La Sindicatura de Comptes ha advertido de la existencia de fallos y deficiencias en la ciberseguridad del Ayuntamiento de Elche, que hacen a la administración local vulnerable ante posibles ataques de este tipo que pudieran producirse. Así lo señala el organismo autonómico en su último informe, fechado en 2021 pero que ha sido publicado este jueves, en el que hace seguimiento de las recomendaciones realizadas en la auditoría de los controles básicos de ciberseguridad del Consistorio del año 2019. Aunque la alta institución de la Generalitat constata que se han producido progresos desde su anterior auditoría, le vuelve a dar un tirón de orejas al Ayuntamiento de Elche ya que solo se han atendido parcialmente algunas de sus recomendaciones por lo que sigue considerando "insuficiente" el índice de ciberseguridad del Consistorio, que advierte de que maneja información sensible que podría ponerse en riesgo en el caso de un ciberataque.
El informe señala que el Ayuntamiento de Elche tiene un índice de madurez de sus controles básicos de ciberseguridad de un 50,3%, todavía lejos del 80% que la Sindicatura marca como objetivo. A pesar de la mejora experimentada desde 2019, cuando el índice era de apenas el 40,7%, el nivel de efectividad en los controles analizados "sigue siendo insuficiente", advierte el Síndic de Comptes, y debe mejorar, señala, para alcanzar los niveles exigidos por el Esquema Nacional de Seguridad para la protección de los sistemas de información, especialmente en aquellos controles que presentan deficiencias significativas.
La auditoría de 2019 se realizó dentro de un plan establecido por la institución para analizar la ciberseguridad de todas las ciudades de más de 50.000 habitantes de la Comunidad Valenciana. En la misma se analizaban diferentes parámetros en los que Elche se encontraba por debajo de límite marcado por el órgano fiscalizador. Aunque en el último informe se mejoran algunos indicadores, no se alcanza el nivel mínimo exigible para garantizar la seguridad en una administración que maneja datos muy sensibles. De hecho, las entidades locales han sido uno de los objetivos más afectados por las recientes oleadas de ciberataques.
Así, el último informe advierte de que el Consistorio no tiene establecida una adecuada gobernanza de la ciberseguridad, "situación que debe ser subsanada", le insta. Los órganos de gobierno, añade, deben aprobar normas y procedimientos en relación con la seguridad de la información aplicables a toda la organización por igual. También es preciso que el comité de seguridad de la información, órgano imprescindible para coordinar la seguridad de la información en la entidad, se reúna regularmente, con el objetivo de conocer el estado de la seguridad de la información del Ayuntamiento y tomar las decisiones pertinentes de forma oportuna.
Asimismo, la revisión que ha hecho la Sindicatura de Cuentas también pone de manifiesto un grado de cumplimiento "muy deficiente" en cuanto a la adecuación a las normas legales relacionadas con la seguridad de la información.
Para contribuir a subsanar las deficiencias observadas y mejorar los procedimientos de gestión de la ciberseguridad del Ayuntamiento, el informe hace una serie de recomendaciones que espera sean cumplidas en mayor medida que en la auditoría anterior. Entre ellas, aprobar formalmente un procedimiento unificado para la gestión del inventario y el control de activos físicos y de software que recoja el proceso actualmente implantado y que se aplique a todos los sistemas de información del Ayuntamiento. Además, aconseja finalizar la implantación de soluciones para restringir el acceso de dispositivos físicos no autorizados a la red corporativa y elaborar y aprobar formalmente un procedimiento para la gestión de usuarios con privilegios de administración.
Por último, pide aprobar e implantar un procedimiento de configuración segura o bastionado de los sistemas que considere la seguridad por defecto y el criterio de mínima funcionalidad.
Ramón Abad: «Para nosotros es un progresa adecuadamente»
El edil de Innovación, Ramón Abad, considera que el último informe de Comptes es un «progresa adecuadamente», y no un suspenso, al haber mejorado levemente los indicadores con respecto a hace dos años. Abad señala que se están creando órganos de control en ciberseguridad y dando recursos para mejorar la seguridad pero «si tengo que atender en un año a todo lo que pone el Síndic, no habría presupuesto para otra cosa». Y asegura que el consistorio ilicitano sí está trabajando en ampliar la ciberseguridad "no como otros ayuntamientos de similar número de habitantes de nuestro alrededor".
Así, el Ayuntamiento de Elche trata de reforzar su seguridad informática. La junta de gobierno aprobaba el pasado viernes sacar a concurso por más de 628.000 euros en cuatro años una solución inteligente de alertas y de seguridad digital para proteger la Sede Electrónica del Ayuntamiento de posibles ciberataques, cantidad que estará financiada al 100% con fondos europeos Next Generation.
Además, el Consistorio recibía en mayo una subvención del Ministerio de Política Territorial de 873.350 euros para impulsar su transformación digital, mejorar la ciberseguridad y modernizar la administración local. De estos fondos, a través del programa Next Generation, un total de 180.000 euros irán destinados a garantizar la seguridad de las infraestructuras, comunicaciones y servicios digitales prestados por la administración local, es decir, para ciberseguridad.
"Todas las instituciones son atacadas todos los días y para eso sirven los sistemas de seguridad, que los nuestros están funcionando perfectamente", zanja Abad.
