Amilivia alerta de que los consistorios "no asimilan" el papel de la ciberseguridad
El presidente del Consejo de Cuentas, Mario Amilivia, dio un toque de atención a los consistorios y a la administración en general al asegurar que “no se termina de asimilar” el papel “esencial” que juega la ciberseguridad, ya que lejos de ser una “ocurrencia”, se trata de una “necesidad” y requiere estar contemplada en la política a través de un proceso “continuo” independientemente de los cambios políticos, dijo.
Se trata de una apreciación que formuló Amilivia con motivo de la presentación de tres informes sobre el ‘Seguimiento de recomendaciones y actualización de la situación de seguridad informática’ de los ayuntamientos de Béjar y Ciudad Rodrigo (Salamanca) y Benavente (Zamora) durante la Comisión de Economía y Hacienda de las Cortes, informa Ical.
Remarcó que las corporaciones locales “no creen prioritarias” las actuaciones en ciberseguridad frente a otro tipo de obras o actuaciones, lo que es un “gran error”, de ahí que haya incidido en la “falta de voluntad y compromiso” de estas administraciones, las cuales no trasladan estas acciones al conjunto presupuestario, añadió.
Al respecto de los informes presentados, el Consejo de Cuentas constató que los ayuntamientos de Béjar, Ciudad Rodrigo y Benavente han dado “pasos importantes” en ciberseguridad, en especial el zamorano, al aprobar su Política de Seguridad. Aun así, los tres ayuntamientos deberían impulsar su adecuación al Esquema Nacional de Seguridad, así como asegurar la dotación de recursos materiales y humanos imprescindibles para lograr un nivel de seguridad adecuado.
Margen de mejora
Amilivia aseguró que existe “aún margen de mejora” por parte de los tres ayuntamientos en un asunto, como es la seguridad informática, que es un proceso “continuo y fundamental” para cualquier organización en el contexto digital actual, dijo.
Así, señaló que las auditorías que realiza el Consejo ponen de manifiesto “insuficientes” dotaciones de medios, tanto humanos como materiales, por lo que destacó que las necesidades en todos los casos se podrían resumir en “compromiso y recursos”. Es decir, “compromiso por parte de los máximos órganos directivos, y recursos para alcanzar los objetivos comprometidos”.
Y es que, el objetivo principal de las tres auditorías presentadas es actualizar el análisis de los ocho controles más básicos de ciberseguridad llevados a cabo en la revisión de 2021, comprobando la implantación de las medidas que ya se recomendaron entonces.
Con motivo de esta segunda revisión en los tres ayuntamientos, el Consejo de Cuentas realizó nuevas recomendaciones, de las que cinco hace referencia a Béjar; cuatro para Ciudad Rodrigo y siete para Benavente, orientadas todas ellas a las actuaciones necesarias para que alcancen un nivel de ciberseguridad adecuado.
La procuradora del PSOE Rosa María Rubio quien puso en duda la efectividad de las acciones puestas en marcha por la Junta en esta materia y remarcó que la seguridad en la información es “crucial” para mantener la “integridad de los datos”. Y es que, en el mundo de la ciberseguridad, “prevenir siempre es mucho mejor que curar”, aseguró.
La socialista puso el foco en la “falta de voluntad política”, que se une a un problema de recursos, que son vía transferencia finalistas que realiza la Junta, ya que esa voluntad política la “pone cada regidor”. Es por ello que incidió en la necesidad de “crear un entornos seguros para ofrecer confidencialidad” y así poder “proteger” los datos personales y económicos, porque recordó que los consistorios “manejan gran cantidad de información. “Es necesario que se pongan al día y cumplan la normativa con guías, personal protocolos y medios”, añadió.
Invertir en ciberseguridad
En la misma línea se posicionaron desde Vox, con Susana Suárez, quien insistió en la importancia de “invertir” para estar preparados ante posibles ataques, además de contar con mecanismos y equipos de respaldo para evitar la pérdida de datos. También puntualizó que se tiene que “evitar dar una imagen de vulnerabilidad” desde la administración.
Suárez creyó clave el capacitar a los empelados en las prácticas de ciberseguridad, el identificar amenazas, utilizar sistemas avanzados de monitoreo, desarrollar políticas actualizadas y adaptarse a nuevas amenazas, porque son “crecientes”, aclaró. Invertir en este ámbito irán en beneficio de los ciudadanos, pero “queda mucho por hacer en este campo”, apostilló.
La adopción de medidas particulares y la incidencia en políticas autonómica que ayuden de manera intensa a solventar estas deficiencias fue una de las peticiones de la procuradora de UPL-Soria Ya!, Alicia Gallego, todo ello con el fin de solventar esa “falta de voluntad política” existente. De ahí que haya pedido a la Junta y las diputaciones un “mayor esfuerzo” para poder ayudar a los consistorios.
