Salamanca, a la vanguardia en ciberseguridad municipal

El Ayuntamiento de Salamanca ha logrado hasta ahora la mejor calificación en ciberseguridad de las capitales de provincia auditadas por el Consejo de Cuentas de Castilla y León. Así lo remarca el informe sobre el análisis de la seguridad informática implantada por la entidad local que ha realizado la institución propia, el quinto de estas características efectuado hasta la fecha a las capitales de provincia de la Comunidad, tras los de Ávila, Burgos, Palencia y Valladolid, y que tendrá su continuidad con el de la capital leonesa, actualmente en elaboración.

Así se desprende del informe elaborado por la institución que preside Mario Amilivia, tras haber sido entregado en las Cortes de Castilla y León. Tras las auditorías realizadas en 2021 a siete ayuntamientos de tamaño intermedio, desde el pasado año se abordan las relativas a las nueve capitales de provincia de la Comunidad.

La situación global de los controles básicos de ciberseguridad del Ayuntamiento de Salamanca anota un índice de cumplimiento del 79 por ciento, la mejor calificación de las registradas en las auditorías realizadas hasta la fecha. Un porcentaje que sitúa a la entidad local a un solo punto del nivel 3 de madurez, que implica “un proceso bien definido y estandarizado”. Sobre dicho nivel se calcula el índice de cumplimiento que servirá de referencia para la evaluación global de los controles de ciberseguridad. El índice mínimo de madurez se considera que es el 80 por ciento.

Los controles básicos de ciberseguridad definidos en este tipo de auditorías, en las que el Consejo de Cuentas se ha colocado a la vanguardia en el contexto autonómico, se evalúan según el modelo de madurez de procesos, que establece seis niveles. Los órganos de control externo autonómicos, el Consejo de Cuentas entre ellos, consideran que la actividad organizativa de los controles debe alcanzar como mínimo el nivel 3 de madurez.

En el caso concreto de la auditoría del Ayuntamiento de Salamanca se ha verificado el funcionamiento de los controles básicos de ciberseguridad implantados por el Consistorio, el grado de efectividad de estos, aportándose también datos fundamentales sobre el grado de protección y de la capacidad para que la entidad pueda continuar con la actividad en caso de un ataque, así como propuestas de mejora.

A la hora de calibrar la puntuación y el índice de cumplimiento por controles básicos de ciberseguridad el Consejo de Cuentas chequeó distintos apartados como el inventario y control de dispositivos físicos; el de software autorizado y no autorizado; el proceso continuo de identificación y remediación de vulnerabilidades; el uso controlado de privilegios administrativos; configuraciones seguras de los distintos dispositivos de la entidad local; el registro de la actividad de los usuarios, las copias de seguridad de datos y sistemas, y el cumplimiento normativo.

Recomendaciones

En función de los resultados, y sin perjuicio de la calificación del indicador de cumplimiento de ciberseguridad, el informe recoge las distintas recomendaciones de mejora en esta materia. Dada la importancia que ha adquirido la administración electrónica, es fundamental que los ayuntamientos, especialmente los de mayor tamaño, tengan un “adecuado” sistema de seguridad a fin de estar protegidos ante riesgos de pérdida de datos o de imposibilidad de prestación de servicios en caso de ataques.

Los ayuntamientos objeto de estas auditorías han sufrido una transformación digital que debe cumplir unos requisitos mínimos de seguridad en sus sistemas de información, especialmente ante procesos tan relevantes como la gestión contable y presupuestaria, recaudación de tributos o la gestión del padrón municipal.

Este informe, al igual que los anteriores, busca promover un cambio positivo. Por ello, antes de su publicación se ha dejado transcurrir un cierto plazo de tiempo para facilitar que se hayan podido corregir las debilidades puestas de manifiesto. Las recomendaciones del Consejo sirven “de acicate” a los ayuntamientos y pueden servir de estímulo para otras entidades que quieran mejorar su seguridad informática.

El Consejo de Cuentas realiza cinco recomendaciones al Ayuntamiento. Entre ellas, en línea con las recomendaciones ya realizadas a los ayuntamientos de Ávila, Burgos, Palencia y Valladolid, con carácter general, el alcalde, Carlos García Carbayo, “debería impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias de carácter técnico que se han constatado durante la revisión de los controles”.

Para esta tarea, organismos como el Centro Criptológico Nacional, la Federación Española de Municipios y Provincias o la Agencia Española de Protección de Datos publican guías detalladas que ofrecen modelos completos para la adaptación de los ayuntamientos de características similares que pueden ser tomadas como referencia para facilitar el proceso.

Además, aconsejan al Consistorio que preside Carlos García Carbayo promover un compromiso firme por parte del pleno con el cumplimiento de la normativa, “elaborando una estrategia a largo plazo, que establezca una gobernanza de tecnologías de la información adecuada”.

Con carácter más específico, se recomienda al Ayuntamiento el desarrollo de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte del fabricante, con la garantía de una dotación presupuestaria adecuada.

Además, animan al regidor a impulsar la inclusión sistemática en la contratación de los de los servicios informáticos de las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de administración de acuerdo con el Esquema Nacional de Seguridad.

Finalmente, recomienda "seguir liderando” las actuaciones ya iniciadas en lo que se refiere a dotar a la entidad de una adecuada política de seguridad y una estructura del departamento de tecnologías de la información acorde y que permita cumplir el principio de ‘seguridad como responsabilidad diferenciada’, de acuerdo con el Esquema Nacional de Seguridad.