El Consejo de Cuentas trabaja en un informe de recomendaciones al Ayuntamiento de Benavente para mejorar su seguridad informática

El Pleno del Consejo de Cuentas, celebrado hoy por primera vez en Astorga (León) ha dado luz verde al proyecto de Plan Anual de Fiscalizaciones para el ejercicio 2024, propuesta que ha sido trasladada al Parlamento autonómico para su aprobación, tal como establece la normativa.

La nueva programación prevé 29 nuevos informes e incluye además 27 fiscalizaciones de planes anteriores, actualmente en elaboración. Así, con el PAF 2024 la actividad del Consejo de Cuentas alcanzará el próximo año un total de 56 fiscalizaciones en distintas fases de tramitación, implicando todos sus recursos en la ejecución de los trabajos. En 2023 el Consejo ha aprobado 15 informes, teniendo prevista la finalización de 13 fiscalizaciones más en el primer cuatrimestre de 2024.

El Consejo de Cuentas abordará la provincia de Zamora en 21 de estas fiscalizaciones, ocho nuevas como son la de análisis de la seguridad informática del Ayuntamiento de Zamora, la del Fondo de Compensación Interterritorial, el Informe del Sector Público Local, la fiscalización de las mancomunidades de municipios, de los consorcios, y de otras entidades asociativas de la Comunidad como fórmulas alternativas a la reducción de la planta local, o la de seguimiento de recomendaciones y actualización de la situación de la seguridad informática del Ayuntamiento de Benavente.

El resto se trata de fiscalizaciones en elaboración como la de análisis de las medidas de ahorro energético adoptadas por determinados municipios, la del cumplimiento de la normativa en materia de planes de igualdad por los municipios de más de 20.000 habitantes, la del análisis de la situación de los municipios más incumplidores de la obligación de rendir cuentas, el análisis del nivel de prestación y asistencia de la Diputación de Zamora a los pequeños municipios en la etapa 2019-2022 o la del análisis de las actividades y servicios prestados por las mancomunidades locales.

Ciberseguridad en el Ayuntamiento de Benavente

En junio de 2022 el Consejo de Cuentas advertía al Ayuntamiento de Benavente que el sistema sobre el control de privilegios administrativos, derecho al honor, intimidad personal y familiar y a la propia imagen de los afectados mostraba vulnerabilidad.

Entre las recomendaciones se encontraban  aprobar una política de seguridad que defina claramente las responsabilidades sobre la seguridad de los servicios que ofrece y la información que maneja, permitiendo dar continuidad al esfuerzo de adaptación necesario para el cumplimiento normativo.

Dotar de recursos al departamento de TI para solventar aquellos aspectos técnicos que precisan mejoras.

Específicamente, se deberá culminar el proceso mediante la realización de auditorías o autoevaluaciones de cumplimiento del ENS, valorándose su realización conjunta con las relativas a protección de datos personales.

Como aspecto básico, el Consejo de Cuentas recomienda que se debe nombrar a un responsable de la la información, del responsable del servicio y del responsable de la seguridad. Con estos nombramientos y el apoyo y concienciación política al más alto nivel se podría proceder al desarrollo de la estructura y procedimientos necesarios. El responsable de seguridad junto con el responsable del sistema para cada proceso de gestión de TI, debería elaborar y elevar a su aprobación formal el procedimiento que lo describe en el que se detalle el alcance, tareas a realizar, responsabilidades, registros o documentación que se genere, así como cualquier otro aspecto relevante del proceso en concreto. Algo que debe ser nombrado por parte del Alcalde.

Respecto al inventario y control de activos, hardware y software y el uso controlado de privilegios administrativos, el Concejal competente, en este caso de Administración Interior, debe impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte del fabricante, asegurando una dotación presupuestaria adecuada.

Sobre el proceso continuo de identificación y corrección de vulnerabilidades el responsable de seguridad que se defina en la política de seguridad debería valorar conjuntamente con el responsable del sistema, el empleo de herramientas automatizadas para la detección de vulnerabilidades y la realización (o contratación dado lo especializados de los perfiles necesarios) de pruebas de penetración (pentesting) y que simulan ataques reales (Red team), entre otras recomendaciones.