Elche mejora en sus sistemas de control, pero aún incumple estándares relevantes de ciberseguridad

ELCHE. El Ayuntamiento de Elche ha mejorado en sistemas de control, pero la ciberseguridad sigue siendo una cuenta pendiente dentro de la administración local, como indica la Sindicatura de Comptes en un informe elaborado sobre su entorno de control de 2019 a 2021 —como también señaló Deloitte en 2020—. En el cómputo global de sistemas de control, ha obtenido un 77,4%, lo que representa un nivel de riesgo medio. Y en ciberseguridad está aún en el 62,9%. Lo recomendable en ambos apartados es llegar al 80%. No obstante, en el primer aspecto, donde hay mejores resultados, se han detectado casi una treintena de deficiencias significativas.

26 deficiencias en el entorno de control

A este respecto, como resultado de la revisión efectuada se han observado 26 deficiencias significativas sobre el entorno de control, y que según el informe "representan un riesgo para la misma organización administrativa y su grado de transparencia, la fiabilidad de la información económico-financiera, el cumplimiento de la normativa aplicable, la protección de los activos y el mismo control interno ejercido por la Intervención". Y en cuanto a la ciberseguridad, la revisión se ha centrado en el análisis de la situación de los ocho controles básicos en relación con las aplicaciones y sistemas que soportan el proceso contable-presupuestario y otros sistemas de interés general. 

En cuanto al entorno de control y esas 26 deficiencias, se refieren a  temáticas muy distintas, desde organización administrativa y  transparencia hasta informes economicofinancieros, pasando por  Intervención o protección de los bienes municipales. Dentro de estas  grandes áreas son varios los puntos concretos que se señalan (esos 26).  Por ejemplo, que no se lleva un registro de todos los contratos,  incluyendo los menores; que no se estima el coste de mantenimiento de  las inversiones; un reconocimiento extrajudicial de créditos de 4,4  millones en 2019 y 2020; declaraciones de incompatibilidad de los cargos  electos; falta de acta de conformidad en expedientes de contratación;  justificaciones mayores de 9.000 euros aún sin justificar a algunas  entidades (aunque se han adoptado medidas, se aclara) o asuntos sobre  fiscalizaciones de nóminas.

Recomendaciones del Síndic

1. Elaborar  un reglamento orgánico y manuales de procedimientos que incluyan las  funciones y responsabilidades del personal asignado a las diferentes  áreas
2. Que se adopten otras medidas específicas de prevención  contra el fraude o corrupción a lo largo de la tramitación de los  expedientes de contratación
3. Mejorar el entorno de control de la  subárea de contabilidad, registrando los hechos económicos de acuerdo  con los  principios contables de aplicación 
4. Elaborar un plan de inversiones realista, ya que generalmente a pesar de esos máximos el nivel de ejecución  siempre es más bajo
5. Estimar  el coste y la financiación del mantenimiento de las inversiones y que  en las actas del Pleno de la entidad se haga referencia a los informes  de la Intervención sobre el  cumplimiento del objetivo de estabilidad  presupuestaria

Ciberseguridad, mejoras progresivas, pero un problema todavía

En cuanto a los controles básicos de  ciberseguridad, el índice de madurez general debería llegar al 80%, aunque muestra un valor del 62,9% (era un 40,7% en 2019), por lo cual el  nivel de efectividad en los controles analizados "continúa siendo insuficiente" según la Sindicatura, y "tiene que mejorar para conseguir  los niveles exigidos por el Esquema Nacional de Seguridad para la  protección de los sistemas de información, especialmente en los  controles que presenten deficiencias significativas". Se destaca que el  Ayuntamiento no tiene establecida una adecuada gobernanza/gobernanza de  la ciberseguridad, "situación que se tiene que enmendar". Añade el Síndic que los órganos de gobierno tienen que aprobar normas y  procedimientos en relación con la seguridad de la información aplicables  a toda la organización por igual. 

"También hace falta que el  comité de seguridad de la información,  órgano imprescindible para  coordinar la seguridad de la información en  la entidad", y recomienda que reúna regularmente, a fin de conocer el  estado de la seguridad de la información del Ayuntamiento y tomar  las decisiones pertinentes de manera oportuna. Se explica también que  desde su perspectiva, hay un cumplimiento "muy deficiente" en cuanto a  la adecuación a las normas  legales relacionadas con la seguridad de la  información. Así, el informe  señala varios aspectos sobre los cuales se  tiene que actuar para  enmendarlos rápidamente.

Recomendaciones en ciberseguridad

Y como en el otro ámbito, se han  realizado una serie de  recomendaciones con el propósito de contribuir a  enmendar las  deficiencias observadas y mejorar los procedimientos de  gestión de la ciberseguridad del Ayuntamiento. Entre estas:

• Aprobar   formalmente un procedimiento unificado para la gestión del inventario y   el control de activos físicos y de software que recoja el proceso   actualmente implantado y se aplique a todos los sistemas de información   del Ayuntamiento
• Aconsejan finalizar la implantación de   soluciones para restringir el acceso de dispositivos físicos no   autorizados en la red corporativa
• Elaborar y aprobar  formalmente  un procedimiento para gestión de usuarios con privilegios  de  administración, y aprobar e implantar un procedimiento de  configuración  segura o fortificación de los sistemas que considero la  seguridad por  defecto y el criterio de mínima funcionalidad
  

Estas  menores cifras de ciberseguridad llegan por inventario de   dispositivos, o  programas, uso de privilegios administrativos,  registro  de usuarios o  copias de seguridad, como muestra el gráfico.  En  conclusión, el informe  señala que el índice de madurez general en  la  gestión de los controles  básicos de ciberseguridad consiguía a  cifra de  2021 ese 62,9%, "que se corresponde con un nivel de madurez  N2, repetible pero intuitivo; es  decir, los controles se realizan, pero hay  controles parcialmente establecidos o los procedimientos no  se han formalizado documentalmente". Se indica que el Consistorio ha  atendido  estas recomendaciones de forma parcial, aunque se ha mejorado desde la auditoría de 2019. Aún se está lejos de llegar a ese 80%  recomendado, calificado como riesgo bajo, aunque en los últimos tiempos se han adjudicado o hay en licitación diferentes soluciones de software para la administración o departamentos como el de Hacienda, en algunos casos por más de un millón de euros.