El Consello de Contas detecta carencias en la ciberseguridad del Concello
Una auditoría del ente fiscalizador concluye que la efectividad de los controles básicos de seguridad del Ayuntamiento ourensano son «insuficientes» ante el riesgo de ciberataques
Edificio del Concello de Ourense, en la Praza Maior. / Roi Cruz
Debido al importante volumen de información y datos que maneja la Administración Pública, una de las prioridades del Consello de Contas de Galicia es verificar que estas entidades disponen de controles de ciberseguridad eficaces a la hora de protegerse de los ciberataques. Una amenaza real que conocen bien organismos como la Diputación de Ourense, que sufrió un jaqueo en 2019 que afectó a los servidores y llegó a desviar un millón de euros de fondos procedentes de subvenciones públicas. Más de 800.000 euros se recuperaron, pero otros 170.000 desaparecieron. El informe de fiscalización que realizó el Consello de Contas con posterioridad a estos hechos reveló que, en efecto, algunos parámetros de ciberseguridad eran «insuficientes».
Carencias que también ha detectado Contas en una revisión similar realizada en el Concello de Ourense durante el año 2023 y de la que se desprende que hay mucho que mejorar en cuanto a la gestión de los riesgos asociados al uso de los sistemas de información en la Administración Pública. Precisamente, los objetivos y alcance de esta fiscalización que recae sobre las diputaciones provinciales y los ayuntamientos de más de 100.000 habitantes (A Coruña, Vigo y Ourense) persiguen verificar el estado de seguridad informática de estas entidades y, más concretamente, el grado de eficacia de determinados controles básicos de ciberseguridad.
"Debe mejorar"
En el caso del Concello de Ourense, el Consello de Contas recoge en el informe de fiscalización que se hizo público este viernes, que la entidad colaboró en todo momento facilitando el trabajo de campo y presentando la documentación solicitada en plazo. Sin embargo, el resultado de esta revisión detectó deficiencias que el Ayuntamiento «debe mejorar» para alcanzar los niveles exigidos por el Esquema Nacional de Seguridad (ENS).
Asimismo, el equipo auditor explica en este documento que todos los órganos superiores del Concello son responsables de que existan controles adecuados en los sistemas de información. Esto implica a los titulares de los puestos de secretaría, intervención y tesorería, cuyo compromiso «es fundamental para implantar con éxito un sistema de gestión de la seguridad que garantice la ciberresiliencia de la entidad».
Y aunque los examinadores observaron «cierto nivel de compromiso y concienciación sobre la ciberseguridad» por parte de los órganos superiores y de los gestores y responsables de las áreas revisadas, «se identificaron carencias que permiten concluir que la gobernanza debe mejorar». Estas deficiencias, añade el informe, «dificultan la implantación de un sistema de gestión de la seguridad de la información efectivo».
Las más relevantes, tienen que ver con que el Concello «no tiene actualizadas las políticas de seguridad de la información y objetivos estratégicos, por lo que su utilidad está limitada por no ajustarse a las necesidades actuales de la entidad».
Contar con un comité de seguridad de estas tecnologías «es fundamental», pero en este caso, los auditores constataron que «no tuvo actividad durante los últimos meses, y no existen equipos de trabajo ni órganos colegiados que asumieran esas funciones». Esta circunstancia, añaden, «impide la coordinación efectiva de las áreas y la adopción de medidas de mejora continua».
Los resultados
La aplicación de los controles básicos de ciberseguridad en este estudio se clasifican en tres niveles, siendo el N3 el que indica que el proceso está definido y, por lo tanto, es efectivo. Por debajo ya se consideran «insuficientes», con un N2, «repetible pero intuitivo» y un N1 que significa que el proceso existe, pero no se gestiona.
En sus conclusiones, el ente fiscalizador indica que el índice de madurez general en los controles básicos de ciberseguridad del Concello de Ourense es del 50%, con nivel 2, es decir, que sí se realizan, «pero existen controles parcialmente establecidos o no formalizados documentalmente», así como «aspectos en los que deben llevarse a cabo acciones para mejorar». En cuanto al índice de cumplimiento, que es el porcentaje que se obtiene al comparar la madurez con el mínimo del 80% que exige el Esquema Nacional de Seguridad, el Concello de Ourense obtiene un 62,4%.
El contenido detallado de cada uno de los parámetros examinados es confidencial, apunta el Consello de Contas, y hacerlo público «podría afectar seriamente a la seguridad de los sistemas de información de la ciudad», de ahí que el informe publicado se presenta de forma «sintética». En paralelo, las deficiencias de control interno se trasladan al Concello por canales cifrados para que adopten las medidas correctoras oportunas.
El control sobre las copias de seguridad y datos es el parámetro más seguro
La auditoría realizada durante 2023 se centró en ocho controles de seguridad y en ninguno de ellos se alcanzó el nivel óptimo (N3). El que más se aproxima a los valores mínimos de cumplimiento es el referente a las copias de seguridad de datos y sistemas (73%), con un índice de cumplimiento del 91%, pero que no llega al nivel requerido, el N3, que es aquel en el que los procesos están estandarizados, documentados y comunicados con acciones formativas. El peor valorado es el correspondiente al inventario y control de ‘software’ autorizado y no autorizado (38%).
En N1 se sitúan también otros parámetros como el inventario y control de dispositivos físicos (45%), el proceso continuo de identificación y remediación de vulnerabilidades (40%), el registro de la actividad de los usuarios (48%) y el cumplimiento normativo y gobernanza de ciberseguridad (44%). Mejor valorados, pero todavía «insuficientes» son los controles sobre el uso de privilegios administrativos (58%) y las configuraciones seguras del ‘software’ y ‘hardware’ (55%).
Doce recomendaciones que empiezan por identificar y actualizar sistemas
En base a la fiscalización realizada, el Consello de Contas incluye en su informe una serie de recomendaciones que tienen en cuenta el riesgo potencial que se debe mitigar y el coste estimado de su implantación.En base a estos criterios, se establece una priorización con 12 medidas que comienza con la necesidad de identificar y actualizar todos los sistemas que se encuentran fuera del período de soporte, y continúa por establecer mejoras en el proceso de copias de seguridad, elaborar y formalizar un procedimiento de seguridad específico para identificar y poner remedio a las vulnerabilidades y fortalecer todos los sistemas de seguridad.
Las indicaciones de mejora incluyen la elaboración de un procedimiento unificado de gestión de usurarios y la realización de un nuevo plan de adecuación al Esquema Nacional de Seguridad, así como atender y solventar las acciones resultantes para obtener la certificación, entre otras.
- Herida grave la conductora de un vehículo con el que colisionó un camión en la A-52 a la altura de Trasmirás
- Estaba de baja por ansiedad pero se ofrecía a equilibrar los chakras y a limpiar energías negativas
- Piden 4 años de prisión por un elevador que falló y dejó un herido muy grave
- Siete años de prisión por provocar un fuego en el edificio en el que residía
- Ofreció a una pareja pisos a bajo precio embargados en Mallorca y fingió la devolución del dinero «para ganar tiempo»
- El jaqueo a la Diputación de Ourense que desvió un millón de euros acerca a juicio al único imputado
- «Que no se hagan ilusiones; las reformas del papa no tienen vuelta atrás, salvo que quieran una Iglesia de museo»
- La UVigo licita la dirección de obra del futuro edificio de Aeronáutica
