La Sindicatura de Comptes ha advertido de la existencia de fallos en la ciberseguridad del Ayuntamiento de Alcoy, que hacen a la administración municipal vulnerable ante posibles ataques de este tipo que pudieran producirse. Así lo expresa la alta institución de la Generalitat en un informe en el que hace seguimiento a la auditoría que realizó en 2020 para el grado de control de esta materia por parte del Consistorio. En este trabajo, fechado en 2021 pero que ha sido publicado este mismo martes, se destacan los avances que se han producido en relación al primer análisis, pero también que el nivel de seguridad no es el óptimo y que es necesario mejorar algunas cuestiones.
El informe señala que el Ayuntamiento de Alcoy tiene un índice de madurez de sus controles básicos de ciberseguridad de un 58,8%, todavía lejos del 80% que la Sindicatura marca como objetivo. "A pesar de la mejora experimentada desde el índice de madurez de 47,3% identificado en nuestra auditoría de 2020, el nivel de efectividad en los controles analizados es insuficiente", expresa. "Hay posibilidades claras de mejora para conseguir los niveles exigidos por el Esquema Nacional de Seguridad para la protección de los sistemas de información, especialmente en los controles que presentan deficiencias significativas".
La citada auditoría de 2020 se realizó dentro de un plan establecido por la institución para analizar la ciberseguridad de todas las ciudades de más de 50.000 habitantes de la Comunidad Valenciana. Es decir, no se debió a que se detectara previamente anomalía alguna. Con todo, en ese trabajo se observó un grado de cumplimiento bajo en algunos controles, y demasiado moderado en otros, como en el cumplimiento normativo y de gobernanza sobre ciberseguridad, que se situaba en el 37,5%, o en las configuraciones seguras de programas y equipos informáticos, que era del 41,5%. El inventario y control de dispositivos físicos se situaba en el 55,1%, mientras que el resto de indicadores superaba el 60%.
En este informe de seguimiento se constata que todas las cuestiones analizadas han mejorado, y algunas incluso de forma muy notable, como el apartado de la gobernanza, que escala hasta el 75%. El mejor indicador es de la realización de copias de seguridad de datos y sistemas, con un 95,8%, mientras que el inventario y control de programario autorizado y no autorizado está en un 90%. También destacan el trabajo continuo en identificación y solución de vulnerabilidades, cifrado en un 74,7%, al igual que el uso controlado de privilegios administrativos.
Sin embargo, el registro de la actividad de los usuarios se queda en un 65,4%, y el inventario y control de dispositivos físicos en un 64,5%. El principal talón de Aquiles en la ciberseguridad del Ayuntamiento de Alcoy continúa siendo, según el informe, la cuestión de las configuraciones seguras del programario y los equipos, que se queda en un exiguo 47,4%. Sobre este aspecto, la Sindicatura de Comptes apela a "ampliar e implantar de manera efectiva en todos los sistemas de la entidad el procedimiento existente de configuración segura", y propone "el desarrollo de guías de instalación específicas por sistemas, basadas en las recomendaciones de los fabricantes y los organismos de referencia".
Más dotación presupuestaria
La institución destaca que el Consistorio alcoyano "tiene establecida una gobernanza aceptable de la ciberseguridad, pero debe reforzar el apoyo en forma de recursos presupuestarios dedicados a la seguridad de la información". También señala que "hemos podido verificar la existencia del compromiso con la ciberseguridad por parte de los órganos superiores del Ayuntamiento". No obstante, apunta que "resulta necesario impulsar de manera proactiva iniciativas para mejorar la ciberhigiene y la ciberresiliencia", y hace hincapié en llamar a "incrementar el apoyo en forma de recursos presupuestarios que permitan dar cumplimiento a los objetivos en materia de seguridad".
La Sindicatura también recoge que "hemos verificado que en el momento de finalización del trabajo de campo de la auditoría se han iniciado o planificado actuaciones en materia de ciberseguridad en diversos ámbitos", las cuales "atenderían algunas de las recomendaciones" que formulan al Ayuntamiento. En este sentido, la institución valora que "la implantación efectiva de estas actuaciones tendrá un impacto positivo en el nivel de ciberseguridad de la entidad".
