La Sindicatura de Cuentas avisa de que la gestión de la ciberseguridad del Ayuntamiento de Mataró es deficiente.
Lo recoge un informe hecho público este lunes, en el que analiza la protección informática del consistorio durante 2023.
Tras revisar los programas de gestión contable, presupuestaria y tributaria, así como diferentes elementos de gestión interna, el síndico determina que el índice de madurez es de nivel 2 sobre 5 y advierte que no hay procedimientos escritos ni formación para blindar la ciberseguridad y tener capacidad de reacción ante situaciones inesperadas.
Si bien constata que el Ayuntamiento está comprometido con la ciberseguridad, le insta a actualizar la normativa y mejorar la estrategia interna para evitar ataques informáticos.
En el informe, presentado por el síndic Manel Rodríguez Tió este verano y hecho público ahora, se analiza la gestión de la seguridad durante 2023 excluyendo a los entes dependientes. Es el primer informe de estas características para evaluar en un ayuntamiento la integridad, la disponibilidad, la autenticidad, la confidencialidad y trazabilidad de los datos en los entornos informáticos.
La fiscalización realizada concluye que el Ayuntamiento de Mataró alcanza un índice de madurez general del 53,11% en los ocho controles básicos que debe superar la administración.
Si se compara el nivel de madurez con el nivel de cumplimiento que requiere el Esquema Nacional de Seguridad (ENS), el porcentaje promedio es del 66,39%.
El síndic lamenta que ninguno de los ocho controles llega al 80%, si bien señala que hay tres que lo rozan.
El mejor resultado es el relativo a inventario y control de dispositivos físicos, mientras que la peor situación la presenta todo lo relacionado con las configuraciones seguras del software y hardware de dispositivos móviles, portátiles, equipos de sobremesa y servidores.
El síndic también advierte sobre el resultado obtenido en dos de los ocho controles: el relativo al uso controlado de privilegios administrativos y el que engloba las configuraciones seguras del software y dispositivos.
En estos dos casos, se detecta que el proceso para garantizar la ciberseguridad existe, pero no se gestiona, de manera que “hay una efectividad insuficiente”.
Si bien la Sindicatura afirma que hay “implicación y compromiso” con la ciberseguridad por parte de los órganos superiores del Ayuntamiento y los gestores de las diferentes áreas, también avisa de que hay “carencias” que dificultan implementar un sistema “completamente efectivo”.
En este sentido, señala que la política de seguridad de la información no está completa ni actualizada, que no se han formalizado ni aprobado todas las normas necesarias y que hay dependencia jerárquica entre el responsable de seguridad y el responsable del sistema.
Al mismo tiempo, reprocha al Ayuntamiento que haga siete años de la creación del Comité de Seguridad en Protección de Datos, pero que éste no se haya reunido nunca.
En cuanto al cumplimiento de la legalidad, la Sindicatura afirma que la revisión realizada durante 2023 constata un nivel “insatisfactorio” y avisa de que los máximos órganos del Ayuntamiento son los responsables de garantizar el seguimiento de las normativas y de impulsar las medidas necesarias para que así sea.
El síndico apunta que el Ayuntamiento le ha manifestado que trabaja para adaptar la institución al Esquema Nacional de Seguridad a través de diversas acciones y nuevas normativas.
Con todo, lamenta que con fecha de junio de 2024 no había acreditado que hubiera empezado a hacer este trabajo.
Para revertir la situación detectada con el informe, la Sindicatura plantea hasta siete recomendaciones al consistorio colchonero.
Por un lado, recalca que los órganos de gobierno deberían ser más activos para actualizar la normativa de seguridad e incentivar la cultura de la ciberseguridad “con una dirección estratégica y coordinada”.
También señala la necesidad de formalizar todos los procedimientos a través de manuales y protocolos, así como unificar los inventarios de los dispositivos y los servidores.
Al mismo tiempo, pide crear un plan de mantenimiento del software y actualizar todos los sistemas operativos que están fuera del periodo de soporte.
Finalmente, plantea la creación de un listado de software autorizado y un control periódico sobre el mismo, la elaboración de un proceso unificado de gestión de los usuarios con privilegios y un calendario de revisiones periódicas de los registros de actividad.
Tras el informe de Mataró, la Sindicatura de Cuentas tiene previsto publicar análisis similares sobre Badalona, Santa Coloma de Gramenet y Reus.
En los próximos años, la previsión es completar el análisis de la ciberseguridad de todos los municipios con una población superior a los 100.000 habitantes, según apuntan desde el ente.