamental para cualquier organización en el contexto digital actual", afirmaba.

Durante su intervención, exponía que las auditorías que realiza el Consejo han puesto de manifiesto las “insuficientes” dotaciones de medios, tanto humanos como materiales, por lo que demandaba más compromiso y más recursos.

El objetivo principal de las tres auditorías presentadas es actualizar el análisis de los ocho controles más básicos de ciberseguridad llevados a cabo en la revisión de 2021, comprobando la implantación de las medidas que ya se recomendaron entonces.

Con motivo de esta segunda revisión en los tres ayuntamientos, el Consejo de Cuentas realizó nuevas recomendaciones, de las que cinco hace referencia a Béjar; cuatro para Ciudad Rodrigo y siete para Benavente, orientadas todas ellas a las actuaciones necesarias para que alcancen un nivel de ciberseguridad adecuado.

Si bien, apuntaba que existen dos recomendaciones comunes para las tres entidades, donde se centra, en primer lugar, en la figura del alcalde, al ser el que “debería impulsar” las actuaciones para acometer la adecuación del Ayuntamiento al Esquema Nacional de Seguridad y a la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales para alcanzar de esta forma un nivel de ciberseguridad adecuado.

Asimismo, el Consistorio “debería asegurar la dotación de recursos materiales y humanos imprescindibles para conseguir un nivel de seguridad apropiado”, añadía.

Y la tercera recomendación es compartida por los ayuntamientos de Béjar y Ciudad Rodrigo, dado que se insta a ambas corporaciones a “asignar los roles y responsabilidades, implantando una gobernanza de ciberseguridad que garantice que el proceso de adaptación se llevará a cabo en un plazo determinado y tendrá la continuidad imprescindible para garantizar que se alcanza el objetivo y que se mantiene a largo plazo”. Todo ello unido a la aprobación de una normativa en “materia de seguridad de la información y protección de datos personales necesaria”.

De forma específica, como cuarta y quinta recomendaciones para el Ayuntamiento de Béjar, desde el Consejo de Cuentas se subrayó que el alcalde debería asegurar que las actuaciones a emprender o puestas en marcha por el propio ayuntamiento o con apoyo específico de la Diputación de Salamanca, “se apliquen a todos los sistemas de información que dan soporte a procesos relevantes de gestión”, especialmente la aplicación de nóminas, “sin que existan áreas que no estén bajo el control de los responsables de la tecnología de la información municipal”.

De igual forma, se recomienda asegurar que se toman medidas para garantizar la capacidad de restablecer la prestación de los servicios fundamentales del Ayuntamiento en un tiempo determinado, especialmente mediante la mejora en el proceso de copias de seguridad.

Mario Amilivia trasladó que, con carácter singular para el Ayuntamiento de Ciudad Rodrigo -como cuarta y última recomendación- debería asegurar que los convenios y contratos en los que se basa su utilización contienen las previsiones que exige el Esquema Nacional de Seguridad para estos casos. Todo ello dado la relevancia que las aplicaciones proporcionadas por Centro Informático Provincial de Salamanca y las contrataciones externas tienen para la gestión municipal, dijo.

En el informe presentado hoy en la Comisión de Economía y Hacienda, se focalizaron unas recomendaciones específicas para el Ayuntamiento de Benavente, donde se incide en que los responsables de la información y de los servicios correspondientes deberían establecer y aprobar los requisitos de seguridad, encargándose a su vez de su aplicación y verificación.

Por su parte, el Comité de Seguridad tendría que ejercer las funciones que le son propias, entre otras, de coordinación, planificación y seguimiento, para asegurar de esta forma que se realizan las tareas definidas en la política de seguridad. En cuanto al proceso continuo de identificación y corrección de vulnerabilidades, se destaca la valoración del empleo de herramientas automatizadas para la detección de vulnerabilidades y la realización periódica de actuaciones como las que se han llevado a cabo desde la anterior auditoría.

Además, Amilivia consideraba como “urgente” que el responsable de seguridad defina un procedimiento para la realización de tareas como la gestión de usuarios administradores, haciendo uso de la política de mínimo privilegio, el cambio de las contraseñas por defecto y la definición de políticas robustas y homogéneas para los sistemas de autenticación. Es decir, desde el Consejo de Cuentas aseguró que el Pleno debería aprobar una normativa que “garantice que el registro de actividad de los usuarios se realiza de acuerdo con lo establecido en el artículo 24 del Esquema Nacional de Seguridad”, aseveraba.