ELCHE. El Ayuntamiento de Elche ha mejorado en sistemas de control, pero la ciberseguridad sigue siendo una cuenta pendiente dentro de la administración local, como indica la Sindicatura de Comptes en un informe elaborado sobre su entorno de control de 2019 a 2021 —como también señaló Deloitte en 2020—. En el cómputo global de sistemas de control, ha obtenido un 77,4%, lo que representa un nivel de riesgo medio. Y en ciberseguridad está aún en el 62,9%. Lo recomendable en ambos apartados es llegar al 80%. No obstante, en el primer aspecto, donde hay mejores resultados, se han detectado casi una treintena de deficiencias significativas.
26 deficiencias en el entorno de control
A este respecto, como resultado de la revisión efectuada se han observado 26 deficiencias significativas sobre el entorno de control, y que según el informe "representan un riesgo para la misma organización administrativa y su grado de transparencia, la fiabilidad de la información económico-financiera, el cumplimiento de la normativa aplicable, la protección de los activos y el mismo control interno ejercido por la Intervención". Y en cuanto a la ciberseguridad, la revisión se ha centrado en el análisis de la situación de los ocho controles básicos en relación con las aplicaciones y sistemas que soportan el proceso contable-presupuestario y otros sistemas de interés general.
En cuanto al entorno de control y esas 26 deficiencias, se refieren a temáticas muy distintas, desde organización administrativa y transparencia hasta informes economicofinancieros, pasando por Intervención o protección de los bienes municipales. Dentro de estas grandes áreas son varios los puntos concretos que se señalan (esos 26). Por ejemplo, que no se lleva un registro de todos los contratos, incluyendo los menores; que no se estima el coste de mantenimiento de las inversiones; un reconocimiento extrajudicial de créditos de 4,4 millones en 2019 y 2020; declaraciones de incompatibilidad de los cargos electos; falta de acta de conformidad en expedientes de contratación; justificaciones mayores de 9.000 euros aún sin justificar a algunas entidades (aunque se han adoptado medidas, se aclara) o asuntos sobre fiscalizaciones de nóminas.
Puntuación de los sistemas de control
Recomendaciones del Síndic
Elaborar un reglamento orgánico y manuales de procedimientos que incluyan las funciones y responsabilidades del personal asignado a las diferentes áreas
Que se adopten otras medidas específicas de prevención contra el fraude o corrupción a lo largo de la tramitación de los expedientes de contratación
Mejorar el entorno de control de la subárea de contabilidad, registrando los hechos económicos de acuerdo con los principios contables de aplicación
Elaborar un plan de inversiones realista, ya que generalmente a pesar de esos máximos el nivel de ejecución siempre es más bajo
Estimar el coste y la financiación del mantenimiento de las inversiones y que en las actas del Pleno de la entidad se haga referencia a los informes de la Intervención sobre el cumplimiento del objetivo de estabilidad presupuestaria
Ciberseguridad, mejoras progresivas, pero un problema todavía
En cuanto a los controles básicos de ciberseguridad, el índice de madurez general debería llegar al 80%, aunque muestra un valor del 62,9% (era un 40,7% en 2019), por lo cual el nivel de efectividad en los controles analizados "continúa siendo insuficiente" según la Sindicatura, y "tiene que mejorar para conseguir los niveles exigidos por el Esquema Nacional de Seguridad para la protección de los sistemas de información, especialmente en los controles que presenten deficiencias significativas". Se destaca que el Ayuntamiento no tiene establecida una adecuada gobernanza/gobernanza de la ciberseguridad, "situación que se tiene que enmendar". Añade el Síndic que los órganos de gobierno tienen que aprobar normas y procedimientos en relación con la seguridad de la información aplicables a toda la organización por igual.
"También hace falta que el comité de seguridad de la información, órgano imprescindible para coordinar la seguridad de la información en la entidad", y recomienda que reúna regularmente, a fin de conocer el estado de la seguridad de la información del Ayuntamiento y tomar las decisiones pertinentes de manera oportuna. Se explica también que desde su perspectiva, hay un cumplimiento "muy deficiente" en cuanto a la adecuación a las normas legales relacionadas con la seguridad de la información. Así, el informe señala varios aspectos sobre los cuales se tiene que actuar para enmendarlos rápidamente.
Recomendaciones en ciberseguridad
Y como en el otro ámbito, se han realizado una serie de recomendaciones con el propósito de contribuir a enmendar las deficiencias observadas y mejorar los procedimientos de gestión de la ciberseguridad del Ayuntamiento. Entre estas:
Aprobar formalmente un procedimiento unificado para la gestión del inventario y el control de activos físicos y de software que recoja el proceso actualmente implantado y se aplique a todos los sistemas de información del Ayuntamiento
Aconsejan finalizar la implantación de soluciones para restringir el acceso de dispositivos físicos no autorizados en la red corporativa
Elaborar y aprobar formalmente un procedimiento para gestión de usuarios con privilegios de administración, y aprobar e implantar un procedimiento de configuración segura o fortificación de los sistemas que considero la seguridad por defecto y el criterio de mínima funcionalidad
Estas menores cifras de ciberseguridad llegan por inventario de dispositivos, o programas, uso de privilegios administrativos, registro de usuarios o copias de seguridad, como muestra el gráfico. En conclusión, el informe señala que el índice de madurez general en la gestión de los controles básicos de ciberseguridad consiguía a cifra de 2021 ese 62,9%, "que se corresponde con un nivel de madurez N2, repetible pero intuitivo; es decir, los controles se realizan, pero hay controles parcialmente establecidos o los procedimientos no se han formalizado documentalmente". Se indica que el Consistorio ha atendido estas recomendaciones de forma parcial, aunque se ha mejorado desde la auditoría de 2019. Aún se está lejos de llegar a ese 80% recomendado, calificado como riesgo bajo, aunque en los últimos tiempos se han adjudicado o hay en licitación diferentes soluciones de software para la administración o departamentos como el de Hacienda, en algunos casos por más de un millón de euros.
Puntuación de los sistemas de control
