El Consejo de Cuentas de Castilla y León recomienda a los ayuntamientos de Ávila, Burgos y Palencia la puesta en marcha de una estrategia de seguridad informática a largo plazo con el fin de que pongan en práctica una gobernanza de tecnologías de la información adecuada. Así lo concluye el órgano de control externo en los informes sobre el análisis de la seguridad informática de los tres ayuntamientos que acaba de entregar al Parlamento autonómico y en los que apunta al impulso de actuaciones tendentes a solventar incumplimientos normativos y corregir deficiencias técnicas. Desde el Consejo de Cuentas se señala que se ha obtenido una «recepción muy positiva» por parte de las entidades fiscalizadas, con la «aplicación inmediata de mejoras».
La Conferencia de Presidentes de la Asociación de Órganos de Control Externo Autonómicos (Asocex), de la que forma parte el Consejo, aprobó en 2018 la guía práctica de fiscalización para la revisión de los controles básicos de ciberseguridad, siendo el órgano castellano y leonés uno de los primeros en programar este tipo de auditorías.
Tras una primera serie publicada el pasado año correspondiente a siete ayuntamientos de tamaño intermedio, se abordan ahora las capitales de provincia de la Comunidad, pensando en el impacto que esta materia puede tener en la vida de los ciudadanos. Además de los tres informes divulgados este martes, el Consejo está elaborando los referentes a los Ayuntamientos de León, Salamanca y Valladolid.
Se trata de una auditoría operativa cuyo objetivo principal es verificar el funcionamiento de los controles básicos de ciberseguridad implantados por la entidad fiscalizada y, en función de los resultados, proponer recomendaciones de mejora. Así, se han analizado las actuaciones, medidas y procedimientos adoptados para la efectiva implantación de los controles básicos de ciberseguridad, así como el grado de efectividad alcanzado por estos controles.
Dada la importancia adquirida por la administración electrónica, es fundamental que las entidades locales, especialmente las de mayor tamaño, tengan un adecuado sistema de seguridad para evitar riesgos de pérdida de datos o de imposibilidad de prestación de servicios en el caso de ataque informático.
Teniendo en cuenta que la finalidad de estos informes de auditoría es promover un cambio positivo, antes de su publicación se deja transcurrir un tiempo para facilitar que las entidades corrijan las debilidades detectadas. En este sentido se señala que los entes fiscalizados han tenido una «recepción muy positiva» a lo largo de la ejecución de los trabajos, con la aplicación inmediata de mejoras.
Los controles básicos de ciberseguridad definidos por Asocex se evalúan según el modelo de madurez de procesos, que define seis niveles. Los órganos de control externo autonómicos consideran que la actividad organizativa de los controles debe alcanzar como mínimo el nivel 3, que implica un proceso bien definido y estandarizado. Sobre dicho nivel se calcula el índice de cumplimiento que servirá de referencia para la evaluación global de los controles de ciberseguridad.
El Consejo de Cuentas realiza 12 recomendaciones al Ayuntamiento de Ávila, 8 al de Burgos y 11 al de Palencia. Entre ellas, con carácter general, el alcalde debería promover un compromiso firme por parte del Pleno con el cumplimiento de la normativa, elaborando una estrategia a largo plazo.
Por su parte, el concejal competente en la materia debería impulsar actuaciones para solventar los incumplimientos normativos y las deficiencias de carácter técnico que se han constatado.
Asimismo, debería impulsar la adecuada dotación de las plazas contempladas en la RPT para garantizar una estructura que cumpla los principios de seguridad como función diferenciada y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información.
Además, debería impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte del fabricante. Asimismo, se aconseja la inclusión en la contratación de los servicios informáticos de las cláusulas que permitan hacer un control y que se garantice, por parte del responsable de seguridad, que existe una documentación para asegurar el conocimiento sobre los sistemas de información, entre otras acciones.