La Sindicatura de Cuentas ha alertado del "riesgo inaceptable" de los sistemas de ciberseguridad del Ayuntamiento de Torrevieja. El organismo ha realizado una decena de recmendaciones al Consistorio en su informe anual para mejorar un aspecto clave hoy en día en lo que respecta a servicios y funcionamiento de la administración en el mundo digital. En concreto, en dicho informe, la Sindicatura señala que, pese a que el Ayuntamiento ha realizado inversiones en los últimos años "y se han efectuado progresos notables desde nuestra anterior auditoría", no son suficientes. Por tanto "debe continuar adoptando medidas para reconducir la situación observada, ya que el índice de madurez general de los Controles Básicos de Ciberseguridad muestra un valor del 52,0% (31,8% en 2021), que sigue siendo insuficiente, refleja un nivel de riesgo inaceptable y está alejado del objetivo marcado por el ENS (80,0%).
Por tanto, "el Ayuntamiento de Torrevieja no tiene establecida una adecuada gobernanza de la ciberseguridad, tal como exige la normativa y un adecuado sistema de control interno. Aunque hemos identificado iniciativas por parte de la corporación para reconducir la situación, estas son insuficientes y la situación debe ser prontamente subsanada. Además, se debe reforzar el apoyo en forma de recursos humanos y presupuestarios dedicados a la seguridad de la información".
Entre las recomendaciones del organismo al Ayuntamiento se encontraban "adquirir y desplegar una solución específica para restringir el acceso de dispositivos físicos no autorizados a la red corporativa", así como realizar un inventario de dispositivos y un calendario de actualizaciones de hardware y software. También señala la necesidad de establecer un procedimiento de identificación y remediación de vulnerabilidades que se aplique de forma integral a la totalidad de sistemas del Ayuntamiento.
Por otra parte, el informe señala la necesidad de formalizar un procedimiento unificado de gestión de usuarios con privilegios de administración que establezca las directrices para todos los sistemas de la entidad. Además, establece que es necesario aprobar e implantar un procedimiento de configuración segura o bastionado de los sistemas que considere la seguridad por defecto y el criterio de mínima funcionalidad. Para ello, se propone el desarrollo de guías de instalación específicas por sistemas, basadas en las recomendaciones de los fabricantes y en las recomendaciones de los organismos de referencia.
En lo que respecta al registro de la actividad de los usuarios, el informe apunta a que el Ayuntamiento debe establecer un procedimiento para el tratamiento de logs de auditoría de la actividad de los usuarios, que especifique, como mínimo, los sistemas afectados, la información que se retiene, el periodo de retención, copias de seguridad, gestión de derechos de acceso al registro e implantación y documentación de un proceso de revisión de los logs. Para la revisión de logs es aconsejable centralizarlos en sistemas dedicados a tal efecto.
Otra de las recomendaciones pasa por establecer un procedimiento para la gestión de copias de seguridad de datos y sistemas, que defina, como mínimo, los datos y sistemas afectados, la periodicidad de las copias, ubicaciones, responsables, pruebas de restauración y los requisitos de protección de las copias.
El informe señala que aunque muchas de estas recomendaciones se han atendido, no han sido suficientes o deben priorizarse acciones para aumentar el índice de fiabilidad y el control de la ciberseguridad en el Consistorio.
