"El grado de cumplimiento de la normativa relativa a la seguridad de la información es insuficiente". Ésta es una de las frases que recoge el nuevo informe del Síndic de Comptes de la Comunitat Valenciana sobre los controles básicos de ciberseguridad en el Ayuntamiento de Sagunt. Como seguimiento a la evaluación de 2019, este órgano reconoce que "se han hecho progresos", al tiempo que destaca las actuaciones iniciadas o planificadas desde la conclusión de la auditoría, cuya "implantación efectiva tendrá un impacto positivo".
Pese a estas esperanzas, la situación al cierre de 2021 mostraba un índice de madurez de los controles de ciberseguridad del 54,4 %, por el 44,5 % de dos años antes y el 80 % que se marca como objetivo mínimo. El valor para Sagunt indica que sus procedimientos son "repetibles, pero intuitivos" y que "los controles analizados continúan siendo insuficientes", especialmente en los indicadores relaciones con el inventario y el control de dispositivos físicos, así como las configuraciones seguras del software y hardware, en los que la madurez no alcanza el 50 %.
El refuerzo de recursos humanos y presupuestarios en el área de tecnologías de la información y la comunicación es una de las primera necesidades que señala el Síndic, además del establecimiento de una "adecuada gobernanza". La aprobación de normas y procedimientos aplicables a todo el ayuntamiento son otras asignaturas pendientes, que contrastan con "cierto nivel de concienciación" en los órganos de gobierno en Sagunt. Sobre este aspecto político, la auditoría lamenta la "falta de actividad" del comité de seguridad de la información, "órgano imprescindible en la coordinación" en esta materia para la toma oportuna de decisiones.
El informe alerta de incumplimientos "significativos" de la normativa, que deben "enmendarse rápidamente"
Entre los incumplimientos "significativos" sobre los que "se tiene que actuar para enmendarlos rápidamente" al tratarse de "cuestiones legales" se encuentran la aplicación del Real Decreto 3/2010, que regula el Esquema Nacional de Seguridad, especialmente a la hora de "rellenar la instrucción técnica del Informe del Estado de la Seguridad, realizar las auditorías previstas y publicar en la sede electrónica las declaraciones de conformidad y los distintivos correspondientes". Sobre la protección de datos personales, "el Ayuntamiento de Sagunt tiene que adaptarse al reglamento general y a la Ley Orgánica 3/2018, de 5 de diciembre para aplicar las medidas organizativas y técnicas necesarias que permitan proteger los datos personales, así como planificar y ejecutar auditorías en materia de protección de datos.
Principales amenazas
Además, el informe firmado por el Síndic Major, Vicent Cucarella, prioriza la docena de actuaciones propuesta en función de la relación del coste y el beneficio, de tal forma que las más caras, pero también las que más riesgo eliminarían, serían la mejora de los controles para restringir el acceso de dispositivos físicos no autorizados en la red corporativa y la implantación de un procedimiento de configuración que considere la seguridad por defecto. A este último se debería añadir un procedimiento de gestión continuada de la configuración de los sistemas, particularmente de los "más críticos".
La Sindicatura de Comptes muestra su confianza en que estas recomendaciones tengan más éxito que las emitidas en 2019, cuando solo una se atendió, la de llevar a cabo las auditorías del registro de facturas exigidas por la ley, mientras que ocho solo se cumplieron parcialmente y en las otras cuatro no se adoptaron medidas.
Pero no todo son críticas por parte de Cucarella, quien enumera las actuaciones más relevantes que se han implantado en los últimos meses, después de cerrarse este informe de seguimiento. En esta categoría sitúa las licitaciones tanto de la herramienta para la gestión de parches, que "mejorará varios controles de seguridad", como del cumplimiento del nuevo Esquema Nacional de Ciberseguridad, financiado con fondos Next Generation.
El dictamen reconoce el "notable esfuerzo" del ayuntamiento en la concienciación de sus trabajadores
La auditoría también valora positivamente el despliegue de Carmen (desarrollada para identificar el compromiso de la red por parte de amenazas persistentes avanzadas), Lucía (Lista Unificada de Coordinación de Incidentes y Amenazas), así como el Sistema de Alerta Temprana de Internet para la detección en tiempo real de las amenazas e incidentes.
La auditoría también señala el "notable esfuerzo" en la concienciación de los trabajadores municipales. Así, el ayuntamiento utiliza una plataforma para programar diferentes campañas de concienciación y acciones, que hacen referencia a la difusión de noticias, exámenes o pruebas de phishing.
