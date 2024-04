La seguridad informática de la Diputación de Pontevedra no sale bien parada del “Informe de fiscalización de los controles básicos de ciberseguridad” en esta institución, elaborado por el Consello de Contas de Galicia.

Con datos del año 2022, este órgano de control de las administraciones públicas revela entre otras cosas que el “índice de madurez general” de los Controles Básicos de Ciberseguridad (CBCS) en la Diputación, es “insuficiente y debe mejorar” para conseguir los niveles exigidos por el Esquema Nacional de Seguridad (ENS), que proporciona al sector público en España un planteamiento común de seguridad para la protección de la información que maneja y los servicios que presta.

Entre los resultados de este trabajo, el grado de control en la gestión de los CBCS alcanza en la Diputación de Pontevedra un índice de madurez general del 53%, que se corresponde con un nivel de madurez “repetible pero intuitivo”, es decir, que los procesos “siguen una pauta regular cuando determinados procedimientos se realizan por distintas personas, sin procedimientos escritos ni actividades formativas”.

El informe concluye que los controles revisados presentan una efectividad “insuficiente” al situarse en este nivel de madurez medio, cuando la Diputación debería tener una categorización media del sistema, que se correspondiese con un nivel de exigencia mayor.

Otras conclusiones del informe del Consello de Contas es que la gobernanza de ciberseguridad “no garantiza la correcta implantación del Sistema de Gestión de Seguridad de la Información” y señala que es responsabilidad de los órganos superiores de la Diputación y de los titulares de los puestos de Secretaría, Intervención y Tesorería que existan controles acomodados en los sistemas de información y comunicaciones (SIC).

Expone además que la Diputación no tiene aprobada formalmente las políticas de seguridad de la información y objetivos estratégicos, por lo que su utilidad está limitada por no ajustarse a las necesidades actuales de la entidad; no tiene asignada los roles y responsabilidades específicos en seguridad de la información que requiere el ENS; y apunta que es necesario que todo el personal se conciencie y comprometa con la política de seguridad y con los protocolos que apruebe el comité de seguridad. Por último, “no se garantiza el cumplimiento pleno de la normativa sobre seguridad de la información”.

