Suscríbete

Contenido exclusivo para suscriptores digitales

La Diputación aprueba en ciberseguridad pero debe mejorar la protección de datos

Una auditoría de la Sindicatura de Comptes evidencia que la institución provincial está cercana a los objetivos de control que se le piden a la administración electrónica, aunque tiene que subsanar algunas deficiencias

Una mujer accede a la página web de la Diputación Provincial de Alicante. | INFORMACIÓN

Aprobado alto en ciberseguridad, pero lejos de la excelencia. Es la conclusión que se desprende del informe de la Sindicatura de Comptes sobre la auditoría que ha realizado en la Diputación de Alicante en materia de ciberseguridad, a raíz de la oleada de ciberataques que están recibiendo las entidades locales. El resultado es que la institución provincial obtiene un alto nivel de madurez general en los controles básicos de ciberseguridad, con un valor del 70,2%, cercano al objetivo que se sitúa en el 80%. Sin embargo, entre las conclusiones de este documento, el órgano autonómico fiscalizador afirma que ha constatado algunas deficiencias e insta a la Diputación a «mejorar», como en materia de protección de datos personales.

En cuatro de los ocho controles de ciberseguridad realizados el cumplimiento es del 100%, pero en los otros cuatro existen «claras posibilidades de mejora», señala la Sindicatura de Comptes, para alcanzar los niveles exigidos por el Esquema Nacional de Seguridad (ENS). En el ámbito de la administración electrónica española, el ENS es el instrumento que tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y el que marca los requisitos mínimos que permiten una protección adecuada de la información.

Así, el órgano fiscalizador pone el foco en la protección de los datos personales, un aspecto muy importante cuando se habla del ciberespacio, debido a la vulnerabilidad que puede haber por un fallo de seguridad, y más cuando se trata de administraciones públicas que manejan miles de ellos. La Sindicatura de Comptes insta a la Diputación, en este sentido, a finalizar las evaluaciones de impacto de los riesgos detectados «de nivel alto», aunque valora que, en el momento de hacer la auditoría, estuvieran en curso.

Además, respecto al Esquema Nacional de Seguridad, la institución que dirigen PP y Cs debe solventar las no conformidades identificadas en la auditoría de cumplimiento realizada para poder obtener la certificación y el distintivo correspondiente para su publicación en la sede electrónica, de lo que actualmente carece. Este distintivo es una muestra de seguridad para el usuario que haga uso de los servicios que ofrece a través de internet.

El órgano fiscalizador también le da a la Diputación una serie de recomendaciones para mejorar su ciberseguridad y que llevarían a subsanar las deficiencias que ha detectado y a mejorar los procedimientos para gestionar el control de la administración electrónica. Entre ellas, aconseja actualizar y completar el procedimiento de control existente para la identificación y remedio de vulnerabilidades y el procedimiento de configuración segura de los sistemas, de manera que considere la seguridad por defecto y el criterio de mínima funcionalidad.

También recomienda que se apruebe formalmente un procedimiento para el tratamiento de los registros de auditoría de la actividad de los usuarios de la administración electrónica que tiene la Diputación y que se actualice y complete el procedimiento de las copias de seguridad que, aunque está implantado, debe mejorar.

Órganos superiores

La auditoría realizada a la institución provincial, no obstante, pone en valor la «satisfactoria» gobernanza de la ciberseguridad por parte de los órganos superiores de la Diputación responsables de que existan unos controles adecuados sobre los sistemas de información y las comunicaciones. Así, el informe asegura que ha podido verificar la «implicación» y el «compromiso» por parte de esos órganos de la institución provincial encargados de la implantación exitosa de un sistema de gestión de la seguridad de la información que garantice la ciberresiliencia de la entidad.

Además, la Sindicatura considera que existen unos adecuados procesos de gestión. Entre los aspectos que valora en este sentido se encuentran la participación «activa» de la alta dirección en la gestión de la seguridad o el compromiso con la gestión y el cumplimiento de requisitos legales fundamentales. Por ello, insta a la institución provincial a «mantener» el actual nivel de compromiso y apoyo en forma de recursos humanos y presupuestarios dedicados a la seguridad de la información. Y señala que existe un «razonable» grado de adecuación a la normativa legal en materia de ciberseguridad por parte de la Diputación.

La Sindicatura defiende esta fiscalización sobre la implantación de la administración electrónica en las entidades locales y provinciales dada la importancia de los controles de ciberseguridad en entornos digitalizados para una adecuada «ciberhigiene». Los actuales sistemas de información que dan soporte a toda la gestión pública están expuestos, de forma cada vez más intensa, a la materialización de amenazas del ciberespacio, unos «ciberincidentes» que pueden tener consecuencias «potencialmente perturbadoras», advierte el órgano fiscalizador, sobre los servicios que las diputaciones prestan a los ciudadanos y a los ayuntamientos de su ámbito de actuación. Además, la Sindicatura está llevando a cabo una auditoría similar en los consistorios de más de 50.000 habitantes.

Lo último en INF+

Compartir el artículo

stats