Gallego puso el foco, igualmente, en las limitaciones económicas, de medios y recursos de muchos ayuntamientos, lo que dificulta la puesta en marcha de este tipo de actuaciones en la materia, donde puntualizó que con esta situación se complica el cumplimiento de la normativa y solventar las necesidades, relató.
El procurador ‘popular’ David Beltrán calificó estos informes como unos “instrumentos valiosos” para realizar un análisis en la evolución de la materia, la cual sigue contando con deficiencias relevantes que “comprometen” los sistemas y generan vulnerabilidades en los datos personales, fiscales y económicos, lo que “condiciona la toma de decisiones”, dijo.
A ese respecto, Beltrán puso en valor el trabajo llevado a cabo por la Junta en este ámbito, al haber sido pionera a la hora de impulsar al respecto, como ocurre con los programas Territorio Rural Inteligente, diferentes herramientas de administración y red de soporte o la formación continua de empelados en competencias digitales, añadió.
Todo ello realizado “sin ruido ni grandes titulares, pero con resultados concretos”, ya que en el PP la transformación digital es una “línea sostenida en el tiempo”, por lo que dejó claro que “se seguirá defendiendo que todos los municipios tengan los medios necesarios para esta protegidos con independencia del tamaño”, apuntó.
Nuevas recomendaciones
Amilivia detalló que existen dos recomendaciones comunes para las tres entidades, donde se centra, en primer lugar, en la figura del alcalde, al ser el que “debería impulsar” las actuaciones para acometer la adecuación del Ayuntamiento al Esquema Nacional de Seguridad y a la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales para alcanzar de esta forma un nivel de ciberseguridad adecuado. Asimismo, el Consistorio “debería asegurar la dotación de recursos materiales y humanos imprescindibles para conseguir un nivel de seguridad apropiado”, añadió.
La tercera recomendación es compartida por los ayuntamientos de Béjar y Ciudad Rodrigo, dado que se insta a ambas corporaciones a “asignar los roles y responsabilidades, implantando una gobernanza de ciberseguridad que garantice que el proceso de adaptación se llevará a cabo en un plazo determinado y tendrá la continuidad imprescindible para garantizar que se alcanza el objetivo y que se mantiene a largo plazo”. Todo ello unido a la aprobación de una normativa en “materia de seguridad de la información y protección de datos personales necesaria”.
De forma específica, como cuarta y quinta recomendaciones para el Ayuntamiento de Béjar, desde el Consejo de Cuentas se subrayó que el alcalde debería asegurar que las actuaciones a emprender o puestas en marcha por el propio ayuntamiento o con apoyo específico de la Diputación de Salamanca, “se apliquen a todos los sistemas de información que dan soporte a procesos relevantes de gestión”, especialmente la aplicación de nóminas, “sin que existan áreas que no estén bajo el control de los responsables de la tecnología de la información municipal”.
De igual forma, se recomienda asegurar que se toman medidas para garantizar la capacidad de restablecer la prestación de los servicios fundamentales del Ayuntamiento en un tiempo determinado, especialmente mediante la mejora en el proceso de copias de seguridad.
Mario Amilivia trasladó que, con carácter singular para el Ayuntamiento de Ciudad Rodrigo -como cuarta y última recomendación- debería asegurar que los convenios y contratos en los que se basa su utilización contienen las previsiones que exige el Esquema Nacional de Seguridad para estos casos. Todo ello dado la relevancia que las aplicaciones proporcionadas por Centro Informático Provincial de Salamanca y las contrataciones externas tienen para la gestión municipal, dijo.
Benavente
En el informe presentado hoy en la Comisión de Economía y Hacienda, se focalizaron unas recomendaciones específicas para el Ayuntamiento de Benavente, donde se incide en que los responsables de la información y de los servicios correspondientes deberían establecer y aprobar los requisitos de seguridad, encargándose a su vez de su aplicación y verificación.
Por su parte, el Comité de Seguridad tendría que ejercer las funciones que le son propias, entre otras, de coordinación, planificación y seguimiento, para asegurar de esta forma que se realizan las tareas definidas en la política de seguridad. En cuanto al proceso continuo de identificación y corrección de vulnerabilidades, se destaca la valoración del empleo de herramientas automatizadas para la detección de vulnerabilidades y la realización periódica de actuaciones como las que se han llevado a cabo desde la anterior auditoría.
Además, Amilivia consideró como “urgente” que el responsable de seguridad defina un procedimiento para la realización de tareas como la gestión de usuarios administradores, haciendo uso de la política de mínimo privilegio, el cambio de las contraseñas por defecto y la definición de políticas robustas y homogéneas para los sistemas de autenticación. Es decir, desde el Consejo de Cuentas aseguró que el Pleno debería aprobar una normativa que “garantice que el registro de actividad de los usuarios se realiza de acuerdo con lo establecido en el artículo 24 del Esquema Nacional de Seguridad”, aseveró.
