SAN VICENTE DEL RASPEIG. El Ayuntamiento de San Vicente del Raspeig ha mejorado en 2020 un 6,2 % en materia de ciberseguridad con respecto a 2019, según un informe de ciberseguridad del Síndic de Comptes, elaborado dentro del Plan Estratégico de la Sindicatura 2019 - 2022. Así, el consistorio sanvicentero ha pasado de un índice de madurez del 42,3 % al 48,5 %, si bien el Síndic lo considera insuficiente, alegando que "el Ayuntamiento únicamente ha atendido de manera parcial algunas de las recomendaciones" del informe anterior. Por ello, afirma que "el índice general de los controles básicos de ciberseguridad actual es muy deficiente y refleja un nivel de riesgo inaceptable".
El informe del Síndic de Comptes atiende a ocho controles básicos de ciberseguridad. El índice de madurez anteriormente mencionado alcanzó en la revisión de 2021 el 48,5 % (en la de 2020, el 42,3 %), pero en cuanto al índice de cumplimiento se sitúa en el 60,7 % (anteriormente, en el 52,8 %). Sin embargo, según el Esquema Nacional de Seguridad (ENS), el objetivo es alcanzar el 80 %. En cuanto a los ocho controles, cuatro de ellos han mejorado y los otros cuatro "no han experimentado ningún cambio".
Gráfica desarrollada por el Síndic de ComptesEl informe concluye que el Ayuntamiento "tiene que tomar medidas necesarias para conseguir los niveles exigidos por el ENS" y menciona que el Consistorio de San Vicente no tiene establecida una adecuada gobernanza de ciberseguridad, por lo que los órganos de seguridad deberán aprobar normas y procedimientos en relación con la seguridad de la información y "reforzar en forma de recursos humanos y presupuestarios dedicados a la seguridad de la información". Y que el comité de seguridad de la información se reúna "regularmente".
Además del poco crecimiento del índice de madurez y de la falta de modus operandi en materia de seguridad, el Síndic de Comptes ha puesto de manifiesto un grado de cumplimiento "deficiente" en cuanto a la adecuación a las normales legales relacionadas con la seguridad y la información. Estas conclusiones se encuentran en el 'Informe de seguimiento de las recomendaciones realizadas en la auditoría de los controles básicos de ciberseguridad del Ayuntamiento de San Vicente' a fecha de 31 de diciembre de 2021.
El Síndic de Comptes también incluye en su informe una serie de recomendaciones y medidas para cumplir con la legalidad sobre los ocho controles básicos de ciberseguridad.
Se propone aprobar formalmente un procedimiento para la gestión del inventario y el control de activos físicos que recoja el proceso completo, incluyendo las revisiones periódicas de la maquinaria. También implantar soluciones que permitan restringir el acceso de dispositivos físicos no autorizados la red corporativa.
El Síndic recomienda elaborar y aprobar un procedimiento que describa las acciones llevadas a cabo por la gestión integral del software de la entidad y establezca aspectos como las autorizaciones, revisiones periódicas, responsables y medidas que impidan la ejecución de aplicaciones no permitidas. También se recomienda que el Ayuntamiento defina un plan de mantenimiento del software. E identificar y actualizar los sistemas que se encuentren fuera del periodo de soporte.
Se propone documentar los controles actualmente existentes, completarlos y aprobarlos para que se consideren el escaneo, el análisis y las acciones de seguimiento de anuncios de los fabricantes y boletines oficiales en materia de seguridad, así como priorizar el análisis de riesgos, la resolución y la documentación de las vulnerabilidades tratadas.
Completar y aprobar el procedimiento de gestión unificada de usuarios con privilegios de administración, de tal manera que incluya eliminar a los usuarios no nominativos con privilegios administrativos y establecer la política de autenticación que se debe aplicar en este tipo de cuentas.
Aprobar y implantar un procedimiento de configuración segura o fortificación de los sistemas que considere la seguridad por defecto y el criterio de mínima funcionalidad. Por ello, se propone desarrollar guías de instalación específicas.
Aprobar un procedimiento para el tratamiento de logs de auditoria de la actividad de los usuarios, que especifique, como mínimo, los sistemas afectados, la información que se retiene, el periodo de retención, las copias de seguridad, la gestión de de los derechos de acceso al registro y la implantación y documentación de un proceso de revisión de logs.
Se trata de que la corporación establezca las acciones desempeñadas para gestionar las copias de seguridad de datos y sistemas, especificando, como mínimo, los datos y sistemas afectados, la periodicidad de las copias, ubicaciones, responsables, pruebas de restauración y requisitos de protección de las copias.
El Síndic establece que el Ayuntamiento de San Vicente deberá implantar las medidas para cumplir las disposiciones del Real Decreto que regula el ENS, para lo que debe elaborar una declaración y cumplir las acciones que en ella se recojan, realizar las auditorías previstas en el Real Decreto 3/2010 y publicar en la sede electrónica las declaraciones de conformidad y los distintivos correspondientes.
En relación a la protección de datos personales, el Ayuntamiento se debe adaptar al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica 3/2018, analizando los riesgos sobre los tratamientos de datos personales, aplicando medidas organizativas y técnicas para protegerlos y planificando y ejecutando auditorías en este sentido.
Pese a estas medidas que deberían ponerse en marcha, el Ayuntamiento de San Vicente ya está desarrollando algunas acciones, como la redacción de un pliego de condiciones para instalar algunas herramientas del Centro Criptológico Nacional (CNN), como la sonda ST-INET (para la detección precoz de incidencias de seguridad). Una implantación que se incluirá en el plan de subvenciones destinadas a la transformación digital y modernización de las entidades locales en el marco del Plan de Recuperación, Transformación y Resiliencia del Gobierno. Otra de las actuaciones en curso es la reorganización de las copias de seguridad que está llevando a cabo el departamento de nuevas tecnologías (TIC).
Por su parte, de las doce recomendaciones que el Síndic de Comptes incluyó en su informe anterior, solo una ha sido aplicada en su totalidad. Esta es la referida a llevar a cabo las auditorías del registro de las facturas exigidas por la Ley 25/2013, de 27 de diciembre. Mientras que seis se han aplicado parcialmente y cinco no aplicadas.
