Blindar la seguridad informática frente a posibles amenazas, la recomendación del Consejo de Cuentas al Ayuntamiento de Benavente

El presidente del Consejo de Cuentas, Mario Amilivia, presentó 16 informes en la Comisión de Economía y Hacienda del Parlamento autonómico, siete referidos al análisis de la seguridad informática en los ayuntamientos de Astorga, Béjar, Benavente, Ciudad Rodrigo, La Bañeza, Santa Marta de Tormes y Villaquilambre, y otros 9 relativos al análisis de la eficacia y eficiencia de la gestión recaudatoria en las diputaciones de la Comunidad.

Ciberseguridad en el Ayuntamiento de Benavente

Tras un pormenorizado análisis del sistema informático instalado en el Ayuntamiento de Benavente, el Consejo de Cuentas emitía un total de 10 recomendaciones considerando urgente que el Consistorio impulse varias actuaciones para garantizar la ciberseguridad municipal frente a posibles amenazas y que suponen incumplimientos normativos y deficiencias de carácter técnico.

En Pleno se debe aprobar una política de seguridad que defina claramente las responsabilidades sobre la seguridad de los servicios que ofrece y la información que maneja, permitiendo dar continuidad al esfuerzo de adaptación necesario para el cumplimiento normativo.

Dotar de recursos al departamento de TI para solventar aquellos aspectos técnicos que precisan mejoras.

Específicamente, se deberá culminar el proceso mediante la realización de auditorías o autoevaluaciones de cumplimiento del ENS, valorándose su realización conjunta con las relativas a protección de datos personales.

Como aspecto básico, el Consejo de Cuentas recomienda que se debe nombrar a un responsable de la la información, del responsable del servicio y del responsable de la seguridad. Con estos nombramientos y el apoyo y concienciación política al más alto nivel se podría proceder al desarrollo de la estructura y procedimientos necesarios. El responsable de seguridad junto con el responsable del sistema para cada proceso de gestión de TI, debería elaborar y elevar a su aprobación formal el procedimiento que lo describe en el que se detalle el alcance, tareas a realizar, responsabilidades, registros o documentación que se genere, así como cualquier otro aspecto relevante del proceso en concreto. Algo que debe ser nombrado por parte del Alcalde.

Respecto al inventario y control de activos, hardware y software y el uso controlado de privilegios administrativos, el Concejal competente, en este caso de Administración Interior, debe impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte del fabricante, asegurando una dotación presupuestaria adecuada.

Sobre el proceso continuo de identificación y corrección de vulnerabilidades el responsable de seguridad que se defina en la política de seguridad debería valorar conjuntamente con el responsable del sistema, el empleo de herramientas automatizadas para la detección de vulnerabilidades y la realización (o contratación dado lo especializados de los perfiles necesarios) de pruebas de penetración (pentesting) y que simulan ataques reales (Red team).

Además el concejal deberá impulsar la formalización de la contratación de los servicios informáticos, en los cuales se incluyan las cláusulas que permitan realizar un control de cómo se llevan a cabo los servicios y el uso y control de los privilegios de administración de acuerdo a lo especificado en el ENS.

En el uso controlado de los privilegios administrativos, el Consejo de Cuentas considera que es urgente que el responsable de seguridad defina un procedimiento para la realización de tareas como la gestión de usuarios administradores, haciendo uso de la política de mínimo privilegio, el cambio de las contraseñas por defecto y la definición de políticas homogéneas para los sistemas de autenticación.

Otro de los aspectos a cumplir es el de la normativa en materia de protección de datos, donde el Ayuntamiento deberá llevar a Pleno una normativa que garantice que el registro de actividad de los usuarios se realiza de acuerdo con lo establecido en el artículo 23 del ENS, en concreto con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral. Para ello puede utilizarse como referencia la guía CCN-STIC 831 Registro de la actividad de los usuarios.

La Intervención Municipal debería realizar la auditoría anual de sistemas del registro contable de facturas. Para facilitar su cumplimiento, la Intervención General de la Administración del Estado, publicó una guía marco que contiene una serie de orientaciones a efectos de su realización.