El presidente del Consejo de Cuentas de Castilla y León, Mario Amilivia, presentó este lunes ante la Comisión de Economía y Hacienda del Parlamento autonómico dos informes, los de análisis de la seguridad informática de los ayuntamientos de Salamanca y León. Se trata de dos auditorías que fueron aprobadas en octubre y diciembre del año pasado, respectivamente, y que, como recordó, ya fueron mencionadas en el debate suscitado en esta Comisión el pasado 29 de enero con ocasión de la presentación del análisis referido a la seguridad informática del Ayuntamiento de Valladolid. En 2021 se publicó una primera serie de siete ayuntamientos de tamaño intermedio para después abordar los análisis de las capitales de provincia por el impacto de esta materia en la vida de los ciudadanos. En esta línea, ya se han presentado los de Ávila, Burgos, Palencia y Valladolid, y la serie de completará con los previstos en el Plan de Fiscalizaciones de este año para los ayuntamientos de Segovia, Soria y Zamora. Se trata de "recomendaciones fundamentales a la hora de servir de guía y acicate a los ayuntamientos auditados y que pueden ser tomadas como punto de partida por otras entidades que quieran mejorar su seguridad informática". Como resumen general de las presentaciones de las auditorías de Salamanca y León, Amilivia destacó que "ambos ayuntamientos están poniendo en marcha medidas para el cumplimiento de las recomendaciones".
En el caso de León, desde el punto de vista temporal, se ha analizado la situación existente hasta el ejercicio 2023 sin perjuicio de las comprobaciones sobre actuaciones anteriores. Del análisis realizado se han extraído 52 conclusiones, precisó Amilivia. Entre ellas, que la concejalía que tiene atribuidas las competencias no realiza las acciones necesarias para una dirección efectiva de la política de seguridad informática, especialmente en el ámbito de impulso de la cobertura de plazas y del nombramiento de los principales responsables. Existen 23 puestos relacionados con las TICs, estando cubiertos 14 de ellos. El Ayuntamiento, explicó, carece de documentación detallada de sus sistemas y procesos de gestión, sin un plan de actuación ante un cambio en el equipo de trabajo. Tampoco ha realizado una identificación y categorización adecuada según el ENS de los sistemas de información de que dispone. Además, se ha optado en su mayor parte por un modelo mixto de gestión, con una parte de los servicios y de la información residenciada en equipos controlados por la propia entidad e instalados físicamente en sus dependencias y otra parte externalizada en el Centro de Supercomputación de Castilla y León.
Del examen de la estructura de la red corporativa se concluye que tiene en general, dada su dimensión, un sistema con una adecuada protección perimetral, redundancia en los accesos a internet, equipamiento y configuración de la red local, aunque se observan algunas carencias referidas a la ubicación de cierto equipamiento ante posibles contingencias. La conexión inalámbrica, aseguró, es adecuada en líneas generales, aunque en algunas localizaciones carece de las medidas de seguridad necesarias para gestionar los accesos y su trazabilidad. También dispone de una plataforma de teletrabajo teóricamente capaz de proporcionar un nivel suficiente de seguridad. Con relación a la implantación de los controles básicos de ciberseguridad (se establecen 6 niveles, de 0 a 5), se considera que el Ayuntamiento en 7 de los 8 controles registra un índice de madurez L1, lo que significa que ·el proceso existe, pero no se gestiona·. Solo en el control 7, que revisa las copias de seguridad de datos y sistemas, el Consistorio alcanza un índice de madurez L2, en el que "existe un mínimo de planificación que proporciona una pauta a seguir cuando se repiten las mismas circunstancias, pero es impredecible el resultado si se dan circunstancias nuevas".
Las recomendaciones del Consejo pasan, en primer lugar, porque el alcalde impulse las actuaciones necesarias para solventar los incumplimientos normativos y las deficiencias técnicas constatadas durante la revisión de los controles. También, dicen, este debería asumir y promover un compromiso firme por parte del Pleno del ayuntamiento con el cumplimiento de la normativa, elaborando una estrategia a largo plazo que establezca una gobernanza de tecnologías de la información adecuada, solventando la situación en cuanto a plazas relevantes como son las de responsable de seguridad o jefe de servicio; dotar de los recursos necesarios al Servicio de Recursos para la Información y las Comunicaciones, y culminar el proceso mediante la realización de auditorías o autoevaluaciones de cumplimiento del ENS, valorándose su realización conjunta con las relativas a protección de datos personales.
En segundo lugar, con relación al entorno tecnológico del Ayuntamiento, Cuentas aconseja al alcalde impulsar las acciones necesarias para dotar adecuadamente los puestos contemplados en la relación de puestos de trabajo para garantizar una estructura que cumpla los principios de seguridad y que tenga capacidad de asumir las tareas requeridas para la gestión de sus sistemas de información. En tercer lugar, sobre el inventario y control de activos y el uso controlado de privilegios administrativos, el alcalde debería impulsar la realización de una planificación a largo plazo de las necesidades de renovación tecnológica para evitar la obsolescencia del hardware y utilización de software sin soporte del fabricante, asegurando una dotación presupuestaria adecuada.
Amilivia apuntó que el Consejo de Cuentas tiene constancia de que en el Ayuntamiento de León se han convocado también las plazas para los nombramientos de un jefe de Servicios Informáticos y de un responsable de Seguridad en esta materia. También conoce la reciente adjudicación de un contrato de infraestructura ‘MAN segura’ que tiene por objeto el suministro, instalación y puesta en servicio de los equipos de electrónica de red necesarios para renovar la red corporativa, así como los servicios asociados a los mismos. Del mismo modo, el Consejo de Cuentas también es conocedor del propósito del Ayuntamiento de León de seguir invirtiendo y mejorando en esta materia. Así, señaló que "hemos podido constatar el propósito de invertir una cantidad superior a los 2,6 millones de euros con cargo a los remanentes de tesorería para gastos generales en el área de Informática. Acuerdo que, en su caso, se incluirá en un próximo Pleno". Con ello, "manifestamos esa voluntad de mejora, que es la que persigue el informe", concluyó.