ELCHE. El Ayuntamiento de Elche sigue necesitando mejorar en materia de ciberseguridad. Así lo indica un informe de la Sindicatura de Comptes publicado hace unos días. Ahora que se está hablando más que nunca sobre la inversión en ciberseguridad a colación del gasto militar, o incluso tras el apagón del pasado lunes —aunque por ahora la información apunta a que el motivo fue un problema técnico—, la Sindicatura incide en que el Consistorio aún tiene que mejorar la situación de los controles básicos de ciberseguridad. Le insta a dedicar los esfuerzos y recursos necesarios para subsanar las deficiencias pendientes con más personal, además de apuntar a medidas para el cumplimiento de la legalidad que deben adoptarse.

Sobre esta cuestión, los fondos extraordinarios Next Generation, vehiculado a través del  Plan de Recuperación, Transformación y Resiliencia (PRTR), una de las líneas es la de la ciberseguridad y particularmente el proyecto prioritario denominado 'Puesta en marcha de un Centro de Operaciones de Ciberseguridad'. El órgano destaca la importancia de estos mecanismos de defensa ante el potencial impacto sobre la ciberseguridad de las Administraciones locales, "aspecto que viene siendo tratado por la Sindicatura de Comptes en los últimos años y que se encuentra incluido en su actual plan estratégico".

Proyectos en ejecución y en justificación

Evaluando la aplicación y las subvenciones concedidas, adicionalmente se ha realizado un trabajo de seguimiento de la situación de los controles básicos de ciberseguridad (CBCS) del Ayuntamiento ilicitano respecto a la situación mostrada en las anteriores auditorías realizadas. Y expone que a 31 de diciembre de 2023, no se habían justificado de forma conveniente los dos proyectos propuestos de la línea estratégica de transformación digital y modernización de la Administración pública del PRTR. No obstante, en el momento de la realización del informe, los dos proyectos se encuentran finalizados y en justificación.

E indica que el Consistorio disponía de una oficina de fondos europeos para la gestión de fondos Feder al principio de la ejecución de estos fnodos, pero la misma carecía de los recursos e infraestructura administrativa necesarios para gestionar de manera eficiente este tipo de ayudas. "Los medios disponibles fueron posteriormente ampliados para dar respuesta a las nuevas oportunidades de financiación".

Así, sobre el Centro de Operaciones de Ciberseguridad (SOC), el Ayuntamiento dispone desde el año 2021 de un contrato de servicios de tecnología de la información (TI) que incluye la provisión de los sistemas y servicios profesionales necesarios para la constitución de un SOC, por lo que no incluyó el proyecto 'Puesta en marcha de un Centro de Operaciones de Ciberseguridad' en el marco del PRTR, pero sí incluyó un proyecto con un elevado impacto en el nivel de seguridad de la entidad y que complementa los servicios proporcionados por el SOC. En el momento de la revisión de la Sindicatura, el SOC del Ayuntamiento se encontraba plenamente operativo y el adjudicatario del contrato que incluye el servicio de SOC se encuentra integrado en la Red Nacional de SOC, impulsada por el Centro Criptológico Nacional. 

Índice de madurez insuficiente

No obstante, y sobre el estado de los controles básicos de ciberseguridad, aunque se han realizado progresos significativos desde la anterior auditoría, "el índice de madurez general de los controles muestra un valor del 68% (50,3% en 2021), que continúa siendo insuficiente y debe mejorar para alcanzar los niveles exigidos por el Esquema Nacional de Seguridad (80%)", tal y como se muestra en la gráfica. El informe pone de relieve que el Ayuntamiento "no tiene establecida una adecuada gobernanza de la ciberseguridad". Algo en lo que lleva poniendo el foco años. Si bien se han subsanado determinadas deficiencias, "se debe reforzar el apoyo a la seguridad de la información, particularmente en forma de recursos humanos".

De las doce recomendaciones realizadas en el informe anterior, una no se ha atendido, dos han sido aplicadas y el resto lo han sido solo parcialmente. El Consistorio pidió como subvenciones para este plan una solución inteligente para la 'recolección y correlación de alertas procedentes de las diferentes soluciones de seguridad mediante machine learning y despliegue de una solución capaz de realizar una detección y respuesta extendida XDR', por 180.000 euros, y para la 'transformación digital e innovación en la gestión. Implantación de soluciones eficientes para el área económico-financiera y presupuestaria en modelo cloud', por 693.350,23 euros. Ambas justificándose en la elaboración del informe.

A fecha del informe, la Sindicatura consideraba que el Ayuntamiento ha alcanzado la "excelencia tecnológica" en muchos procesos técnicos de seguridad, aunque no se consideran plenamente consolidados "por la excesiva dependencia de determinadas personas clave que, aunque con las competencias y motivación adecuada, concentran excesivas funciones, por lo que no es asimilable a un proceso sistemático y formalizado". Con ese nivel de madurez del 68%, se corresponde con un nivel de madurez N2, 'reproducible, pero intuitivo'; es decir, existen procedimientos de control, "pero no están suficientemente documentados o no cubren todos los aspectos requeridos". Por debajo del índice de madurez del 50% se encontraban las 'configuraciones seguras del software y hardware'. La siguiente más baja, 'Gobernanza de ciberseguridad y cumplimiento normativo', al 55%.