El Ayuntamiento de Elche sigue sin cumplir en ciberseguridad: la Sindicatura alerta de un nivel muy deficiente

ELCHE. La Sindicatura de Comptes ha revelado en su informe de situación a 31 de diciembre de 2021 que el Consistorio aún tiene mucho por hacer para llegar a los índices recomendados en materia de ciberseguridad. Algo en lo que ya incidió en 2019 y que puso también de relieve un informe de Deloitte. La Sindicatura apunta a que se han han realizado progresos desde su última auditoría y se han atendido "parcialmente" algunas de las recomendaciones, pero el índice de madurez general de los controles básicos de ciberseguridad aún son bajos. Mientras que debería conseguir un 80%, ahora arrojan un valor del 50,3% (eran de 40,7% en 2019).

La Sindicatura estima que el nivel de efectividad en los controles analizados continúa siendo insuficiente y tiene que mejorar para conseguir los niveles exigidos por el Esquema Nacional de Seguridad (ENS) para la protección de los sistemas de información,
especialmente en los controles que presentan mayores deficiencias. En este sentido, la auditoría pone de manifiesto que no hay establecida una gobernanza de la ciberseguridad, "situación que se tiene que enmendar". Asimismo, insta a aprobar normas y procedimientos en relación con la seguridad de la información aplicables a toda la organización por igual. 

"También hace falta que el comité de seguridad de la información, órgano imprescindible para coordinar la seguridad de la información en la entidad, se reúna regularmente, a fin de conocer el estado de la seguridad de la información del Ayuntamiento y tomar las decisiones pertinentes de manera oportuna". La Sindicatura señala que también hay un grado de cumplimiento "muy deficiente en cuanto a la adecuación a las normas legales relacionadas con la seguridad de la información. El informe señala varios aspectos sobre los cuales se tiene que actuar para enmendarlos rápidamente". 

Leves mejoras, pero insuficientes

De esta forma, se han establecido una serie de recomendaciones con el propósito de contribuir a enmendar las deficiencias observadas y mejorar los procedimientos de gestión de la ciberseguridad del Ayuntamiento. Entre estas:

1. Aprobar formalmente un procedimiento unificado para la gestión del inventario y el control de activos físicos y de software que recoja el proceso actualmente implantado y se aplique a todos los sistemas de información del Ayuntamiento
2. Finalizar la implantación de soluciones para restringir el acceso de dispositivos físicos no autorizados en la red corporativa
3. Elaborar y aprobar formalmente un procedimiento para gestión de usuarios con privilegios de administración
4. Aprobar e implantar un procedimiento de configuración segura o fortificación de los sistemas que considere la seguridad por defecto y el criterio de mínima funcionalidad

La Sindicatura señala que tras la pandemia y los nuevos retos tecnológicos, es básico que la administración cumpla en esta materia los ejes de confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. En este sentido, al índice de madurez general, consigue un 50,3%, "que se corresponde con un nivel de madurez N2, 'repetible pero intuitivo'; es decir, los controles se realizan, pero hay controles parcialmente establecidos o los procedimientos no se han formalizado documentalmente".

Controles Básicos de Ciberseguridad pendientes en Elche

Concretamente, respecto a los Controles Básicos de Ciberseguridad (CBCS), el índice de cumplimiento es del 62,9%, que resulta de comparar el índice de madurez con el nivel requerido u objetivo que tiene el sistema según el ENS, que es el 80%. Este índice ha mejorado desde el 50,9% del informe anterior. 

Por último, aunque se ha detectado "cierto compromiso y concienciación con la ciberseguridad por parte de los órganos superiores del Ayuntamiento y en los tres departamentos con responsabilidades en materia de seguridad de la información (informática, telecomunicaciones y policía local), hay
carencias relevantes como por ejemplo:

1. Ausencia de un marco normativo y procedimental único formalmente aprobado. El Ayuntamiento dispone de la política de seguridad de la información aprobada por la Junta de Gobierno y tiene definidos los roles en materia de seguridad, pero no ha desarrollado el marco normativo (uso correcto de equipos, servicios, instalaciones, usos indebidos, responsabilidades del personal) y procedimental (documentos que detallan como se hacen las tareas habituales, responsables...)
2. La necesidad que el comité de seguridad de la información, órgano imprescindible para coordinar la seguridad de la información en la entidad, se reúna regularmente, a fin de conocer el estado de la seguridad de la información del Ayuntamiento y tomar las decisiones pertinentes de manera oportuna. En una entidad del tamaño y complejidad del ayuntamiento tendría que reunirse al menos mensualmente
3. Las decisiones en materia de seguridad de la información tienen que ser aplicadas por los técnicos o las empresas adjudicatarias de acuerdo con las directrices establecidas formalmente por la corporación, por el comité o por el responsable de seguridad y no atendiendo sus propios criterios

Por tanto, la Sindicatura concluye en que es "muy deficiente" el cumplimiento en los estándares de seguridad requeridos a nivel nacional en materia de ciberseguridad, y esgrime que algunas de las recomendaciones establecidas en 2019 no se han cumplido, mientras que otras solo parcialmente. A este respecto, en los últimos tiempos se han sacado a licitación distintas herramientas de software informático. La última, la adquisición de una solución inteligente para la recolección y correlación de alertas procedentes de las diferentes soluciones de seguridad mediante machine learning.