El Consejo de Cuentas de Castilla y León da luz verde a la ciberseguridad en el Ayuntamiento de Benavente

El Pleno del Consejo de Cuentas se reunía el pasado miércoles en el Ayuntamiento de La Bañeza para la aprobación de los cinco primeros informes sobre la seguridad informática en una serie inicial de diez ayuntamientos de Castilla y León incluida en el Plan Anual de Fiscalizaciones 2021.

El Pleno del órgano de control externo que preside Mario Amilivia, y que integran los consejeros Emilio Melero, Miguel Jiménez y el secretario, se ha celebrado en la ciudad de La Bañeza por primera vez, ya que al tratarse de una de las entidades locales objeto de esta primera serie de fiscalizaciones el Consejo ha querido acercar al nivel municipal, el más próximo a los ciudadanos, el trabajo realizado y sus principales recomendaciones.

En concreto, han sido aprobadas para su remisión al Parlamento autonómico las auditorías referidas a Béjar, Benavente, Ciudad Rodrigo, La Bañeza, y Villaquilambre. Continúan en elaboración las relativas a las tres capitales de provincia incluidas en esta primera serie, Ávila, Burgos y Palencia, así como las referentes a Astorga y Santa Marta de Tormes.

La Conferencia de Presidentes de la Asociación de Órganos de Control Externo Autonómicos (Asocex) aprobó en noviembre de 2018 la guía práctica de fiscalización para la revisión de los controles básicos de ciberseguridad, siendo el Consejo de Cuentas uno de los primeros en incluir este tipo de auditorías en su programación.

Se trata de una auditoría operativa cuyo objetivo principal es verificar el funcionamiento de los controles básicos de ciberseguridad implantados por las diferentes entidades fiscalizadas. Así, se han analizado las actuaciones, medidas y procedimientos adoptados para la efectiva implantación de dichos controles, así como el grado de efectividad alcanzado.

Complementariamente, las auditorías realizadas también proporcionan a los entes fiscalizados información relevante sobre su capacidad para continuar con la actividad en caso de padecer un ataque, así como propuestas sobre posibles acciones de mejora.

“El desarrollo de la administración electrónica para facilitar servicios a los ciudadanos por parte de las administraciones públicas, debe ir acompañado de las medidas de seguridad necesarias para proteger los datos. La transformación digital de los ayuntamientos tiene que cumplir unos requisitos mínimos de seguridad en sus sistemas de información, al ser estos el soporte de procesos tan relevantes como la gestión contable y presupuestaria, la recaudación de tributos o el padrón municipal” indican desde el Consejo de Cuentas.

El tamaño de los municipios que han sido objeto de los informes implica cierta complejidad de gestión, que contrasta con las escasas dotaciones de recursos humanos y materiales dedicados a su área tecnológica.

“Además, el Consejo de Cuentas debe poder confiar en los datos contenidos en los sistemas de la entidad fiscalizada, como único soporte de la información económica y financiera. Para que un sistema de información sea fiable, es necesario, aunque no suficiente, que existan controles eficientes de ciberseguridad, siendo los que se detallan en el alcance de esta fiscalización los más básicos” explicaban.

A cada ayuntamiento se le ha transmitido con carácter confidencial la situación detallada de los controles de seguridad auditados, con la debida prevención de la importancia de salvaguardar esa información. Los 5 informes calificados hoy en la ciudad de La Bañeza serán remitidos a las Cortes, dándose por parte del Consejo de Cuentas un plazo suficiente antes de que sea publicado el resumen de las conclusiones, para que los ayuntamientos puedan adoptar antes las medidas necesarias para reforzar sus mecanismos de control en materia de ciberseguridad.

Por otra parte, se les ha transmitido durante la elaboración de las auditorías, con carácter general, una serie de recomendaciones básicas para cualquier administración pública.

Entre otras recomendaciones, los ayuntamientos deben impulsar las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias de carácter técnico que se han constatado durante la revisión de los controles.

Para esta tarea, organismos como el Centro Criptológico nacional, la Federación Española de Municipios y Provincias o la Agencia Española de Protección de Datos publican guías detalladas que ofrecen modelos completos para la adaptación de los ayuntamientos de características similares que pueden ser tomadas como referencia para facilitar el proceso.

Además, los alcaldes deben promover un compromiso firme por parte del pleno de los respectivos ayuntamientos con el cumplimiento de la normativa, elaborando una estrategia a largo plazo, que establezca una gobernanza de tecnologías de la Información adecuada que contemple las siguientes iniciativas:

Aprobar una política de seguridad que defina claramente las responsabilidades sobre la seguridad de los servicios que ofrece y la información que maneja, permitiendo dar continuidad al esfuerzo de adaptación necesario para el cumplimiento normativo.

Dotar de recursos al departamento de tecnologías de la información para solventar aquellos aspectos técnicos que precisan mejoras.

Específicamente, se debe culminar el proceso mediante la realización de auditorías o autoevaluaciones de cumplimiento del Esquema Nacional de Seguridad, valorándose su realización conjunta con las relativas a protección de datos personales.

Un aspecto básico que permite comenzar a estructurar y documentar el proceso de seguridad informática es el nombramiento por parte de los alcaldes de los respectivos ayuntamientos de los responsables de la información, del servicio y de la seguridad. El responsable de seguridad debería elaborar y elevar a su aprobación formal el procedimiento a seguir con detalle del alcance, tareas a realizar, responsabilidades, y registros o documentación que se genere.