La Sindicatura alerta de la debilidad de la red municipal de Orihuela contra los ciberataques

La transformación digital que están experimentando todas las administraciones públicas y su interconexión a través de complejas redes informáticas las expone de forma cada vez más intensa a amenazas provenientes del ciberespacio. Esto origina un incremento de los riesgos asociados a los sistemas de información que sustentan los servicios públicos y, por tanto, a la información que manejan. De hecho, las entidades locales han sido uno de los objetivos más afectados por las recientes oleadas de ciberataques.

Dada esta realidad, y en sintonía con su actual plan estratégico, la Sindicatura de Cuentas de la Comunidad Valenciana ha publicado un informe de seguimiento de los controles básicos de ciberseguridad del Ayuntamiento de Orihuela con respecto a la situación analizada en una auditoría de 2019.

Entre las conclusiones, destaca que aunque se han realizado cambios importantes en los sistemas de información, determinadas circunstancias han dificultado mejorar los aspectos relacionados con la ciberseguridad: "El índice de madurez general de los controles básicos de ciberseguridad es muy bajo, reflejando un nivel de riesgo inaceptable". 

Así, señala el informe, el objetivo es conseguir un 80%, a partir del valor actual, que se sitúa en el 42% (36,5% en 2019); es decir, "el nivel de efectividad en los controles analizados sigue siendo muy deficiente", concluye.

Por ello, el Ayuntamiento debe adoptar las medidas necesarias para conseguir los niveles exigidos por el Esquema Nacional de Seguridad para la protección de los sistemas de información, especialmente en aquellos controles que presentan deficiencias significativas.

Además, indica que el consistorio no tiene establecida una adecuada gobernanza de la ciberseguridad, algo que debe ser enmendado. Los órganos de gobierno deben aprobar normas y procedimientos en relación con la seguridad de la información aplicables a toda la organización y reforzar el apoyo en forma de recursos humanos y presupuestarios dedicados a la seguridad de la información.

De esta forma, indica que es necesario que el comité de seguridad de la información, órgano imprescindible para la coordinación, se reúna regularmente a fin de conocer el estado de la seguridad de la información del Ayuntamiento y tomar las decisiones pertinentes de forma oportuna.

El documento sostiene que es necesaria la implantación de una cultura en materia de ciberseguridad que afecte a todos los niveles de la organización, que ha ser impulsada por la dirección en forma de planes estratégicos que definan objetivos y medidas concretos, además de incluir planes periódicos de formación y concienciación de los trabajadores.

Por último, la revisión también ha puesto de manifiesto "un insuficiente grado de cumplimiento en cuanto a la adecuación a las normas legales relacionadas con la seguridad de la información".

Recomendaciones

La Sindicatura de Cuentas de la Comunidad Valenciana también ha realizado una serie de recomendaciones con el propósito de contribuir a subsanar las deficiencias observadas y mejorar los procedimientos de gestión de la ciberseguridad del Ayuntamiento, entre las que, además de aprobar formalmente procedimientos que describan las acciones y controles implantados, se recomienda la implantación de soluciones para restringir el acceso de dispositivos físicos no autorizados a la red corporativa, actualizar los sistemas obsoletos, el uso de una herramienta de gestión de vulnerabilidades, parches y actualizaciones y la aplicación de seguridad por defecto en todos los sistemas y aplicaciones críticas de la entidad.